Zalecenia dotyczące zasad dotyczących zabezpieczania poczty e-mail
W tym artykule opisano sposób implementowania zalecanych zasad tożsamości Zero Trust i dostępu do urządzeń w celu ochrony organizacyjnych klientów poczty e-mail i poczty e-mail obsługujących nowoczesne uwierzytelnianie i dostęp warunkowy. Te wskazówki opierają się na wspólnych zasadach tożsamości i dostępu do urządzeń, a także zawierają kilka dodatkowych zaleceń.
Te zalecenia są oparte na trzech różnych warstwach zabezpieczeń i ochrony, które można zastosować na podstawie szczegółowości Twoich potrzeb: punkt wyjścia, przedsiębiorstwo i wyspecjalizowane zabezpieczenia. Więcej informacji na temat tych warstw zabezpieczeń i zalecanych systemów operacyjnych klienta można dowiedzieć się we wprowadzeniu zalecanych zasad zabezpieczeń i konfiguracji.
Te zalecenia wymagają od użytkowników korzystania z nowoczesnych klientów poczty e-mail, w tym programu Outlook dla systemów iOS i Android na urządzeniach przenośnych. Program Outlook dla systemów iOS i Android zapewnia obsługę najlepszych funkcji platformy Microsoft 365. Te aplikacje mobilne Outlook są również zaprojektowane z funkcjami zabezpieczeń, które obsługują korzystanie z urządzeń przenośnych i współpracują z innymi funkcjami zabezpieczeń w chmurze firmy Microsoft. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące programu Outlook dla systemów iOS i Android.
Aktualizowanie typowych zasad w celu uwzględnienia wiadomości e-mail
Aby chronić pocztę e-mail, na poniższym diagramie pokazano, które zasady mają być aktualizowane na podstawie typowych zasad tożsamości i dostępu do urządzeń.
Należy pamiętać, że dodanie nowych zasad dla usługi Exchange Online w celu blokowania klientów usługi ActiveSync. Te zasady wymuszają korzystanie z programu Outlook dla systemów iOS i Android na urządzeniach przenośnych.
Jeśli podczas konfigurowania zostały uwzględnione usługi Exchange Online i Outlook w zakresie zasad, należy utworzyć tylko nowe zasady, aby zablokować klientów programu ActiveSync. Przejrzyj zasady wymienione w poniższej tabeli i dodaj zalecane dodatki lub upewnij się, że te ustawienia są już uwzględnione. Każda zasada łączy się ze skojarzonymi instrukcjami konfiguracji w temacie Common identity and device access policies (Typowe zasady tożsamości i dostępu do urządzeń).
| Poziom ochrony | Zasady | Więcej informacji |
|---|---|---|
| Punkt początkowy | Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie | Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze |
| Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania | Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze | |
| Stosowanie zasad ochrony danych aplikacji | Upewnij się, że program Outlook znajduje się na liście aplikacji. Pamiętaj, aby zaktualizować zasady dla każdej platformy (iOS, Android, Windows) | |
| Wymaganie zatwierdzonych aplikacji i ochrony aplikacji | Uwzględnij usługę Exchange Online na liście aplikacji w chmurze | |
| Blokuj klientów programu ActiveSync | Dodaj te nowe zasady | |
| Przedsiębiorstwo | Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie | Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze |
| Wymaganie zgodnych komputerów i urządzeń przenośnych | Uwzględnij usługę Exchange Online na liście aplikacji w chmurze | |
| Wyspecjalizowane zabezpieczenia | Zawsze wymagaj uwierzytelniania wieloskładnikowego | Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze |
Blokuj klientów programu ActiveSync
Program Exchange ActiveSync może służyć do synchronizowania wiadomości i danych kalendarza na komputerach i urządzeniach przenośnych.
W przypadku urządzeń przenośnych następujące klientów są blokowane na podstawie zasad dostępu warunkowego utworzonych w sekcji Wymagaj zatwierdzonych aplikacji i ochrony aplikacji:
- Klienci programu Exchange ActiveSync korzystający z uwierzytelniania podstawowego.
- Klienci programu Exchange ActiveSync, którzy obsługują nowoczesne uwierzytelnianie, ale nie obsługują zasad ochrony aplikacji usługi Intune.
- Urządzenia, które obsługują zasady ochrony aplikacji usługi Intune, ale nie są zdefiniowane w zasadach.
Aby zablokować połączenia programu Exchange ActiveSync przy użyciu uwierzytelniania podstawowego na innych typach urządzeń (na przykład na komputerach), wykonaj kroki opisane w temacie Blokuj program Exchange ActiveSync na wszystkich urządzeniach.
Ograniczanie dostępu do usługi Exchange Online z Outlook w sieci Web
Możesz ograniczyć użytkownikom możliwość pobierania załączników z Outlook w sieci Web na urządzeniach niezarządzanych. Użytkownicy na tych urządzeniach mogą wyświetlać i edytować te pliki przy użyciu usługi Office Online bez wycieku i przechowywania plików na urządzeniu. Możesz również zablokować użytkownikom wyświetlanie załączników na urządzeniu niezarządzanym.
Oto konkretne kroki:
Połączenie do programu PowerShell usługi Exchange Online.
Każda organizacja platformy Microsoft 365 ze skrzynkami pocztowymi usługi Exchange Online ma wbudowane zasady skrzynek pocztowych Outlook w sieci Web (wcześniej znane jako Outlook Web App lub OWA) o nazwie OwaMailboxPolicy-Default. Administracja mogą również tworzyć zasady niestandardowe.
Aby wyświetlić dostępne zasady skrzynek pocztowych Outlook w sieci Web, uruchom następujące polecenie:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyAby zezwolić na wyświetlanie załączników bez pobierania, uruchom następujące polecenie w zasadach, których dotyczy problem:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyNa przykład:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyAby zablokować załączniki, uruchom następujące polecenie w zasadach, których dotyczy problem:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedNa przykład:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedW witrynie Azure Portal utwórz nowe zasady dostępu warunkowego przy użyciu następujących ustawień:
>Przypisania Użytkownicy i grupy: wybierz odpowiednich użytkowników i grupy do uwzględnienia i wykluczenia.
Przypisania aplikacje w chmurze lub akcje>Aplikacje w chmurze obejmują>wybieranie aplikacji>: wybierz usługę Office 365 Exchange Online.>
Sesja kontroli>dostępu: wybierz pozycję Użyj ograniczeń wymuszonych przez aplikację.
Wymagaj, aby urządzenia z systemami iOS i Android używały programu Outlook
Aby zapewnić, że urządzenia z systemami iOS i Android mogą uzyskiwać dostęp do zawartości służbowej tylko przy użyciu programu Outlook dla systemów iOS i Android, potrzebne są zasady dostępu warunkowego przeznaczone dla tych potencjalnych użytkowników.
Zobacz kroki konfigurowania tych zasad w temacie Zarządzanie dostępem do współpracy przy użyciu programu Outlook dla systemów iOS i Android.
Konfigurowanie szyfrowania komunikatów
Dzięki Szyfrowanie wiadomości w Microsoft Purview, która korzysta z funkcji ochrony w usłudze Azure Information Protection, organizacja może łatwo udostępniać chronioną pocztę e-mail wszystkim osobom na dowolnym urządzeniu. Użytkownicy mogą wysyłać i odbierać chronione wiadomości z innymi organizacjami platformy Microsoft 365, a także innymi użytkownikami korzystającymi z usług Outlook.com, Gmail i innych usług poczty e-mail.
Aby uzyskać więcej informacji, zobacz Konfigurowanie szyfrowania komunikatów.
Następne kroki
Skonfiguruj zasady dostępu warunkowego dla:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla