Doporučení zásad pro zabezpečení e-mailů
Tento článek popisuje, jak implementovat doporučené zásady nulová důvěra (Zero Trust) identit a přístupu zařízení k ochraně e-mailových a e-mailových klientů organizace, kteří podporují moderní ověřování a podmíněný přístup. Tyto doprovodné materiály vycházejí z běžných zásad přístupu k identitám a zařízením a obsahují také několik dalších doporučení.
Tato doporučení jsou založená na třech různých úrovních zabezpečení a ochrany, které je možné použít na základě členitosti vašich potřeb: výchozí bod, podnikové a specializované zabezpečení. Další informace o těchto úrovních zabezpečení a doporučených klientských operačních systémech najdete v úvodu k doporučeným zásadám zabezpečení a konfiguracím.
Tato doporučení vyžadují, aby uživatelé používali moderní e-mailové klienty, včetně Outlooku pro iOS a Android na mobilních zařízeních. Outlook pro iOS a Android poskytuje podporu pro nejlepší funkce Microsoftu 365. Tyto mobilní aplikace Outlook jsou také navrženy s funkcemi zabezpečení, které podporují používání mobilních zařízení a spolupracují s dalšími funkcemi cloudového zabezpečení Microsoftu. Další informace najdete v nejčastějších dotazech k Outlooku pro iOS a Android.
Aktualizace běžných zásad tak, aby zahrnovaly e-maily
Následující diagram znázorňuje, které zásady se mají aktualizovat z běžných zásad přístupu k identitám a zařízením, aby se chránily e-maily.
Všimněte si přidání nové zásady pro Exchange Online blokování klientů ActiveSync. Tato zásada vynutí používání Outlooku pro iOS a Android na mobilních zařízeních.
Pokud jste do rozsahu zásad při jejich nastavování zahrnuli Exchange Online a Outlook, stačí vytvořit novou zásadu a blokovat klienty ActiveSync. Zkontrolujte zásady uvedené v následující tabulce a buď proveďte doporučené doplňky, nebo ověřte, že tato nastavení už jsou zahrnutá. Každá zásada odkazuje na přidružené pokyny ke konfiguraci v tématu Běžné zásady přístupu k identitám a zařízením.
| Úroveň ochrany | Zásady | Další informace |
|---|---|---|
| Bodem | Vyžadování vícefaktorového ověřování, pokud je riziko přihlášení střední nebo vysoké | Zahrnutí Exchange Online do přiřazení cloudových aplikací |
| Blokování klientů, kteří nepodporují moderní ověřování | Zahrnutí Exchange Online do přiřazení cloudových aplikací | |
| Použití zásad ochrany dat aplikací | Ujistěte se, že je Outlook uvedený v seznamu aplikací. Nezapomeňte aktualizovat zásady pro každou platformu (iOS, Android, Windows). | |
| Vyžadovat schválené aplikace a ochranu aplikací | Zahrnutí Exchange Online do seznamu cloudových aplikací | |
| Blokování klientů ActiveSync | Přidat tuto novou zásadu | |
| Enterprise | Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední nebo vysoké | Zahrnutí Exchange Online do přiřazení cloudových aplikací |
| Vyžadování vyhovujících počítačů a mobilních zařízení | Zahrnutí Exchange Online do seznamu cloudových aplikací | |
| Specializované zabezpečení | Vždy vyžadovat vícefaktorové ověřování | Zahrnutí Exchange Online do přiřazení cloudových aplikací |
Blokování klientů ActiveSync
protokol Exchange ActiveSync lze použít k synchronizaci dat zasílání zpráv a kalendáře na stolních a mobilních zařízeních.
U mobilních zařízení se na základě zásad podmíněného přístupu vytvořených v tématu Vyžadovat schválené aplikace a ochrana aplikací blokují následující klienti:
- protokol Exchange ActiveSync klientů, kteří používají základní ověřování.
- protokol Exchange ActiveSync klienty, kteří podporují moderní ověřování, ale nepodporují zásady ochrany aplikací Intune.
- Zařízení, která podporují Intune zásady ochrany aplikací, ale nejsou v zásadách definovaná.
Pokud chcete blokovat protokol Exchange ActiveSync připojení pomocí základního ověřování na jiných typech zařízení (například na počítačích), postupujte podle kroků v tématu Blokování protokol Exchange ActiveSync na všech zařízeních.
Omezení přístupu k Exchange Online z Outlook na webu
Můžete omezit možnost uživatelů stahovat přílohy z Outlook na webu na nespravovaných zařízeních. Uživatelé na těchto zařízeních můžou tyto soubory zobrazovat a upravovat pomocí Office Online, aniž by je museli na zařízení ukládat a neukládat. Můžete také uživatelům zablokovat zobrazování příloh na nespravovaném zařízení.
Tady je postup:
Každá organizace Microsoft 365 s Exchange Online poštovními schránkami má předdefinované zásady Outlook na webu (dříve označované jako Outlook Web App nebo OWA) s názvem OwaMailboxPolicy-Default. Správci můžou také vytvářet vlastní zásady.
Pokud chcete zobrazit dostupné zásady Outlook na webu poštovních schránek, spusťte následující příkaz:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyPokud chcete povolit zobrazení příloh, ale ne stahování, spusťte u ovlivněných zásad následující příkaz:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPříklady:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPokud chcete blokovat přílohy, spusťte u příslušných zásad následující příkaz:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedPříklady:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedV Azure Portal vytvořte novou zásadu podmíněného přístupu s těmito nastaveními:
Přiřazení>Uživatelé a skupiny: Vyberte vhodné uživatele a skupiny, které chcete zahrnout a vyloučit.
Přiřazení>Cloudové aplikace nebo akce>Cloudové aplikace>Zahrnout>Vyberte aplikace: Vyberte Office 365 Exchange Online.
Řízení> přístupuRelace: Vyberte Použít omezení vynucená aplikací.
Vyžadovat, aby zařízení s iOSem a Androidem používala Outlook
Pokud chcete zajistit, aby zařízení s iOSem a Androidem měli přístup k pracovnímu nebo školnímu obsahu jenom pomocí Outlooku pro iOS a Android, potřebujete zásadu podmíněného přístupu, která cílí na tyto potenciální uživatele.
Postup konfigurace této zásady najdete v tématu Správa přístupu ke spolupráci na zasílání zpráv pomocí Outlooku pro iOS a Android.
Nastavení šifrování zpráv
Díky Šifrování zpráv Microsoft Purview, která využívá funkce ochrany v Azure Information Protection, může vaše organizace snadno sdílet chráněné e-maily s kýmkoli na libovolném zařízení. Uživatelé můžou posílat a přijímat chráněné zprávy s jinými organizacemi Microsoft 365 i s jinými než zákazníky pomocí Outlook.com, Gmailu a dalších e-mailových služeb.
Další informace najdete v tématu Nastavení šifrování zpráv.
Další kroky
Nakonfigurujte zásady podmíněného přístupu pro:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro