Bagikan melalui

Rekomendasi kebijakan untuk mengamankan email

  • Artikel

Artikel ini menjelaskan cara menerapkan identitas Zero Trust dan kebijakan akses perangkat yang direkomendasikan untuk melindungi email organisasi dan klien email yang mendukung autentikasi modern dan akses bersyarah. Panduan ini dibangun berdasarkan kebijakan identitas umum dan akses perangkat dan juga mencakup beberapa rekomendasi tambahan.

Rekomendasi ini didasarkan pada tiga tingkat keamanan dan perlindungan yang berbeda yang dapat diterapkan berdasarkan granularitas kebutuhan Anda: titik awal, perusahaan, dan keamanan khusus. Anda dapat mempelajari selengkapnya tentang tingkat keamanan ini dan sistem operasi klien yang direkomendasikan dalam kebijakan keamanan dan pengenalan konfigurasi yang direkomendasikan.

Rekomendasi ini mengharuskan pengguna Anda menggunakan klien email modern, termasuk Outlook untuk iOS dan Android di perangkat seluler. Outlook untuk iOS dan Android menyediakan dukungan untuk fitur terbaik Microsoft 365. Aplikasi Outlook seluler ini juga dirancang dengan kemampuan keamanan yang mendukung penggunaan seluler dan bekerja sama dengan kemampuan keamanan cloud Microsoft lainnya. Untuk informasi selengkapnya, lihat Tanya Jawab Umum Outlook untuk iOS dan Android.

Memperbarui kebijakan umum untuk menyertakan email

Untuk melindungi email, diagram berikut mengilustrasikan kebijakan mana yang akan diperbarui dari identitas umum dan kebijakan akses perangkat.

Diagram yang memperlihatkan ringkasan pembaruan kebijakan untuk melindungi akses ke Microsoft Exchange.

Perhatikan bahwa penambahan kebijakan baru untuk Exchange Online untuk memblokir klien ActiveSync. Kebijakan ini memaksa penggunaan Outlook untuk iOS dan Android di perangkat seluler.

Jika Anda menyertakan Exchange Online dan Outlook dalam cakupan kebijakan saat menyiapkannya, Anda hanya perlu membuat kebijakan baru untuk memblokir klien ActiveSync. Tinjau kebijakan yang tercantum dalam tabel berikut dan buat penambahan yang direkomendasikan, atau konfirmasikan bahwa pengaturan ini sudah disertakan. Setiap kebijakan menautkan ke instruksi konfigurasi terkait dalam Identitas umum dan kebijakan akses perangkat.

Tingkat perlindungan Kebijakan Informasi selengkapnya
Titik awal Memerlukan MFA ketika risiko masuk sedang atau tinggi Sertakan Exchange Online dalam penugasan aplikasi cloud
Memblokir klien yang tidak mendukung autentikasi modern Sertakan Exchange Online dalam penugasan aplikasi cloud
Menerapkan kebijakan perlindungan data APP Pastikan Outlook disertakan dalam daftar aplikasi. Pastikan untuk memperbarui kebijakan untuk setiap platform (iOS, Android, Windows)
Memerlukan aplikasi dan perlindungan APP yang disetujui Sertakan Exchange Online dalam daftar aplikasi cloud
Memblokir klien ActiveSync Tambahkan kebijakan baru ini
Perusahaan Memerlukan MFA ketika risiko masuk rendah, sedang, atau tinggi Sertakan Exchange Online dalam penugasan aplikasi cloud
Memerlukan PC dan perangkat seluler yang sesuai Sertakan Exchange Online dalam daftar aplikasi cloud
Keamanan khusus Selalu memerlukan MFA Sertakan Exchange Online dalam penugasan aplikasi cloud

Memblokir klien ActiveSync

Exchange ActiveSync dapat digunakan untuk menyinkronkan pesan dan data kalender di desktop dan perangkat seluler.

Untuk perangkat seluler, klien berikut diblokir berdasarkan kebijakan Akses Bersyarat yang dibuat di Memerlukan aplikasi yang disetujui dan perlindungan APP:

  • Klien Exchange ActiveSync yang menggunakan autentikasi dasar.
  • Klien Exchange ActiveSync yang mendukung autentikasi modern, tetapi tidak mendukung kebijakan perlindungan aplikasi Intune.
  • Perangkat yang mendukung kebijakan perlindungan aplikasi Intune, tetapi tidak ditentukan dalam kebijakan.

Untuk memblokir koneksi Exchange ActiveSync menggunakan autentikasi dasar pada jenis perangkat lain (misalnya, PC), ikuti langkah-langkah dalam Memblokir Exchange ActiveSync di semua perangkat.

Membatasi akses ke Exchange Online dari Outlook di web

Anda dapat membatasi kemampuan pengguna untuk mengunduh lampiran dari Outlook di web di perangkat yang tidak dikelola. Pengguna di perangkat ini dapat melihat dan mengedit file-file ini menggunakan Office Online tanpa membocorkan dan menyimpan file di perangkat. Anda juga dapat memblokir pengguna untuk melihat lampiran pada perangkat yang tidak dikelola.

Berikut langkah-langkahnya:

  1. Koneksi ke Exchange Online PowerShell.

  2. Setiap organisasi Microsoft 365 dengan kotak surat Exchange Online memiliki kebijakan kotak surat Outlook di web bawaan (sebelumnya dikenal sebagai Outlook Web App atau OWA) bernama OwaMailboxPolicy-Default. Admin juga dapat membuat kebijakan kustom.

    Untuk melihat kebijakan kotak surat Outlook di web yang tersedia, jalankan perintah berikut:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Untuk mengizinkan tampilan lampiran tetapi tidak ada pengunduhan, jalankan perintah berikut pada kebijakan yang terpengaruh:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Contohnya:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Untuk memblokir lampiran, jalankan perintah berikut pada kebijakan yang terpengaruh:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Contohnya:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. Di portal Azure, buat kebijakan Akses Bersyarkala baru dengan pengaturan ini:

    Penetapan>Pengguna dan grup: Pilih pengguna dan grup yang sesuai untuk disertakan dan dikecualikan.

    Penugasan Aplikasi cloud atau tindakan>Aplikasi>cloud Menyertakan>Pilih aplikasi: Pilih Office 365 Exchange Online.>

    Sesi kontrol akses>: Pilih Gunakan pembatasan yang diberlakukan aplikasi.

Mengharuskan perangkat iOS dan Android menggunakan Outlook

Untuk memastikan bahwa perangkat iOS dan Android hanya dapat mengakses konten kantor atau sekolah menggunakan Outlook untuk iOS dan Android, Anda memerlukan kebijakan Akses Bersyarat yang menargetkan pengguna potensial tersebut.

Lihat langkah-langkah untuk mengonfigurasi kebijakan ini dalam Mengelola akses kolaborasi olahpesan dengan menggunakan Outlook untuk iOS dan Android.

Menyiapkan enkripsi pesan

Dengan Enkripsi Pesan Microsoft Purview, yang menggunakan fitur perlindungan di Perlindungan Informasi Azure, organisasi Anda dapat dengan mudah berbagi email yang dilindungi dengan siapa pun di perangkat apa pun. Pengguna dapat mengirim dan menerima pesan yang dilindungi dengan organisasi Microsoft 365 lainnya serta non-pelanggan menggunakan Outlook.com, Gmail, dan layanan email lainnya.

Untuk informasi selengkapnya, lihat Menyiapkan Enkripsi Pesan.

Langkah berikutnya

Cuplikan layar kebijakan untuk aplikasi cloud Microsoft 365.

Mengonfigurasi kebijakan Akses Bersyar untuk: