Migrera till Microsoft Defender för Office 365 – Fas 2: Installation
Gäller för:
Fas 1: Förbereda |
Fas 2: Konfigurera |
Fas 3: Introduktion |
|---|---|---|
| Du är här! |
Välkommen till Steg 2: Installationen av migreringen till Microsoft Defender för Office 365! Den här migreringsfasen omfattar följande steg:
- Skapa distributionsgrupper för pilotanvändare
- Konfigurera användarinskickning för meddelanderapportering
- Underhålla eller skapa e-postflödesregeln SCL=-1
- Konfigurera utökad filtrering för kopplingar
- Skapa pilotskyddsprinciper
Steg 1: Skapa distributionsgrupper för pilotanvändare
Distributionsgrupper krävs i Microsoft 365 för följande aspekter av migreringen:
Undantag för e-postflödesregeln för SCL=-1: Du vill att pilotanvändarna ska få full effekt av Defender för Office 365-skydd, så du behöver att deras inkommande meddelanden genomsöks av Defender för Office 365. Det gör du genom att definiera pilotanvändarna i lämpliga distributionsgrupper i Microsoft 365 och konfigurera grupperna som undantag till e-postflödesregeln för SCL=-1.
Som vi beskrev i steg 2: (Valfritt)Undanta pilotanvändare från filtrering genom din befintliga skyddstjänst , bör du överväga att undanta samma pilotanvändare från skanning genom din befintliga skyddstjänst. Att eliminera möjligheten att filtrera med din befintliga skyddstjänst och bara förlita dig på Defender för Office 365 är den bästa och närmaste representationen av vad som kommer att hända efter migreringen.
Testning av specifika Defender Office 365 skyddsfunktioner: Även för pilotanvändare vill du inte aktivera allt på en gång. Om du fasar ut de skyddsfunktioner som är i kraft för pilotanvändarna blir felsökningen och justeringen mycket enklare. Vi rekommenderar följande distributionsgrupper med den här metoden i åtanke:
- En Valv för bifogade filer – till exempel MDOPilot _ SafeAttachments
- En Valv för länkar: Till exempel MDOPilot _ SafeLinks
- En pilotgrupp för standardinställningar för skydd mot skräppost och nätfiske : Till exempel MDOPilot _ SpamPhish _ Standard
- En pilotgrupp för strikta policyinställningar för skydd mot skräppost och nätfiske : Till exempel MDOPilot _ SpamPhish _ Strict
Vi använder dessa specifika gruppnamn i den här artikeln, men du kan använda dina egna namngivningskonventioner.
När du är redo att börja testa kan du lägga till grupperna som undantag i e-postflödesregeln SCL=-1. När du skapar principer för de olika skyddsfunktioner i Defender för Office 365, kommer du att använda dessa grupper som villkor som definierar vem principen gäller.
Anteckningar:
Termerna Standard och Strikt kommer från våra rekommenderade säkerhetsinställningar,som också används i förinställda säkerhetsprinciper. Under idealiska som helst bör vi tala om för dig att definiera dina pilotanvändare i de standard- och strikt förinställda säkerhetsprinciperna, men vi kan inte göra det. Varför? Eftersom du inte kan anpassa inställningarna i förinställda säkerhetsprinciper (särskilt åtgärder som vidtas på meddelanden eller justering av inställningar för personifieringsskydd). Under migreringstestningen kan du se vad Defender för Office 365 skulle göra med meddelanden, kontrollera att du vill göra det och eventuellt justera principkonfigurationerna för att tillåta eller förhindra dessa resultat.
I stället för att använda förinställda säkerhetsprinciper kommer du därför att manuellt skapa anpassade principer med inställningar som påminner mycket om varandra, men i vissa fall skiljer sig inställningarna för förvalda säkerhetsprinciper enligt Standard och Strikt.
Om du vill experimentera med inställningar som avsevärt skiljer sig från våra rekommenderade standardvärden eller striktvärden bör du överväga att skapa och använda ytterligare och specifika distributionsgrupper för pilotanvändarna i de scenarierna. Du kan använda Configuration Analyzer för att se hur säkra dina inställningar är. Instruktioner finns i Konfigurationsanalys för skyddsprinciper i EOP och Microsoft Defender för Office 365.
För de flesta organisationer är det bäst att börja med principer som ligger nära våra rekommenderade standardinställningar. Efter så mycket observation och feedback som du kan göra under den tillgängliga tidsperioden kan du gå över till mer aggressiva inställningar senare. Personifieringsskydd och -leverans till mappen Skräppost och leverans till karantän kan kräva anpassning.
Om du använder anpassade principer ser du bara till att de tillämpas före de principer som innehåller våra rekommenderade inställningar för migreringen. Om en användare identifieras i flera principer av samma typ (till exempel skydd mot nätfiske) tillämpas endast en av den typens principer på användaren (baserat på prioritetsvärdet för principen). Mer information finns i Ordning och prioritet för e-postskydd.
Steg 2: Konfigurera inskickad användare för meddelanderapportering
Möjligheten för användare att identifiera falska positiva och falska negativa identifieringar från Defender för Office 365 är en viktig del av migreringen.
Du kan ange Exchange Online postlådan ska ta emot meddelanden som användarna rapporterar som skadliga. Fler instruktioner finns i Inställningar för användarrapporter. Den här postlådan kan ta emot kopior av meddelanden som dina användare skickat till Microsoft, eller så kan postlådan snappa upp meddelanden utan att rapportera dem till Microsoft (ditt säkerhetsteam kan manuellt analysera och skicka meddelanden). Men denna avlyssningsmetod tillåter inte att tjänsten automatiskt finjusterar och lär sig.
Du bör också bekräfta att alla användare i piloten har ett meddelanderapporteringsprogram som stöds installerat i Outlook som är kompatibelt med användarinskick. De här apparna omfattar:
- Tillägget Rapportmeddelande
- Tillägget Rapport om nätfiske
- Stöd för rapporteringsverktyg från tredje part enligt beskrivningen här.
Se inte till att det här steget är viktigt. Data från användarinskickade användare ger dig feedbackslingan som du behöver för att kontrollera en bra och konsekvent slutanvändarupplevelse före och efter migreringen. Den här feedbacken hjälper dig att fatta välgrundade konfigurationsbeslut och att tillhandahålla databackade rapporter till hanteringen av migreringen.
I stället för att förlita sig på data som backas upp av hela organisationens upplevelse har mer än en migrering lett till känslomässiga känslor baserat på en enstaka negativ användarupplevelse. Om du har kört nätfiskebedrägerier kan du dessutom använda feedback från dina användare för att informera dig när de ser något riskabelt som kan kräva undersökning.
Steg 3: Underhålla eller skapa e-postflödesregeln SCL=-1
Eftersom din inkommande e-post dirigeras genom en annan skyddstjänst som sitter framför Microsoft 365 är det mycket troligt att du redan har en e-postflödesregel (kallas även transportregel) i Exchange Online som anger konfidensnivån för skräppost (SCL) för all inkommande e-post till värdet -1 (kringgå skräppostfiltrering). De flesta e-postflödestjänster från tredje part uppmuntrar den här e-postflödesregeln för SCL=-1 Microsoft 365 kunder som vill använda sina tjänster.
Om du använder någon annan mekanism för att åsidosätta Microsoft-filtreringsstacken (till exempel en lista över tillåtna IP-adresser) rekommenderar vi att du byter till en SCL=-1-e-postflödesregel så länge all inkommande Internet-e-post till Microsoft 365 kommer från tredje parts skyddstjänst (inga e-postflöden direkt från Internet till Microsoft 365).
E-postflödesregeln för SCL=-1 är viktig under migreringen av följande anledningar:
Du kan använda Threat Explorer för att se vilka funktioner i Microsoft-stacken som skulle ha agerat på meddelanden utan att påverka resultatet från din befintliga skyddstjänst.
Du kan gradvis justera vem som skyddas av Microsoft 365 genom att konfigurera undantag till e-postflödesregeln SCL=-1. Undantagen blir medlemmar i pilotdistributionsgrupperna som vi rekommenderar längre fram i den här artikeln.
Före eller under mx-postens tid för Microsoft 365 inaktiverar du den här regeln för att aktivera det fullständiga skyddet för Microsoft 365 skydd för alla mottagare i organisationen.
Mer information finns i Använda e-postflödesregler för att ange SCL (Spam Confidence Level) i meddelanden i Exchange Online.
Anmärkningar:
Om du planerar att låta Internet-e-post flöda genom din befintliga skyddstjänst och direkt till Microsoft 365 samtidigt måste du begränsa e-postflödesregeln för SCL=-1 (e-post som kringgår skräppostfiltrering) till e-post som bara går genom din befintliga skyddstjänst. Du vill inte att ofiltrerad internet-e-postlandning ska kunna skickas till användarnas Microsoft 365.
Om du vill identifiera e-post som redan har sökts igenom av den befintliga skyddstjänsten kan du lägga till ett villkor i e-postflödesregeln SCL=-1. Till exempel:
- För molnbaserade skyddstjänster: Du kan använda ett sidhuvud- och rubrikvärde som är unikt för din organisation. Meddelanden med sidhuvudet genomsöks inte av Microsoft 365. Meddelanden utan sidhuvud skannas av Microsoft 365
- För lokala skyddstjänster eller enheter: Du kan använda käll-IP-adresser. Meddelanden från käll-IP-adresserna genomsöks inte av Microsoft 365. Meddelanden som inte kommer från käll-IP-adresserna genomsöks av Microsoft 365.
Förlita dig inte enbart på MX-poster för att styra om e-post filtreras. Avsändare kan enkelt ignorera MX-posten och skicka e-post direkt till Microsoft 365.
Steg 4: Konfigurera utökad filtrering för kopplingar
Det första du kan göra är att konfigurera utökad filtrering för kopplingar (kallas även för att hoppa över posten) på den koppling som används för e-postflödet från den befintliga skyddstjänsten till Microsoft 365. Du kan använda rapporten Inkommande meddelanden för att identifiera kopplingen.
Förbättrad filtrering för kopplingar krävs av Defender för att Office 365 se var Internetmeddelanden faktiskt kommer från. Förbättrad filtrering för kopplingar förbättrar avsevärt noggrannheten i Microsoft-filtreringsstacken (särskilt förfalskningsinformation,samt funktioner efter intrång i Threat Explorer och Automated Investigation & Response (AIR).
Om du vill aktivera utökad filtrering för kopplingar korrekt måste du lägga till offentliga IP-adresser * * * * för alla tredjepartstjänster och/eller lokala e-postsystemvärdar som dirigerar inkommande e-post till Microsoft 365.
Bekräfta att Utökad filtrering för kopplingar fungerar genom att kontrollera att inkommande meddelanden innehåller ett eller båda av följande rubriker:
X-MS-Exchange-SkipListedInternetSenderX-MS-Exchange-ExternalOriginalInternetSender
Steg 5: Skapa pilotskyddsprinciper
Genom att skapa produktionsprinciper, även om de inte tillämpas på alla användare, kan du testa funktioner efter intrång som Threat Explorer och testa integrering av Defender för Office 365 i dina processer för säkerhetssvarsteamet.
Viktigt
Principer kan vara begränsade till användare, grupper eller domäner. Vi rekommenderar inte att alla tre blandas i en princip eftersom bara användare som matchar alla tre faller inom principens omfattning. För pilotprinciper rekommenderar vi att du använder grupper eller användare. För produktionsprinciper rekommenderar vi att du använder domäner. Det är mycket viktigt att förstå att det är bara användarens primära e-postdomän som avgör om användaren faller inom principens omfattning. Så om du byter MX-post för en användares sekundära domän ska du se till att användarens primära domän också omfattas av en princip.
Skapa principer för Valv för bifogade filer
Valv är den enklaste Defender för Office 365 att aktivera och testa innan du byter MX-post. Valv bifogade filer har följande fördelar:
- Minimal konfiguration.
- Mycket låg risk för falska positiva resultat.
- Liknande beteende som skydd mot skadlig programvara, som alltid är på och inte påverkas av E-postflödesregeln för SCL=-1.
Skapa en Valv för bifogade filer för dina pilotanvändare.
Rekommenderade inställningar finns i Rekommenderade inställningar Valv principinställningar för bifogade filer. Observera att rekommendationerna Standard och Strikt är desamma. Information om hur du skapar principen finns i Konfigurera Valv principer för bifogade filer. Se till att du använder gruppens MDOPilot _ SafeAttachments som villkor för principen (vem principen gäller för).
Viktigt
Det finns i dag ingen standardprincip Valv för bifogade filer. Innan du byter MX-poster rekommenderar vi att du har en Valv för bifogade filer som skyddar hela organisationen.
Skapa principer Valv pilotlänkar
Anteckning
Vi har inte stöd för att radbruta eller skriva om redan radbrutna eller omskrivna länkar. Om din aktuella skyddstjänst redan radbryts eller omsignera länkar i e-postmeddelanden måste du inaktivera den här funktionen för pilotanvändarna. Ett sätt att se till att det inte sker är att utesluta URL-domänen för den andra tjänsten Valv Links.
Valv länkskydd för Office är en global inställning som gäller för alla licensierade användare. Du kan aktivera eller inaktivera det globalt, inte för specifika användare. Mer information finns i Konfigurera Valv för länkar för Office 365 appar.
Skapa en Valv för dina pilotanvändare. Risken för falska positiva resultat i Valv är också ganska låg, men du bör överväga att testa funktionen på ett mindre antal pilotanvändare än om du Valv bilagor. Eftersom funktionen påverkar användarupplevelsen bör du överväga en plan för att utbilda användarna.
Rekommenderade inställningar finns i rekommenderade inställningar Valv principinställningar för länkar. Observera att rekommendationerna Standard och Strikt är desamma. Information om hur du skapar principen finns i Valv principer för länkar. Se till att du använder gruppens MDOPilot _ SafeLinks som villkor för principen (vem principen gäller för).
Viktigt
Det finns i dag ingen standardprincip Valv länkar. Innan du byter MX-poster rekommenderar vi att du har en Valv För länkar som skyddar hela organisationen.
Skapa pilotprinciper för skydd mot skräppost
Skapa två principer för skydd mot skräppost för pilotanvändare:
- En princip som använder standardinställningarna. Använd gruppens MDOPilot _ SpamPhish _ Standard som villkor för principen (vem principen gäller för).
- En princip som använder strikt inställningar. Använd gruppen MDOPilot _ SpamPhish _ Strict som villkor för principen (vem principen gäller för). Den här principen bör ha högre prioritet (lägre tal) än principen med standardinställningarna.
Rekommenderade standardinställningar och strikt inställningar finns i Rekommenderade principinställningar för skydd mot skräppost. Information om hur du skapar principerna finns i Konfigurera principer för skräppostskydd.
Skapa pilotprinciper för skydd mot nätfiske
Skapa två principer mot nätfiske för pilotanvändare:
- En princip som använder standardinställningarna, med undantag för identifieringsåtgärder för personifiering enligt beskrivningen nedan. Använd gruppens MDOPilot _ SpamPhish _ Standard som villkor för principen (vem principen gäller för).
- En princip som använder inställningarna Strikt, förutom identifieringsåtgärder för personifiering enligt beskrivningen nedan. Använd gruppen MDOPilot _ SpamPhish _ Strict som villkor för principen (vem principen gäller för). Den här principen bör ha högre prioritet (lägre tal) än principen med standardinställningarna.
För förfalskning är den rekommenderade standardåtgärden Flytta meddelandet till mottagarnas skräppostmappar och den rekommenderade strikt-åtgärden är att sätta meddelandet i karantän. Använd förfalskningsinformation för att observera resultaten. I nästa avsnitt beskrivs åsidosättningar. Mer information finns i Insikt om förfalskningsinformation i EOP.
Vid identifiering av personifiering ignorerar du rekommenderade standard- och strikt-åtgärder för pilotprinciperna. Använd i stället värdet Använd inte någon åtgärd för följande inställningar:
- Om meddelandet identifieras som en imiterad användare
- Om meddelandet identifieras som imiterad domän
- Om postlådeinformation identifierar en imiterad användare
Använd personifieringsinsikten för att observera resultaten. Mer information finns i Personifieringsinsikt i Defender för Office 365.
Du kommer att finjustera förfalskningsskyddet (anpassa tillbud och blockeringar) och aktivera varje personifieringsskyddsåtgärd för att sätta meddelanden i karantän eller flytta dem till mappen Skräppost (baserat på rekommendationerna Standard eller Strikt). Du kan observera resultaten och justera inställningarna efter behov.
Mer information finns i följande avsnitt:
- Skydd mot förfalskning
- Personifieringsinställningar i principer för skydd mot nätfiske
- Konfigurera principer för skydd mot nätfiske i Defender för Office 365.
Nästa steg
Grattis! Du har slutfört konfigurationsfasen av migreringen till Microsoft Defender för att Office 365!
- Gå vidare till fas 3: Onboard.

