Rekomendasi kebijakan untuk mengamankan email
Artikel ini menjelaskan cara menerapkan identitas Zero Trust dan kebijakan akses perangkat yang direkomendasikan untuk melindungi email organisasi dan klien email yang mendukung autentikasi modern dan akses bersyarah. Panduan ini dibangun berdasarkan kebijakan identitas umum dan akses perangkat dan juga mencakup beberapa rekomendasi tambahan.
Rekomendasi ini didasarkan pada tiga tingkat keamanan dan perlindungan yang berbeda yang dapat diterapkan berdasarkan granularitas kebutuhan Anda: titik awal, perusahaan, dan keamanan khusus. Anda dapat mempelajari selengkapnya tentang tingkat keamanan ini dan sistem operasi klien yang direkomendasikan dalam kebijakan keamanan dan pengenalan konfigurasi yang direkomendasikan.
Rekomendasi ini mengharuskan pengguna Anda menggunakan klien email modern, termasuk Outlook untuk iOS dan Android di perangkat seluler. Outlook untuk iOS dan Android menyediakan dukungan untuk fitur terbaik Microsoft 365. Aplikasi Outlook seluler ini juga dirancang dengan kemampuan keamanan yang mendukung penggunaan seluler dan bekerja sama dengan kemampuan keamanan cloud Microsoft lainnya. Untuk informasi selengkapnya, lihat Tanya Jawab Umum Outlook untuk iOS dan Android.
Memperbarui kebijakan umum untuk menyertakan email
Untuk melindungi email, diagram berikut mengilustrasikan kebijakan mana yang akan diperbarui dari identitas umum dan kebijakan akses perangkat.
Perhatikan bahwa penambahan kebijakan baru untuk Exchange Online untuk memblokir klien ActiveSync. Kebijakan ini memaksa penggunaan Outlook untuk iOS dan Android di perangkat seluler.
Jika Anda menyertakan Exchange Online dan Outlook dalam cakupan kebijakan saat menyiapkannya, Anda hanya perlu membuat kebijakan baru untuk memblokir klien ActiveSync. Tinjau kebijakan yang tercantum dalam tabel berikut dan buat penambahan yang direkomendasikan, atau konfirmasikan bahwa pengaturan ini sudah disertakan. Setiap kebijakan menautkan ke instruksi konfigurasi terkait dalam Identitas umum dan kebijakan akses perangkat.
| Tingkat perlindungan | Kebijakan | Informasi selengkapnya |
|---|---|---|
| Titik awal | Memerlukan MFA ketika risiko masuk sedang atau tinggi | Sertakan Exchange Online dalam penugasan aplikasi cloud |
| Memblokir klien yang tidak mendukung autentikasi modern | Sertakan Exchange Online dalam penugasan aplikasi cloud | |
| Menerapkan kebijakan perlindungan data APP | Pastikan Outlook disertakan dalam daftar aplikasi. Pastikan untuk memperbarui kebijakan untuk setiap platform (iOS, Android, Windows) | |
| Memerlukan aplikasi dan perlindungan APP yang disetujui | Sertakan Exchange Online dalam daftar aplikasi cloud | |
| Memblokir klien ActiveSync | Tambahkan kebijakan baru ini | |
| Perusahaan | Memerlukan MFA ketika risiko masuk rendah, sedang, atau tinggi | Sertakan Exchange Online dalam penugasan aplikasi cloud |
| Memerlukan PC dan perangkat seluler yang sesuai | Sertakan Exchange Online dalam daftar aplikasi cloud | |
| Keamanan khusus | Selalu memerlukan MFA | Sertakan Exchange Online dalam penugasan aplikasi cloud |
Memblokir klien ActiveSync
Exchange ActiveSync dapat digunakan untuk menyinkronkan pesan dan data kalender di desktop dan perangkat seluler.
Untuk perangkat seluler, klien berikut diblokir berdasarkan kebijakan Akses Bersyarat yang dibuat di Memerlukan aplikasi yang disetujui dan perlindungan APP:
- Klien Exchange ActiveSync yang menggunakan autentikasi dasar.
- Klien Exchange ActiveSync yang mendukung autentikasi modern, tetapi tidak mendukung kebijakan perlindungan aplikasi Intune.
- Perangkat yang mendukung kebijakan perlindungan aplikasi Intune, tetapi tidak ditentukan dalam kebijakan.
Untuk memblokir koneksi Exchange ActiveSync menggunakan autentikasi dasar pada jenis perangkat lain (misalnya, PC), ikuti langkah-langkah dalam Memblokir Exchange ActiveSync di semua perangkat.
Membatasi akses ke Exchange Online dari Outlook di web
Anda dapat membatasi kemampuan pengguna untuk mengunduh lampiran dari Outlook di web di perangkat yang tidak dikelola. Pengguna di perangkat ini dapat melihat dan mengedit file-file ini menggunakan Office Online tanpa membocorkan dan menyimpan file di perangkat. Anda juga dapat memblokir pengguna untuk melihat lampiran pada perangkat yang tidak dikelola.
Berikut langkah-langkahnya:
Setiap organisasi Microsoft 365 dengan kotak surat Exchange Online memiliki kebijakan kotak surat Outlook di web bawaan (sebelumnya dikenal sebagai Outlook Web App atau OWA) bernama OwaMailboxPolicy-Default. Admin juga dapat membuat kebijakan kustom.
Untuk melihat kebijakan kotak surat Outlook di web yang tersedia, jalankan perintah berikut:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyUntuk mengizinkan tampilan lampiran tetapi tidak ada pengunduhan, jalankan perintah berikut pada kebijakan yang terpengaruh:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyContohnya:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyUntuk memblokir lampiran, jalankan perintah berikut pada kebijakan yang terpengaruh:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedContohnya:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedDi portal Azure, buat kebijakan Akses Bersyarkala baru dengan pengaturan ini:
Penetapan>Pengguna dan grup: Pilih pengguna dan grup yang sesuai untuk disertakan dan dikecualikan.
Penugasan Aplikasi cloud atau tindakan>Aplikasi>cloud Menyertakan>Pilih aplikasi: Pilih Office 365 Exchange Online.>
Sesi kontrol akses>: Pilih Gunakan pembatasan yang diberlakukan aplikasi.
Mengharuskan perangkat iOS dan Android menggunakan Outlook
Untuk memastikan bahwa perangkat iOS dan Android hanya dapat mengakses konten kantor atau sekolah menggunakan Outlook untuk iOS dan Android, Anda memerlukan kebijakan Akses Bersyarat yang menargetkan pengguna potensial tersebut.
Lihat langkah-langkah untuk mengonfigurasi kebijakan ini dalam Mengelola akses kolaborasi olahpesan dengan menggunakan Outlook untuk iOS dan Android.
Menyiapkan enkripsi pesan
Dengan Enkripsi Pesan Microsoft Purview, yang menggunakan fitur perlindungan di Perlindungan Informasi Azure, organisasi Anda dapat dengan mudah berbagi email yang dilindungi dengan siapa pun di perangkat apa pun. Pengguna dapat mengirim dan menerima pesan yang dilindungi dengan organisasi Microsoft 365 lainnya serta non-pelanggan menggunakan Outlook.com, Gmail, dan layanan email lainnya.
Untuk informasi selengkapnya, lihat Menyiapkan Enkripsi Pesan.
Langkah berikutnya
Mengonfigurasi kebijakan Akses Bersyar untuk:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk