用于保护电子邮件的策略建议
本文介绍如何实现建议的零信任标识和设备访问策略,以保护支持新式身份验证和条件访问的组织电子邮件和电子邮件客户端。 本指南以 通用标识和设备访问策略 为基础,还包含一些其他建议。
这些建议基于三个不同的安全和保护层,可以根据需求粒度应用: 起点、 企业和 专用安全性。 可以在建议的安全 策略和配置简介中详细了解这些安全层和建议的客户端操作系统。
这些建议要求用户使用新式电子邮件客户端,包括移动设备上的 Outlook for iOS 和 Android。 Outlook for iOS 和 Android 支持 Microsoft 365 的最佳功能。 这些移动 Outlook 应用还构建了支持移动使用的安全功能,并与其他 Microsoft 云安全功能协同工作。 有关详细信息,请参阅 Outlook for iOS 和 Android 常见问题解答。
更新常见策略以包含电子邮件
为了保护电子邮件,下图说明了要从通用标识和设备访问策略更新的策略。
请注意,为Exchange Online添加了一个新策略来阻止 ActiveSync 客户端。 此策略强制在移动设备上使用 Outlook for iOS 和 Android。
如果在设置策略时将 Exchange Online 和 Outlook 包含在策略范围内,则只需创建新策略即可阻止 ActiveSync 客户端。 查看下表中列出的策略,然后进行建议的添加,或确认已包含这些设置。 每个策略链接到 通用标识和设备访问策略中的关联配置说明。
保护级别 | 策略 | 更多信息 |
---|---|---|
起点 | 当登录风险中等或较高时需要 MFA | 在云应用的分配中包含Exchange Online |
阻止不支持新式身份验证的客户端 | 在云应用的分配中包含Exchange Online | |
应用 APP 数据保护策略 | 确保 Outlook 包含在应用列表中。 请务必更新每个平台的策略 (iOS、Android、Windows) | |
需要批准的应用和应用保护 | 在云应用列表中包括Exchange Online | |
阻止 ActiveSync 客户端 | 添加此新策略 | |
企业 | 当登录风险较低、中等或较高时需要 MFA | 在云应用的分配中包含Exchange Online |
需要合规的电脑 和 移动设备 | 在云应用列表中包括Exchange Online | |
专用安全性 | 始终 需要 MFA | 在云应用的分配中包含Exchange Online |
阻止 ActiveSync 客户端
Exchange ActiveSync可用于在桌面和移动设备上同步消息传递和日历数据。
对于移动设备,根据在 “需要批准的应用和应用保护”中创建的条件访问策略阻止以下客户端:
- Exchange ActiveSync使用基本身份验证的客户端。
- Exchange ActiveSync支持新式身份验证但不支持Intune应用保护策略的客户端。
- 支持Intune应用保护策略但未在策略中定义的设备。
若要在其他类型的设备 ((例如电脑) )上使用基本身份验证阻止Exchange ActiveSync连接,请按照阻止所有设备上的Exchange ActiveSync中的步骤操作。
限制从Outlook 网页版访问Exchange Online
可以限制用户从非托管设备上的Outlook 网页版下载附件的功能。 这些设备上的用户可以使用 Office Online 查看和编辑这些文件,而不会泄露和存储设备上的文件。 还可以阻止用户查看非托管设备上的附件。
步骤如下:
每个具有Exchange Online邮箱的 Microsoft 365 组织都有一个名为 OwaMailboxPolicy-Default 的内置Outlook 网页版 (以前称为 Outlook Web App 或 OWA) 邮箱策略。 管理员还可以 创建自定义 策略。
若要查看可用的Outlook 网页版邮箱策略,请运行以下命令:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
若要允许查看附件但不允许下载,请对受影响的策略运行以下命令:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
例如:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
若要阻止附件,请对受影响的策略运行以下命令:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
例如:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
在Azure 门户中,使用以下设置创建新的条件访问策略:
作业>用户和组:选择要包括和排除的相应用户和组。
作业>云应用或操作>云应用>包括>选择应用:选择“Office 365 Exchange Online”。
访问控制>会话:选择“ 使用应用强制实施的限制”。
要求 iOS 和 Android 设备必须使用 Outlook
若要确保 iOS 和 Android 设备只能使用 Outlook for iOS 和 Android 访问工作或学校内容,需要针对这些潜在用户的条件访问策略。
请参阅 使用 Outlook for iOS 和 Android 管理邮件协作访问中配置此策略的步骤。
设置消息加密
借助使用 Azure 信息保护 中的保护功能的 Microsoft Purview 邮件加密,组织可以轻松地与任何设备上的任何人共享受保护的电子邮件。 用户可以使用 Outlook.com、Gmail 和其他电子邮件服务向其他 Microsoft 365 组织和非客户发送和接收受保护的邮件。
有关详细信息,请参阅 设置消息加密。
后续步骤
为以下项配置条件访问策略:
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈