Recommandations de stratégies pour sécuriser les e-mails
Cet article explique comment implémenter les stratégies d’accès aux identités et aux appareils Confiance nulle recommandées pour protéger la messagerie et les clients de messagerie de l’organisation qui prennent en charge l’authentification moderne et l’accès conditionnel. Ce guide s’appuie sur les stratégies communes d’identité et d’accès aux appareils et inclut également quelques recommandations supplémentaires.
Ces recommandations sont basées sur trois niveaux différents de sécurité et de protection qui peuvent être appliqués en fonction de la granularité de vos besoins : le point de départ, l’entreprise et la sécurité spécialisée. Vous trouverez plus d’informations sur ces niveaux de sécurité et les systèmes d’exploitation clients recommandés auxquels cet article fait référence dans la présentation des configurations et des stratégies de sécurité recommandées.
Ces recommandations exigent que vos utilisateurs utilisent des clients de messagerie modernes, notamment Outlook pour iOS et Android sur des appareils mobiles. Outlook pour iOS et Android prennent en charge les meilleures fonctionnalités de Office 365. Ces applications Outlook mobiles sont également conçues avec des fonctionnalités de sécurité qui prennent en charge l’utilisation mobile et fonctionnent avec d’autres fonctionnalités de sécurité cloud de Microsoft. Pour plus d’informations, consultez Les questions fréquentes (FAQ) sur Outlook pour iOS et Android.
Mettre à jour les stratégies courantes pour inclure le courrier électronique
Pour protéger les e-mails, le diagramme suivant illustre les stratégies à mettre à jour à partir des stratégies d’identité et d’accès aux appareils courantes.
Notez l’ajout d’une nouvelle stratégie pour Exchange Online afin de bloquer les clients ActiveSync. Cela force l’utilisation d’Outlook Mobile.
Si vous avez inclus Exchange Online et Outlook dans l’étendue des stratégies lorsque vous les configurez, il vous suffit de créer la nouvelle stratégie pour bloquer les clients ActiveSync. Passez en revue les stratégies répertoriées dans le tableau suivant et effectuez les ajouts recommandés ou vérifiez qu’elles sont déjà incluses. Chaque stratégie est liée aux instructions de configuration associées dans Stratégies communes d’identité et d’accès aux appareils.
| Niveau de protection | Stratégies | Informations supplémentaires |
|---|---|---|
| Point de départ | Exiger l’authentification multifacteur lorsque le risque de connexion est moyen ou élevé | Inclure Exchange Online dans l’attribution d’applications cloud |
| Bloquer les clients ne prenant pas en charge l’authentification moderne | Inclure Exchange Online dans l’attribution d’applications cloud | |
| Appliquer des stratégies de protection des données d’application | Assurez-vous qu’Outlook est inclus dans la liste des applications. Veillez à mettre à jour la stratégie pour chaque plateforme (iOS, Android, Windows) | |
| Exiger des applications approuvées et la protection des applications | Inclure Exchange Online dans la liste des applications cloud | |
| Bloquer les clients ActiveSync | Ajouter cette nouvelle stratégie | |
| Enterprise | Exiger l’authentification multifacteur lorsque le risque de connexion est faible, moyen ou élevé | Inclure Exchange Online dans l’attribution d’applications cloud |
| Exiger des PC et des appareils mobiles conformes | Inclure Exchange Online dans la liste des applications cloud | |
| Sécurité spécialisée | Toujours exiger l’authentification multifacteur | Inclure Exchange Online dans l’attribution d’applications cloud |
Bloquer les clients ActiveSync
Exchange ActiveSync pouvez être utilisé pour synchroniser les données de messagerie et de calendrier sur les appareils de bureau et mobiles.
Pour les appareils mobiles, les clients modernes compatibles avec l’authentification Exchange ActiveSync qui ne prennent pas en charge les stratégies de protection des applications Intune (ou les clients pris en charge qui ne sont pas définis dans la stratégie de protection des applications) et les clients Exchange ActiveSync qui utilisent l’authentification de base sont bloqués en fonction de la stratégie d’accès conditionnel créée dans Exiger des applications approuvées et une protection des applications.
Pour bloquer les Exchange ActiveSync à l’aide de l’authentification de base sur d’autres appareils, suivez les étapes décrites dans Bloquer la Exchange ActiveSync sur tous les appareils, ce qui empêche les clients Exchange ActiveSync utilisant l’authentification de base sur les appareils non mobiles de se connecter à Exchange Online.
Limiter l’accès aux Exchange Online à partir de Outlook sur le web
Vous pouvez restreindre la possibilité pour les utilisateurs de télécharger des pièces jointes à partir de Outlook sur le web sur des appareils non gérés. Les utilisateurs de ces appareils peuvent afficher et modifier ces fichiers à l’aide d’Office Online sans fuite ni stockage des fichiers sur l’appareil. Vous pouvez également empêcher les utilisateurs de voir les pièces jointes sur un appareil non géré.
Voici les étapes à effectuer :
Si vous n’avez pas encore de stratégie de boîte aux lettres OWA, créez-en une avec l’applet de commande New-OwaMailboxPolicy .
Si vous souhaitez autoriser l’affichage des pièces jointes, mais aucun téléchargement, utilisez cette commande :
Set-OwaMailboxPolicy -Identity Default -ConditionalAccessPolicy ReadOnlySi vous souhaitez bloquer les pièces jointes, utilisez cette commande :
Set-OwaMailboxPolicy -Identity Default -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedDans le Portail Azure, créez une stratégie d’accès conditionnel avec les paramètres suivants :
Affectations>Utilisateurs et groupes : sélectionnez les utilisateurs et les groupes appropriés à inclure et à exclure.
Affectations>Applications ou actions> cloudApplications> cloudInclure>Sélectionner des applications : sélectionnez Office 365 Exchange Online
Contrôles >d’accèsSession : sélectionnez Utiliser les restrictions appliquées par l’application
Exiger que les appareils iOS et Android utilisent Outlook
Pour vous assurer que les utilisateurs d’appareils iOS et Android peuvent uniquement accéder au contenu professionnel ou scolaire à l’aide d’Outlook pour iOS et Android, vous avez besoin d’une stratégie d’accès conditionnel qui cible ces utilisateurs potentiels.
Consultez les étapes de configuration de cette stratégie dans Gérer l’accès à la collaboration de messagerie à l’aide d’Outlook pour iOS et Android.
Configurer le chiffrement des messages
Avec Chiffrement de messages Microsoft Purview, qui tire parti des fonctionnalités de protection dans Azure Information Protection, votre organization peut facilement partager des e-mails protégés avec n’importe qui sur n’importe quel appareil. Les utilisateurs peuvent envoyer et recevoir des messages protégés avec d’autres organisations Microsoft 365 ainsi qu’avec des non-clients à l’aide de Outlook.com, Gmail et d’autres services de messagerie.
Pour plus d’informations, consultez Configurer de nouvelles fonctionnalités de chiffrement de messages Office 365.
Étapes suivantes
Configurez des stratégies d’accès conditionnel pour :