Recommandations de stratégies pour sécuriser les e-mails
Cet article explique comment implémenter les stratégies d’accès aux identités et aux appareils Confiance nulle recommandées pour protéger la messagerie et les clients de messagerie de l’organisation qui prennent en charge l’authentification moderne et l’accès conditionnel. Ce guide s’appuie sur les stratégies communes d’identité et d’accès aux appareils et inclut également quelques recommandations supplémentaires.
Ces recommandations sont basées sur trois niveaux différents de sécurité et de protection qui peuvent être appliqués en fonction de la granularité de vos besoins : le point de départ, l’entreprise et la sécurité spécialisée. Pour en savoir plus sur ces niveaux de sécurité et les systèmes d’exploitation clients recommandés, consultez l’introduction des stratégies et configurations de sécurité recommandées.
Ces recommandations exigent que vos utilisateurs utilisent des clients de messagerie modernes, notamment Outlook pour iOS et Android sur des appareils mobiles. Outlook pour iOS et Android prennent en charge les meilleures fonctionnalités de Microsoft 365. Ces applications Outlook mobiles sont également conçues avec des fonctionnalités de sécurité qui prennent en charge l’utilisation mobile et fonctionnent avec d’autres fonctionnalités de sécurité cloud de Microsoft. Pour plus d’informations, consultez Les questions fréquentes (FAQ) sur Outlook pour iOS et Android.
Mettre à jour les stratégies courantes pour inclure le courrier électronique
Pour protéger les e-mails, le diagramme suivant illustre les stratégies à mettre à jour à partir des stratégies d’identité et d’accès aux appareils courantes.
Notez l’ajout d’une nouvelle stratégie pour Exchange Online afin de bloquer les clients ActiveSync. Cette stratégie force l’utilisation d’Outlook pour iOS et Android sur les appareils mobiles.
Si vous avez inclus Exchange Online et Outlook dans l’étendue des stratégies lorsque vous les configurez, il vous suffit de créer la nouvelle stratégie pour bloquer les clients ActiveSync. Passez en revue les stratégies répertoriées dans le tableau suivant et effectuez les ajouts recommandés ou vérifiez que ces paramètres sont déjà inclus. Chaque stratégie est liée aux instructions de configuration associées dans Stratégies communes d’identité et d’accès aux appareils.
| Niveau de protection | Stratégies | Informations supplémentaires |
|---|---|---|
| Point de départ | Exiger l’authentification multifacteur lorsque le risque de connexion est moyen ou élevé | Inclure Exchange Online dans l’attribution d’applications cloud |
| Bloquer les clients ne prenant pas en charge l’authentification moderne | Inclure Exchange Online dans l’attribution d’applications cloud | |
| Appliquer des stratégies de protection des données d’application | Assurez-vous qu’Outlook est inclus dans la liste des applications. Veillez à mettre à jour la stratégie pour chaque plateforme (iOS, Android, Windows) | |
| Exiger des applications approuvées et la protection des applications | Inclure Exchange Online dans la liste des applications cloud | |
| Bloquer les clients ActiveSync | Ajouter cette nouvelle stratégie | |
| Enterprise | Exiger l’authentification multifacteur lorsque le risque de connexion est faible, moyen ou élevé | Inclure Exchange Online dans l’attribution d’applications cloud |
| Exiger des PC et des appareils mobiles conformes | Inclure Exchange Online dans la liste des applications cloud | |
| Sécurité spécialisée | Toujours exiger l’authentification multifacteur | Inclure Exchange Online dans l’attribution d’applications cloud |
Bloquer les clients ActiveSync
Exchange ActiveSync pouvez être utilisé pour synchroniser les données de messagerie et de calendrier sur les appareils de bureau et mobiles.
Pour les appareils mobiles, les clients suivants sont bloqués en fonction de la stratégie d’accès conditionnel créée dans Exiger des applications approuvées et la protection des applications :
- Exchange ActiveSync clients qui utilisent l’authentification de base.
- Exchange ActiveSync clients qui prennent en charge l’authentification moderne, mais qui ne prennent pas en charge Intune stratégies de protection des applications.
- Les appareils qui prennent en charge Intune stratégies de protection des applications, mais qui ne sont pas définis dans la stratégie.
Pour bloquer Exchange ActiveSync connexions à l’aide de l’authentification de base sur d’autres types d’appareils (par exemple, les PC), suivez les étapes décrites dans Bloquer Exchange ActiveSync sur tous les appareils.
Limiter l’accès aux Exchange Online à partir de Outlook sur le web
Vous pouvez restreindre la possibilité pour les utilisateurs de télécharger des pièces jointes à partir de Outlook sur le web sur des appareils non gérés. Les utilisateurs de ces appareils peuvent afficher et modifier ces fichiers à l’aide d’Office Online sans fuite ni stockage des fichiers sur l’appareil. Vous pouvez également empêcher les utilisateurs de voir les pièces jointes sur un appareil non géré.
Voici les étapes à effectuer :
Chaque organization Microsoft 365 avec Exchange Online boîtes aux lettres a une stratégie de boîte aux lettres Outlook sur le web intégrée (anciennement appelée Outlook Web App ou OWA) nommée OwaMailboxPolicy-Default. Les administrateurs peuvent également créer des stratégies personnalisées.
Pour afficher les stratégies de boîte aux lettres Outlook sur le web disponibles, exécutez la commande suivante :
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyPour autoriser l’affichage des pièces jointes, mais aucun téléchargement, exécutez la commande suivante sur les stratégies affectées :
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPar exemple :
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPour bloquer les pièces jointes, exécutez la commande suivante sur les stratégies affectées :
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedPar exemple :
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedDans le Portail Azure, créez une stratégie d’accès conditionnel avec les paramètres suivants :
Affectations>Utilisateurs et groupes : sélectionnez les utilisateurs et les groupes appropriés à inclure et à exclure.
Affectations>Applications ou actions> cloudApplications> cloudInclure>Sélectionner des applications : sélectionnez Office 365 Exchange Online.
Contrôles >d’accèsSession : sélectionnez Utiliser les restrictions appliquées par l’application.
Exiger que les appareils iOS et Android utilisent Outlook
Pour vous assurer que les appareils iOS et Android peuvent accéder au contenu professionnel ou scolaire à l’aide d’Outlook pour iOS et Android uniquement, vous avez besoin d’une stratégie d’accès conditionnel qui cible ces utilisateurs potentiels.
Consultez les étapes de configuration de cette stratégie dans Gérer l’accès à la collaboration de messagerie à l’aide d’Outlook pour iOS et Android.
Configurer le chiffrement des messages
Avec Chiffrement de messages Microsoft Purview, qui utilise les fonctionnalités de protection dans Azure Information Protection, votre organization peut facilement partager des e-mails protégés avec n’importe qui sur n’importe quel appareil. Les utilisateurs peuvent envoyer et recevoir des messages protégés avec d’autres organisations Microsoft 365 ainsi qu’avec des non-clients à l’aide de Outlook.com, Gmail et d’autres services de messagerie.
Pour plus d’informations, consultez Configurer le chiffrement des messages.
Prochaines étapes
Configurer les stratégies d'accès conditionnel pour :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour