Sdílet prostřednictvím

Doporučení zásad pro zabezpečení e-mailů

  • Článek

Tento článek popisuje, jak implementovat doporučené zásady identit nulové důvěryhodnosti a přístupu zařízení k ochraně e-mailů a e-mailových klientů organizace, které podporují moderní ověřování a podmíněný přístup. Tyto pokyny vycházejí z běžných zásad identit a přístupu zařízení a také několik dalších doporučení.

Tato doporučení jsou založená na třech různých úrovních zabezpečení a ochrany, které je možné použít na základě členitosti vašich potřeb: výchozí bod, podnikovéa specializovanézabezpečení . Další informace o těchto úrovních zabezpečení a doporučených klientských operačních systémech najdete v doporučených zásadách zabezpečení a konfiguracích.

Tato doporučení vyžadují, aby vaši uživatelé používali moderní e-mailové klienty, včetně Outlooku pro iOS a Android na mobilních zařízeních. Outlook pro iOS a Android poskytují podporu pro nejlepší funkce Microsoftu 365. Tyto mobilní aplikace Outlook jsou také navrženy s funkcemi zabezpečení, které podporují mobilní použití a spolupracují s dalšími funkcemi zabezpečení cloudu Microsoftu. Další informace najdete v tématu Outlook pro iOS a Android – nejčastější dotazy.

Aktualizace běžných zásad tak, aby zahrnovaly e-mail

Aby se chránil e-mail, následující diagram znázorňuje, které zásady z běžných zásad identit a přístupu k zařízením je třeba aktualizovat.

diagram, který zobrazuje souhrn aktualizací zásad pro ochranu přístupu k serveru Microsoft Exchange.

Všimněte si, že přidání nové zásady pro Exchange Online blokuje klienty ActiveSync. Tato zásada nuceně prosazuje používání Outlooku pro iOS a Android na mobilních zařízeních.

Pokud jste při nastavování zásad zahrnuli Exchange Online a Outlook do rozsahu zásad, stačí vytvořit nové zásady, které budou blokovat klienty ActiveSync. Zkontrolujte zásady uvedené v následující tabulce a buď proveďte doporučené doplňky, nebo ověřte, že tato nastavení už jsou zahrnutá. Každá zásada odkazuje na přidružené pokyny ke konfiguraci ve společných zásadách identity a přístupu k zařízením .

Úroveň ochrany Zásady Další informace
výchozí bod Vyžadovat MFA, pokud je riziko přihlášení střední nebo vysoké Zahrnutí Exchange Online do přiřazení cloudových aplikací
Blokovat klienty, kteří nepodporují moderní ověřování Zahrnutí Exchange Online do přiřazení cloudových aplikací
Uplatněte zásady ochrany dat APP Ujistěte se, že je Outlook součástí seznamu aplikací. Nezapomeňte aktualizovat zásady pro každou platformu (iOS, Android, Windows).
Vyžadovat schválené aplikace nebo zásady ochrany aplikací Zahrnutí Exchange Online do seznamu cloudových aplikací
Blokovat klienty ActiveSync Přidat tuto novou zásadu
Enterprise Vyžadovat vícefaktorové ověřování když je nízké, střední nebo vysoké Zahrnutí Exchange Online do přiřazení cloudových aplikací
Vyžadovat kompatibilní počítače a mobilní zařízení Zahrnutí Exchange Online do seznamu cloudových aplikací
Specializované zabezpečení vždy vyžadovat vícefaktorové ověřování Zahrnutí Exchange Online do přiřazení cloudových aplikací

Blokovat klienty ActiveSync

Exchange ActiveSync se dá použít k synchronizaci zpráv a dat kalendáře na stolních a mobilních zařízeních.

U mobilních zařízení jsou následující klienti blokovaní na základě zásad podmíněného přístupu vytvořených v Vyžadovat schválené aplikace nebo zásady ochrany aplikací:

  • Klienti Exchange ActiveSync, kteří používají základní ověřování.
  • Klienti Exchange ActiveSync, kteří podporují moderní ověřování, ale nepodporují zásady ochrany aplikací Intune.
  • Zařízení, která podporují zásady ochrany aplikací Intune, ale nejsou definovaná v zásadách.

Pokud chcete blokovat připojení Exchange ActiveSync pomocí základního ověřování na jiných typech zařízení (například počítačů), postupujte podle kroků v Blokovat Exchange ActiveSync na všech zařízeních.

Omezení přístupu k Exchangi Online z Outlooku na webu

Uživatelům můžete omezit možnost stahovat přílohy z Outlooku na webu na nespravovaných zařízeních. Uživatelé na těchto zařízeních můžou tyto soubory prohlížet a upravovat pomocí Office Online bez úniku a ukládání souborů do zařízení. Uživatelům můžete také zablokovat zobrazování příloh na nespravovaném zařízení.

Tady jsou kroky:

  1. Připojení k prostředí Exchange Online PowerShell.

  2. Každá organizace Microsoftu 365 s poštovními schránkami Exchange Online má integrovanou zásadu poštovní schránky Outlooku na webu (dříve Označovanou jako Outlook Web App nebo OWA) s názvem OwaMailboxPolicy-Default. Správci můžou také vytvářet vlastní zásady.

    Pokud chcete zobrazit dostupné zásady outlooku pro webovou poštovní schránku, spusťte následující příkaz:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Pokud chcete povolit zobrazování příloh, ale bez stahování, spusťte v ovlivněných zásadách následující příkaz:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Například:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Pokud chcete blokovat přílohy, spusťte v ovlivněných zásadách následující příkaz:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Například:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. Na webu Azure Portal vytvořit novou zásadu podmíněného přístupu s těmito nastaveními:

    Přiřazení>Uživatelé a skupiny: Vyberte vhodné uživatele a skupiny, které chcete zahrnout a vyloučit.

    Přiřazení>cloudových aplikací nebo akcí>cloudových aplikací>Zahrnout>Vybrat aplikace: Vyberte Office 365 Exchange Online.

    Řízení přístupu>Relace: Vyberte Použít omezení vynucená aplikací.

Vyžadování, aby zařízení s iOSem a Androidem musela používat Outlook

Pokud chcete zajistit, aby zařízení s iOSem a Androidem měli přístup k pracovnímu nebo školnímu obsahu jenom v Outlooku pro iOS a Android, potřebujete zásady podmíněného přístupu, které budou cílit na potenciální uživatele.

Podívejte se na postup konfigurace této zásady v Správa přístupu ke spolupráci na zasílání zpráv pomocí Outlooku pro iOS a Android.

Nastavení šifrování zpráv

Díky šifrování zpráv Microsoft Purview, které používá funkce ochrany ve službě Azure Information Protection, může vaše organizace snadno sdílet chráněné e-maily s kýmkoli na jakémkoli zařízení. Uživatelé mohou posílat a přijímat chráněné zprávy s jinými organizacemi používajícími Microsoft 365 a s osobami, které nejsou zákazníky, používajícími Outlook.com, Gmail a další e-mailové služby.

Další informace naleznete v tématu Nastavení šifrování zpráv.

Další kroky

snímek obrazovky se zásadami pro cloudové aplikace Microsoft 365.

Konfigurace zásad podmíněného přístupu pro: