電子メールをセキュリティで保護するためのポリシーの推奨事項

[アーティクル]
04/26/2024

この記事では、最新の認証と条件付きアクセスをサポートする組織の電子メールクライアントと電子メールクライアントを保護するために、推奨されるゼロトラスト ID とデバイスアクセスポリシーを実装する方法について説明します。このガイダンスは、一般的な ID とデバイスのアクセスポリシーに基づいており、いくつかの追加の推奨事項も含まれています。

これらの推奨事項は、ニーズの細分性に基づいて適用できるセキュリティと保護の 3 つの異なるレベル ( 開始点、 エンタープライズ、 特殊なセキュリティ) に基づいています。これらのセキュリティレベルと推奨されるクライアントオペレーティングシステムの詳細については、推奨されるセキュリティポリシーと構成の概要に関するページを参照してください。

これらの推奨事項では、ユーザーがモバイルデバイスで Outlook for iOS や Android など、最新の電子メールクライアントを使用する必要があります。 iOS および Android 用の Outlook では、Microsoft 365 の最適な機能がサポートされています。これらのモバイル Outlook アプリは、モバイル使用をサポートし、他の Microsoft クラウドセキュリティ機能と連携するセキュリティ機能を使用して設計されています。詳細については、「 Outlook for iOS および Android FAQ」を参照してください。

電子メールを含むように一般的なポリシーを更新する

電子メールを保護するために、次の図は、一般的な ID ポリシーとデバイスアクセスポリシーから更新するポリシーを示しています。

ActiveSync クライアントをブロックするためのExchange Onlineの新しいポリシーの追加に注意してください。このポリシーでは、モバイルデバイスで iOS および Android 用の Outlook を強制的に使用します。

Exchange Onlineと Outlook を設定するときにポリシーのスコープに含める場合は、ActiveSync クライアントをブロックする新しいポリシーのみを作成する必要があります。次の表に示すポリシーを確認し、推奨される追加を行うか、これらの設定が既に含まれていることを確認します。各ポリシーは、「共通 ID とデバイスアクセスポリシー」の関連する構成手順にリンクします。

保護レベル	ポリシー	詳細情報
開始点	サインインのリスクが中、または高のときに MFA を要求する	クラウドアプリの割り当てにExchange Onlineを含める
	先進認証をサポートしないクライアントはブロックする	クラウドアプリの割り当てにExchange Onlineを含める
	アプリデータ保護ポリシーを適用する	Outlook がアプリの一覧に含まれていることを確認します。プラットフォーム (iOS、Android、Windows) ごとにポリシーを必ず更新してください
	承認済みのアプリとアプリ保護を要求する	クラウドアプリの一覧にExchange Onlineを含める
	ActiveSync クライアントをブロックする	この新しいポリシーを追加する
エンタープライズ	サインインのリスクが低、中、または高のときに MFA を要求する	クラウドアプリの割り当てにExchange Onlineを含める
	準拠した PC とモバイルデバイスが必要	クラウドアプリの一覧にExchange Onlineを含める
特殊なセキュリティ	常に MFA が必要	クラウドアプリの割り当てにExchange Onlineを含める

ActiveSync クライアントをブロックする

Exchange ActiveSyncを使用して、デスクトップデバイスとモバイルデバイス上のメッセージングと予定表のデータを同期できます。

モバイルデバイスの場合、次のクライアントは、[ 承認済みのアプリとアプリ保護を要求する] で作成された条件付きアクセスポリシーに基づいてブロックされます。

基本認証を使用するクライアントをExchange ActiveSyncします。
最新の認証をサポートしているが、アプリ保護ポリシー IntuneサポートしていないクライアントをExchange ActiveSyncします。
アプリ保護ポリシー Intuneサポートしているが、ポリシーで定義されていないデバイス。

他の種類のデバイス (PC など) で基本認証を使用してExchange ActiveSync接続をブロックするには、「すべてのデバイスでExchange ActiveSyncをブロックする」の手順に従います。

Outlook on the webからのExchange Onlineへのアクセスを制限する

ユーザーがアンマネージドデバイス上のOutlook on the webから添付ファイルをダウンロードする機能を制限できます。これらのデバイス上のユーザーは、Office Online を使用して、デバイスにファイルを漏洩したり保存したりすることなく、これらのファイルを表示および編集できます。また、ユーザーがアンマネージドデバイスに添付ファイルを表示できないようにすることもできます。

それらのステップは次のとおりです。

Exchange Online PowerShell に接続します。
Exchange Onlineメールボックスを使用するすべての Microsoft 365 organizationには、OwaMailboxPolicy-Default という名前の組み込みのOutlook on the web (旧称 Outlook Web App または OWA) メールボックスポリシーがあります。管理者は、カスタムポリシーを作成することもできます。

使用可能なOutlook on the webメールボックスポリシーを確認するには、次のコマンドを実行します。
```
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
```
添付ファイルの表示を許可し、ダウンロードを許可しない場合は、影響を受けるポリシーで次のコマンドを実行します。
```
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
```
以下に例を示します。
```
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
```

添付ファイルをブロックするには、影響を受けるポリシーで次のコマンドを実行します。

Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

以下に例を示します。

Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

Azure portalで、次の設定を使用して新しい条件付きアクセスポリシーを作成します。

割り当て>ユーザーとグループ: 含める適切なユーザーとグループを選択し、除外します。

割り当て>クラウドアプリまたはアクション>クラウドアプリ>含める>[アプリの選択]: [Office 365 Exchange Online] を選択します。

アクセス制御>セッション: [ アプリによって適用される制限を使用する] を選択します。

iOS および Android デバイスで Outlook を使用する必要がある

iOS および Android デバイスが Outlook for iOS と Android のみを使用して職場または学校のコンテンツにアクセスできるようにするには、それらの潜在的なユーザーを対象とする条件付きアクセスポリシーが必要です。

このポリシーを構成する手順については、「 Outlook for iOS および Android を使用してメッセージングコラボレーションアクセスを管理する」を参照してください。

メッセージ暗号化を設定する

Azure Information Protectionの保護機能を使用するMicrosoft Purview Message Encryptionを使用すると、organizationは保護された電子メールを任意のデバイス上の誰とでも簡単に共有できます。ユーザーは、Outlook.com、Gmail、その他のメールサービスを使用して、他の Microsoft 365 組織や顧客以外のユーザーと保護されたメッセージを送受信できます。

詳細については、「メッセージ暗号化の設定」を参照してください。

次の手順

次の条件付きアクセスポリシーを構成する: