E-postanın güvenliğini sağlamaya yönelik ilke önerileri
Bu makalede, modern kimlik doğrulamasını ve koşullu erişimi destekleyen kuruluş e-postalarını ve e-posta istemcilerini korumak için önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerinin nasıl uygulandığı açıklanır. Bu kılavuz , Ortak kimlik ve cihaz erişim ilkelerine dayalıdır ve ayrıca birkaç ek öneri içerir.
Bu öneriler, gereksinimlerinizin ayrıntı düzeyine göre uygulanabilecek üç farklı güvenlik ve koruma katmanını temel alır: başlangıç noktası, kuruluş ve özel güvenlik. Önerilen güvenlik ilkeleri ve yapılandırmaları giriş bölümünde bu güvenlik katmanları ve önerilen istemci işletim sistemleri hakkında daha fazla bilgi edinebilirsiniz.
Bu öneriler, kullanıcılarınızın mobil cihazlarda iOS ve Android için Outlook da dahil olmak üzere modern e-posta istemcilerini kullanmasını gerektirir. iOS ve Android için Outlook, Microsoft 365'in en iyi özellikleri için destek sağlar. Bu mobil Outlook uygulamaları, mobil kullanımı destekleyen ve diğer Microsoft bulut güvenliği özellikleriyle birlikte çalışan güvenlik özellikleriyle de tasarlanır. Daha fazla bilgi için bkz. iOS ve Android için Outlook hakkında SSS.
Ortak ilkeleri e-posta içerecek şekilde güncelleştirme
Aşağıdaki diyagramda, e-postayı korumak için ortak kimlik ve cihaz erişim ilkelerinden hangi ilkelerin güncelleştirildiği gösterilmektedir.
ActiveSync istemcilerini engellemek için Exchange Online için yeni bir ilke ekli olduğunu unutmayın. Bu ilke, mobil cihazlarda iOS ve Android için Outlook'un kullanılmasını zorlar.
Exchange Online ve Outlook'u ayarlarken ilkelerin kapsamına eklediyseniz, yalnızca ActiveSync istemcilerini engellemek için yeni ilke oluşturmanız gerekir. Aşağıdaki tabloda listelenen ilkeleri gözden geçirin ve önerilen eklemeleri yapın veya bu ayarların zaten dahil olduğunu onaylayın. Her ilke , Ortak kimlik ve cihaz erişim ilkelerindeki ilişkili yapılandırma yönergelerine bağlanır.
| Koruma düzeyi | İlkeler | Daha fazla bilgi |
|---|---|---|
| Başlangıç noktası | Oturum açma riski orta veya yüksek olduğunda MFA gerektirme | Bulut uygulamalarının atamasında Exchange Online ekleme |
| Modern kimlik doğrulamayı desteklemeyen istemcileri engelleme | Bulut uygulamalarının atamasında Exchange Online ekleme | |
| APP veri koruma ilkelerini uygulama | Outlook'un uygulama listesine eklendiğinden emin olun. Her platform (iOS, Android, Windows) için ilkeyi güncelleştirin | |
| Onaylı uygulamalar ve APP koruması gerektirme | Bulut uygulamaları listesine Exchange Online ekleme | |
| ActiveSync istemcilerini engelleme | Bu yeni ilkeyi ekle | |
| Enterprise | Oturum açma riski düşük, orta veya yüksek olduğunda MFA gerektirme | Bulut uygulamalarının atamasında Exchange Online ekleme |
| Uyumlu bilgisayarlar ve mobil cihazlar gerektirme | Bulut uygulamaları listesine Exchange Online ekleme | |
| Özel güvenlik | Her zaman MFA iste | Bulut uygulamalarının atamasında Exchange Online ekleme |
ActiveSync istemcilerini engelleme
Exchange ActiveSync masaüstü ve mobil cihazlarda mesajlaşma ve takvim verilerini eşitlemek için kullanılabilir.
Mobil cihazlar için, aşağıdaki istemciler Onaylı uygulamalar ve APP koruması iste bölümünde oluşturulan Koşullu Erişim ilkesine göre engellenir:
- Temel kimlik doğrulaması kullanan istemcileri Exchange ActiveSync.
- Modern kimlik doğrulamasını destekleyen ancak Intune uygulama koruma ilkelerini desteklemeyen istemcileri Exchange ActiveSync.
- Intune uygulama koruma ilkelerini destekleyen ancak ilkede tanımlanmayan cihazlar.
Diğer cihaz türlerinde (örneğin, bilgisayarlarda) temel kimlik doğrulaması kullanarak Exchange ActiveSync bağlantıları engellemek için Tüm cihazlarda Exchange ActiveSync engelleme makalesindeki adımları izleyin.
Web üzerinde Outlook'den Exchange Online erişimini sınırlama
Kullanıcıların yönetilmeyen cihazlardaki ekleri Web üzerinde Outlook indirme özelliğini kısıtlayabilirsiniz. Bu cihazlardaki kullanıcılar, dosyaları cihaza sızdırıp depolamadan Office Online'ı kullanarak bu dosyaları görüntüleyebilir ve düzenleyebilir. Ayrıca, kullanıcıların yönetilmeyen bir cihazda ekleri görmesini de engelleyebilirsiniz.
Adımlar şunlardır:
Exchange Online posta kutularına sahip her Microsoft 365 kuruluşunun OwaMailboxPolicy-Default adlı yerleşik bir Web üzerinde Outlook (eski adıyla Outlook Web App veya OWA) posta kutusu ilkesi vardır. Yöneticiler özel ilkeler de oluşturabilir .
Kullanılabilir Web üzerinde Outlook posta kutusu ilkelerini görmek için aşağıdaki komutu çalıştırın:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyEklerin görüntülenmesine izin vermek ancak indirilmeyenlere izin vermek için etkilenen ilkelerde aşağıdaki komutu çalıştırın:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyÖrneğin:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyEkleri engellemek için etkilenen ilkelerde aşağıdaki komutu çalıştırın:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedÖrneğin:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedAzure portal şu ayarlarla yeni bir Koşullu Erişim ilkesi oluşturun:
Atama>Kullanıcılar ve gruplar: Dahil etmek ve dışlamak için uygun kullanıcıları ve grupları seçin.
Atama>Bulut uygulamaları veya eylemleri>Bulut uygulamaları>Içerir>Uygulamaları seçin: Office 365 Exchange Online'ı seçin.
Erişim denetimleri>Oturum: Uygulama tarafından zorlanan kısıtlamaları kullan'ı seçin.
iOS ve Android cihazlarının Outlook kullanmasını gerektir
iOS ve Android cihazlarının yalnızca iOS ve Android için Outlook'u kullanarak iş veya okul içeriğine erişebilmesini sağlamak için, bu olası kullanıcıları hedefleyen bir Koşullu Erişim ilkesine ihtiyacınız vardır.
iOS ve Android için Outlook'u kullanarak mesajlaşma işbirliği erişimini yönetme başlığında bu ilkeyi yapılandırma adımlarına bakın.
İleti şifrelemeyi ayarlama
Azure Information Protection'daki koruma özelliklerini kullanan Microsoft Purview İleti Şifrelemesi ile kuruluşunuz korumalı e-postaları herhangi bir cihazdaki herkesle kolayca paylaşabilir. Kullanıcılar, diğer Microsoft 365 kuruluşlarının yanı sıra Outlook.com, Gmail ve diğer e-posta hizmetlerini kullanan müşterilerle korumalı iletiler gönderebilir ve alabilir.
Daha fazla bilgi için bkz. İleti Şifrelemesini Ayarlama.
Sonraki adımlar
Koşullu Erişim ilkelerini yapılandırma:
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin