Suggerimenti per i criteri per la protezione della posta elettronica
Questo articolo descrive come implementare i criteri di identità e accesso ai dispositivi Zero Trust consigliati per proteggere i client di posta elettronica e di posta elettronica aziendali che supportano l'autenticazione moderna e l'accesso condizionale. Queste linee guida si basa sui criteri comuni di identità e accesso ai dispositivi e includono anche alcune raccomandazioni aggiuntive.
Questi consigli si basano su tre diversi livelli di sicurezza e protezione che possono essere applicati in base alla granularità delle esigenze: punto di partenza, organizzazione e sicurezza specializzata. Per altre informazioni su questi livelli di sicurezza e sui sistemi operativi client consigliati, vedere l'introduzione ai criteri di sicurezza e alle configurazioni consigliati.
Queste raccomandazioni richiedono agli utenti di usare client di posta elettronica moderni, tra cui Outlook per iOS e Android nei dispositivi mobili. Outlook per iOS e Android offre supporto per le migliori funzionalità di Microsoft 365. Queste app outlook per dispositivi mobili sono inoltre progettata con funzionalità di sicurezza che supportano l'uso dei dispositivi mobili e interagiscono con altre funzionalità di sicurezza cloud Microsoft. Per altre informazioni, vedere Domande frequenti su Outlook per iOS e Android.
Aggiornare i criteri comuni per includere la posta elettronica
Per proteggere la posta elettronica, il diagramma seguente illustra i criteri da aggiornare dai criteri comuni di accesso alle identità e ai dispositivi.
Si noti che l'aggiunta di un nuovo criterio per Exchange Online blocca i client ActiveSync. Questo criterio forza l'uso di Outlook per iOS e Android nei dispositivi mobili.
Se Exchange Online e Outlook sono stati inclusi nell'ambito dei criteri quando vengono configurati, è sufficiente creare il nuovo criterio per bloccare i client ActiveSync. Esaminare i criteri elencati nella tabella seguente e apportare le aggiunte consigliate oppure verificare che queste impostazioni siano già incluse. Ogni criterio è collegato alle istruzioni di configurazione associate in Criteri di accesso comuni alle identità e ai dispositivi.
| Livello di protezione | Criteri | Ulteriori informazioni |
|---|---|---|
| Punto di partenza | Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto | Includere Exchange Online nell'assegnazione di app cloud |
| Bloccare i client che non supportano l'autenticazione moderna | Includere Exchange Online nell'assegnazione di app cloud | |
| Applicare i criteri di protezione dei dati delle app | Assicurarsi che Outlook sia incluso nell'elenco delle app. Assicurarsi di aggiornare i criteri per ogni piattaforma (iOS, Android, Windows) | |
| Richiedere le app approvate e la protezione delle app | Includere Exchange Online nell'elenco delle app cloud | |
| Bloccare i client ActiveSync | Aggiungere questo nuovo criterio | |
| Funzionalità per le aziende | Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o alto | Includere Exchange Online nell'assegnazione di app cloud |
| Richiedere PC e dispositivi mobili conformi | Includere Exchange Online nell'elenco delle app cloud | |
| Sicurezza specializzata | Richiedere sempre l'autenticazione a più fattori | Includere Exchange Online nell'assegnazione di app cloud |
Bloccare i client ActiveSync
Exchange ActiveSync può essere usato per sincronizzare i dati di messaggistica e calendario nei dispositivi desktop e mobili.
Per i dispositivi mobili, i client seguenti vengono bloccati in base ai criteri di accesso condizionale creati in Richiedi app approvate e protezione app:
- Client Exchange ActiveSync che usano l'autenticazione di base.
- Client Exchange ActiveSync che supportano l'autenticazione moderna, ma non supportano i criteri di protezione delle app di Intune.
- I dispositivi che supportano i criteri di protezione delle app di Intune, ma non sono definiti nei criteri.
Per bloccare le connessioni di Exchange ActiveSync usando l'autenticazione di base su altri tipi di dispositivi (ad esempio, PC), seguire la procedura descritta in Bloccare Exchange ActiveSync in tutti i dispositivi.
Limitare l'accesso a Exchange Online da Outlook sul web
È possibile limitare la possibilità per gli utenti di scaricare allegati da Outlook sul web nei dispositivi non gestiti. Gli utenti di questi dispositivi possono visualizzare e modificare questi file usando Office Online senza perdere e archiviare i file nel dispositivo. È anche possibile impedire agli utenti di visualizzare allegati in un dispositivo non gestito.
Di seguito sono riportati i passaggi necessari:
Connessione a PowerShell di Exchange Online.
Ogni organizzazione di Microsoft 365 con cassette postali di Exchange Online dispone di un Outlook sul web predefinito (in precedenza noto come Outlook Web App o OWA) criterio cassetta postale denominato OwaMailboxPolicy-Default. Amministrazione possono anche creare criteri personalizzati.
Per visualizzare i criteri delle cassette postali disponibili Outlook sul web, eseguire il comando seguente:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyPer consentire la visualizzazione degli allegati ma senza download, eseguire il comando seguente nei criteri interessati:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyAd esempio:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPer bloccare gli allegati, eseguire il comando seguente nei criteri interessati:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedAd esempio:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedNella portale di Azure creare un nuovo criterio di accesso condizionale con queste impostazioni:
Assegnazioni>Utenti e gruppi: selezionare utenti e gruppi appropriati da includere ed escludere.
Assegnazioni>App cloud o azioni>Le app>cloud includono>Selezionare le app: selezionare Office 365 Exchange Online.
Controlli di>accesso Sessione: selezionare Usa restrizioni applicate dall'app.
Richiedere che i dispositivi iOS e Android usino Outlook
Per garantire che i dispositivi iOS e Android possano accedere al contenuto aziendale o dell'istituto di istruzione usando solo Outlook per iOS e Android, sono necessari criteri di accesso condizionale destinati a tali utenti potenziali.
Vedere la procedura per configurare questo criterio in Gestire l'accesso alla collaborazione di messaggistica usando Outlook per iOS e Android.
Configurare la crittografia dei messaggi
Con Microsoft Purview Message Encryption, che usa le funzionalità di protezione in Azure Information Protection, l'organizzazione può condividere facilmente la posta elettronica protetta con chiunque su qualsiasi dispositivo. Gli utenti possono inviare e ricevere messaggi protetti con altre organizzazioni di Microsoft 365 e non clienti che usano Outlook.com, Gmail e altri servizi di posta elettronica.
Per altre informazioni, vedere Configurare La crittografia dei messaggi.
Passaggi successivi
Configurare i criteri di accesso condizionale per:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per