SIGURNOST9 min čitanja

Microsoft 365 sigurnost za tvrtke: email, backup, phishing i dozvole bez slijepih točaka

Microsoft 365 nije automatski siguran samo zato što je Microsoft. Treba postaviti email autentikaciju, backup, dozvole, awareness, admin pristupe i incident postupke.

11. lipnja 2026.|Vi-Di.me Security Division|Ažurirano: 11. lipnja 2026.

TL;DR / KRATKO

Microsoft 365 sigurnost počinje s identitetom, emailom i podacima: MFA/passkeys, SPF/DKIM/DMARC, ATP/Safe Links/Safe Attachments gdje postoje licence, backup za Exchange/SharePoint/OneDrive/Teams, kontrola dozvola i phishing edukacije. Vi-Di.me to povezuje u audit, implementaciju i mjesečno održavanje.

SADRŽAJ

01Microsoft 365 nije automatski siguran
02Email autentikacija: SPF, DKIM, DMARC i ARC
03Backup i restore za Exchange, SharePoint, OneDrive i Teams
04SharePoint, OneDrive, Teams i rizik preširokih dozvola
05Phishing edukacije za M365 korisnike
06Vi-Di.me Microsoft 365 Security Audit

Microsoft 365 nije automatski siguran

Microsoft 365 je odlična platforma, ali sigurnost ovisi o konfiguraciji, licencama, navikama korisnika i održavanju. Najčešći problem nije "Microsoft je nesiguran", nego tenant koji godinama raste bez sigurnosnog plana.

Tipične slijepe točke: stari admin računi bez MFA, forwarding pravila nakon kompromitacije, domene bez DMARC enforcementa, SharePoint linkovi otvoreni prema van, nema restore testa i korisnici koji nisu prošli phishing edukaciju.

Email autentikacija: SPF, DKIM, DMARC i ARC

Microsoft Learn opisuje SPF, DKIM, DMARC i ARC kao povezane standarde email autentikacije. U praksi ih postavljamo zajedno jer svaki rješava drugi dio problema: tko smije slati, je li poruka potpisana, je li domena usklađena i što napraviti s porukom koja padne provjeru.

Vi-Di.me radi inventar svih pošiljatelja prije enforcementa. To uključuje Microsoft 365, web stranicu, CRM, ERP, marketing alate, aplikacije, skenere, printere i legacy SMTP relay.

Backup i restore za Exchange, SharePoint, OneDrive i Teams

Backup nije luksuz. To je dio kontinuiteta poslovanja. Microsoft 365 podaci mogu nestati zbog ljudske greške, zlonamjernog brisanja, ransomwarea, pogrešne retencijske politike ili kompromitacije računa.

Kod backup projekta definiramo opseg, retenciju, regiju pohrane, restore procedure, test oporavka i izvještaj koji uprava razumije: što možemo vratiti, koliko brzo i pod kojim uvjetima.

SharePoint, OneDrive, Teams i rizik preširokih dozvola

Jedan javni ili anonimni link može otvoriti osjetljive dokumente. S Copilotom i AI pretragom problem postaje veći: ako su dozvole loše, AI može pronaći ono što korisnik tehnički smije vidjeti, iako poslovno ne bi trebao.

Zato provjeravamo vanjsko dijeljenje, guest pristupe, "Everyone" dozvole, orphaned korisnike, kritične mape i policy kršenja. Gdje ima smisla, uvodimo 365 Permission Manager za kontinuirani pregled i remediation.

Phishing edukacije za M365 korisnike

M365 napadi često ciljaju identitet: lažni Microsoft login, device-code phishing, consent phishing, QR phishing i lažni zahtjevi direktora ili financija. Tehnički filter smanjuje rizik, ali korisnik mora znati što prijaviti.

Program uključuje phishing simulacije, kratke edukacije, izvještaj po grupama i jasnu proceduru: gdje korisnik šalje sumnjivu poruku, tko ju analizira i kako se reagira ako je netko već kliknuo.

Vi-Di.me Microsoft 365 Security Audit

Audit završava praktičnim planom:

kritične promjene odmah,
promjene koje trebaju odobrenje uprave,
licence ili partner moduli koji imaju smisla,
backup/restore test,
mjesečni sigurnosni izvještaj i održavanje.

Zatražite M365 email sigurnosni audit →

FAQ

Je li Microsoft 365 backup isto što i Microsoft retencija?

Ne. Retencija i backup rješavaju različite probleme. Za oporavak od brisanja, ransomwarea, pogrešne konfiguracije ili kompromitacije treba definirati odvojenu backup i restore strategiju.

Treba li DMARC ako koristimo Microsoft 365?

Da. Microsoft 365 sam po sebi ne rješava lažiranje Vaše domene prema vanjskim primateljima. SPF, DKIM i DMARC moraju biti pravilno postavljeni za Vaše domene i sve legitimne pošiljatelje.

Što Vi-Di.me provjerava u M365 auditu?

Provjeravamo domene, email autentikaciju, korisničke i admin pristupe, forwarding pravila, backup, SharePoint/OneDrive/Teams dijeljenje, sigurnosne politike i awareness status.

IZVORI I PROVJERE

Email authentication in cloud organizationsMicrosoft Learn 365 Total BackupHornetsecurity by Proofpoint 365 Permission ManagerHornetsecurity by Proofpoint Advanced Threat ProtectionHornetsecurity by Proofpoint

Microsoft 365M365 sigurnostemail sigurnostDMARCbackupphishingSharePointOneDrive

BESPLATNO

Trebate konkretnu pomoć?

Besplatna analiza Vašeg biznisa — pogledamo web, SEO poziciju i konkurenciju. Dobijete izvještaj s konkretnim preporukama. 48 sati, bez obveze.

Besplatna analiza WhatsApp

POVEZANI ČLANCI

SIGURNOST

DORA, NIS2 i Zakon o kibernetičkoj sigurnosti: što financijske tvrtke i ICT dobavljači moraju znati

DORA nije isto što i ZKS/NIS2 i ne vrijedi automatski za svaku tvrtku. Objašnjavamo što DORA znači za financijski sektor, ICT dobavljače i tehničku pripremu kontrola u Hrvatskoj.

Čitaj više

SIGURNOST

Vi-Di.me je ovlašteni Hornetsecurity partner: Što to znači za Vašu tvrtku u Hrvatskoj

Vi-Di.me implementira Hornetsecurity by Proofpoint rješenja za Microsoft 365 sigurnost: email zaštitu, DMARC Manager, backup, enkripciju, arhiviranje, edukacije i upravljanje dozvolama. Sve lokalno, provjereno i dokumentirano.

Čitaj više

SIGURNOST

Microsoft 365 backup i ransomware oporavak: što tvrtke moraju znati prije incidenta

Microsoft 365 ima snažnu infrastrukturu, ali to ne znači da tvrtka ima svoj testiran plan oporavka. Backup, retencija, arhiva i continuity nisu ista stvar.

Čitaj više

SIGURNOST

Phishing edukacija zaposlenika: kako pretvoriti tim iz rizika u prvu liniju obrane

Phishing edukacija nije jednokratno predavanje. Ozbiljan program kombinira realne simulacije, kratke treninge, mjerenje ponašanja, procedure prijave i izvještaje za upravu.

Čitaj više

Natrag na blog