Guia completa de Defender for Office 365: protegeix correu i fitxers

si fas servir Microsoft 365, el teu correu i els teus arxius són el caramel preferit dels atacants, així que convé posar-se seriosos amb la seguretat. Microsoft Defender per a Office 365 afegeix capes clau de protecció sobre Exchange Online Protection, vigilant missatges, enllaços, adjunts i col·laboració a OneDrive, Punt compartit i Teams.

En aquesta guia pràctica trobaràs un recorregut complet i accionable: des de l'autenticació del correu (SPF, DKIM, DMARC) i les polítiques preestablertes Standard/Strict, fins com prioritzar comptes, rebre informes dels usuaris, gestionar llistes de permesos/bloquejos, llançar simulacions de pesca i respondre a incidents. També veuràs llicenciament, privadesa, retenció de dades i trucs per millorar resultats sense tornar-te boig, com evitar que Microsoft Defender bloquegi fitxers segurs.

Requisits i permisos clau

De sèrie, Microsoft 365 ja posa barreres bàsiques de correu amb EOP, però Defensar per a Office 365 amplia aquesta protecció amb funcionalitats avançades. Per poder configurar-lo sense ensopegades, necessitaràs permisos adequats.

La forma més senzilla de delegar és assignar el rol de Administrador de seguretat a Microsoft Entra als que hagin de tocar Defensar per a l'Office 365. Si prefereixes gra fi, pots utilitzar permisos d'Exchange Online o permisos específics d'Email & Collaboration al portal de Defender, però evita donar rol d'administrador global a tothom i segueix el principi de mínim privilegi.

Pas 1: configura l'autenticació del correu (SPF, DKIM, DMARC i ARC)

Abans de pensar en spam o el malware, toca blindar l'origen. La autenticació de correu confirma que els missatges són legítims i no han estat manipulats. Heu d'aplicar aquests estàndards en aquest ordre per a cada domini personalitzat que envieu correu des de Microsoft 365.

• SPF (TXT): declara quins hosts poden enviar en nom del teu domini. Publica un registre SPF correcte per evitar suplantacions i millorar l'entregabilitat.
• extensió dkim: signatura sortint que viatja a la capçalera i sobreviu reenviaments. Activa'l per als teus dominis i utilitza les claus CNAME que et proporciona Microsoft 365.
• Extensió DMARC: indica què cal fer si SPF/DKIM fallen. Inclou política p=reject op=quarantine i destinataris per a informes agregats i forenses, així els teus servidors de destinació sabran a què atenir-se.
• ARC: si un servei intermedi modifica missatges entrants, registra'l com segellador ARC de confiança per conservar la traçabilitat i que no es trenqui l'autenticació d'origen.

Si utilitzes el domini '*.onmicrosoft.com' com a origen de correu, ja tens part de la feina feta. SPF i DKIM vénen configurats per defecte, però haureu de crear el registre DMARC manualment per a aquest domini si el feu servir en enviaments.

Pas 2: polítiques d'amenaces i com s'apliquen

A Defensar per a Office 365 hi ha tres capes conceptuals: directives predeterminades, directives de seguretat preestablertes i directives personalitzades. Entendre la diferència i la precedència t'estalvia molts ensurts.

Tipus de directives disponibles

• Directives predeterminades: viuen des que crees el tenant, sempre apliquen a tots els destinataris i no pots canviar el seu àmbit (sí la configuració en alguns casos). Són la teva xarxa de seguretat.
• Directives de seguretat preestablertes: perfils tancats amb millors pràctiques de Microsoft, en dos sabors: Estàndard y Estricte. La protecció integrada d'enllaços i adjunts s'activa per defecte; Standard/Strict has d'habilitar-les i definir destinataris i excepcions.
• Directives personalitzades: quan necessites ajustaments específics (bloqueig per idioma/país, quarantenes a mida, notificacions personalitzades), creguis quantes necessitis i assignes condicions per usuaris, grups o dominis.

Les preestablertes evolucionen automàticament: si Microsoft endureix una recomanació, el perfil s'actualitza i et beneficies sense tocar res. A Standard i Strict només pots editar les entrades i excepcions de suplantació d'usuaris i dominis; la resta va fixada al nivell recomanat.

Ordre de precedència

Quan un missatge o element s'avalua, la primera política aplicable és la que mana i la resta ja no es consideren. En general, l'ordre és:

1. Directives de seguretat preestablertes: primer Strict, després Standard.
2. Directives personalitzades d'aquesta característica, ordenades per prioritat (0, 1, 2…).
3. Directiva predeterminada (o la protecció integrada en el cas de Safe Links/Attachments).

Per evitar solapaments rars, utilitza grups de destinataris diferents a cada nivell i afegeix excepcions a Strict/Standard per als usuaris que duràs amb directives personalitzades. Els que no caiguin en nivells superiors quedaran protegits per les predeterminades o la protecció integrada.

Estratègia recomanada

Si no hi ha un requeriment que t'empenyi a personalitzar, arrenca amb la directiva Standard per a tota l'organització i reserva Strict per a col·lectius d'alt risc. És simple, robust i s'autoajusta a mesura que canvien les amenaces.

Pas 3: assigna permisos a administradors sense sobredimensionar

Encara que el teu compte inicial tingui poder per a tot, no és bona idea regalar rol de Global Admin a qualsevol que hagi de tocar seguretat. Assigna, com a norma, el rol d'Administrador de seguretat a Microsoft Entra a administradors, especialistes i suport que hagin de gestionar Defensar per a l'Office 365.

Si només gestionaran correu, pots optar per permisos d'Exchange Online o els rols d'Email & Collaboration del portal de Defensar. Mínim privilegi, sempre per reduir superfície de risc.

Pas 4: comptes prioritaris i etiquetes d'usuari

Defensar per a Office 365 permet marcar fins a 250 usuaris com a comptes prioritaris per destacar-los en informes i investigacions i aplicar heurístiques addicionals. És ideal per a directius, finances o TI.

Amb el Pla 2 també disposes de etiquetes d'usuari personalitzades per agrupar col·lectius (proveïdors, VIP, departaments) i filtrar anàlisis. Identifica a qui convé etiquetar des del primer dia.

Pas 5: missatges reportats pels usuaris

Que els usuaris aixequin la mà és or: els falsos positius/negatius que reporten et permeten ajustar polítiques i entrenar els filtres de Microsoft.

• Com reporten: amb el botó d'Informe integrat a Outlook (web/escriptori) o amb eines de tercers compatibles que usin el format admès; així apareixeran a la pestanya Informe de l'usuari d'Enviaments.
• On van: per defecte a una bústia designada ia Microsoft. Pots canviar a només bústia (i reenviar manualment a Microsoft) o només Microsoft. Crea una bústia exclusiva per a aquests informes, no facis servir el compte inicial.

Enviar els reports a Microsoft ajuda que els filtres aprenguin més ràpid. Si opteu per només bústia, recordeu remetre des de la pestanya d'Enviaments els correus rellevants per a anàlisi.

Pas 6: bloquejar i permetre amb cap

Les llistes de llogater de permesos/bloquejats són potents, però abusar de permetre obrir portes innecessàries. Prima el bloqueig i utilitza les concessions temporals només després de verificar a consciència.

• bloquejar: afegeix dominis/correus, arxius i URL a les pestanyes corresponents o envia elements a Microsoft des d'Enviaments perquè es creï l'entrada automàticament. La Intel·ligència de suplantació mostra remitents bloquejats/permesos; pots canviar decisions o crear entrades proactives.
• permetre: pots permetre dominis/correus i URL per anul·lar veredictes de massiu, spam, high-confidence spam o phishing no d'alta confiança. No es pot permetre directament malware ni URL/domínis marcats com a phishing d'alta confiança; en aquests casos, remet des d'Enviaments i marca 'He confirmat que està net' per crear-ne una excepció temporal.

Vigila les excepcions: revisa-les i caduca-les quan ja no calguin. Evitaràs que passi allò que no deu per permissivitat històrica.

Pas 7: simulacions de phishing i formació

Amb Attack Simulation Training (Pla 2) pots llançar campanyes realistes de suplantació i assignar formació segons la resposta de lusuari. Toca credencials, QR-phishing, adjunts perillosos o BEC per cobrir el ventall.

La telemetria d'aquestes campanyes revela comportaments de risc i ajuda a planejar reforços. Idealment, executa simulacions trimestrals per mantenir el pols.

Pas 8: investigar i respondre sense perdre temps

Quan salta una alerta, l'objectiu és clar: entendre abast i posar remei ràpid. Defensar per a Office 365 et dóna dues bases principals en el dia a dia.

• Threat Explorer: filtra per malware, phish o URL detectades, utilitza la vista de campanyes per veure tots els afectats i aplica accions massives (Soft delete/Purge) sobre els missatges compromesos.
• Investigació i Resposta Automàtica (AIR) a Pla 2: inicia investigacions, aïlla missatges, analitza enllaços, relaciona bústies i proposa o executa remediació.

A més, Zero-hour Auto Purge (ZAP) pot retirar correus després del seu lliurament si es tornen a classificar, cosa que redueix finestra d'exposició si alguna cosa es reavalua com a maliciós més tard.

Protecció de OneDrive, SharePoint i Teams

El correu és la porta d'entrada, però els fitxers són el botí. Estén la protecció a OneDrive, SharePoint i Teams per tallar infeccions i filtrar contingut maliciós a la col·laboració.

• Antimalware en arxius: anàlisi i detonació d'adjunts a sandbox amb Safe Attachments, inclòs Dynamic Delivery per no frenar la lectura del missatge mentre s'inspecciona el fitxer. També aprèn a comprovar un fitxer descarregat.
• Enllaços segurs: reescriptura i anàlisi en temps real d'URL a correus, documents i Teams; pots impedir clic-through per bloquejar ignorar advertiments.
• DLP i etiquetes de sensibilitat (Purview): evita fuites de dades sensibles i aplica xifrat/controls per nivell de sensibilitat, fins i tot fora de l'organització, o aprèn a amagar i protegir correus confidencials.

Complementa amb Microsoft Defender for Cloud Apps per descobrir Shadow IT, aplicar polítiques en temps real i detectar anomalies (ransomware, apps malicioses) en serveis cloud, tant de Microsoft com de tercers.

Llicències i activació ràpida

Defensar per a Office 365 està disponible en dos plans: P1 (Safe Links, Safe Attachments i antiphishing avançat) i P2 (afegeix Threat Explorer, AIR i simulacions). E5 inclou P2; amb E3 pots afegir P1 o P2 segons les necessitats.

Funcionalitat	EOP	pla de 1	pla de 2
Antispam/antimalware estàndard	✔	✔	✔
Enllaços segurs	-	✔	✔
Safe Attachments	-	✔	✔
Antiphishing amb IA	-	✔	✔
Threat Explorer / AIR	-	-	✔
Simulació d'atac	-	-	✔

Per activar-lo, entra a Microsoft 365 Defender, vés a Email & Collaboration > Policies & Rules i habilita Standard/Strict. Assigna l'abast (usuaris, grups, dominis) i defineix excepcions on toqui.

Drecera amb PowerShell per a antiphishing

# Conecta al módulo de Exchange Online
Connect-ExchangeOnline

# Crea política y regla de Anti-Phish básicas
New-AntiPhishPolicy -Name 'AntiPhishCorp' \
 -EnableMailboxIntelligence $true \
 -EnableDomainImpSpoofProtection $true \
 -EnableUserImpSpoofProtection $true

New-AntiPhishRule -Name 'AntiPhishCorpRule' \
 -AntiPhishPolicy 'AntiPhishCorp' -RecipientDomainIs 'midominio.com'

Recorda que amb Dynamic Delivery a Safe Attachments l'usuari rep el cos del missatge a l'instant i l'adjunt s'allibera després de passar la detonació; millora lexperiència sense sacrificar seguretat.

Bones pràctiques, Zero Trust i integració

Per reforçar la teva postura, aplica aquestes pautes. No requereixen màgia, només constància i criteri pràctic.

• DMARC amb p=quarantine/reject i DKIM a tots els dominis per tancar suplantacions.
• Revisa Secure Score semestralment i apunta a ≥ 75%. Implementa les recomanacions rellevants.
• Monitoritza falsos positius en quarantena i ajusta sense sobrepermetre. Menys és més.
• Simulacions trimestrals per conscienciar de debò l'usuari final.
• Integra amb Microsoft Sentinel si tens SIEM, per a correlació multidomini i automatització SOAR.
• Documenta exempcions (per exemple, tercers que envien adjunts poc comuns) i revisa-les trimestralment.

Dins una estratègia Confiança Zero, Defensar per a Office 365 cobreix correu i col·laboració; afegeix Defensor d'Endpoint per frenar el moviment lateral i respondre al dispositiu, i recolza't a SmartScreen per aturar webs i DESCÀRREGUES perilloses a l'endpoint, a més de configurar administració de dispositius mòbils (MDM).

Dades i privadesa en Defensar per a Office 365

En processar missatges de correu i Teams, Microsoft 365 maneja metadades com noms per mostrar, adreces de correu, IP i dominis. S'usen per a ML offline, reputació i capacitats com ZAP. Per a capes addicionals considera protegir correu amb Shielded Email.

Tots els informes estan subjectes a identificadors EUPI (pseudònims) i EUII, amb aquestes garanties: les dades es comparteixen només dins de la teva organització, s'emmagatzemen a la teva regió i només hi accedeixen usuaris autoritzats. El xifratge en repòs s'aplica mitjançant ODL i CDP.

Ubicació de dades

Defensar per a Office 365 opera a centres de dades de Microsoft Entra. Per a certes geografies, les dades en repòs d'organitzacions aprovisionades s'emmagatzemen només a la regió. Regions amb residència local inclouen:

• Austràlia
• Brasil
• Canadà
• Unió Europea
• França
• Alemanya
• Índia
• Israel
• Itàlia
• Japó
• Noruega
• Polònia
• Qatar
• Singapur
• Sud-àfrica
• Corea del Sud
• Suècia
• Suïssa
• Unió dels Emirats Àrabs Units
• Regne Unit
• Estats Units

Entre les dades que s'emmagatzemen en repòs a la regió local (proteccions per defecte a bústies cloud ia Defensar per a Office 365) estan alertes, adjunts, llistes de bloquejos, metadades de correu, anàlisi, spam, quarantenes, informes, directives, dominis dspam i URL.

Retenció i compartició

Les dades de Defensar per a l'Office 365 es conserven 180 dies en informes i registres. La informació personal extreta es xifra i s'elimina automàticament 30 dies després del període de retenció. En finalitzar llicències i períodes de gràcia, les dades s'eliminen de manera irrecuperable a més tardar 190 dies després de la fi de subscripció.

Defensar per a Office 365 comparteix dades amb Microsoft 365 Defensar XDR, Microsoft Sentinel i registres d'auditoria (si el client té llicència), amb excepcions específiques per a núvols governamentals GCC.

Recuperació davant ransomware a Microsoft 365

Si, malgrat tot, alguna cosa es cola, actua ràpidament: atura la sincronització d'OneDrive i aïlla equips compromesos per conservar còpies sanes. Després aprofita les opcions natives.

• Control de versions: guarda múltiples versions a SharePoint, OneDrive i Exchange. Pots configurar fins a 50.000, però compte: alguns ransom xifren totes les versions i emmagatzematge extra compte.
• Paperera de reciclatge: restaura elements eliminats durant 93 dies. Després d'aquest termini i les dues fases de paperera, podeu demanar a Microsoft fins a 14 dies addicionals per a recuperació.
• Polítiques de retenció (E5/A5/G5): defineix quant de temps conservar i què es pot eliminar; automatitza retencions per tipus de contingut.
• Preservation Hold Library: amb retencions actives, es desa una còpia immutable a OneDrive/SharePoint; permet extreure fitxers intactes després de l'incident.
• Còpies de seguretat de tercers: Microsoft no fa backup tradicional del teu contingut de M365; valora una solució SaaS de backup per RTO/RPO exigents i recuperació granular, o aprèn a fer una còpia de seguretat dels teus correus.

Per reduir vectors dentrada recorda combinar proteccions de correu (EOP + Defender), autenticació multifactor, regles de reducció de superfície d'atac i ajustaments d'Exchange que baixin el risc de phish i spoof.

Amb tot això ben muntat, el teu entorn de Microsoft 365 queda notablement més dur: correu autenticat, polítiques coherents i amb precedència clara, col·laboració segura, usuaris que reporten, simulacions que eduquen i capacitat real de recerca i resposta. Remata amb revisions periòdiques, Secure Score i exempcions mínimes i tindràs un sistema que aguanta el tipus davant de campanyes modernes sense sacrificar usabilitat.