Doporučení zásad pro zabezpečení e-mailů

  • Článek

Tento článek popisuje, jak implementovat doporučené zásady nulová důvěra (Zero Trust) identit a přístupu zařízení k ochraně e-mailových a e-mailových klientů organizace, kteří podporují moderní ověřování a podmíněný přístup. Tyto doprovodné materiály vycházejí z běžných zásad přístupu k identitám a zařízením a obsahují také několik dalších doporučení.

Tato doporučení jsou založená na třech různých úrovních zabezpečení a ochrany, které je možné použít na základě členitosti vašich potřeb: výchozí bod, podnikové a specializované zabezpečení. Další informace o těchto úrovních zabezpečení a doporučených klientských operačních systémech najdete v úvodu k doporučeným zásadám zabezpečení a konfiguracím.

Tato doporučení vyžadují, aby uživatelé používali moderní e-mailové klienty, včetně Outlooku pro iOS a Android na mobilních zařízeních. Outlook pro iOS a Android poskytuje podporu pro nejlepší funkce Microsoftu 365. Tyto mobilní aplikace Outlook jsou také navrženy s funkcemi zabezpečení, které podporují používání mobilních zařízení a spolupracují s dalšími funkcemi cloudového zabezpečení Microsoftu. Další informace najdete v nejčastějších dotazech k Outlooku pro iOS a Android.

Aktualizace běžných zásad tak, aby zahrnovaly e-maily

Následující diagram znázorňuje, které zásady se mají aktualizovat z běžných zásad přístupu k identitám a zařízením, aby se chránily e-maily.

Souhrn aktualizací zásad pro ochranu přístupu k serveru Microsoft Exchange

Všimněte si přidání nové zásady pro Exchange Online blokování klientů ActiveSync. Tato zásada vynutí používání Outlooku pro iOS a Android na mobilních zařízeních.

Pokud jste do rozsahu zásad při jejich nastavování zahrnuli Exchange Online a Outlook, stačí vytvořit novou zásadu a blokovat klienty ActiveSync. Zkontrolujte zásady uvedené v následující tabulce a buď proveďte doporučené doplňky, nebo ověřte, že tato nastavení už jsou zahrnutá. Každá zásada odkazuje na přidružené pokyny ke konfiguraci v tématu Běžné zásady přístupu k identitám a zařízením.

Úroveň ochrany Zásady Další informace
Bodem Vyžadování vícefaktorového ověřování, pokud je riziko přihlášení střední nebo vysoké Zahrnutí Exchange Online do přiřazení cloudových aplikací
Blokování klientů, kteří nepodporují moderní ověřování Zahrnutí Exchange Online do přiřazení cloudových aplikací
Použití zásad ochrany dat aplikací Ujistěte se, že je Outlook uvedený v seznamu aplikací. Nezapomeňte aktualizovat zásady pro každou platformu (iOS, Android, Windows).
Vyžadovat schválené aplikace a ochranu aplikací Zahrnutí Exchange Online do seznamu cloudových aplikací
Blokování klientů ActiveSync Přidat tuto novou zásadu
Enterprise Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední nebo vysoké Zahrnutí Exchange Online do přiřazení cloudových aplikací
Vyžadování vyhovujících počítačů a mobilních zařízení Zahrnutí Exchange Online do seznamu cloudových aplikací
Specializované zabezpečení Vždy vyžadovat vícefaktorové ověřování Zahrnutí Exchange Online do přiřazení cloudových aplikací

Blokování klientů ActiveSync

protokol Exchange ActiveSync lze použít k synchronizaci dat zasílání zpráv a kalendáře na stolních a mobilních zařízeních.

U mobilních zařízení se na základě zásad podmíněného přístupu vytvořených v tématu Vyžadovat schválené aplikace a ochrana aplikací blokují následující klienti:

  • protokol Exchange ActiveSync klientů, kteří používají základní ověřování.
  • protokol Exchange ActiveSync klienty, kteří podporují moderní ověřování, ale nepodporují zásady ochrany aplikací Intune.
  • Zařízení, která podporují zásady ochrany aplikací Intune, ale nejsou v zásadách definovaná.

Pokud chcete blokovat protokol Exchange ActiveSync připojení pomocí základního ověřování na jiných typech zařízení (například na počítačích), postupujte podle kroků v tématu Blokování protokol Exchange ActiveSync na všech zařízeních.

Omezení přístupu k Exchange Online z Outlook na webu

Můžete omezit možnost uživatelů stahovat přílohy z Outlook na webu na nespravovaných zařízeních. Uživatelé na těchto zařízeních můžou tyto soubory zobrazovat a upravovat pomocí Office Online, aniž by je museli na zařízení ukládat a neukládat. Můžete také uživatelům zablokovat zobrazování příloh na nespravovaném zařízení.

Tady je postup:

  1. Připojení k nástroji Exchange Online PowerShell.

  2. Každá organizace Microsoft 365 s Exchange Online poštovními schránkami má předdefinované zásady Outlook na webu (dříve označované jako Outlook Web App nebo OWA) s názvem OwaMailboxPolicy-Default. Správci můžou také vytvářet vlastní zásady.

    Pokud chcete zobrazit dostupné zásady Outlook na webu poštovních schránek, spusťte následující příkaz:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Pokud chcete povolit zobrazení příloh, ale ne stahování, spusťte u ovlivněných zásad následující příkaz:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Příklady:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Pokud chcete blokovat přílohy, spusťte u příslušných zásad následující příkaz:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Příklady:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. V Azure Portal vytvořte novou zásadu podmíněného přístupu s těmito nastaveními:

    Přiřazení>Uživatelé a skupiny: Vyberte vhodné uživatele a skupiny, které chcete zahrnout a vyloučit.

    Přiřazení>Cloudové aplikace nebo akce>Cloudové aplikace>Zahrnout>Vyberte aplikace: Vyberte Office 365 Exchange Online.

    Řízení> přístupuRelace: Vyberte Použít omezení vynucená aplikací.

Vyžadovat, aby zařízení s iOSem a Androidem používala Outlook

Pokud chcete zajistit, aby zařízení s iOSem a Androidem měli přístup k pracovnímu nebo školnímu obsahu jenom pomocí Outlooku pro iOS a Android, potřebujete zásadu podmíněného přístupu, která cílí na tyto potenciální uživatele.

Postup konfigurace této zásady najdete v tématu Správa přístupu ke spolupráci na zasílání zpráv pomocí Outlooku pro iOS a Android.

Nastavení šifrování zpráv

Díky Šifrování zpráv Microsoft Purview, která využívá funkce ochrany v Azure Information Protection, může vaše organizace snadno sdílet chráněné e-maily s kýmkoli na libovolném zařízení. Uživatelé můžou posílat a přijímat chráněné zprávy s jinými organizacemi Microsoft 365 i s jinými než zákazníky pomocí Outlook.com, Gmailu a dalších e-mailových služeb.

Další informace najdete v tématu Nastavení šifrování zpráv.

Další kroky

Zásady pro cloudové aplikace Microsoft 365

Nakonfigurujte zásady podmíněného přístupu pro: