Drtivá většina kybernetických útoků na malé firmy začíná stejně nenápadně – příchozím e-mailem. Falešná faktura, výzva k „ověření hesla”, zpráva tvářící se jako od jednatele s žádostí o rychlou platbu. Klasický antispam, který je součástí každé schránky, takové zprávy často propustí, protože nevypadají jako spam – vypadají jako legitimní pracovní e-mail. A právě tady nastupuje Microsoft Defender for Office 365: bezpečnostní vrstva, která chrání firemní e-mail, soubory a spolupráci v Microsoft 365 před phishingem, škodlivými přílohami a podvodnými odkazy.

V tomto průvodci si vysvětlíme, co Microsoft Defender for Office 365 umí, jak se liší od běžného antispamu i od Microsoft Defenderu for Business, jaké licence existují a jak ochranu nasadit krok za krokem. Cílem je, abyste po přečtení věděli, jestli ji vaše firma potřebuje – a jak ji zapnout správně, ne jen „nějak”.

Co je Microsoft Defender for Office 365

Microsoft Defender for Office 365 je cloudová bezpečnostní služba, která chrání e-mailovou komunikaci a nástroje pro spolupráci (Teams, SharePoint, OneDrive) před pokročilými hrozbami. Na rozdíl od základního filtru nevěří jen statickým seznamům spamu – aktivně prověřuje odkazy a přílohy v reálném čase, rozpoznává pokusy o vydávání se za vaše kolegy a poskytuje nástroje pro vyšetření incidentu, když něco projde.

Jednoduše řečeno: zatímco klasický antispam řeší „obtěžující reklamu”, Defender for Office 365 řeší cílené útoky, které vás mají připravit o peníze nebo přístup do systémů. To je zásadní rozdíl, protože jediný úspěšný phishing může malou firmu stát stovky tisíc korun nebo únik citlivých dat klientů.

Podle dlouhodobých dat z Verizon Data Breach Investigations Report stojí phishing a zneužití e-mailu za výraznou částí všech bezpečnostních incidentů – a malé firmy jsou terčem stejně často jako velké korporace, protože útočníci sázejí na slabší ochranu.

Proč firemní e-mail potřebuje víc než klasický antispam

Každá schránka v Microsoft 365 už má vestavěnou základní ochranu – tzv. Exchange Online Protection (EOP). Ta odfiltruje běžný spam a známý malware. Problém je, že moderní útoky jsou navržené tak, aby přes ni prošly:

• Odkaz, který je v okamžiku doručení čistý. Útočník pošle e-mail s odkazem na stránku, která ještě neobsahuje nic škodlivého. Malware nebo phishingový formulář na ni nahraje až o pár hodin později – po té, co e-mail prošel kontrolou.
• Příloha s neznámým, dosud nezachyceným malwarem. Klasický antivirus pozná jen to, co už zná. Nová varianta ransomwaru v příloze projde.
• Vydávání se za kolegu nebo dodavatele (impersonace). Zpráva přijde ze schránky, která se jmenuje stejně jako váš jednatel, jen z jiné domény. Žádný malware, žádný odkaz – jen prosba o rychlou platbu. Tomu se říká BEC (Business Email Compromise) a patří k finančně nejničivějším útokům vůbec.

Defender for Office 365 tyto scénáře řeší tím, že odkazy a přílohy prověřuje dynamicky a sleduje vzorce chování, ne jen statické signatury. Doplňuje tak ochranu, kterou nastavíte na úrovni domény přes SPF, DKIM a DMARC – ty brání zneužití vaší domény pro odesílání, Defender chrání to, co vám přistane ve schránce.

Klíčové funkce: Safe Links, Safe Attachments a anti-phishing

Tři funkce tvoří jádro celé služby. Pojďme je rozebrat tak, abyste věděli, co přesně dělají.

Safe Links – ochrana odkazů v reálném čase

Safe Links přepisuje každý odkaz v příchozím e-mailu (a volitelně i v Teams a Office aplikacích) tak, aby vedl přes ochrannou bránu Microsoftu. Ve chvíli, kdy uživatel na odkaz skutečně klikne, Microsoft cílovou adresu znovu prověří. Pokud se mezitím stala škodlivou, klik se zablokuje a uživatel uvidí varovnou stránku.

To řeší přesně problém „odkazu, který byl při doručení čistý”. Kontrola se totiž děje v okamžiku kliknutí, ne v okamžiku doručení. Detaily konfigurace popisuje oficiální dokumentace Microsoftu k Safe Links.

Safe Attachments – kontrola příloh ve virtuálním prostředí

Safe Attachments otevře každou podezřelou přílohu v izolovaném virtuálním prostředí (sandboxu) a sleduje, co dělá. Pokud se příloha pokusí o škodlivou akci – třeba šifrovat soubory nebo stahovat další kód – Defender ji zablokuje dřív, než se dostane k uživateli. Tím zachytí i malware, který ještě není v žádné databázi známých hrozeb (tzv. zero-day).

Anti-phishing – ochrana před vydáváním se za druhé

Anti-phishingová politika rozpozná pokusy o impersonaci – tedy zprávy, které se tváří jako od konkrétní osoby (jednatel, účetní) nebo z konkrétní domény. Defender umí takové zprávy označit, přesunout do karantény nebo na ně upozornit. Právě tato funkce je klíčová proti BEC útokům, které nemají žádnou přílohu ani odkaz a klasický filtr je tedy nezachytí.

Defender for Office 365 vs. Defender for Business – jaký je rozdíl

Tohle je nejčastější zdroj zmatku, protože obě služby mají v názvu „Defender”. Rozdíl je ale jednoduchý a stojí za to si ho zapamatovat:

• Microsoft Defender for Office 365 chrání e-mail a spolupráci – tedy schránky, Teams, SharePoint, OneDrive. Bojuje proti phishingu, škodlivým přílohám a podvodným odkazům.
• Microsoft Defender for Business chrání koncová zařízení – počítače, notebooky, mobily. Je to antivirus a EDR (detekce a reakce na hrozby) pro samotná zařízení.

Nejsou to konkurenti, ale dvě vrstvy téže obrany. Ideální stav pro malou firmu je mít obě: Defender for Office 365 hlídá bránu, kterou útoky přicházejí (e-mail), a Defender for Business hlídá to, co se stane, pokud útok přesto dorazí na zařízení. Společně s podmíněným přístupem a vícefaktorovým ověřením tvoří základ moderní firemní obrany.

Jaké licence existují: Plan 1 vs. Plan 2

Microsoft Defender for Office 365 se prodává ve dvou úrovních:

• Defender for Office 365 Plan 1 – obsahuje preventivní ochranu: Safe Links, Safe Attachments a anti-phishing. Pro většinu malých firem je to dostačující úroveň. Plan 1 je navíc součástí licence Microsoft 365 Business Premium – pokud ji máte, ochranu už platíte a stačí ji jen zapnout.
• Defender for Office 365 Plan 2 – přidává nástroje pro vyšetřování a automatickou reakci na incidenty, simulace phishingových útoků pro školení zaměstnanců a pokročilý lov hrozeb (Threat Hunting). Hodí se firmám s vyššími nároky na bezpečnost nebo s regulovanými daty.

Pro typickou malou firmu do 25 zaměstnanců je nejekonomičtější cestou pořídit Microsoft 365 Business Premium, kde je Plan 1 zahrnut. Vyhnete se tak placení ochrany zvlášť.

Jak Defender for Office 365 nasadit krok za krokem

Samotné vlastnictví licence nestačí – ochranu je potřeba aktivně nakonfigurovat. Zjednodušený postup vypadá takto:

1. Ověřte licenci. V centru pro správu Microsoft 365 zkontrolujte, že máte přiřazený Defender for Office 365 (samostatně nebo přes Business Premium).
2. Otevřete portál Microsoft Defender (security.microsoft.com) a přejděte do sekce Email & collaboration → Policies & rules.
3. Zapněte přednastavené bezpečnostní politiky (Preset security policies). Microsoft nabízí úrovně Standard a Strict – pro většinu firem je ideální začít na úrovni Standard. Tím se jedním krokem aktivují Safe Links, Safe Attachments i anti-phishing s rozumným výchozím nastavením.
4. Nastavte ochranu před impersonací. Do anti-phishingové politiky přidejte jména a e-maily klíčových osob (jednatel, účetní), které jsou nejčastějším cílem podvodníků.
5. Otestujte a sledujte. První týdny sledujte report o zachycených zprávách a kontrolujte karanténu, abyste odhalili falešně blokované legitimní e-maily a doladili pravidla.

Doporučení Microsoftu i postup zapnutí najdete v oficiální dokumentaci Defender for Office 365. Při nasazení v ostrém provozu se vyplatí mít po ruce někoho, kdo politiky vyladí na míru – špatně nastavená pravidla totiž buď propustí příliš mnoho, nebo naopak blokují běžnou komunikaci.

Časté chyby při nasazení (a jak se jim vyhnout)

Z praxe správy firemního IT se opakuje několik chyb, které snižují účinnost ochrany:

• „Máme licenci, takže jsme chránění.” Licence sama nic nezapne. Bez aktivace přednastavených politik běží jen základní ochrana.
• Žádná ochrana před impersonací. Pokud do politiky nepřidáte jména vedení, anti-phishing nemá co hlídat proti BEC útokům.
• Nikdo nekontroluje karanténu. Legitimní e-maily se občas zablokují. Když nemá kdo karanténu pravidelně procházet, firma přichází o objednávky nebo důležitou komunikaci.
• Spoléhání jen na technologii. I nejlepší filtr něco propustí. Bez pravidelného školení zaměstnanců a zdravé ostražitosti zůstává člověk nejslabším článkem.

Český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dlouhodobě upozorňuje, že kombinace technické ochrany a proškolených lidí je výrazně účinnější než kterákoli z těchto vrstev samostatně.

Komu se Defender for Office 365 vyplatí

Stručně: každé firmě, která komunikuje e-mailem s klienty a posílá nebo přijímá faktury. Konkrétně dává největší smysl pro:

• Advokátní kanceláře a účetní – pracují s citlivými daty a jsou častým cílem cílených útoků.
• Firmy, které platí faktury na základě e-mailů – BEC útoky míří přesně sem.
• Týmy bez vlastního IT oddělení – kde nikdo neřeší bezpečnost na plný úvazek a automatická ochrana zachytí to, co by jinak prošlo.

Pokud si nejste jistí, jakou ochranu vaše firma aktuálně má a co jí chybí, nejrychlejší cestou je nezávislý audit nastavení Microsoft 365.

Časté otázky

Je Microsoft Defender for Office 365 součástí Microsoft 365?

Základní ochrana (Exchange Online Protection) je součástí každé schránky. Pokročilý Defender for Office 365 Plan 1 je zahrnut v licenci Microsoft 365 Business Premium. U levnějších licencí (Business Standard, Basic) si ho je potřeba dokoupit zvlášť.

Jaký je rozdíl mezi Defender for Office 365 a Defender for Business?

Defender for Office 365 chrání e-mail a spolupráci (schránky, Teams, SharePoint) před phishingem a škodlivými přílohami. Defender for Business chrání koncová zařízení (počítače, mobily) jako antivirus a EDR. Ideální je mít obě služby, protože pokrývají různé vrstvy obrany.

Ochrání mě Defender for Office 365 před podvodnou fakturou od „jednatele”?

Z velké části ano, pokud je správně nastavená ochrana před impersonací. Do anti-phishingové politiky je nutné přidat jména a e-maily vedení – pak Defender rozpozná zprávy, které se za tyto osoby vydávají, a označí je nebo přesune do karantény. Stoprocentní záruku ale žádná technologie nedá, proto je důležité i školení lidí.

Zpomalí Safe Attachments doručování e-mailů?

Kontrola příloh v sandboxu může doručení o pár desítek sekund zdržet u zpráv s podezřelými přílohami. Microsoft nabízí režim „dynamic delivery”, kdy se tělo e-mailu doručí okamžitě a příloha se připojí po dokončení kontroly. Běžné e-maily bez příloh kontrola nijak nezdrží.

Stačí Defender for Office 365 sám o sobě jako kompletní zabezpečení?

Ne. Je to jedna z vrstev – velmi důležitá, ale ne jediná. Kompletní obrana malé firmy zahrnuje také vícefaktorové ověřování, podmíněný přístup, ochranu zařízení, zálohování a proškolené zaměstnance. Defender for Office 365 řeší konkrétně bránu, kterou útoky nejčastěji přicházejí – e-mail.

Závěr: e-mail je nejčastější vstupní brána útoku

Phishing a podvodné e-maily zůstávají nejčastější příčinou bezpečnostních incidentů v malých firmách – a klasický antispam na ně dnes nestačí. Microsoft Defender for Office 365 přidává přesně tu vrstvu, která chybí: prověřuje odkazy v okamžiku kliknutí, testuje přílohy v izolovaném prostředí a rozpoznává pokusy o vydávání se za vaše kolegy. U firem s licencí Business Premium navíc ochranu už platíte – stačí ji správně zapnout.

Nevíte, jestli máte Defender for Office 365 aktivovaný a správně nastavený? Ozvěte se nám na bezplatný IT audit – projdeme vaše nastavení Microsoft 365, zkontrolujeme ochranu e-mailu a navrhneme, co doplnit, aby vaše firma nebyla snadným cílem. Více o tom, jak zajišťujeme bezpečnost firemního IT, najdete na stránce správa IT.