Przejdź do głównej zawartości
Podręcznik PhishSpot

Dodatek do Outlooka: wdrożenie centralne

Ta strona jest przeznaczona dla administratorów IT, którzy chcą, aby przycisk Zgłoś phishing pojawiał się automatycznie u każdego użytkownika w tenancie M365. Instrukcje dla użytkownika końcowego: Dodatek do Outlooka.

21.1 Co jest instalowane

Dział zatytułowany „21.1 Co jest instalowane”

Niewielki manifest XML (~5 KB). SourceLocation w manifeście wskazuje na https://platform.phishspot.com/outlook/taskpane, gdzie ładuje się aktualny pakiet UI. Efekt: wdrażanie nowych funkcji nie wymaga ponownego dystrybuowania dodatku — sam manifest zmienia się tylko wtedy, gdy zmieniają się etykiety, uprawnienia lub ikony.

21.2 Pobierz artefakt

Dział zatytułowany „21.2 Pobierz artefakt”

Plik manifestu do bezpośredniego wgrania:

phishspot-outlook-manifest-v1.0.0.xml

Pełna paczka sideload (zip z ikonami + README):

phishspot-outlook-sideload-v1.0.0.zip

21.3 Wdrożenie przez Microsoft 365 Admin Center

Dział zatytułowany „21.3 Wdrożenie przez Microsoft 365 Admin Center”

PhishSpot używa formatu add-in only manifest, więc wdrażaj go z portalu Integrated apps (ścieżka rekomendowana przez Microsoft). Klasyczny portal Add-ins w panelu administracyjnym też zadziała — oba obsługują ten format.

Przebieg krok po kroku

Dział zatytułowany „Przebieg krok po kroku”

  1. Zaloguj się do admin.microsoft.com jako Global Admin.

  2. W menu po lewej rozwiń … Show all, a następnie wybierz Settings → Integrated apps.

  3. Kliknij link Add-ins u góry strony Integrated apps, a potem Deploy Add-in.

    Microsoft 365 admin center z przyciskiem Deploy Add-in u góry strony Integrated apps

  4. W wyborze źródła zaznacz Upload custom apps → Upload manifest file (.xml) from device i wskaż phishspot-outlook-manifest-v1.0.0.xml.

    Kreator wdrożenia z wyborem źródła: Microsoft Marketplace albo upload własnego manifestu z pliku lub URL

    (Kreator pokaże też dodatki z Microsoft Marketplace — to inna ścieżka, zignoruj. PhishSpot to dodatek typu LOB (line-of-business), instalowany z pliku manifestu.)

    Kreator wdrożenia przeglądający dodatki z Microsoft Marketplace według kategorii

  5. W kroku Assign users wybierz zakres i kliknij Deploy.

    Krok kreatora z przypisaniem użytkowników/grup: opcje Everyone, Specific users/groups, Just me

  6. W następnym panelu przejrzyj uprawnienia — PhishSpot prosi tylko o zakres ReadItem. Nie może wysyłać poczty, modyfikować jej, ani czytać innych folderów niż aktualnie otwarta wiadomość. Uprawnienia są zadeklarowane w manifeście i nie zmieniają się przy aktualizacjach manifestu.

  7. Potwierdź. Ostatni krok kreatora podpowiada, żeby ogłosić wdrożenie użytkownikom — zobacz Wskazówki dla użytkowników poniżej.

Zakres przypisania: wybieraj grupy, nie pojedynczych użytkowników

Dział zatytułowany „Zakres przypisania: wybieraj grupy, nie pojedynczych użytkowników”
ZakresKiedy stosować
Everyone”Używaj ostrożnie — tylko dla dodatków naprawdę uniwersalnych.” Zgłaszanie phishingu pasuje do wszystkich w większości organizacji, więc zwykle jest to dobry wybór.
Specific users / groupsZalecane. Przypisanie do grupy oznacza, że nowi pracownicy automatycznie dostają dodatek, gdy zostaną dodani do grupy, a opuszczający — tracą go, gdy zostaną usunięci. Bez interwencji administratora. Przypisywanie do pojedynczych osób jest kruche — każda nowa osoba wymaga ręcznego dodania.
Just meIdealne do testów. Po zweryfikowaniu, że przycisk działa w Twojej skrzynce, wróć do wdrożonego dodatku i kliknij Change who has access to add-in, aby poszerzyć rollout.

Czas propagacji

Dział zatytułowany „Czas propagacji”

Microsoft dokumentuje, że dodatki mogą pojawić się na wstążce po 24–72 godzinach od wdrożenia, choć większość użytkowników widzi przycisk w ciągu 1–6 godzin. Użytkownicy mogą potrzebować zrestartować Outlooka (zamknąć wszystkie okna i otworzyć ponownie) zanim przycisk się pojawi. To normalne — nie eskaluj zbyt szybko.

21.4 Rekomendowana strategia rolloutu

Dział zatytułowany „21.4 Rekomendowana strategia rolloutu”

Microsoft rekomenduje wdrażanie falami:

  1. Fala 1 — IT + interesariusze. Wdróż dla zespołu IT i kilku interesariuszy biznesowych. Sprawdź, czy przycisk Zgłoś phishing pojawia się w ich Outlooku, czy parowanie działa od początku do końca, i czy testowo zgłoszona wiadomość trafia na listę Zgłoszone wiadomości w PhishSpot pod właściwym kontem. Rozwiąż tutaj wszelkie specyficzne dla tenanta niespodzianki (proxy / firewall / braki w prowizjonowaniu Kontaktów).
  2. Fala 2 — jeden lub dwa działy. Rozszerz do jednego–dwóch działów. Oceń adopcję i obciążenie zespołu reagowania na incydenty. Dopracuj komunikację na podstawie wniosków z Fali 1.
  3. Fala 3 — pełny rollout. Gdy Fala 2 wygląda zdrowo, przełącz przypisanie na grupę obejmującą całą organizację (lub Everyone) i ogłoś szeroko.

W tenancie do ~50 skrzynek można połączyć Fale 1 i 2 w jeden pilotaż. W tenancie powyżej kilku tysięcy skrzynek dodaj czwartą falę dzielącą Falę 3 wg regionu lub roli.

21.5 Wskazówki dla użytkowników

Dział zatytułowany „21.5 Wskazówki dla użytkowników”

Microsoft wprost wskazuje to jako dobrą praktykę, a istotnie poprawia to liczbę zgłoszeń:

  • Wyślij e-mail do wszystkich w dniu uruchomienia dodatku. Dodaj akapit wyjaśniający, do czego służy przycisk, screenshot wstążki i jedno zdanie o tym, czego nie robić (np. “w razie wątpliwości kliknij Zgłoś — fałszywe alarmy są w porządku; kliknięcie linku w wiadomości — już nie.”).
  • Linkuj do runbooka helpdesku. Krótkie FAQ pokrywające: “Nie widzę jeszcze przycisku” (propagacja 24–72 h), “Pyta o 6-cyfrowy kod” (jednorazowe parowanie), “Dostałem podziękowanie — co dalej?” (SLA triażu zespołu bezpieczeństwa).
  • Onboarding nowych osób. Dodaj do checklistry onboardingu IT krok potwierdzający, że użytkownik widzi przycisk i sparował swoje urządzenie.
  • Wzmocnij komunikację w Miesiącu Świadomości Cyberbezpieczeństwa. Powtórz komunikaty w październiku — większość organizacji widzi wtedy skok zgłoszeń.

21.6 Zaprowiadź kontakty w PhishSpot

Dział zatytułowany „21.6 Zaprowiadź kontakty w PhishSpot”

Dodatek paruje użytkownika z jednym Kontaktem PhishSpot. Upewnij się, że każdy użytkownik, który ma korzystać z dodatku, ma odpowiadający mu rekord Kontaktu, zanim spróbuje sparować — w przeciwnym razie pojawi się komunikat “Nie znaleziono konta”.

Możesz tworzyć kontakty:

  • z importu CSV (zobacz Kontakty)
  • przez synchronizację katalogu Microsoft Entra (Azure AD) — automatycznie
  • ręcznie

21.7 Pierwsze parowanie — droga użytkownika

Dział zatytułowany „21.7 Pierwsze parowanie — droga użytkownika”

Każdy użytkownik paruje się raz na urządzenie. Droga:

  1. Outlook → kliknij Zgłoś phishing w dowolnej otwartej wiadomości.
  2. Panel pokazuje 6-cyfrowy kod.
  3. Użytkownik otwiera https://platform.phishspot.com/guest/activation/new, loguje się i wkleja kod.
  4. Panel automatycznie przełącza się w stan Sparowano.

Każde udane parowanie tworzy token API w PhishSpot z uprawnieniem reported_messages:create przypisanym do jednego konta. Listę i odwoływanie tokenów znajdziesz w Ustawienia → Tokeny API.

21.8 Aktualizacje przyrostowe

Dział zatytułowany „21.8 Aktualizacje przyrostowe”

Nowe wersje pakietu JS pojawiają się co kilka tygodni. Nie musisz ponownie wgrywać manifestu — wskaźnik wersji na https://platform.phishspot.com/api/v1/outlook/version jest jedynym źródłem prawdy, a każdy Outlook pobiera nowy pakiet przy następnym uruchomieniu.

Gdy zmienia się sam manifest (nowe uprawnienie, nowy przycisk), w notatce o wydaniu znajdziesz adnotację “manifest update required” i nowy plik phishspot-outlook-manifest-vX.Y.Z.xml. Wgraj go w taki sam sposób — M365 Admin Center rozpoznaje go jako uaktualnienie istniejącej aplikacji (ten sam Id UUID). Aby wymusić aktualizację z poziomu panelu dodatku LOB, wybierz wdrożony dodatek i kliknij przycisk Update Button w prawym dolnym rogu panelu szczegółów; zmiana zostanie zastosowana przy następnym uruchomieniu Outlooka przez każdego użytkownika.

21.9 Aktualizacje a blokady

Dział zatytułowany „21.9 Aktualizacje a blokady”

Bootstrap dodatku sprawdza wersję przy każdym otwarciu. Dwa scenariusze:

  • latest > zainstalowane — miękki baner. Użytkownik nadal może zgłaszać.
  • min_supported > zainstalowane — twarda blokada. Zgłaszanie wyłączone do czasu wgrania nowego manifestu.

min_supported podnosimy tylko wtedy, gdy stara wersja jest niekompatybilna z istotną zmianą bezpieczeństwa lub modelu danych. Rzadko — najwyżej raz lub dwa razy w roku.

21.10 Wyłączenie

Dział zatytułowany „21.10 Wyłączenie”

Aby usunąć dodatek:

  1. M365 Admin Center → Integrated apps → PhishSpot Report Phishing → Remove. Usunięcie z wszystkich skrzynek w ciągu kilku godzin.
  2. PhishSpot → Ustawienia → Tokeny API — odwołaj wszystkie tokeny ze źródłem outlook_addin.

21.11 Rozwiązywanie problemów

Dział zatytułowany „21.11 Rozwiązywanie problemów”
ObjawPrawdopodobna przyczynaRozwiązanie
Przycisk nie pojawia się nikomuTrwa propagacjaMicrosoft podaje, że 24–72 h to norma; zrestartuj Outlook, aby przyspieszyć
Przycisk jest, panel pustyBrak dostępu do platform.phishspot.comSprawdź proxy / firewall
Parowanie zawsze mówi “brak konta”Użytkownik nie ma rekordu KontaktuUtwórz Kontakt i spróbuj ponownie
Zgłoszenia 403Token przypięty do innego kontaOdłącz i sparuj ponownie
Nowy Outlook na Windows utknął na starej wersjiAgresywne cache’owanieoutlook.exe /resetnavpane lub wyczyść folder Wef

21.12 Zgodność

Dział zatytułowany „21.12 Zgodność”
  • Zgłoszenia są przechowywane w Twoim koncie PhishSpot, zgodnie z ustawieniami rezydencji danych.
  • Token nigdy nie opuszcza skrzynki użytkownika (przechowywany w Office.roamingSettings).
  • Kod źródłowy dodatku znajduje się w tym samym repozytorium Git co platforma PhishSpot, w plugins/office/. Podlega temu samemu procesowi przeglądu kodu.