הקשחת Microsoft 365 לעסק: 12 הגדרות שחייבים לשנות היום
Microsoft 365 מאובטח בדיוק כמו ההגדרות של הטנאנט שלכם — וחלק מהברירות מחדל נבנו לנוחות, לא להגנה. 12 הגדרות מעשיות: מ-MFA וחסימת אימות ישן, דרך חסימת העברות דואר של תוקפי BEC, ועד הרשאות OAuth ו-Secure Score. לכל הגדרה — מה היא חוסמת ואיפה מוצאים אותה.
כשעסק עובר ל-Microsoft 365, מלווה את המעבר הנחה שקטה: ״מיקרוסופט משקיעה מיליארדים באבטחה — אז אנחנו מסודרים״. ואז, חצי שנה אחרי, מגיעה שיחת הטלפון: לקוח קיבל ״חשבונית מעודכנת עם פרטי בנק חדשים״ מהכתובת האמיתית של מנהלת הכספים, והכסף כבר יצא. החקירה מגלה תיבה פרוצה וחוק העברה נסתר — ואף אחד לא נגע בהגדרות מהיום שהטנאנט הוקם. האמת הפשוטה: Microsoft 365 הוא פלטפורמה מאובטחת מאוד, אבל הטנאנט שלכם מאובטח בדיוק כמו ההגדרות שלו. חלק מהברירות מחדל נבנו לנוחות ותאימות — לא להגנה מקסימלית — והתוקפים מכירים אותן טוב מכם. לפניכם 12 הגדרות שכל עסק צריך לבדוק: מה כל אחת חוסמת, ואיפה מוצאים אותה.
הטנאנט (Tenant) הוא הסביבה הייעודית של הארגון שלכם בענן של מיקרוסופט — המשתמשים, התיבות, הקבצים וההגדרות. מיקרוסופט אחראית על אבטחת התשתית; התצורה של הטנאנט באחריותכם (מודל האחריות המשותפת). מיקרוסופט עצמה דוחפת לכיוון ״מאובטח כברירת מחדל״: טנאנטים חדשים נפתחים עם Security Defaults פעיל, ומאז 2024–2025 היא אוכפת MFA בכניסה לפורטלי הניהול שלה. אבל טנאנט ותיק, או כזה שמישהו ״כיבה רגע משהו כדי שהסנכרון יעבוד״ — נשאר חשוף עד שמישהו בודק.

שער ראשון — זהויות: הדלת הראשית של הטנאנט (הגדרות 1–4)
רוב הפריצות ל-Microsoft 365 לא מתחילות בפרצה מתוחכמת — הן מתחילות בסיסמה. לפי נתוני מערך הסייבר הלאומי ל-2025, פישינג היה וקטור התקיפה המוביל בישראל — 52% מהמתקפות. ארבע ההגדרות הראשונות סוגרות את הדלת הזו.
1. ודאו ש-Security Defaults פעיל (או Conditional Access, אם יש לכם)
Security Defaults הוא מתג אחד, חינמי בכל רישיון, שמדליק חבילת הגנות בסיסית: חובת רישום ל-MFA לכל המשתמשים, דרישת MFA ממנהלי מערכת, וחסימת פרוטוקולי התחברות ישנים. לפי מיקרוסופט, השילוב של MFA וחסימת אימות ישן עוצר את הרוב המכריע של מתקפות ההשתלטות על חשבונות. איפה: במרכז הניהול של Microsoft Entra (entra.microsoft.com), בהגדרות ה-Properties של הטנאנט — Manage security defaults. אם יש לכם רישיון Business Premium, עדיף לבנות במקומו מדיניות Conditional Access — גרסה גמישה שמאפשרת חריגים מבוקרים במקום כיבוי כללי.
2. אכפו MFA על כל המשתמשים — כולל המנהלים, כולל המנכ״ל
זו ההגדרה עם יחס העלות-תועלת הטוב ביותר שקיים: מחקר של Microsoft מצא שהפעלת MFA חוסמת מעל 99.9% ממתקפות ההשתלטות על חשבונות. הנקודה שחשוב לבדוק היא לא ״האם MFA קיים״ אלא ״האם הוא נאכף בפועל על כולם״ — כולל חשבונות הנהלה (המטרה המועדפת על תוקפים) וכולל תיבות שירות ישנות שכולם שכחו. איפה: דוח רישום ה-MFA במרכז הניהול של Entra מראה מי רשום ומי לא. הרחבנו על שיטות, יישום והתמודדות עם התנגדויות במדריך ה-MFA המלא לעסק.
3. חסמו Legacy Authentication — הדלת האחורית שעוקפת את ה-MFA
פרוטוקולי אימות ישנים (IMAP, POP3, SMTP Auth ודומיהם) לא יודעים לעבוד עם MFA — כלומר, כל עוד הם פתוחים, תוקף עם סיסמה גנובה יכול להתחבר בלי לפגוש את האימות הנוסף שהתקנתם. זו בדיוק הסיבה שמתקפות Password Spray מכוונות אליהם. Security Defaults חוסם אותם אוטומטית; אם אתם על Conditional Access, צרו מדיניות ייעודית שחוסמת Legacy Authentication. לפני החסימה, בדקו ביומני הכניסה (Sign-in logs) של Entra אילו מערכות עדיין משתמשות בפרוטוקולים האלה — לרוב תגלו מדפסת-סורקת אחת שצריך להגדיר מחדש, ולא יותר.
4. צמצמו את מספר ה-Global Admins ל-2–4 חשבונות ייעודיים
Global Administrator שולט בכל הטנאנט — ופריצה אליו היא פריצה לעסק כולו. ההמלצה הרשמית של מיקרוסופט: פחות מחמישה מנהלים גלובליים, וסטנדרט ההקשחה המקובל (CIS) מדבר על 2–4 — יותר מאחד כדי לא להינעל בחוץ, מעט ככל האפשר כדי לצמצם את שטח התקיפה. חשוב לא פחות: חשבון האדמין צריך להיות חשבון ייעודי ונפרד מהמשתמש היומיומי — מי שקורא מיילים עם החשבון שמנהל את הטנאנט חושף את מפתחות הממלכה לכל מייל פישינג. איפה: Entra ← Roles & admins ← Global Administrator — ובדקו מי ברשימה ולמה.
שער שני — הדואר: הזירה של הונאות ה-BEC (הגדרות 5–8)
תיבת דואר פרוצה היא הבסיס להונאת ה-BEC הקלאסית — התוקף יושב בשקט בתוך התיבה, לומד את סגנון ההתכתבות, ומחכה לחשבונית הנכונה. פירקנו את התרחיש המלא במאמר על הונאת מנכ״ל והחלפת חשבונית; כאן נתמקד בארבע ההגדרות שמקשות על התוקף להיכנס, להסתתר ולהוציא מידע.
5. ודאו שהעברה אוטומטית לכתובות חיצוניות חסומה — וסרקו חוקי תיבה קיימים
חוק העברה (Forwarding/Inbox Rule) הוא כלי ההתמדה האהוב על תוקפי BEC: גם אחרי שתחליפו סיסמה, עותק של כל מייל נכנס ימשיך לזרום אליהם, וחוקים נוספים יסתירו התכתבויות כדי שהקורבן לא יבחין. מיקרוסופט שינתה בשנים האחרונות את ברירת המחדל, וכיום מצב ה-Automatic במדיניות ה-Outbound Spam שקול ל-Off — אבל בטנאנטים ותיקים או שהוגדרו ידנית זה לא מובטח. איפה: בפורטל Microsoft Defender (security.microsoft.com) ← Policies & rules ← Threat policies ← Anti-spam ← המדיניות היוצאת — קבעו את ההעברה האוטומטית על Off במפורש. ובנוסף, חד-פעמית: סרקו את חוקי התיבה הקיימים של המשתמשים — חוק שמעביר דואר החוצה או מוחק הודעות ״מהנהלת חשבונות״ הוא דגל אדום בוהק.
6. הפעילו את מדיניות ההגנה המובנית על הדואר (Preset Security Policies)
במקום לכוונן עשרות מתגים של אנטי-ספאם, אנטי-פישינג ואנטי-נוזקות, מיקרוסופט מציעה שתי חבילות מוכנות — Standard ו-Strict — שמיישמות את ההמלצות שלה בלחיצה אחת ומתעדכנות אוטומטית. לעסק קטן-בינוני, החלת Standard על כל המשתמשים היא שדרוג מיידי. ב-Business Premium החבילה כוללת גם Safe Links (בדיקת קישורים ברגע ההקלקה — גם אם הקישור ״הוכשר״ אחרי המשלוח), Safe Attachments (בדיקת קבצים מצורפים בסביבה מבודדת לפני מסירה) והגנת התחזות שמזהה מיילים המתחזים למנכ״ל או לדומיין שלכם — הגדירו בה את שמות ההנהלה. איפה: Defender ← Policies & rules ← Threat policies ← Preset security policies. איך מזהים את מה שבכל זאת עובר? מדריך זיהוי הפישינג שלנו נכתב בדיוק בשביל זה.
7. פרסמו רשומות SPF, DKIM ו-DMARC לדומיין שלכם
שלוש רשומות ה-DNS האלה מונעות מאחרים לשלוח מייל בשם הדומיין שלכם — כלומר, מגנות על הלקוחות והספקים שלכם מ״חשבונית מכם״ שלא אתם שלחתם. SPF בדרך כלל מוגדר עם חיבור הדומיין; DKIM לדומיין מותאם אישית לא מופעל לבד — מפרסמים שתי רשומות CNAME אצל ספק הדומיין ומפעילים את החתימה (Defender ← Email authentication settings). את DMARC מגדירים כרשומת TXT: מתחילים במצב ניטור (p=none), ואחרי שמוודאים שכל השולחים הלגיטימיים חתומים — מקשיחים ל-quarantine או reject. עסק בלי DMARC אוכף הוא מטרה נוחה להתחזות מול כל אנשי הקשר שלו.
8. ודאו ש-Mailbox Auditing פעיל — היומן שיציל אתכם בחקירה
כשקורה אירוע, השאלה הראשונה היא ״מה בדיוק התוקף עשה ומתי״ — ובלי יומני ביקורת אין תשובה. החדשות הטובות: מאז ינואר 2019 מיקרוסופט מפעילה Mailbox Auditing כברירת מחדל בכל טנאנט, והיומנים מתעדים כניסות, קריאת הודעות, יצירת חוקים ומחיקות. מה שנשאר לכם: לוודא שאף אחד לא כיבה זאת ברמת הארגון, ולוודא שחיפוש ביומן הביקורת (Audit search בפורטל Purview) אכן זמין ומחזיר תוצאות. שווה לבדוק את זה היום, ולא ביום שבו תצטרכו את היומנים באמת.
שער שלישי — ניטור, אפליקציות וסשנים (הגדרות 9–12)
9. הגדירו נמענים אמיתיים ל-Alert Policies
בפורטל Defender קיימות מדיניות התראה מובנות שמתריעות על אירועים מחשידים: הענקת הרשאות אדמין, זיהוי נוזקה, קמפיין פישינג, דפוסי מחיקה ושיתוף חריגים. הבעיה הנפוצה בעסקים קטנים: ההתראות נשלחות לתיבה שאף אחד לא קורא — או לעובד שעזב מזמן. עברו על רשימת ההתראות (Defender ← Policies & rules ← Alert policy), ודאו שההתראות בחומרה גבוהה ובינונית מגיעות לכתובת מנוטרת, והוסיפו התראה על יצירת חוקי העברה אם אינה קיימת. התראה שאיש לא רואה שקולה להתראה שלא נשלחה.
10. הגבילו הסכמות משתמשים לאפליקציות — וסרקו הרשאות OAuth קיימות
כאן מסתתרת אחת מנקודות העיוורון הגדולות: משתמש שמאשר לאפליקציית צד שלישי ״לקרוא את המייל שלך״ מעניק לה אסימון גישה שממשיך לעבוד גם אחרי החלפת סיסמה וגם עם MFA. תוקפים מנצלים זאת במתקפות Consent Phishing — במקום לגנוב סיסמה, הם גורמים לכם לאשר אפליקציה עוינת. מיקרוסופט החלה ב-2025 לצמצם את ברירת המחדל המתירנית, אבל אל תסמכו על זה: הגבילו הסכמות משתמשים לאפליקציות ממפרסמים מאומתים עם הרשאות בסיסיות בלבד, והפעילו את Admin Consent Workflow כדי שבקשות חריגות יגיעו אליכם לאישור. איפה: Entra ← Enterprise applications ← Consent and permissions. ובאותה הזדמנות — עברו על האפליקציות שכבר קיבלו הרשאות והסירו כל מה שלא מזוהה או לא בשימוש.
11. הפעילו Idle Session Timeout לדפדפן
Outlook שנשאר פתוח בדפדפן על מחשב משותף, עמדה בקבלה או לפטופ אישי ביתי — הוא גישה חופשית לתיבה בלי סיסמה ובלי MFA. הגדרת Idle session timeout מנתקת אוטומטית סשנים לא פעילים באפליקציות הרשת של Microsoft 365 אחרי פרק זמן שתקבעו (שעה היא נקודת פתיחה סבירה לעסק). איפה: מרכז הניהול של Microsoft 365 ← Settings ← Org settings ← Security & privacy ← Idle session timeout. שימו לב: ההגדרה חלה על גישה מהדפדפן בלבד, לא על אפליקציות שולחן העבודה — אבל הדפדפן הוא בדיוק המקום שבו הסיכון של מחשב זר גבוה ביותר.
12. קבעו שגרת סקירה של Microsoft Secure Score
Secure Score (בפורטל Defender) הוא ציון האבטחה של הטנאנט שלכם: מיקרוסופט סורקת את התצורה בפועל, משווה להמלצות שלה, ומחזירה רשימת פעולות מדורגת לפי השפעה — כולל רוב ההגדרות שבמאמר הזה. הערך האמיתי הוא לא הציון אלא השגרה: הפלטפורמה משתנה כל הזמן, ועובדים ואפליקציות מצטברים. סקירה רבעונית — מה ירד, מה חדש, מה עדיין פתוח — הופכת הקשחה חד-פעמית לתהליך מתמשך, וגם מראה ללקוחות, למבטחים ולרגולטור שאתם מנהלים אבטחה ולא רק מצהירים עליה.

רגע, מה בכלל כלול ברישיון שלי?
רוב ההגדרות במאמר זמינות בכל רישיון עסקי, בלי לשלם שקל נוסף — כולל Security Defaults, אכיפת MFA, חסימת אימות ישן, מדיניות דואר בסיסית, יומני ביקורת ו-Secure Score. ההבדל מתחיל ביכולות המתקדמות. כך זה מתחלק בין הרישיונות העסקיים הנפוצים (עד 300 משתמשים):
| יכולת | Business Basic / Standard | Business Premium |
|---|---|---|
| Security Defaults ואכיפת MFA | ✓ כלול | ✓ כלול |
| הגנת דואר בסיסית (EOP) ומדיניות Preset | ✓ כלול | ✓ כלול |
| Conditional Access (Entra ID P1) | ✗ | ✓ כלול |
| Safe Links / Safe Attachments והגנת התחזות (Defender for Office 365 P1) | ✗ | ✓ כלול |
| ניהול מכשירים (Intune) והגנת תחנות קצה (Defender for Business) | ✗ | ✓ כלול |
המשמעות: עסק על Business Basic או Standard יכול וצריך ליישם את רוב הרשימה עוד היום. השדרוג ל-Premium מצדיק את עצמו בדרך כלל כשיש מידע רגיש בתיבות — Safe Links, הגנת ההתחזות ו-Conditional Access הם השכבות שעוצרות את תרחישי ה-BEC המתקדמים יותר.
״מופעל״ זה לא ״נאכף״. הממצא הנפוץ ביותר בטנאנטים שאנחנו בודקים הוא הגדרה שקיימת על הנייר אבל לא עובדת: MFA ש״הופעל״ אבל שליש מהמשתמשים מעולם לא השלימו רישום; Security Defaults שכובה ״זמנית״ לפני שנתיים בגלל אינטגרציה עם ה-CRM ולא הודלק מחדש; התראות שנשלחות לתיבת עובד שעזב. אל תסמנו וי על ההגדרה — בדקו בדוח שהיא חלה על כולם, ועשו ניסוי אמיתי אחד: נסו להתחבר בלי MFA, וודאו שההתראה הגיעה למישהו.
צ׳קליסט הסקירה הרבעונית — 20 דקות, ארבע פעמים בשנה
אחרי שיישמתם את 12 ההגדרות, כל מה שנדרש כדי לשמור על הרמה הוא סבב קצר פעם ברבעון:
- Secure Score: פתחו את הציון, עברו על פעולות חדשות שמיקרוסופט מציעה, וטפלו לפחות בשלוש בעלות ההשפעה הגבוהה ביותר.
- מנהלים: ודאו שרשימת ה-Global Admins עדיין מונה 2–4 חשבונות ייעודיים — ושכולם עדיין עובדים אצלכם.
- רישום MFA: בדקו בדוח הרישום שאין משתמשים חדשים (או ותיקים) שחומקים מאכיפה.
- חוקי העברה: סרקו חוקי תיבה חדשים שנוצרו ברבעון — במיוחד בתיבות של הנהלה והנהלת חשבונות.
- אפליקציות OAuth: עברו על הסכמות חדשות שאושרו, והסירו אפליקציות שאינן בשימוש.
- התראות: ודאו שההתראות מגיעות לכתובת מנוטרת, ושמישהו באמת פותח אותן.
- עובדים שעזבו: ודאו שחשבונות של עוזבים נחסמו, והסשנים וההרשאות שלהם בוטלו.
עסק שמריץ את הסבב הזה ארבע פעמים בשנה נמצא, מניסיוננו, במצב טוב יותר מרוב השוק — בעלות של פחות משעתיים בשנה. ולסיום, תזכורת: Microsoft 365 שומר על זמינות השירות, אבל מחיקה — זדונית או אנושית — היא עדיין הבעיה שלכם. השלימו את התמונה עם אסטרטגיית גיבוי 3-2-1 גם לנתוני הענן.
לא בטוחים איפה הטנאנט שלכם עומד? Cybertis מבצעת סקירות הקשחה ל-Microsoft 365 כחלק משירות CISO-as-a-Service לעסקים — מיפוי הפערים מול ההמלצות, יישום ההגדרות בלי לשבור תהליכי עבודה, ובניית שגרת הסקירה הרבעונית. שיחת ההיכרות עלינו.
לשירות CISO לעסק*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי מחייב. שמות תפריטים, מסלולי ניהול והרכבי רישיונות של Microsoft 365 משתנים מעת לעת — בדקו מול התיעוד הרשמי של מיקרוסופט לפני ביצוע שינויים, והתאימו כל הגדרה לתהליכי העבודה של הארגון.*