Criteri consigliati per la protezione della posta elettronica
Questo articolo descrive come implementare i criteri consigliati di Zero Trust identità e accesso ai dispositivi per proteggere i client di posta elettronica e di posta elettronica dell'organizzazione che supportano l'autenticazione moderna e l'accesso condizionale. Questa guida si basa sui criteri comuni di identità e accesso ai dispositivi e include anche alcune raccomandazioni aggiuntive.
Queste raccomandazioni si basano su tre diversi livelli di sicurezza e protezione che possono essere applicati in base alla granularità delle proprie esigenze: punto di partenza, enterprise e sicurezza specializzata. Per altre informazioni su questi livelli di sicurezza e sui sistemi operativi client consigliati, vedere l'introduzione ai criteri di sicurezza e alle configurazioni consigliate.
Queste raccomandazioni richiedono agli utenti di usare client di posta elettronica moderni, tra cui Outlook per iOS e Android nei dispositivi mobili. Outlook per iOS e Android offre supporto per le migliori funzionalità di Microsoft 365. Queste app outlook per dispositivi mobili sono anche progettate con funzionalità di sicurezza che supportano l'uso dei dispositivi mobili e interagiscono con altre funzionalità di sicurezza cloud Microsoft. Per altre informazioni, vedere Domande frequenti su Outlook per iOS e Android.
Aggiornare i criteri comuni per includere la posta elettronica
Per proteggere la posta elettronica, il diagramma seguente illustra i criteri da aggiornare dai criteri comuni di identità e accesso ai dispositivi.
Si noti l'aggiunta di un nuovo criterio per Exchange Online per bloccare i client ActiveSync. Questo criterio impone l'uso di Outlook per iOS e Android nei dispositivi mobili.
Se sono stati inclusi Exchange Online e Outlook nell'ambito dei criteri durante la configurazione, è sufficiente creare i nuovi criteri per bloccare i client ActiveSync. Esaminare i criteri elencati nella tabella seguente e apportare le aggiunte consigliate oppure verificare che queste impostazioni siano già incluse. Ogni criterio è collegato alle istruzioni di configurazione associate nei criteri comuni di identità e accesso ai dispositivi.
Livello di protezione | Criteri | Altre informazioni |
---|---|---|
Punto iniziale | Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto | Includere Exchange Online nell'assegnazione di app cloud |
Bloccare i client che non supportano l'autenticazione moderna | Includere Exchange Online nell'assegnazione di app cloud | |
Applicare i criteri di protezione dei dati app | Assicurarsi che Outlook sia incluso nell'elenco delle app. Assicurarsi di aggiornare i criteri per ogni piattaforma (iOS, Android, Windows) | |
Richiedere app approvate e protezione delle APP | Includere Exchange Online nell'elenco delle app cloud | |
Bloccare i client ActiveSync | Aggiungere questo nuovo criterio | |
Aziendale | Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o alto | Includere Exchange Online nell'assegnazione di app cloud |
Richiedere PC e dispositivi mobili conformi | Includere Exchange Online nell'elenco delle app cloud | |
Sicurezza specializzata | Richiedere sempre l'autenticazione a più fattori | Includere Exchange Online nell'assegnazione di app cloud |
Bloccare i client ActiveSync
Exchange ActiveSync può essere usato per sincronizzare i dati di messaggistica e calendario nei dispositivi desktop e mobili.
Per i dispositivi mobili, i client seguenti vengono bloccati in base ai criteri di accesso condizionale creati in Richiedi app approvate e protezione delle APP:
- Exchange ActiveSync client che usano l'autenticazione di base.
- Exchange ActiveSync client che supportano l'autenticazione moderna, ma non supportano Intune criteri di protezione delle app.
- I dispositivi che supportano Intune criteri di protezione delle app, ma non sono definiti nei criteri.
Per bloccare le connessioni Exchange ActiveSync usando l'autenticazione di base in altri tipi di dispositivi, ad esempio PC, seguire la procedura descritta in Blocca Exchange ActiveSync in tutti i dispositivi.
Limitare l'accesso a Exchange Online da Outlook sul web
È possibile limitare la possibilità per gli utenti di scaricare allegati da Outlook sul web nei dispositivi non gestiti. Gli utenti di questi dispositivi possono visualizzare e modificare questi file usando Office Online senza perdere e archiviare i file nel dispositivo. È anche possibile impedire agli utenti di visualizzare gli allegati in un dispositivo non gestito.
Ecco la procedura:
Ogni organizzazione di Microsoft 365 con cassette postali Exchange Online dispone di un criterio cassetta postale predefinito Outlook sul web (precedentemente noto come Outlook Web App o OWA) denominato OwaMailboxPolicy-Default. Gli amministratori possono anche creare criteri personalizzati.
Per visualizzare i criteri di cassetta postale Outlook sul web disponibili, eseguire il comando seguente:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
Per consentire la visualizzazione degli allegati ma non il download, eseguire il comando seguente nei criteri interessati:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
Ad esempio:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
Per bloccare gli allegati, eseguire il comando seguente nei criteri interessati:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
Ad esempio:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
Nel portale di Azure creare un nuovo criterio di accesso condizionale con queste impostazioni:
Assegnazioni>Utenti e gruppi: selezionare gli utenti e i gruppi appropriati da includere ed escludere.
Assegnazioni>Azioni o> app cloudApp> cloudIncludono>Selezionare le app: selezionare Office 365 Exchange Online.
>Controlli di accessoSessione: selezionare Usa restrizioni applicate dall'app.
Richiedere che i dispositivi iOS e Android debbano usare Outlook
Per garantire che i dispositivi iOS e Android possano accedere ai contenuti aziendali o dell'istituto di istruzione solo tramite Outlook per iOS e Android, è necessario un criterio di accesso condizionale destinato a tali potenziali utenti.
Vedere la procedura per configurare questo criterio in Gestire l'accesso alla collaborazione per la messaggistica usando Outlook per iOS e Android.
Configurare la crittografia dei messaggi
Con Microsoft Purview Message Encryption, che usa le funzionalità di protezione in Azure Information Protection, l'organizzazione può condividere facilmente la posta elettronica protetta con chiunque in qualsiasi dispositivo. Gli utenti possono inviare e ricevere messaggi protetti con altre organizzazioni di Microsoft 365 e non clienti usando Outlook.com, Gmail e altri servizi di posta elettronica.
Per altre informazioni, vedere Configurare Crittografia messaggi.
Passaggi successivi
Configurare i criteri di accesso condizionale per:
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per