Metodtips för att skydda Microsoft 365 för företag

Om du är en liten eller medelstor organisation som använder någon av Microsofts affärsplaner hjälper vägledningen i den här artikeln dig att öka säkerheten i din organisation. Bland dina val visar Microsoft 365 Business Premium vägen eftersom den nu innehåller Microsoft Defender för företag och andra säkerhetsskydd. De rekommenderade åtgärderna som ingår här hjälper dig att uppnå de mål som beskrivs i Harvard Kennedy School Cybersecurity Campaign Handbook.

Tips

Om du behöver hjälp med stegen i den här artikeln bör du överväga att arbeta med en Microsoft Small Business-specialist. Med Business Assist får du och dina anställda tillgång dygnet runt till småföretagsspecialister när du utökar din verksamhet, från registrering till daglig användning.

Titta: En snabb översikt över säkerhet

Alla Microsoft 365 planer erbjuder grundläggande skydd och säkerhet med Defender Antivirus, men med Microsoft 365 Business Premium har du även funktioner för skydd mot hot, dataskydd och enhetshantering på grund av att Microsoft Defender för företag ingår. Dessa ytterligare funktioner skyddar din organisation från onlinehot och obehörig åtkomst, samt gör att du kan hantera företagsdata på dina telefoner, surfplattor och datorer.

Jämförelse av säkerhetsfunktioner

Om du vill veta mer om någon av funktionerna i tjänstplanen klickar du på rubriken i följande tabell.

Uppgift Microsoft 365 Business Standard Microsoft 365 Business Premium
Skydda mot förlorade eller stulna lösenord Ingår. Ingår.
Utbilda dina användare Ingår. Ingår.
Använda dedikerade administratörskonton Ingår. Ingår.
Skydda mot skadlig kod Ingår.
(skydd för e-post)
Ingår.
(ökat skydd för e-post och enheter)
Skydda mot utpressningstrojaner Ingår.
(skydd för e-post och molnlagring)
Ingår.
(ökat skydd för enheter, e-post och molnlagring)
Kryptera känsliga e-postmeddelanden Ingår. Ingår.
Skydda din e-post från nätfiskeattacker Ingår.
(skydd mot nätfiske)
Ingår.
(avancerat skydd mot nätfiske)
Skydda mot skadliga bifogade filer, filer och URL:er i e-post och Office filer Ingår.
(Valv länkar och Valv bifogade filer)
Öka skyddet för organisationens enheter Ingår.
(enhetsskydd i företagsklass)

Du kan snabbt konfigurera säkerhet och börja samarbeta på ett säkert sätt med den vägledning vi ger i Microsoft 365 Business Premium-biblioteket. Business Premium information utvecklades i samarbete med Microsoft Defending Democracy-teamet för att skydda alla småföretagskunder mot cyberhot som lanserats av sofistikerade cyberattacker och hackare.

Om säkerhetspoängen för Microsoft 365

Det är viktigt att du kontrollerar Microsoft 365 säkerhetspoäng i Microsoft 365 Defender-portalen innan du börjar. Från en central instrumentpanel kan du övervaka och förbättra säkerheten för dina Microsoft 365 identiteter, data, appar, enheter och infrastruktur. Du får poäng för att konfigurera rekommenderade säkerhetsfunktioner, utföra säkerhetsrelaterade uppgifter (till exempel visa rapporter) eller hantera rekommendationer med ett program eller programvara från tredje part. Med ytterligare insikter och mer insyn i en bredare uppsättning Microsoft-produkter och -tjänster kan du känna dig säker på att rapportera om organisationens säkerhetshälsa.

Skärmbild av Microsoft Secure Score.

Konfigurera multifaktorautentisering

Skydda mot förlorade eller stulna lösenord med hjälp av multifaktorautentisering (MFA). När multifaktorautentisering har konfigurerats kräver det att personer använder en kod på sin telefon för att logga in på Microsoft 365. Det här extra steget kan hindra hackare från att ta över om de känner till ditt lösenord.

Multifaktorautentisering kallas även för tvåstegsverifiering. Enskilda användare kan enkelt lägga till tvåstegsverifiering till de flesta konton, till exempel till sina Google- eller Microsoft-konton. Så här lägger du till tvåstegsverifiering till ditt personliga Microsoft-konto.

För företag som använder Microsoft 365 lägger du till en inställning som kräver att användarna loggar in med multifaktorautentisering. När du gör den här ändringen uppmanas användarna att konfigurera sin telefon för tvåfaktorautentisering nästa gång de loggar in. En träningsvideo om hur du konfigurerar MFA och hur användarna slutför installationen finns i Konfigurera MFA och användarkonfiguration.

Aktivera standardinställningar för säkerhet

För de flesta organisationer erbjuder standardinställningar för säkerhet en bra nivå av extra inloggningssäkerhet. Mer information finns i Vad är standardinställningar för säkerhet?. Om din prenumeration är ny kanske standardinställningarna för säkerhet redan är aktiverade för dig automatiskt.

Aktivera eller inaktivera standardinställningar för säkerhet från fönstret Egenskaper för Azure Active Directory (Azure AD) i Azure Portal.

  1. Logga in som global administratör på Administrationscenter för Microsoft 365.

  2. I det vänstra navigeringsfältet väljer du Visa alla och under Administratörscenter väljer du Azure Active Directory.

  3. I Azure Active Directory administrationscenter väljer du Azure Active Directory > Egenskaper.

  4. Längst ner på sidan väljer du Hantera standardinställningar för säkerhet.

  5. Välj Ja för att aktivera standardinställningar för säkerhet eller Nej för att inaktivera dem och välj sedan Spara.

När du har konfigurerat multifaktorautentisering för din organisation måste dina användare konfigurera tvåstegsverifiering på sina enheter. Mer information finns i Konfigurera tvåstegsverifiering för Microsoft 365.

Tips

Om du behöver mer detaljerad kontroll över multifaktorautentisering kan du aktivera villkorlig åtkomst med Microsoft 365 Business Premium. Om du gör detta rekommenderar vi att du implementerar motsvarande principer till Standardinställningar för säkerhet. Gå hit om du vill ha mer information om standardinställningar för säkerhet.

Mer information och rekommendationer finns i Konfigurera multifaktorautentisering för användare.

Utbilda dina användare

Harvard Kennedy School Cybersecurity Campaign Handbook ger utmärkt vägledning om hur du etablerar en stark kultur av säkerhetsmedvetenhet inom din organisation, inklusive utbildning av användare för att identifiera nätfiskeattacker.

Dessutom rekommenderar Microsoft att användarna vidtar de åtgärder som beskrivs i den här artikeln: Skydda ditt konto och dina enheter från hackare och skadlig kod. Dessa åtgärder omfattar:

  • Använda starka lösenord
  • Skydda enheter
  • Aktivera säkerhetsfunktioner på Windows 10- och Mac-datorer

Microsoft rekommenderar också att användarna skyddar sina personliga e-postkonton genom att vidta de åtgärder som rekommenderas i följande artiklar:

Använda dedikerade administratörskonton

De administrativa konton som du använder för att administrera din Microsoft 365 miljö innehåller utökade privilegier. Det här är värdefulla mål för hackare och cyberanfallare. Använd endast administratörskonton för administration. Administratörer bör ha ett separat användarkonto för regelbunden, icke-administrativ användning och endast använda sitt administrativa konto när det behövs för att slutföra en uppgift som är associerad med deras jobbfunktion. Ytterligare rekommendationer:

  • Se till att konton läggs till i Azure Active Directory.
  • Se till att administratörskonton också har konfigurerats för multifaktorautentisering.
  • Innan du använder administratörskonton stänger du alla orelaterade webbläsarsessioner och appar, inklusive personliga e-postkonton.
  • När du har slutfört administratörsuppgifterna måste du logga ut från webbläsarsessionen.

Skydda mot skadlig kod

Din Microsoft 365 miljö innehåller skydd mot skadlig kod. Du kan öka skyddet av skadlig kod genom att:

Blockera bifogade filer med vissa filtyper

Du kan öka skyddet av skadlig kod genom att blockera bifogade filer med filtyper som ofta används för skadlig kod. Om du vill öka skyddet mot skadlig kod i e-post kan du visa en kort träningsvideo eller utföra följande steg:

  1. I Microsoft 365 Defender-portalen går du till E-post & samarbetsprinciper > & regler > Hotprinciper > Mot skadlig kod i avsnittet Principer.
  2. Dubbelklicka på Standard på sidan Skydd mot skadlig kod. En utfälld meny visas.
  3. Välj Redigera skyddsinställningar längst ned i den utfällbara menyn.
  4. På nästa sida, under Skyddsinställningar, markerar du kryssrutan bredvid Aktivera det gemensamma filtret för bifogade filer. De filtyper som blockeras visas direkt under det här alternativet. Om du vill lägga till eller ta bort filtyper väljer du Anpassa filtyper i slutet av listan.
  5. Välj Spara.

Mer information finns i Skydd mot skadlig kod i EOP.

Använda skydd mot antivirus och skadlig kod

Microsoft Defender Antivirus ger starkt skydd mot skadlig kod och är inbyggt i Windows operativsystem.

Om din organisation använder Microsoft 365 Business Premium får du ytterligare enhetsskydd som omfattar:

  • Nästa generations skydd
  • Brandväggsskydd
  • Filtrering av webbinnehåll

Dessa funktioner ingår i Microsoft Defender för företag, ett erbjudande som börjar lanseras till Microsoft 365 Business Premium kunder från och med 1 mars 2022.

Läs mer om Microsoft Defender för företag.

Skydda mot utpressningstrojaner

Utpressningstrojaner begränsar åtkomsten till data genom att kryptera filer eller låsa datorskärmar. Den försöker sedan utpressa pengar från offer genom att be om "lösen", vanligtvis i form av kryptovalutor som Bitcoin, i utbyte mot åtkomst till data.

Du får skydd mot utpressningstrojaner för e-post i Microsoft 365 och för filer som lagras i OneDrive. Om du har Microsoft 365 Business Premium får du ytterligare skydd mot utpressningstrojaner för organisationens enheter.

Du kan skydda mot utpressningstrojaner genom att skapa en eller flera e-postflödesregler för att blockera filnamnstillägg som ofta används för utpressningstrojaner, eller för att varna användare som får dessa bifogade filer via e-post. En bra utgångspunkt är att skapa två regler:

  • Använd OneDrive för att flytta filer så att de alltid är åtkomststyrda och skyddade.

  • Varna användarna innan de öppnar Office bifogade filer som innehåller makron. Utpressningstrojaner kan döljas i makron, så vi varnar användarna att inte öppna dessa filer från personer som de inte känner.

  • Blockera filtyper som kan innehålla utpressningstrojaner eller annan skadlig kod. Vi börjar med en gemensam lista över körbara filer (visas i tabellen nedan). Om din organisation använder någon av dessa körbara typer och du förväntar dig att de ska skickas via e-post lägger du till dem i den tidigare regeln (varna användarna).

Om du vill skapa en e-posttransportregel kan du visa en kort träningsvideo eller utföra följande steg:

  1. Gå till administrationscentret för Exchange.

  2. Välj regler i e-postflödeskategorin.

  3. Välj + och sedan Skapa en ny regel.

  4. Välj **** längst ned i dialogrutan för att se den fullständiga uppsättningen alternativ.

  5. Tillämpa inställningarna i följande tabell för varje regel. Låt resten av inställningarna vara kvar som standard, såvida du inte vill ändra dem.

  6. Välj Spara.

Inställning Varna användare innan de öppnar bifogade filer för Office filer Blockera filtyper som kan innehålla utpressningstrojaner eller annan skadlig kod
Namn
Regel för utpressningstrojaner: varna användare
Regel mot utpressningstrojan: blockera filtyper
Tillämpa den här regeln om . . .
Alla bifogade filer . . . filnamnstillägget matchar . . .
Alla bifogade filer . . . filnamnstillägget matchar . . .
Ange ord eller fraser
Lägg till följande filtyper:
dotm, docm, xlsm, sltm, xla, xlam, xll, pptm, potm, ppam, ppsm, sldm
Lägg till följande filtyper:
ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
Gör följande . . .
Förbereda en ansvarsfriskrivning
Blockera meddelandet . . . avvisa meddelandet och inkludera en förklaring
Ange meddelandetext
Öppna inte de här typerna av filer , såvida du inte förväntade dig dem, eftersom filerna kan innehålla skadlig kod och vetskapen om att avsändaren inte är en säkerhetsgaranti.

Tips

Du kan också lägga till de filer som du vill blockera i listan över program mot skadlig kod i Skydda mot skadlig kod.

Mer information finns i:

Skydda känsliga e-postmeddelanden

Microsoft 365 innehåller Office meddelandekryptering som gör att du kan skicka och ta emot krypterade e-postmeddelanden mellan personer inom och utanför organisationen, och endast avsedda mottagare kan visa dem. Krypteringen fungerar med Outlook.com, Yahoo!, Gmail och andra e-posttjänster.

Tips

Om det behövs en strängare säkerhetsnivå bör din organisation också konfigurera och använda känslighetsetiketter för e-postmeddelanden eller filer. Känslighetsetiketter ger kontroll över innehåll, oavsett vart det hamnar.

Skicka krypterad e-post

Så här krypterar du din e-post:

  1. När ett nytt e-postmeddelande är öppet väljer du menyn Alternativ .
  2. I listrutan Kryptera väljer du lämplig behörighetsnivå.

Kryptering av e-postmeddelanden i Outlook

Ta emot krypterad e-post

Om mottagaren har Outlook 2013 eller Outlook 2016 och ett Microsoft-e-postkonto visas en avisering om objektets begränsade behörigheter i läsfönstret. När du har öppnat meddelandet kan mottagaren visa meddelandet precis som alla andra.

Om mottagaren använder en annan e-postklient eller ett e-postkonto, till exempel Gmail eller Yahoo, ser de en länk som gör att de antingen kan logga in för att läsa e-postmeddelandet eller begära ett engångslösenord för att visa meddelandet i en webbläsare. Om användarna inte får e-postmeddelandet bör de kontrollera sin skräppostmapp eller skräppostmapp.

Skydda organisationen

Om du har konfigurerat en eller flera anpassade domäner för din Microsoft 365 miljö kan du konfigurera riktat skydd mot nätfiske. Skydd mot nätfiske ingår i Microsoft Defender för Office 365 och kan skydda din organisation mot skadlig personifieringsbaserad nätfiske och andra attacker.

Anteckning

Om du inte har konfigurerat en anpassad domän behöver du inte göra detta.

Vi rekommenderar att du kommer igång med det här skyddet genom att skapa en princip för dina viktigaste användare och din anpassade domän. Ett bra ställe att göra detta är i Microsoft 365 Defender, som ingår i Microsoft Business Premium. Utför följande steg för att skapa en princip för skydd mot nätfiske i Defender för Office 365:

  1. Gå till Microsoft 365 Defender-portalen.

  2. Gå till E-post & samarbetsprinciper > & regler > Hotprinciper > Skydd mot nätfiske i avsnittet Principer .

  3. På sidan Skydd mot nätfiske väljer du + Skapa. En guide startar som vägleder dig genom att definiera din princip för skydd mot nätfiske.

  4. Ange namn, beskrivning och inställningar för principen enligt rekommendationerna i diagrammet nedan. Mer information finns i Läs mer om principer för skydd mot nätfiske i Microsoft Defender för Office 365 alternativ.

  5. När du har granskat inställningarna väljer du Skapa den här principen eller Spara efter behov.

Inställning eller alternativ Rekommenderad inställning
Namn Domän och mest värdefull kampanjpersonal
Beskrivning Se till att den viktigaste personalen och domänen inte personifieras.
Lägga till användare att skydda Välj + Lägg till ett villkor. Mottagaren är det. Skriv användarnamn eller ange e-postadressen för kandidaten, kampanjchefen och andra viktiga medarbetare. Du kan lägga till upp till 20 interna och externa adresser som du vill skydda mot personifiering.
Lägga till domäner som ska skyddas Välj + Lägg till ett villkor. Mottagardomänen är det. Ange den anpassade domän som är associerad med din Microsoft 365-prenumeration, om du har definierat en. Du kan ange mer än en domän.
Välj åtgärder Om e-post skickas av en personifierad användare: välj Omdirigera meddelande till en annan e-postadress och ange sedan säkerhetsadministratörens e-postadress. till exempel securityadmin@contoso.com.
Om e-post skickas av en personifierad domän: välj Karantänmeddelande.
Postlådeinformation Som standard väljs postlådeinformation när du skapar en ny princip för skydd mot nätfiske. Låt den här inställningen vara på för bästa resultat.
Lägga till betrodda avsändare och domäner I det här exemplet ska du inte definiera några åsidosättningar.
Tillämpas på Välj Mottagardomänen är. Under Något av dessa väljer du Välj. Välj + Lägg till. Markera kryssrutan bredvid namnet på domänen, till exempel contoso.com, i listan och välj sedan Lägg till. Välj Klar.

Skydda mot skadliga bilagor, filer och URL:er

Personer skickar, tar regelbundet emot och delar bifogade filer, till exempel dokument, presentationer, kalkylblad med mera. Det är inte alltid lätt att avgöra om en bifogad fil är säker eller skadlig bara genom att titta på ett e-postmeddelande. Microsoft Defender för Office 365 innehåller Valv skydd för bifogade filer, men det här skyddet är inte aktiverat som standard. Vi rekommenderar att du skapar en ny regel för att börja använda det här skyddet. Det här skyddet utökas till filer i SharePoint, OneDrive och Microsoft Teams.

Konfigurera Valv bifogade filer

Du kan använda förinställda principer för Valv bifogade filer eller skapa egna. Om du vill skapa en princip för Valv bifogade filer kan du visa en kort träningsvideo eller utföra följande steg:

  1. Gå till Microsoft 365 Defender-portalen och logga in med ditt administratörskonto.

  2. Gå till E-post & samarbetsprinciper > & regler > Hotprinciper > Mot skadlig kod i avsnittet Principer .

  3. Välj + Skapa för att skapa en ny princip.

  4. Använd inställningarna i följande tabell.

  5. När du har granskat inställningarna väljer du Skapa den här principen eller Spara efter behov.

Inställning eller alternativ Rekommenderad inställning
Namn Blockera aktuella och framtida e-postmeddelanden med identifierad skadlig kod.
Beskrivning Blockera aktuella och framtida e-postmeddelanden och bifogade filer med identifierad skadlig kod.
Spara bifogade filer med okänt svar på skadlig kod Välj Blockera – Blockera aktuella och framtida e-postmeddelanden och bifogade filer med identifierad skadlig kod.
Omdirigering av bifogad fil vid identifiering Aktivera omdirigering (markera den här rutan)
Ange administratörskontot eller en postlåda för karantän.
Använd ovanstående val om det uppstår en tidsgräns för sökning efter bifogade filer eller om felet inträffar (markera den här rutan).
Tillämpas på Mottagardomänen är . . . välj din domän.

Hackare döljer ibland skadliga webbplatser i länkar i e-post eller andra filer. Valv Länkar, som är en del av Microsoft Defender för Office 365, kan hjälpa dig att skydda din organisation genom att tillhandahålla verifiering av webbadresser (URL:er) i e-postmeddelanden och Office dokument. Skydd definieras via Valv Länkar-principer.

Gör följande för att skydda mot attacker:

  • Ändra standardprincipen för att öka skyddet.

  • Lägg till en ny princip riktad till alla mottagare i din domän.

Om du vill komma till Valv länkar kan du visa en kort träningsvideo eller utföra följande steg:

  1. Gå till Microsoft 365 Defender-portalen och logga in med ditt administratörskonto.

  2. Gå till E-post & samarbetsprinciper > & regler > Hotprinciper > Mot skadlig kod i avsnittet Principer .

  3. Välj + Skapa för att skapa en ny princip eller ändra standardprincipen.

Så här ändrar du standardprincipen:

  1. Dubbelklicka på standardprincipen . En utfälld meny visas.

  2. Välj Redigera skyddsinställningar längst ned i den utfällbara menyn.

  3. När du har modifierat standardprincipen väljer du Spara.

Inställning eller alternativ Rekommenderad inställning
Namn Valv länkar princip för alla mottagare i domänen
Välj åtgärden för okända potentiellt skadliga URL:er i meddelanden Välj På – URL:er skrivs om och kontrolleras mot en lista över kända skadliga länkar när användaren klickar på länken.
Använd URL-genomsökning i realtid efter misstänkta länkar och länkar som pekar på filer Markera den här rutan.
Tillämpas på Mottagardomänen är . . . välj din domän.

Öka skyddet för organisationens enheter

Microsoft Defender Antivirus är inbyggt i Windows operativsystem och ger ett bra skydd mot virus och skadlig kod. Du kan dock öka skyddet för organisationens enheter genom att registrera dem för Microsoft Defender för företag som är ett nytt erbjudande för små och medelstora företag som ditt och ingår i Microsoft 365 Business Premium. Med Defender för företag skyddas organisationens enheter bättre mot utpressningstrojaner, skadlig kod, nätfiske och andra hot.

Med Microsoft 365 Business Premium får du utökade säkerhetsfunktioner som enhetshantering och avancerat skydd mot hot. När du registrerar enheter till Microsoft 365 Business for Defender övervakas och skyddas enheterna av InTune.

Mer information finns i följande resurser:

Multifaktorautentisering för Microsoft 365 (artikel)
Hantera och övervaka prioritetskonton (artikel)
Microsoft 365 Rapporter i administrationscentret (video)