E-postanın güvenliğini sağlamaya yönelik ilke önerileri
Bu makalede, modern kimlik doğrulamasını ve koşullu erişimi destekleyen kuruluş e-posta ve e-posta istemcilerini korumak için önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerinin nasıl uygulandığı açıklanır. Bu kılavuz, Ortak kimlik ve cihaz erişim ilkelerine dayalıdır ve ayrıca birkaç ek öneri içerir.
Bu öneriler, gereksinimlerinizin ayrıntı düzeyine göre uygulanabilen üç farklı güvenlik ve koruma katmanını temel alır: başlangıç noktası, kuruluş ve özel güvenlik. Önerilen güvenlik ilkeleri ve yapılandırmaları giriş bölümünde bu güvenlik katmanları ve önerilen istemci işletim sistemleri hakkında daha fazla bilgi edinebilirsiniz.
Bu öneriler, kullanıcılarınızın mobil cihazlarda iOS ve Android için Outlook da dahil olmak üzere modern e-posta istemcilerini kullanmasını gerektirir. iOS ve Android için Outlook, Microsoft 365'in en iyi özellikleri için destek sağlar. Bu mobil Outlook uygulamaları, mobil kullanımı destekleyen ve diğer Microsoft bulut güvenliği özellikleriyle birlikte çalışan güvenlik özellikleriyle de tasarlanır. Daha fazla bilgi için bkz . iOS ve Android için Outlook SSS.
Yaygın ilkeleri e-posta içerecek şekilde güncelleştirme
E-postayı korumak için, aşağıdaki diyagramda ortak kimlik ve cihaz erişim ilkelerinden hangi ilkelerin güncelleştirildiği gösterilmektedir.
ActiveSync istemcilerini engellemek için Exchange Online için yeni bir ilke eklendiğini unutmayın. Bu ilke, mobil cihazlarda iOS ve Android için Outlook kullanımını zorlar.
Exchange Online ve Outlook'u ayarlarken ilkelerin kapsamına eklediyseniz, yalnızca ActiveSync istemcilerini engellemek için yeni ilke oluşturmanız gerekir. Aşağıdaki tabloda listelenen ilkeleri gözden geçirin ve önerilen eklemeleri yapın veya bu ayarların zaten dahil edildiğini onaylayın. Her ilke, Ortak kimlik ve cihaz erişim ilkelerindeki ilişkili yapılandırma yönergelerine bağlanır.
| Koruma düzeyi | İlkeler | Daha Fazla Bilgi |
|---|---|---|
| Başlangıç noktası | Oturum açma riski orta veya yüksek olduğunda MFA gerektir | Bulut uygulamalarının atanma aşamasına Exchange Online'ın eklenmesi |
| Modern kimlik doğrulamayı desteklemeyen istemcileri engelleme | Bulut uygulamalarının atanma aşamasına Exchange Online'ın eklenmesi | |
| APP veri koruma ilkelerini uygulama | Outlook'un uygulama listesine eklendiğinden emin olun. Her platform (iOS, Android, Windows) için ilkeyi güncelleştirin | |
| Onaylı uygulamalar ve APP koruması gerektir | Exchange Online'ın bulut uygulamaları listesine eklenmesi | |
| ActiveSync istemcilerini engelleme | Bu yeni ilkeyi ekle | |
| Kurumsal | Oturum açma riski düşük, orta veya yüksek olduğunda MFA gerektir | Bulut uygulamalarının atanma aşamasına Exchange Online'ın eklenmesi |
| Uyumlu bilgisayarlar ve mobil cihazlar gerektir | Exchange Online'ın bulut uygulamaları listesine eklenmesi | |
| Özel güvenlik | Her zaman MFA iste | Bulut uygulamalarının atanma aşamasına Exchange Online'ın eklenmesi |
ActiveSync istemcilerini engelleme
Exchange ActiveSync, masaüstü ve mobil cihazlarda mesajlaşma ve takvim verilerini eşitlemek için kullanılabilir.
Mobil cihazlar için, aşağıdaki istemciler Onaylı uygulamalar ve APP koruması gerektir bölümünde oluşturulan Koşullu Erişim ilkesine göre engellenir:
- Temel kimlik doğrulaması kullanan Exchange ActiveSync istemcileri.
- Modern kimlik doğrulamasını destekleyen ancak Intune uygulama koruma ilkelerini desteklemeyen Exchange ActiveSync istemcileri.
- Intune uygulama koruma ilkelerini destekleyen ancak ilkede tanımlanmayan cihazlar.
Diğer cihaz türlerinde (örneğin, bilgisayarlarda) temel kimlik doğrulaması kullanarak Exchange ActiveSync bağlantılarını engellemek için Tüm cihazlarda Exchange ActiveSync'i engelleme makalesindeki adımları izleyin.
Exchange Online'a erişimi Web üzerinde Outlook sınırlama
Kullanıcıların yönetilmeyen cihazlardaki ekleri Web üzerinde Outlook indirme becerisini kısıtlayabilirsiniz. Bu cihazlardaki kullanıcılar, dosyaları cihaza sızdırıp depolamadan Office Online'ı kullanarak bu dosyaları görüntüleyebilir ve düzenleyebilir. Ayrıca, kullanıcıların yönetilmeyen bir cihazda ekleri görmesini de engelleyebilirsiniz.
Adımlar aşağıdaki gibidir:
Exchange Online PowerShell'e Bağlan.
Exchange Online posta kutularına sahip her Microsoft 365 kuruluşunda OwaMailboxPolicy-Default adlı yerleşik bir Web üzerinde Outlook (eski adıyla Outlook Web App veya OWA) posta kutusu ilkesi vardır. Yönetici özel ilkeler de oluşturabilir.
Kullanılabilir Web üzerinde Outlook posta kutusu ilkelerini görmek için aşağıdaki komutu çalıştırın:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyEklerin görüntülenmesine izin vermek ancak indirilmemesi için etkilenen ilkelerde aşağıdaki komutu çalıştırın:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyÖrneğin:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyEkleri engellemek için etkilenen ilkelerde aşağıdaki komutu çalıştırın:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedÖrneğin:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedAzure portalında şu ayarlarla yeni bir Koşullu Erişim ilkesi oluşturun:
Atamalar>Kullanıcılar ve gruplar: Dahil etmek ve dışlamak için uygun kullanıcıları ve grupları seçin.
Atamalar>Bulut uygulamaları veya eylemleri>Bulut uygulamaları>Dahil Uygulamaları seçin>: Office 365 Exchange Online'ı seçin.
Erişim denetimleri>Oturum: Uygulama zorunlu kısıtlamaları kullan'ı seçin.
iOS ve Android cihazlarının Outlook kullanması gerektir
iOS ve Android cihazlarının yalnızca iOS ve Android için Outlook'u kullanarak iş veya okul içeriğine erişebildiğinden emin olmak için, bu olası kullanıcıları hedefleyen bir Koşullu Erişim ilkesine ihtiyacınız vardır.
iOS ve Android için Outlook'u kullanarak mesajlaşma işbirliği erişimini yönetme başlığında bu ilkeyi yapılandırma adımlarına bakın.
İleti şifrelemeyi ayarlama
Azure Information Protection'daki koruma özelliklerini kullanan Microsoft Purview İleti Şifrelemesi ile kuruluşunuz korumalı e-postaları herhangi bir cihazdaki herkesle kolayca paylaşabilir. Kullanıcılar Outlook.com, Gmail ve diğer e-posta hizmetlerini kullanarak diğer Microsoft 365 kuruluşlarının yanı sıra müşteri olmayan kişilerle korumalı iletiler gönderebilir ve alabilir.
Daha fazla bilgi için bkz . İleti Şifrelemesini Ayarlama.
Sonraki adımlar
Koşullu Erişim ilkelerini yapılandırma:
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin