Recomendações de políticas para proteger o e-mail
Este artigo descreve como implementar as políticas recomendadas de identidade Confiança Zero e acesso de dispositivos para proteger os clientes de e-mail e e-mail organizacionais que suportam a autenticação moderna e o acesso condicional. Esta documentação de orientação baseia-se nas políticas de identidade comum e acesso a dispositivos e também inclui algumas recomendações adicionais.
Estas recomendações baseiam-se em três camadas diferentes de segurança e proteção que podem ser aplicadas com base na granularidade das suas necessidades: ponto de partida, empresa e segurança especializada. Pode saber mais sobre estes escalões de segurança e os sistemas operativos cliente recomendados na introdução de políticas e configurações de segurança recomendadas.
Estas recomendações exigem que os seus utilizadores utilizem clientes de e-mail modernos, incluindo o Outlook para iOS e Android em dispositivos móveis. O Outlook para iOS e Android fornece suporte para as melhores funcionalidades do Microsoft 365. Estas aplicações móveis do Outlook também são arquitetadas com capacidades de segurança que suportam a utilização de dispositivos móveis e trabalham em conjunto com outras capacidades de segurança na cloud da Microsoft. Para obter mais informações, consulte FAQ do Outlook para iOS e Android.
Atualizar políticas comuns para incluir e-mail
Para proteger o e-mail, o diagrama seguinte ilustra as políticas a atualizar a partir das políticas de acesso de identidade e dispositivo comuns.
Tenha em atenção a adição de uma nova política para Exchange Online bloquear clientes do ActiveSync. Esta política força a utilização do Outlook para iOS e Android em dispositivos móveis.
Se incluiu o Exchange Online e o Outlook no âmbito das políticas quando as configurou, só precisa de criar a nova política para bloquear clientes do ActiveSync. Reveja as políticas listadas na tabela seguinte e faça as adições recomendadas ou confirme que estas definições já estão incluídas. Cada política está ligada às instruções de configuração associadas em Políticas de identidade comuns e de acesso de dispositivos.
| Nível de proteção | Políticas | Mais informações |
|---|---|---|
| Ponto de partida | Exigir MFA quando o risco de início de sessão é médio ou elevado | Incluir Exchange Online na atribuição de aplicações na cloud |
| Bloquear clientes que não suportam a autenticação moderna | Incluir Exchange Online na atribuição de aplicações na cloud | |
| Aplicar políticas de proteção de dados da APLICAÇÃO | Certifique-se de que o Outlook está incluído na lista de aplicações. Certifique-se de que atualiza a política para cada plataforma (iOS, Android, Windows) | |
| Exigir aplicações aprovadas e proteção de APLICAÇÕES | Incluir Exchange Online na lista de aplicações na cloud | |
| Bloquear clientes ActiveSync | Adicionar esta nova política | |
| Enterprise | Exigir MFA quando o risco de início de sessão é baixo, médio ou elevado | Incluir Exchange Online na atribuição de aplicações na cloud |
| Exigir PCs compatíveis e dispositivos móveis | Incluir Exchange Online na lista de aplicações na cloud | |
| Segurança especializada | Exigir sempre MFA | Incluir Exchange Online na atribuição de aplicações na cloud |
Bloquear clientes ActiveSync
Exchange ActiveSync podem ser utilizadas para sincronizar dados de mensagens e calendário em dispositivos móveis e de ambiente de trabalho.
Para dispositivos móveis, os seguintes clientes são bloqueados com base na política de Acesso Condicional criada em Exigir aplicações aprovadas e proteção de APLICAÇÕES:
- Exchange ActiveSync clientes que utilizam autenticação básica.
- Exchange ActiveSync clientes que suportam a autenticação moderna, mas não suportam políticas de proteção de aplicações Intune.
- Os dispositivos que suportam Intune políticas de proteção de aplicações, mas que não estão definidos na política.
Para bloquear Exchange ActiveSync ligações através da autenticação básica noutros tipos de dispositivos (por exemplo, PCs), siga os passos em Bloquear Exchange ActiveSync em todos os dispositivos.
Limitar o acesso a Exchange Online a partir de Outlook na Web
Pode restringir a capacidade de os utilizadores transferirem anexos de Outlook na Web em dispositivos não geridos. Os utilizadores nestes dispositivos podem ver e editar estes ficheiros com o Office Online sem fugas e armazenamento dos ficheiros no dispositivo. Também pode impedir que os utilizadores vejam anexos num dispositivo não gerido.
Eis os passos:
Todas as organizações do Microsoft 365 com Exchange Online caixas de correio têm uma política de caixa de correio do Outlook na Web (anteriormente conhecida como Outlook Web App ou OWA) denominada OwaMailboxPolicy-Default. Os administradores também podem criar políticas personalizadas.
Para ver as políticas de caixa de correio Outlook na Web disponíveis, execute o seguinte comando:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyPara permitir a visualização de anexos, mas sem transferências, execute o seguinte comando nas políticas afetadas:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPor exemplo:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPara bloquear anexos, execute o seguinte comando nas políticas afetadas:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedPor exemplo:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedNa portal do Azure, crie uma nova política de Acesso Condicional com estas definições:
Atribuições>Utilizadores e grupos: selecione utilizadores e grupos adequados para incluir e excluir.
Atribuições>Aplicações ou ações na cloud>Aplicações na cloud>Incluir>Selecionar aplicações: selecione Office 365 Exchange Online.
Controlos de acesso>Sessão: selecione Utilizar restrições impostas pela aplicação.
Exigir que os dispositivos iOS e Android utilizem o Outlook
Para garantir que os dispositivos iOS e Android podem aceder a conteúdos escolares ou profissionais apenas com o Outlook para iOS e Android, precisa de uma política de Acesso Condicional destinada a esses potenciais utilizadores.
Veja os passos para configurar esta política em Gerir o acesso de colaboração de mensagens com o Outlook para iOS e Android.
Configurar a encriptação de mensagens
Com Encriptação de Mensagens do Microsoft Purview, que utiliza as funcionalidades de proteção no Azure Information Protection, a sua organização pode partilhar facilmente e-mails protegidos com qualquer pessoa em qualquer dispositivo. Os utilizadores podem enviar e receber mensagens protegidas com outras organizações do Microsoft 365, bem como com não clientes que utilizem Outlook.com, Gmail e outros serviços de e-mail.
Para obter mais informações, veja Configurar a Encriptação de Mensagens.
Passos seguintes
Configurar políticas de Acesso Condicional para:
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários