Udostępnij za pośrednictwem

Zalecenia dotyczące zasad dotyczących zabezpieczania poczty e-mail

  • Artykuł

W tym artykule opisano sposób implementowania zalecanych zasad tożsamości Zero Trust i dostępu do urządzeń w celu ochrony organizacyjnych klientów poczty e-mail i poczty e-mail obsługujących nowoczesne uwierzytelnianie i dostęp warunkowy. Te wskazówki opierają się na wspólnych zasadach tożsamości i dostępu do urządzeń, a także zawierają kilka dodatkowych zaleceń.

Te zalecenia są oparte na trzech różnych warstwach zabezpieczeń i ochrony, które można zastosować na podstawie szczegółowości Twoich potrzeb: punkt wyjścia, przedsiębiorstwo i wyspecjalizowane zabezpieczenia. Więcej informacji na temat tych warstw zabezpieczeń i zalecanych systemów operacyjnych klienta można dowiedzieć się we wprowadzeniu zalecanych zasad zabezpieczeń i konfiguracji.

Te zalecenia wymagają od użytkowników korzystania z nowoczesnych klientów poczty e-mail, w tym programu Outlook dla systemów iOS i Android na urządzeniach przenośnych. Program Outlook dla systemów iOS i Android zapewnia obsługę najlepszych funkcji platformy Microsoft 365. Te aplikacje mobilne Outlook są również zaprojektowane z funkcjami zabezpieczeń, które obsługują korzystanie z urządzeń przenośnych i współpracują z innymi funkcjami zabezpieczeń w chmurze firmy Microsoft. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące programu Outlook dla systemów iOS i Android.

Aktualizowanie typowych zasad w celu uwzględnienia wiadomości e-mail

Aby chronić pocztę e-mail, na poniższym diagramie pokazano, które zasady mają być aktualizowane na podstawie typowych zasad tożsamości i dostępu do urządzeń.

Diagram przedstawiający podsumowanie aktualizacji zasad dotyczących ochrony dostępu do programu Microsoft Exchange.

Należy pamiętać, że dodanie nowych zasad dla usługi Exchange Online w celu blokowania klientów usługi ActiveSync. Te zasady wymuszają korzystanie z programu Outlook dla systemów iOS i Android na urządzeniach przenośnych.

Jeśli podczas konfigurowania zostały uwzględnione usługi Exchange Online i Outlook w zakresie zasad, należy utworzyć tylko nowe zasady, aby zablokować klientów programu ActiveSync. Przejrzyj zasady wymienione w poniższej tabeli i dodaj zalecane dodatki lub upewnij się, że te ustawienia są już uwzględnione. Każda zasada łączy się ze skojarzonymi instrukcjami konfiguracji w temacie Common identity and device access policies (Typowe zasady tożsamości i dostępu do urządzeń).

Poziom ochrony Zasady Więcej informacji
Punkt początkowy Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze
Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze
Stosowanie zasad ochrony danych aplikacji Upewnij się, że program Outlook znajduje się na liście aplikacji. Pamiętaj, aby zaktualizować zasady dla każdej platformy (iOS, Android, Windows)
Wymaganie zatwierdzonych aplikacji i ochrony aplikacji Uwzględnij usługę Exchange Online na liście aplikacji w chmurze
Blokuj klientów programu ActiveSync Dodaj te nowe zasady
Przedsiębiorstwo Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze
Wymaganie zgodnych komputerów i urządzeń przenośnych Uwzględnij usługę Exchange Online na liście aplikacji w chmurze
Wyspecjalizowane zabezpieczenia Zawsze wymagaj uwierzytelniania wieloskładnikowego Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze

Blokuj klientów programu ActiveSync

Program Exchange ActiveSync może służyć do synchronizowania wiadomości i danych kalendarza na komputerach i urządzeniach przenośnych.

W przypadku urządzeń przenośnych następujące klientów są blokowane na podstawie zasad dostępu warunkowego utworzonych w sekcji Wymagaj zatwierdzonych aplikacji i ochrony aplikacji:

  • Klienci programu Exchange ActiveSync korzystający z uwierzytelniania podstawowego.
  • Klienci programu Exchange ActiveSync, którzy obsługują nowoczesne uwierzytelnianie, ale nie obsługują zasad ochrony aplikacji usługi Intune.
  • Urządzenia, które obsługują zasady ochrony aplikacji usługi Intune, ale nie są zdefiniowane w zasadach.

Aby zablokować połączenia programu Exchange ActiveSync przy użyciu uwierzytelniania podstawowego na innych typach urządzeń (na przykład na komputerach), wykonaj kroki opisane w temacie Blokuj program Exchange ActiveSync na wszystkich urządzeniach.

Ograniczanie dostępu do usługi Exchange Online z Outlook w sieci Web

Możesz ograniczyć użytkownikom możliwość pobierania załączników z Outlook w sieci Web na urządzeniach niezarządzanych. Użytkownicy na tych urządzeniach mogą wyświetlać i edytować te pliki przy użyciu usługi Office Online bez wycieku i przechowywania plików na urządzeniu. Możesz również zablokować użytkownikom wyświetlanie załączników na urządzeniu niezarządzanym.

Oto konkretne kroki:

  1. Połączenie do programu PowerShell usługi Exchange Online.

  2. Każda organizacja platformy Microsoft 365 ze skrzynkami pocztowymi usługi Exchange Online ma wbudowane zasady skrzynek pocztowych Outlook w sieci Web (wcześniej znane jako Outlook Web App lub OWA) o nazwie OwaMailboxPolicy-Default. Administracja mogą również tworzyć zasady niestandardowe.

    Aby wyświetlić dostępne zasady skrzynek pocztowych Outlook w sieci Web, uruchom następujące polecenie:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Aby zezwolić na wyświetlanie załączników bez pobierania, uruchom następujące polecenie w zasadach, których dotyczy problem:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Na przykład:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Aby zablokować załączniki, uruchom następujące polecenie w zasadach, których dotyczy problem:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Na przykład:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. W witrynie Azure Portal utwórz nowe zasady dostępu warunkowego przy użyciu następujących ustawień:

    >Przypisania Użytkownicy i grupy: wybierz odpowiednich użytkowników i grupy do uwzględnienia i wykluczenia.

    Przypisania aplikacje w chmurze lub akcje>Aplikacje w chmurze obejmują>wybieranie aplikacji>: wybierz usługę Office 365 Exchange Online.>

    Sesja kontroli>dostępu: wybierz pozycję Użyj ograniczeń wymuszonych przez aplikację.

Wymagaj, aby urządzenia z systemami iOS i Android używały programu Outlook

Aby zapewnić, że urządzenia z systemami iOS i Android mogą uzyskiwać dostęp do zawartości służbowej tylko przy użyciu programu Outlook dla systemów iOS i Android, potrzebne są zasady dostępu warunkowego przeznaczone dla tych potencjalnych użytkowników.

Zobacz kroki konfigurowania tych zasad w temacie Zarządzanie dostępem do współpracy przy użyciu programu Outlook dla systemów iOS i Android.

Konfigurowanie szyfrowania komunikatów

Dzięki Szyfrowanie wiadomości w Microsoft Purview, która korzysta z funkcji ochrony w usłudze Azure Information Protection, organizacja może łatwo udostępniać chronioną pocztę e-mail wszystkim osobom na dowolnym urządzeniu. Użytkownicy mogą wysyłać i odbierać chronione wiadomości z innymi organizacjami platformy Microsoft 365, a także innymi użytkownikami korzystającymi z usług Outlook.com, Gmail i innych usług poczty e-mail.

Aby uzyskać więcej informacji, zobacz Konfigurowanie szyfrowania komunikatów.

Następne kroki

Zrzut ekranu przedstawiający zasady dla aplikacji w chmurze platformy Microsoft 365.

Skonfiguruj zasady dostępu warunkowego dla: