Microsoft 365 הוא הפלטפורמה שמפעילה את רוב העסקים בישראל: מייל, שיתוף קבצים, ישיבות, צ׳אט, ואחסון. אבל רוב העסקים משתמשים ב-10% מהיכולות ומשלמים על 100%. ומה שיותר מדאיג — רובם לא מאובטחים כראוי.
בחירת רישוי — מה באמת צריך
Microsoft מציעה עשרות רישוי. הנפוצים לעסקים:
| רישוי | מחיר/משתמש/חודש | מתאים ל- | כולל | |--------|-----------------|-----------|------| | Business Basic | כ-₪25 | עסקים קטנים, web only | Exchange, Teams, SharePoint (web), OneDrive 1TB | | Business Standard | כ-₪50 | רוב העסקים | הכל + אפליקציות Desktop | | Business Premium | כ-₪90 | עסקים שצריכים אבטחה | Standard + Intune + Defender + Conditional Access | | E3 | כ-₪140 | ארגונים 300+ | Premium + eDiscovery, DLP מתקדם | | E5 | כ-₪220 | ארגונים עם SOC/Compliance | E3 + Sentinel, Phone System, Power BI Pro |
**ההמלצה שלנו:** Business Premium לרוב העסקים. ההפרש מ-Standard (כ-₪40 למשתמש בחודש) מביא: Intune (ניהול מכשירים), Defender for Endpoint (EDR), ו-Conditional Access (אבטחה דינמית). שלושה כלים שלבד עולים הרבה יותר.
הטמעה נכונה — לא רק "לפתוח חשבונות"
שלב 1: תכנון (שבוע 1)
- מיפוי משתמשים, קבוצות, ורמות גישה - החלטה על מבנה SharePoint Sites - הגדרת מדיניות אבטחה - בחירת רישוי מדויק לכל משתמש (לא כולם צריכים את אותו רישוי)
שלב 2: הגדרת אבטחה (שבוע 2)
לפני שמשתמשים נכנסים — האבטחה צריכה להיות מוכנה: - **MFA לכולם** — ללא יוצא מהכלל - **Conditional Access** — חסימת מדינות לא רלוונטיות, דרישת מכשיר מנוהל, הגבלת גישה מרשתות לא מוכרות - **DLP** — מניעת שליחת מידע רגיש (מספרי ת.ז., כרטיסי אשראי) במייל - **Anti-Phishing** — Safe Links + Safe Attachments
שלב 3: מיגרציה (שבוע 2-4)
העברת מיילים, קבצים, ולוחות שנה ממערכת קיימת (On-Prem Exchange, Gmail, שרת קבצים): - **מייל:** כלי IMAP migration או Microsoft Migration tool - **קבצים:** SharePoint Migration Tool או כלי Mover - **זמן השבתה:** אפס. מיגרציה ברקע עם cut-over מתוזמן
שלב 4: הכשרה (שבוע 4)
מחצית מהשיחות ל-Helpdesk אחרי הטמעת M365 הן "איפה הקובץ שלי" או "למה Teams לא עובד". השקעה של יום בהכשרה חוסכת חודש של תמיכה.
אבטחת M365 — מה רוב העסקים לא עושים
Conditional Access — הכלי שכולם מתעלמים ממנו
Conditional Access הוא המנוע של אבטחת M365. הוא מאפשר כללים דינמיים: - מכשיר לא מנוהל (Intune) = גישה דרך דפדפן בלבד, בלי הורדות - כניסה ממדינה לא מוכרת = חסימה + התראה ל-IT - חשבון Admin = FIDO2 + IP מוגבל + Session מוגבל ל-8 שעות - ניסיון כניסה מ-IP שדלף (Identity Protection) = חסימה אוטומטית
גיבוי M365 — מיקרוסופט לא עושה את זה בשבילכם
מיקרוסופט מספקת שרידות תשתית — **לא גיבוי נתונים**. אם עובד מוחק מייל, או מנהל מוחק אתר SharePoint, אחרי תקופת השמירה (30-93 יום) — המידע נעלם לצמיתות.
פתרונות גיבוי: Veeam for M365, AvePoint, Acronis. עלות: ₪5-15 למשתמש בחודש.
ניהול מכשירים עם Intune
Intune (כלול ב-Business Premium) מאפשר: - מחיקה מרחוק של מכשיר שנגנב - אכיפת מדיניות סיסמאות - התקנת תוכנות אוטומטית - בידוד אפליקציות (MAM) — מידע ארגוני לא מתערבב עם אישי
Teams — יותר מצ׳אט
Teams הפך לפלטפורמת העבודה המרכזית. טיפים לשימוש נכון: - **ערוצים לפי צוותים, לא פרויקטים** — מונע ריבוי צוותים - **Files ב-Teams = SharePoint** — אל תשתמשו ב-OneDrive לקבצים משותפים - **הקלטות ישיבות** — שומרות אוטומטית ב-SharePoint עם תמלול - **אפליקציות** — Power Automate, Planner, Forms — הכל מתוך Teams
עלויות — כמה באמת עולה M365
| גודל עסק | רישוי/חודש | הטמעה (חד-פעמי) | ניהול שוטף/חודש | |-----------|-----------|-----------------|-----------------| | 20 עובדים | ₪1,000-1,800 | ₪5,000-15,000 | ₪1,000-3,000 | | 50 עובדים | ₪2,500-4,500 | ₪10,000-25,000 | ₪2,000-5,000 | | 150 עובדים | ₪7,500-13,500 | ₪20,000-50,000 | ₪4,000-8,000 |
איך DLTS מנהלת M365
- **הטמעה מאובטחת** — MFA + Conditional Access + DLP מיום ראשון
- **מיגרציה ללא השבתה** — ממערכות קיימות ב-background
- **גיבוי צד-שלישי** — Veeam for M365, מאומת חודשית
- **ניהול שוטף** — משתמשים, רישוי, אבטחה, עדכונים
- **Intune** — ניהול מכשירים, מדיניות, ומחיקה מרחוק
- **דוחות חודשיים** — שימוש, אבטחה, רישוי
[שדרגו את ניהול ה-M365 שלכם](/contact)
שאלות נפוצות
**האם אפשר להישאר עם Basic ולקנות אבטחה בנפרד?** טכנית כן, אבל Business Premium כולל Intune + Defender + Conditional Access בחבילה שעולה פחות מרכישת כל אחד בנפרד. מ-50 משתמשים ומעלה — Premium שווה מבחינה כלכלית.
**מה עושים עם חשבון של עובד שעוזב?** נוהל מסודר: שינוי סיסמה, מחיקת MFA, העברת מייל (Shared Mailbox או Forward), שמירת OneDrive, הסרת רישוי אחרי 30 יום. DLTS מבצעת את כל התהליך כחלק מהשירות.
**האם M365 עומד בדרישות תיקון 13?** M365 עצמו לא מבטיח ציות — זה תלוי בהגדרות. DLP, Sensitivity Labels, Audit Logs, ו-Retention Policies צריכים להיות מוגדרים נכון. עם Business Premium והגדרות מתאימות — כן, זה כלי מצוין לציות.
M365 Security Checklist — עשו את זה היום
- [ ] **MFA לכולם** — Security Defaults מינימום, Conditional Access עדיף
- [ ] **חסמו Legacy Auth** — IMAP/POP עוקפים MFA
- [ ] **Anti-Phishing Policy** — Safe Links + Safe Attachments
- [ ] **DLP Policy** — חסמו שליחת ת.ז./כרטיס אשראי במייל
- [ ] **Retention Policy** — כמה זמן שומרים מיילים/קבצים
- [ ] **Admin Accounts** — MFA + PIM (Just-In-Time) + Break Glass
- [ ] **Audit Log** — ודאו שפעיל (Unified Audit Log)
- [ ] **External Sharing** — הגדירו מי יכול לשתף מחוץ לארגון
Break Glass Account
חשבון Global Admin חירום: בלי MFA, סיסמה של 30 תווים, ב-Password Manager פיזי (כספת). למקרה שה-MFA של כל ה-Admins נחסם (למשל: תקלה ב-Authenticator).
קראו גם: [Teams](/blog/teams-la-asakim) | [SharePoint](/blog/sharepoint-la-asakim) | [Intune](/blog/intune-mdm-la-asakim)