Recomendações de políticas para proteger o e-mail
Este artigo descreve como implementar a identidade Zero Trust recomendada e as políticas de acesso a dispositivos para proteger o email organizacional e os clientes de email que oferecem suporte à autenticação moderna e ao acesso condicional. Estas orientações baseiam-se nas políticas de identidade comum e de acesso a dispositivos e também incluem algumas recomendações adicionais.
Essas recomendações são baseadas em três níveis diferentes de segurança e proteção que podem ser aplicados com base na granularidade de suas necessidades: ponto de partida, segurança empresarial e especializada. Você pode saber mais sobre essas camadas de segurança e os sistemas operacionais cliente recomendados na introdução às políticas e configurações de segurança recomendadas.
Essas recomendações exigem que seus usuários usem clientes de email modernos, incluindo o Outlook para iOS e Android em dispositivos móveis. O Outlook para iOS e Android fornece suporte para os melhores recursos do Microsoft 365. Esses aplicativos móveis do Outlook também são projetados com recursos de segurança que oferecem suporte ao uso móvel e funcionam em conjunto com outros recursos de segurança na nuvem da Microsoft. Para obter mais informações, consulte Perguntas frequentes sobre o Outlook para iOS e Android.
Atualizar políticas comuns para incluir e-mail
Para proteger o email, o diagrama a seguir ilustra quais políticas devem ser atualizadas a partir das políticas comuns de identidade e acesso a dispositivos.
Observe que a adição de uma nova política para o Exchange Online para bloquear clientes ActiveSync. Esta política força a utilização do Outlook para iOS e Android em dispositivos móveis.
Se você incluiu o Exchange Online e o Outlook no escopo das políticas ao configurá-las, só precisará criar a nova política para bloquear clientes do ActiveSync. Revise as políticas listadas na tabela a seguir e faça as adições recomendadas ou confirme se essas configurações já estão incluídas. Cada política tem links para as instruções de configuração associadas em Políticas comuns de identidade e acesso a dispositivos.
| Nível de proteção | Políticas | Mais informações |
|---|---|---|
| Ponto de partida | Exigir MFA quando o risco de entrada for médio ou alto | Incluir o Exchange Online na atribuição de aplicativos na nuvem |
| Bloquear clientes que não suportam autenticação moderna | Incluir o Exchange Online na atribuição de aplicativos na nuvem | |
| Aplicar políticas de proteção de dados da APP | Certifique-se de que o Outlook está incluído na lista de aplicações. Certifique-se de atualizar a política para cada plataforma (iOS, Android, Windows) | |
| Exigir aplicativos aprovados e proteção de APP | Incluir o Exchange Online na lista de aplicativos na nuvem | |
| Bloquear clientes ActiveSync | Adicionar esta nova política | |
| Enterprise | Exigir MFA quando o risco de entrada for baixo, médio ou alto | Incluir o Exchange Online na atribuição de aplicativos na nuvem |
| Requer PCs e dispositivos móveis compatíveis | Incluir o Exchange Online na lista de aplicativos na nuvem | |
| Segurança especializada | Exigir sempre MFA | Incluir o Exchange Online na atribuição de aplicativos na nuvem |
Bloquear clientes ActiveSync
O Exchange ActiveSync pode ser usado para sincronizar dados de mensagens e calendário em computadores e dispositivos móveis.
Para dispositivos móveis, os seguintes clientes são bloqueados com base na política de Acesso Condicional criada em Exigir aplicativos aprovados e proteção APP:
- Clientes do Exchange ActiveSync que usam autenticação básica.
- Clientes do Exchange ActiveSync que suportam autenticação moderna, mas não suportam políticas de proteção de aplicações do Intune.
- Dispositivos que suportam políticas de proteção de aplicações do Intune, mas que não estão definidos na política.
Para bloquear conexões do Exchange ActiveSync usando autenticação básica em outros tipos de dispositivos (por exemplo, PCs), siga as etapas em Bloquear o Exchange ActiveSync em todos os dispositivos.
Limitar o acesso ao Exchange Online a partir do Outlook na Web
Você pode restringir a capacidade de os usuários baixarem anexos do Outlook na Web em dispositivos não gerenciados. Os usuários nesses dispositivos podem exibir e editar esses arquivos usando o Office Online sem vazar e armazenar os arquivos no dispositivo. Também pode impedir que os utilizadores vejam anexos num dispositivo não gerido.
Eis os passos:
Conecte-se ao PowerShell do Exchange Online.
Cada organização do Microsoft 365 com caixas de correio do Exchange Online tem uma política de caixa de correio interna do Outlook na Web (anteriormente conhecida como Outlook Web App ou OWA) chamada OwaMailboxPolicy-Default. Os administradores também podem criar políticas personalizadas.
Para ver as diretivas de caixa de correio do Outlook na Web disponíveis, execute o seguinte comando:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyPara permitir a visualização de anexos, mas sem download, execute o seguinte comando nas políticas afetadas:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPor exemplo:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPara bloquear anexos, execute o seguinte comando nas políticas afetadas:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedPor exemplo:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedNo portal do Azure, crie uma nova política de Acesso Condicional com estas configurações:
Atribuições Usuários e grupos: selecione os usuários e grupos apropriados>para incluir e excluir.
Atribuições Aplicações>ou ações>na nuvem Aplicações>na nuvem Incluir>Selecionar aplicações: Selecione Office 365 Exchange Online.
Controles>de acesso Sessão: selecione Usar restrições impostas pelo aplicativo.
Exigir que os dispositivos iOS e Android usem o Outlook
Para garantir que os dispositivos iOS e Android possam aceder ao conteúdo escolar ou profissional utilizando o Outlook apenas para iOS e Android, precisa de uma política de Acesso Condicional direcionada a esses potenciais utilizadores.
Consulte as etapas para configurar essa política em Gerenciar o acesso à colaboração de mensagens usando o Outlook para iOS e Android.
Configurar a encriptação de mensagens
Com a Encriptação de Mensagens Microsoft Purview, que utiliza as funcionalidades de proteção na Proteção de Informações do Azure, a sua organização pode facilmente partilhar e-mails protegidos com qualquer pessoa em qualquer dispositivo. Os usuários podem enviar e receber mensagens protegidas com outras organizações do Microsoft 365, bem como com não clientes usando o Outlook.com, o Gmail e outros serviços de email.
Para obter mais informações, consulte Configurar a criptografia de mensagens.
Próximos passos
Configure políticas de Acesso Condicional para:
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários