Freigeben über


Richtlinienempfehlungen zum Sichern von E-Mails

In diesem Artikel wird beschrieben, wie Sie die empfohlenen Zero Trust-Identitäts- und Gerätezugriffsrichtlinien implementieren, um E-Mail- und E-Mail-Clients der Organisation zu schützen, die moderne Authentifizierung und bedingten Zugriff unterstützen. Dieser Leitfaden basiert auf den Allgemeinen Identitäts- und Gerätezugriffsrichtlinien und enthält auch einige zusätzliche Empfehlungen.

Diese Empfehlungen basieren auf drei verschiedenen Sicherheits- und Schutzebenen, die basierend auf der Granularität Ihrer Anforderungen angewendet werden können: Ausgangspunkt, Unternehmen und spezialisierte Sicherheit. Weitere Informationen zu diesen Sicherheitsstufen und den empfohlenen Clientbetriebssystemen finden Sie in der Einführung zu empfohlenen Sicherheitsrichtlinien und -konfigurationen.

Diese Empfehlungen erfordern, dass Ihre Benutzer moderne E-Mail-Clients verwenden, einschließlich Outlook für iOS und Android auf mobilen Geräten. Outlook für iOS und Android bietet Unterstützung für die besten Features von Microsoft 365. Diese mobilen Outlook-Apps werden auch mit Sicherheitsfunktionen entwickelt, welche die mobile Nutzung unterstützen und mit anderen Microsoft Cloud-Sicherheitsfunktionen zusammenarbeiten. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Outlook für iOS und Android.

Aktualisieren allgemeiner Richtlinien, um E-Mails einzubeziehen

Zum Schutz von E-Mails veranschaulicht das folgende Diagramm, welche Richtlinien aus den allgemeinen Identitäts- und Gerätezugriffsrichtlinien aktualisiert werden sollten.

Diagramm, das die Zusammenfassung der Richtlinienupdates zum Schutz des Zugriffs auf Microsoft Exchange zeigt.

Beachten Sie, dass das Hinzufügen einer neuen Richtlinie für Exchange Online zum Blockieren von ActiveSync-Clients erforderlich ist. Diese Richtlinie erzwingt die Verwendung von Outlook für iOS und Android auf mobilen Geräten.

Wenn Sie Exchange Online und Outlook beim Einrichten in den Umfang der Richtlinien einbezogen haben, müssen Sie nur die neue Richtlinie erstellen, um ActiveSync-Clients zu blockieren. Überprüfen Sie die in der folgenden Tabelle aufgeführten Richtlinien, und führen Sie entweder die empfohlenen Ergänzungen durch, oder vergewissern Sie sich, dass diese Einstellungen bereits enthalten sind. Jede Richtlinie verknüpft die zugehörigen Konfigurationsanweisungen in Allgemeinen Identitäts- und Gerätezugriffsrichtlinien.

Schutzebene Richtlinien Weitere Informationen
Startpunkt rfordern Sie MFA, wenn das Anmelderisiko mittel oder hoch ist Einbeziehen von Exchange Online in die Zuweisung von Cloud-Apps
Blockieren Sie Clients, die die moderne Authentifizierung nicht unterstützen Einbeziehen von Exchange Online in die Zuweisung von Cloud-Apps
Wenden Sie die APP-Datenschutzrichtlinien an Stellen Sie sicher, dass Outlook in der Liste der Apps enthalten ist. Achten Sie darauf, die Richtlinie für jede Plattform (iOS, Android, Windows) zu aktualisieren.
Anfordern genehmigter Apps und APP-Schutzes Einschließen von Exchange Online in die Liste der Cloud-Apps
Blockieren von ActiveSync-Clients Diese neue Richtlinie hinzufügen
Enterprise Erfordern Sie MFA, wenn das Anmelderisiko niedrig, mittel oder hoch ist Einbeziehen von Exchange Online in die Zuweisung von Cloud-Apps
Erfordert kompatible PCs und Mobilgeräte Einschließen von Exchange Online in die Liste der Cloud-Apps
Spezialisierte Sicherheit Erfordern Sie immer MFA Einbeziehen von Exchange Online in die Zuweisung von Cloud-Apps

Blockieren von ActiveSync-Clients

Exchange ActiveSync kann zum Synchronisieren von Messaging- und Kalenderdaten auf Desktop- und mobilen Geräten verwendet werden.

Für mobile Geräte werden die folgenden Clients basierend auf der Richtlinie für den bedingten Zugriff blockiert, die in Anfordern genehmigter Apps und APP-Schutzes erstellt wurde:

  • Exchange ActiveSync-Clients, welche die Standardauthentifizierung verwenden.
  • Exchange ActiveSync-Clients, die moderne Authentifizierung, aber keine Intune-App-Schutzrichtlinien unterstützen.
  • Geräte, die Intune-App-Schutzrichtlinien unterstützen, aber nicht in der Richtlinie definiert sind.

Um Exchange ActiveSync-Verbindungen mithilfe der Standardauthentifizierung auf anderen Gerätetypen (z. B. PCs) zu blockieren, führen Sie die Schritte unter Exchange ActiveSync auf allen Geräten blockieren aus.

Einschränken des Zugriffs auf Exchange Online aus Outlook im Web

Sie können die Möglichkeit einschränken, dass Benutzer Anlagen aus Outlook im Web auf nicht verwalteten Geräten herunterladen können. Benutzer auf diesen Geräten können diese Dateien mithilfe von Office Online anzeigen und bearbeiten, ohne die Dateien auf das Gerät zu übertragen und die zu speichern. Sie können Benutzer auch daran hindern, Anlagen auf einem nicht verwalteten Gerät anzuzeigen.

Gehen Sie wie folgt vor:

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Jede Microsoft 365-Organisation mit Exchange Online-Postfächern verfügt über eine integrierte Outlook im Web (früher als Outlook Web App oder OWA bezeichnet) Postfachrichtlinie namens OwaMailboxPolicy-Default. Administratoren können auch benutzerdefinierte Richtlinien erstellen.

    Um die verfügbaren Outlook im Web-Postfachrichtlinien anzuzeigen, führen Sie den folgenden Befehl aus:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
    
  3. Führen Sie den folgenden Befehl für die betroffenen Richtlinien aus, um das Anzeigen von Anlagen, aber kein Herunterladen zuzulassen:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
    

    Zum Beispiel:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
    
  4. Führen Sie zum Blockieren von Anlagen den folgenden Befehl für die betroffenen Richtlinien aus:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
    

    Zum Beispiel:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
    
  5. Erstellen Sie im Azure-Portal eine neue Richtlinie für den bedingten Zugriff mit den folgenden Einstellungen:

    Aufgaben>Benutzer und Gruppen: Wählen Sie geeignete Benutzer und Gruppen aus, die einbezogen und ausgeschlossen werden sollen.

    Zuweisungen>Cloud-Apps oder -Aktionen>Cloud-Apps>Einschließen>Auswählen von Apps: Wählen Sie Office 365 Exchange Online- aus.

    Zugriffssteuerung>Sitzung: Wählen Sie Durch App erzwungene Einschränkungen verwenden aus.

Erfordern, dass iOS- und Android-Geräte Outlook verwenden müssen

Um sicherzustellen, dass iOS- und Android-Geräte nur über Outlook für iOS und Android auf Geschäfts- oder Schulinhalte zugreifen können, benötigen Sie eine Richtlinie für bedingten Zugriff, die auf diese potenziellen Benutzer ausgerichtet ist.

Lesen Sie die Schritte zum Konfigurieren dieser Richtlinie unter Verwalten des Zugriffs auf die Messagingzusammenarbeit mithilfe von Outlook für iOS und Android.

Einrichten der Nachrichtenverschlüsselung

Mit der Microsoft Purview-Nachrichtenverschlüsselung, welche die Schutzfunktionen in Azure Information Protection verwendet, kann Ihre Organisation geschützte E-Mails problemlos für alle Benutzer auf jedem Gerät freigeben. Benutzer können geschützte Nachrichten mit anderen Microsoft 365-Organisationen sowie Nichtkunden senden und empfangen, die Outlook.com, Gmail und andere E-Mail-Dienste verwenden.

Weitere Informationen finden Sie unter Einrichten der Nachrichtenverschlüsselung.

Nächste Schritte

Screenshot der Richtlinien für Microsoft 365-Cloud-Apps.

Konfigurieren von Richtlinien für Folgendes: