用于保护电子邮件的策略建议

  • 项目

本文介绍如何实现建议的零信任标识和设备访问策略,以保护支持新式身份验证和条件访问的组织电子邮件和电子邮件客户端。 本指南以 通用标识和设备访问策略 为基础,还包含一些其他建议。

这些建议基于三个不同的安全和保护层,可以根据需求粒度应用: 起点企业专用安全性。 可以在建议的安全 策略和配置简介中详细了解这些安全层和建议的客户端操作系统。

这些建议要求用户使用新式电子邮件客户端,包括移动设备上的 Outlook for iOS 和 Android。 Outlook for iOS 和 Android 支持 Microsoft 365 的最佳功能。 这些移动 Outlook 应用还构建了支持移动使用的安全功能,并与其他 Microsoft 云安全功能协同工作。 有关详细信息,请参阅 Outlook for iOS 和 Android 常见问题解答

更新常见策略以包含电子邮件

为了保护电子邮件,下图说明了要从通用标识和设备访问策略更新的策略。

保护对 Microsoft Exchange 的访问的策略更新摘要

请注意,为Exchange Online添加了一个新策略来阻止 ActiveSync 客户端。 此策略强制在移动设备上使用 Outlook for iOS 和 Android。

如果在设置策略时将 Exchange Online 和 Outlook 包含在策略范围内,则只需创建新策略即可阻止 ActiveSync 客户端。 查看下表中列出的策略,然后进行建议的添加,或确认已包含这些设置。 每个策略链接到 通用标识和设备访问策略中的关联配置说明。

保护级别 策略 更多信息
起点 当登录风险中等较高时需要 MFA 在云应用的分配中包含Exchange Online
阻止不支持新式身份验证的客户端 在云应用的分配中包含Exchange Online
应用 APP 数据保护策略 确保 Outlook 包含在应用列表中。 请务必更新每个平台的策略 (iOS、Android、Windows)
需要批准的应用和应用保护 在云应用列表中包括Exchange Online
阻止 ActiveSync 客户端 添加此新策略
企业 当登录风险较低中等较高时需要 MFA 在云应用的分配中包含Exchange Online
需要合规的电脑 移动设备 在云应用列表中包括Exchange Online
专用安全性 始终 需要 MFA 在云应用的分配中包含Exchange Online

阻止 ActiveSync 客户端

Exchange ActiveSync可用于在桌面和移动设备上同步消息传递和日历数据。

对于移动设备,根据在 “需要批准的应用和应用保护”中创建的条件访问策略阻止以下客户端:

  • Exchange ActiveSync使用基本身份验证的客户端。
  • Exchange ActiveSync支持新式身份验证但不支持Intune应用保护策略的客户端。
  • 支持Intune应用保护策略但未在策略中定义的设备。

若要在其他类型的设备 ((例如电脑) )上使用基本身份验证阻止Exchange ActiveSync连接,请按照阻止所有设备上的Exchange ActiveSync中的步骤操作。

限制从Outlook 网页版访问Exchange Online

可以限制用户从非托管设备上的Outlook 网页版下载附件的功能。 这些设备上的用户可以使用 Office Online 查看和编辑这些文件,而不会泄露和存储设备上的文件。 还可以阻止用户查看非托管设备上的附件。

步骤如下:

  1. 连接到 Exchange Online PowerShell

  2. 每个具有Exchange Online邮箱的 Microsoft 365 组织都有一个名为 OwaMailboxPolicy-Default 的内置Outlook 网页版 (以前称为 Outlook Web App 或 OWA) 邮箱策略。 管理员还可以 创建自定义 策略。

    若要查看可用的Outlook 网页版邮箱策略,请运行以下命令:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. 若要允许查看附件但不允许下载,请对受影响的策略运行以下命令:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    例如:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. 若要阻止附件,请对受影响的策略运行以下命令:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    例如:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. 在Azure 门户中,使用以下设置创建新的条件访问策略

    作业>用户和组:选择要包括和排除的相应用户和组。

    作业>云应用或操作>云应用>包括>选择应用:选择“Office 365 Exchange Online”。

    访问控制>会话:选择“ 使用应用强制实施的限制”。

要求 iOS 和 Android 设备必须使用 Outlook

若要确保 iOS 和 Android 设备只能使用 Outlook for iOS 和 Android 访问工作或学校内容,需要针对这些潜在用户的条件访问策略。

请参阅 使用 Outlook for iOS 和 Android 管理邮件协作访问中配置此策略的步骤。

设置消息加密

借助使用 Azure 信息保护 中的保护功能的 Microsoft Purview 邮件加密,组织可以轻松地与任何设备上的任何人共享受保护的电子邮件。 用户可以使用 Outlook.com、Gmail 和其他电子邮件服务向其他 Microsoft 365 组织和非客户发送和接收受保护的邮件。

有关详细信息,请参阅 设置消息加密

后续步骤

Microsoft 365 云应用策略

为以下项配置条件访问策略: