Partage via


Recommandations de stratégie pour la sécurisation de l’e-mail

Cet article explique comment implémenter les stratégies recommandées d’accès aux identités et aux appareils Confiance Zéro pour protéger la messagerie électronique de l’entreprise et les clients de messagerie qui prennent en charge l’authentification moderne et l’accès conditionnel. Ces conseils s’appuient sur les stratégies d’accès aux identités et aux appareils courantes et incluent également quelques recommandations supplémentaires.

Ces recommandations reposent sur trois différents niveaux de sécurité et de protection qui sont applicables en fonction de la granularité de vos besoins : point de départ, entreprise et sécurité spécialisée. Vous pouvez en savoir plus sur ces niveaux de sécurité et les systèmes d’exploitation clients recommandés dans l’introduction des stratégies et configurations de sécurité recommandées.

Ces recommandations nécessitent que vos utilisateurs utilisent des clients de messagerie modernes, notamment Outlook pour iOS et Android sur les appareils mobiles. Outlook pour iOS et Android prennent en charge les meilleures fonctionnalités de Microsoft 365. Ces applications Outlook mobiles sont également conçues avec des fonctionnalités de sécurité qui prennent en charge l’utilisation mobile et fonctionnent avec d’autres fonctionnalités de sécurité cloud Microsoft. Pour plus d’informations, consultez FAQ Outlook pour iOS et Android.

Mettre à jour les stratégies courantes pour inclure l’e-mail

Pour protéger l’e-mail, le diagramme suivant illustre les stratégies à mettre à jour à partir des stratégies courantes d’accès aux identités et aux appareils.

Diagramme montrant le résumé des mises à jour de stratégie pour protéger l’accès à Microsoft Exchange.

Notez l’ajout d’une nouvelle stratégie pour Exchange Online pour bloquer les clients ActiveSync. Cette stratégie force l’utilisation d’Outlook pour iOS et Android sur les appareils mobiles.

Si vous avez inclus Exchange Online et Outlook dans l’étendue des stratégies lorsque vous les avez configurées, vous devez uniquement créer la stratégie pour bloquer les clients ActiveSync. Passez en revue les stratégies répertoriées dans le tableau suivant et effectuez les ajouts recommandés ou vérifiez que ces paramètres sont déjà inclus. Chaque stratégie est liée aux instructions de configuration associées dans Stratégies d’accès aux identités et aux appareils courantes.

Niveau de protection Stratégies Plus d’informations
Point de départ Exiger MFA lorsque le risque de connexion est moyen ou élevé Inclure Exchange Online dans l’affectation d’applications cloud
Bloquer les clients qui ne prennent pas en charge l'authentification moderne Inclure Exchange Online dans l’affectation d’applications cloud
Appliquer des stratégies de protection des données APP Vérifiez qu’Outlook est inclus dans la liste des applications. Veillez à mettre à jour la stratégie pour chaque plateforme (iOS, Android, Windows)
Exiger des applications approuvées et la protection des applications Inclure Exchange Online dans la liste des applications cloud
Bloquer les clients ActiveSync Ajouter cette nouvelle stratégie
Entreprise Exigez MFA lorsque le risque de connexion est bas, moyen ou élevé Inclure Exchange Online dans l’affectation d’applications cloud
Exigez des PC et des appareils mobiles conformes Inclure Exchange Online dans la liste des applications cloud
Sécurité spécialisée Exigez toujours l'authentification multifacteur Inclure Exchange Online dans l’affectation d’applications cloud

Bloquer les clients ActiveSync

Exchange ActiveSync peut être utilisé pour synchroniser les données de messagerie et de calendrier sur les appareils de bureau et mobiles.

Pour les appareils mobiles, les clients suivants sont bloqués en fonction de la stratégie d’accès conditionnel créée dans Exiger des applications approuvées et la protection des applications :

  • Les clients Exchange ActiveSync qui utilisent une authentification de base.
  • Les clients Exchange ActiveSync qui prennent en charge l’authentification moderne, mais ne prennent pas en charge les stratégies de protection des applications Intune.
  • Les appareils qui prennent en charge les stratégies de protection des applications Intune, mais qui ne sont pas définis dans la stratégie.

Pour bloquer les connexions Exchange ActiveSync à l’aide de l’authentification de base sur d’autres types d’appareils (par exemple, les PC), suivez les étapes décrites dans Bloquer Exchange ActiveSync sur tous les appareils.

Limiter l’accès à Exchange Online à partir d’Outlook sur le web

Vous pouvez restreindre la possibilité pour les utilisateurs de télécharger des pièces jointes à partir d’Outlook sur le web sur des appareils non gérés. Les utilisateurs sur ces appareils peuvent afficher et modifier ces fichiers à l’aide d’Office Online sans avoir à les télécharger et à les stocker sur l’appareil. Vous pouvez également empêcher les utilisateurs de voir des pièces jointes sur un appareil non géré.

Voici les étapes à suivre :

  1. Connectez-vous à Exchange Online PowerShell.

  2. Chaque organisation Microsoft 365 avec des boîtes aux lettres Exchange Online a une stratégie de boîte aux lettres intégrée Outlook sur le web (anciennement Outlook Web App ou OWA) nommée OwaMailboxPolicy-Default. Les administrateurs peuvent également créer des stratégies personnalisées.

    Pour afficher les stratégies de boîte aux lettres Outlook sur le web disponibles, exécutez la commande suivante :

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
    
  3. Pour autoriser l’affichage des pièces jointes, mais sans téléchargement, exécutez la commande suivante sur les stratégies affectées :

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
    

    Par exemple :

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
    
  4. Pour bloquer les pièces jointes, exécutez la commande suivante sur les stratégies affectées :

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
    

    Par exemple :

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
    
  5. Dans le portail Microsoft Azure, créez une stratégie d’accès conditionnel avec ces paramètres :

    Affectations>Utilisateurs et groupes : sélectionnez les utilisateurs et groupes appropriés à inclure et exclure.

    Affectations>Applications ou actions cloud>Applications cloud>Inclure>Sélectionner des applications : sélectionnez Office 365 Exchange Online.

    Contrôles d’accès>Session : sélectionnez Utiliser les restrictions appliquées par l’application.

Exiger que les appareils iOS et Android utilisent Outlook

Pour vous assurer que les appareils iOS et Android peuvent accéder au contenu professionnel ou scolaire à l’aide d’Outlook pour iOS et Android uniquement, vous avez besoin d’une stratégie d’accès conditionnel qui cible ces utilisateurs potentiels.

Consultez les étapes de configuration de cette stratégie dans Gérer l’accès à la collaboration de messagerie à l’aide d’Outlook pour iOS et Android.

Configurer le chiffrement des messages

Avec Microsoft Purview Message Encryption, qui utilise les fonctionnalités de protection dans Azure Information Protection, votre organisation peut facilement partager des e-mails protégés avec n’importe quel appareil. Les utilisateurs peuvent envoyer et recevoir des messages protégés avec d’autres organisations Microsoft 365 ainsi qu’avec des non-clients à l’aide de Outlook.com, Gmail et d’autres services de messagerie.

Pour plus d’informations, consultez Configurer le chiffrement des messages.

Étapes suivantes

Capture d’écran des stratégies pour les applications cloud Microsoft 365.

Configurer des stratégies d’accès conditionnel pour :