Migrera till Microsoft Defender för Office 365 – fas 1: Förbereda

Gäller för


Fas 1: Förbereda.
Fas 1: Förbereda
Fas 2: Konfigurera
Fas 2: Konfigurera
Fas 3: Introduktion
Fas 3: Introduktion
Du är här!

Välkommen till Fas 1: Förbereda migreringen till Microsoft Defender för att Office 365! Den här migreringsfasen omfattar följande steg. Du bör först inventera inställningarna i din befintliga skyddstjänst innan du gör några ändringar. Annars kan du göra resten av stegen i valfri ordning:

  1. Inventera inställningarna i din befintliga skyddstjänst
  2. Kontrollera din befintliga skyddskonfiguration i Microsoft 365
  3. Kontrollera din konfiguration av e-postdirigering
  4. Flytta funktioner som ändrar meddelanden till Microsoft 365
  5. Definiera skräppost och användarupplevelser i stora mängder
  6. Identifiera och utse prioriterade konton

Inventera inställningarna i din befintliga skyddstjänst

En fullständig inventering av inställningar, regler, undantag osv. från din befintliga skyddstjänst är en bra idé, eftersom du förmodligen inte har tillgång till informationen när du avbryter prenumerationen.

Men det är mycket viktigt att du inte automatiskt eller godtyckligt återskapar alla dina befintliga anpassningar i Defender för Office 365. I bästa fall kan du införa inställningar som inte längre krävs, relevanta eller funktionella. I värsta fall kan vissa av dina tidigare anpassningar faktiskt skapa säkerhetsproblem i Defender för Office 365.

Din testning och observation av de inbyggda funktionerna och beteendet hos Defender Office 365 avgör i slutänden vilka åsidosättningar och inställningar du behöver. Det kan vara bra att kategorisera inställningarna från din befintliga skyddstjänst i följande kategorier:

  • Anslutning eller innehållsfiltrering: Du behöver förmodligen inte de flesta av de här anpassningarna i Defender för Office 365.
  • Företagsdirigering: Majoriteten av de anpassningar som du behöver återskapa faller troligtvis i den här kategorin. Du kan till exempel återskapa de här inställningarna i Microsoft 365 som Exchange-postflödesregler (kallas även transportregler), kopplingar och undantag för förfalskningsinformation.

I stället för att flytta gamla inställningar blindt till Microsoft 365 rekommenderar vi en vattenfallsmetod som involverar en pilotfas med allt större användarmedlemskap och observationbaserad justering baserat på balans av säkerhetsöverväganden med organisationens affärsbehov.

Kontrollera din befintliga skyddskonfiguration i Microsoft 365

Som vi nämnt tidigare är det omöjligt att helt inaktivera alla skyddsfunktioner för e-post som levereras till Microsoft 365, även när du använder en tredje parts skyddstjänst. Det är därför inte ovanligt att en organisation Microsoft 365 ha åtminstone en del funktioner för e-postskydd konfigurerade. Till exempel:

  • Tidigare använde du inte skyddstjänsten från tredje part tillsammans med Microsoft 365. Du kanske har använt och konfigurerat vissa skyddsfunktioner i Microsoft 365 som för närvarande ignoreras. Men de inställningarna kan gälla när du "vrider på ringningen" för att aktivera skyddsfunktioner i Microsoft 365.
  • Du kan ha ett boende i Microsoft 365 skydd för falska positiva resultat (bra e-postmeddelanden som markerats som dåliga) eller falska negativa (felaktig e-post tillåten) som gjorde det via din befintliga skyddstjänst.

Granska befintliga skyddsfunktioner i Microsoft 365 ta bort eller förenkla inställningar som inte längre krävs. En regel- eller principinställning som krävdes för många år sedan skulle kunna sätta organisationen på risk och skapa oavsiktliga luckor i skyddet.

Kontrollera din konfiguration av e-postdirigering

  • Om du använder någon typ av komplex dirigering (till exempel Centraliserade-posttransport) bör du överväga att förenkla din routning och noggrant dokumentera den. Externa hopp, särskilt när Microsoft 365 har fått meddelandet, kan göra konfigurationen och felsökningen komplicera.

  • Utgående och vidarebefordra e-postflöde är inte omfånget för den här artikeln. Tänk dock på att du kan behöva göra ett eller flera av följande steg:

    • Kontrollera att alla domäner som du använder för att skicka e-post har rätt SPF-poster. Mer information finns i Konfigurera SPF för att förhindra förfalskning.
    • Vi rekommenderar starkt att du tecknar DKIM-inloggning Microsoft 365. Mer information finns i Använda DKIM för att validera utgående e-post.
    • Om du inte dirigerar e-post direkt Microsoft 365 måste du ändra den routningen genom att ta bort eller ändra den utgående kopplingen.
  • Att Microsoft 365 att vidarebefordra e-post från dina lokala e-postservrar kan vara ett komplicerat projekt i sig. Ett enkelt exempel är ett litet antal appar eller enheter som skickar de flesta av sina meddelanden till interna mottagare och inte används för massutskick. Mer information finns i den här guiden. Mer omfattande miljöer kommer att behöva vara mer eftertänksamma. E-postmeddelanden och meddelanden som kan ses som skräppost av mottagare tillåts inte.

  • Defender för Office 365 har ingen funktion för att samla DMARC-rapporter. Besök Microsoft Intelligent Security Association (MISA) för att visa tredjepartsleverantörer som erbjuder DMARC-rapportering för Microsoft 365.

Flytta funktioner som ändrar meddelanden till Microsoft 365

Du måste överföra eventuella anpassningar eller funktioner som ändrar meddelanden på något sätt till Microsoft 365. Din befintliga skyddstjänst lägger till exempel till en extern tagg i meddelandets ämne eller meddelandetext i meddelanden från externa avsändare.

Om du inte inaktiverar den här funktionen i din befintliga skyddstjänst kan du förvänta dig följande negativa resultat i Microsoft 365:

  • DKIM kommer att brytas.
  • Förfalskningsinformation fungerar inte korrekt.
  • Antagligen får du ett stort antal falska positiva meddelanden (bra e-postmeddelanden markerade som dåliga).

Om du vill återskapa den Microsoft 365 funktioner har du följande alternativ:

Konto för alla aktiva nätfiskebedrägerier

Om du har aktiva nätfiskebedrägerier från tredje part måste du förhindra att meddelanden, länkar och bifogade filer identifieras som nätfiske av Defender för Office 365. Mer information finns i Konfigurera nätfiskebedrägerier från tredje part i den avancerade leveranspolicyn.

Definiera skräppost och användarupplevelser i stora mängder

  • Karantän kontra leverera till mappen Skräppost: Det naturliga och rekommenderade svaret för skadliga och definitivt riskfyllda meddelanden är att sätta meddelandena i karantän. Men hur vill du att dina användare ska hantera mindre skadliga meddelanden som skräppost och massutskick (kallas även grå e-post). Ska den här typen av meddelanden levereras till användarens skräppostmappar?

    Med standardsäkerhetsinställningarna tillhandahåller vi vanligtvis dessa mindre riskfyllda typer av meddelanden till mappen Skräppost. Den här funktionen liknar många konsumentprodukter för e-post, där användarna kan leta efter saknade meddelanden i mappen Skräppost och ta hjälp av de meddelandena själva. Om användaren har registrerat sig för ett nyhetsbrev eller marknadsföringsmeddelande kan han eller hon välja att avsluta prenumerationen eller blockera avsändaren för sin egen postlåda.

    Många företagsanvändare använder dock liten (om någon) e-post i mappen Skräppost. De här företagsanvändarna är i stället vana att söka efter karantän för meddelanden som saknas. Karantän innebär problem med karantänmeddelanden, meddelandefrekvens och behörigheter som krävs för att visa och släppa meddelanden.

    • DKIM (Domain Keys Identified Mail) bryts.
    • Förfalskningsinformation fungerar inte korrekt.
    • Antagligen får du ett stort antal falska positiva meddelanden (bra e-postmeddelanden markerade som dåliga).

    I slutänden är det ditt beslut om du vill förhindra leverans av e-post till mappen Skräppost för leverans till karantän. Men en sak är säker: om upplevelsen i Defender för Office 365 är annorlunda än vad användarna är vana vid måste du meddela dem och erbjuda grundläggande utbildning. Införliva utbildning från piloten och se till att användarna är förberedda på nya beteenden för e-postleverans.

  • Massutskick och oönskad massutskick: Många skyddssystem tillåter att användare tillåter eller blockerar massutskick av e-post åt sig själva. De här inställningarna migreras inte enkelt till Microsoft 365, så du bör överväga att arbeta med VIPs och deras personal för att återskapa deras befintliga konfigurationer i Microsoft 365.

    I Microsoft 365 anses viss massutskick (till exempel nyhetsbrev) vara säkert baserat på meddelandekällan. E-post från dessa "säkra" källor markeras för närvarande inte som massutskick (nivån för mass klagomål eller BCL är 0 eller 1), så det är svårt att globalt blockera e-post från dessa källor. För de flesta användare är lösningen att be dem att individuellt avbryta prenumerationen på dessa massmeddelanden eller Outlook att blockera avsändaren. Men vissa användare gillar inte att blockera eller ta bort prenumerationen från massmeddelanden själva.

    E-postflödesregler som filtrerar massutskick kan vara användbara när VIP-användare inte vill hantera detta själva. Mer information finns i Använda e-postflödesregler för att filtrera massutskick.

Identifiera och utse prioriterade konton

Om funktionen är tillgänglig för dig kan prioritetskonton och användartaggar hjälpa dig att identifiera dina Microsoft 365 så att de sticker ut i rapporter. Mer information finns i Användartaggar i Microsoft Defender för Office 365 Hantera och övervaka prioritetskonton.

Nästa steg

Grattis! Du har slutfört förberedelsefasen av migreringen till Microsoft Defender för Office 365!