Поделиться через


Рекомендации по политике для защиты электронной почты

В этой статье описывается, как реализовать рекомендуемые политики удостоверений и доступа к устройствам для защиты электронной почты организации и клиентов электронной почты, поддерживающих современную проверку подлинности и условный доступ. Это руководство основывается на общих политиках доступа к удостоверениям и устройствам, а также содержит несколько дополнительных рекомендаций.

Эти рекомендации основаны на трех различных уровнях безопасности и защиты, которые могут применяться на основе детализации ваших потребностей: начальной точки, предприятия и специализированной безопасности. Дополнительные сведения об этих уровнях безопасности и рекомендуемых клиентских операционных системах см. в рекомендациях по политикам безопасности и конфигурациям.

Эти рекомендации требуют, чтобы пользователи использовали современные почтовые клиенты, включая Outlook для iOS и Android на мобильных устройствах. Outlook для iOS и Android обеспечивают поддержку лучших функций Microsoft 365. Эти мобильные приложения Outlook также архитекторы с возможностями безопасности, которые поддерживают использование мобильных устройств и работают вместе с другими возможностями облачной безопасности Майкрософт. Дополнительные сведения см. в статье "Вопросы и ответы о Outlook для iOS и Android".

Обновление распространенных политик для включения электронной почты

Для защиты электронной почты на следующей схеме показано, какие политики следует обновить из общих политик идентификации и доступа к устройствам.

На схеме показана сводка обновлений политики для защиты доступа к Microsoft Exchange.

Обратите внимание, что добавление новой политики для Exchange Online для блокировки клиентов ActiveSync. Эта политика принудительно использует Outlook для iOS и Android на мобильных устройствах.

Если вы включили Exchange Online и Outlook в область политик при их настройке, необходимо только создать новую политику для блокировки клиентов ActiveSync. Просмотрите политики, перечисленные в следующей таблице, и внесите рекомендуемые дополнения или убедитесь, что эти параметры уже включены. Каждая политика ссылается на связанные инструкции по настройке в общих политиках идентификации и доступа к устройствам.

Уровень защиты Политики Дополнительные сведения
Начальная точка Требовать многофакторную проверку подлинности, если риск входа является средним или высоким Включение Exchange Online в назначение облачных приложений
Блокировать клиенты, не поддерживающие современную проверку подлинности Включение Exchange Online в назначение облачных приложений
Применение политик защиты данных APP Убедитесь, что Outlook включен в список приложений. Обязательно обновите политику для каждой платформы (iOS, Android, Windows)
Требовать утвержденные приложения и защиту приложений Включение Exchange Online в список облачных приложений
Блокировать клиенты ActiveSync Добавление этой новой политики
Функции корпоративного уровня Требовать многофакторную проверку подлинности, если риск входа низкий, средний или высокий Включение Exchange Online в назначение облачных приложений
Требовать совместимые компьютеры и мобильные устройства Включение Exchange Online в список облачных приложений
Специализированная безопасность Всегда требуется многофакторная проверка подлинности Включение Exchange Online в назначение облачных приложений

Блокировать клиенты ActiveSync

Exchange ActiveSync можно использовать для синхронизации данных обмена сообщениями и календаря на настольных и мобильных устройствах.

Для мобильных устройств следующие клиенты блокируются на основе политики условного доступа, созданной в разделе "Требовать утвержденные приложения" и "Защита приложений".

  • Клиенты Exchange ActiveSync, использующие обычную проверку подлинности.
  • Клиенты Exchange ActiveSync, поддерживающие современную проверку подлинности, но не поддерживают политики защиты приложений Intune.
  • Устройства, поддерживающие политики защиты приложений Intune, но не определены в политике.

Чтобы заблокировать подключения Exchange ActiveSync с помощью базовой проверки подлинности на других типах устройств (например, пк), выполните действия, описанные в разделе "Блокировать Exchange ActiveSync" на всех устройствах.

Ограничение доступа к Exchange Online из Outlook в Интернете

Вы можете ограничить возможность пользователям загружать вложения из Outlook в Интернете на неуправляемых устройствах. Пользователи на этих устройствах могут просматривать и изменять эти файлы с помощью Office Online без утечки и хранения файлов на устройстве. Кроме того, пользователи могут блокировать просмотр вложений на неуправляемом устройстве.

Ниже приведены шаги.

  1. Подключение в Exchange Online PowerShell.

  2. Каждая организация Microsoft 365 с почтовыми ящиками Exchange Online имеет встроенную Outlook в Интернете (ранее называемую политикой почтовых ящиков Outlook Web App или OWA) с именем OwaMailboxPolicy-Default. Администратор также могут создавать пользовательские политики.

    Чтобы просмотреть доступные политики почтовых ящиков Outlook в Интернете, выполните следующую команду:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
    
  3. Чтобы разрешить просмотр вложений, но не скачивать, выполните следующую команду в затронутых политиках:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
    

    Например:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
    
  4. Чтобы заблокировать вложения, выполните следующую команду в затронутых политиках:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
    

    Например:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
    
  5. В портал Azure создайте новую политику условного доступа с этими параметрами:

    >Назначения пользователей и групп: выберите соответствующих пользователей и групп для включения и исключения.

    Назначения облачных приложений или действий>Облачные>приложения>включают>выбор приложений: выберите Office 365 Exchange Online.

    Сеанс управления доступом>: выберите "Использовать примененные приложения" ограничения.

Требовать, чтобы устройства iOS и Android использовали Outlook

Чтобы убедиться, что устройства iOS и Android могут получить доступ к рабочему или учебному содержимому с помощью Outlook для iOS и Android, вам потребуется политика условного доступа, предназначенная для этих потенциальных пользователей.

Инструкции по настройке этой политики в управлении доступом для совместной работы обмена сообщениями с помощью Outlook для iOS и Android.

Настройка шифрования сообщений

С помощью Шифрование сообщений Microsoft Purview, которая использует функции защиты в Azure Information Protection, ваша организация может легко предоставлять доступ к защищенной электронной почте любому пользователю на любом устройстве. Пользователи могут отправлять и получать защищенные сообщения с другими организациями Microsoft 365, а также не клиентами с помощью Outlook.com, Gmail и других служб электронной почты.

Дополнительные сведения см. в разделе "Настройка шифрования сообщений".

Следующие шаги

Снимок экрана: политики для облачных приложений Microsoft 365.

Настройка политик условного доступа для следующих условий: