通过

有关保护电子邮件的策略建议

  • 项目

本文介绍如何实施建议的零信任标识和设备访问策略,以保护支持新式身份验证和条件访问的组织电子邮件和电子邮件客户端。 本指南基于通用标识和设备访问策略,还包括一些其他建议。

这些建议基于三个不同的安全性和防护层级,可根据需求粒度进行应用:起点企业专业安全性。 可以在建议的安全策略和配置简介中详细了解这些安全层和建议的客户端操作系统。

这些建议要求你的用户使用新式电子邮件客户端,包括移动设备上的 iOS 和 Android 版 Outlook。 iOS 和 Android 版 Outlook 为 Microsoft 365 的最佳功能提供支持。 这些移动 Outlook 应用还构建了支持移动使用的安全功能,可与其他 Microsoft 云安全功能协同工作。 有关详细信息,请参阅 iOS 和 Android 版 Outlook 常见问题解答

更新常用策略以包含电子邮件

为了保护电子邮件,下图说明了要从通用标识和设备访问策略更新的策略。

此图显示了保护对 Microsoft Exchange 的访问的策略更新摘要。

请注意,为 Exchange Online 添加了阻止 ActiveSync 客户端的新策略。 此策略强制在移动设备上使用 iOS 和 Android 版 Outlook。

如果在设置策略时将 Exchange Online 和 Outlook 包含在策略范围内,则只需创建新策略来阻止 ActiveSync 客户端。 查看下表中列出的策略,然后进行建议的添加,或确认这些设置已包含在内。 在常见标识和设备访问策略中,每个策略都链接到相关的配置说明。

保护级别 策略 详细信息
起点 登录风险为时需要 MFA 在云应用的分配中包含 Exchange Online
阻止不支持新式验证的客户端 在云应用的分配中包含 Exchange Online
应用 APP 数据保护策略 请确保 Outlook 包含在应用列表中。 请务必更新每个平台(iOS、Android、Windows)的策略
需要批准的应用和应用保护 在云应用列表中包含 Exchange Online
阻止 ActiveSync 客户端 添加此新策略
企业 登录风险为时需要 MFA 在云应用的分配中包含 Exchange Online
需要合规的电脑移动设备 在云应用列表中包含 Exchange Online
专用安全性 始终需要 MFA 在云应用的分配中包含 Exchange Online

阻止 ActiveSync 客户端

Exchange ActiveSync 可用于同步桌面和移动设备上的消息和日历数据。

对于移动设备,根据在“需要批准的应用和应用保护”中创建的条件访问策略阻止以下客户端:

  • 使用基本身份验证的 Exchange ActiveSync 客户端。
  • 支持新式身份验证但不支持 Intune 应用保护策略的 Exchange ActiveSync 客户端。
  • 支持 Intune 应用保护策略但未在策略中定义的设备。

若要在其他类型的设备(例如电脑)上使用基本身份验证阻止 Exchange ActiveSync 连接,请按照在所有设备上阻止 Exchange ActiveSync 中的步骤操作。

限制从 Outlook 网页版访问 Exchange Online

你可以限制用户从非管理的设备上的 Outlook 网页版下载附件的能力。 这些设备上的用户可以使用 Office Online 查看和编辑这些文件,而不会将文件泄露并存储在设备上。 还可以阻止用户查看非管理的设备上的附件。

步骤如下:

  1. 连接到 Exchange Online PowerShell

  2. 每个具有 Exchange Online 邮箱的 Microsoft 365 组织都有一个名为 OwaMailboxPolicy-Default 的内置 Outlook 网页版(前 Outlook Web App 或 OWA)邮箱策略。 管理员还可以创建自定义策略。

    若要查看可用的 Outlook 网页版邮箱策略,请运行以下命令:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. 若要允许查看附件但不允许下载,请在受影响的策略上运行以下命令:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    例如:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. 若要阻止附件,请在受影响的策略上运行以下命令:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    例如:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. 在 Azure 门户中,使用以下设置创建新的条件访问策略

    “分配”>“用户和组”:选择要包含和排除的相应用户和组。

    “分配”>“云应用或操作”>“云应用”>“包含”>“选择应用”:选择“Office 365 Exchange Online”。

    “访问控制”>“会话”:选择“使用应用强制实施的限制”。

要求 iOS 和 Android 设备必须使用 Outlook

若要确保 iOS 和 Android 设备只能使用 iOS 和 Android 版 Outlook 访问工作或学校内容,需要面向这些潜在用户的条件访问策略。

请参阅使用 iOS 和 Android 版 Outlook 管理消息协作访问中配置此策略的步骤。

设置消息加密

借助 Microsoft Purview 消息加密(它使用了 Azure 信息保护中的保护功能),组织可以轻松地与任何设备上的任何人共享受保护的电子邮件。 用户可以与其他 Microsoft 365 组织以及使用 Outlook.com、Gmail 和其他电子邮件服务的非客户进行受保护消息的发送和接收。

有关详细信息,请参阅设置消息加密

后续步骤

Microsoft 365 云应用的策略的屏幕截图。

为以下项配置条件访问策略: