Sdílet prostřednictvím

Doporučení zásad pro zabezpečení e-mailů

  • Článek

Tento článek popisuje, jak chránit cloudové e-maily a e-mailové klienty implementací doporučených zásad identity nulové důvěryhodnosti a přístupu k zařízením. Tato ochrana vyžaduje e-mailové klienty a zařízení, která podporují moderní ověřování a podmíněný přístup. Tyto pokyny vycházejí z běžných zásad identit a přístupu zařízení a zahrnují také další doporučení.

Tato doporučení jsou založená na třech různých úrovních zabezpečení a ochrany, které je možné použít na základě členitosti vašich potřeb: výchozí bod, podnikovéa specializovanézabezpečení . Další informace o těchto úrovních zabezpečení a doporučených klientských operačních systémech najdete v doporučených zásadách zabezpečení a konfiguracích.

Tato doporučení vyžadují používání moderních e-mailových klientů na mobilních zařízeních. Outlook pro iOS a Android podporuje nejlepší funkce Microsoftu 365. Možnosti zabezpečení v Outlooku pro iOS a Android podporují mobilní použití a spolupracují s dalšími funkcemi zabezpečení cloudu Microsoftu. Další informace najdete v tématu Outlook pro iOS a Android – nejčastější dotazy.

Aktualizace běžných zásad tak, aby zahrnovaly e-mail

Aby se chránil e-mail, následující diagram znázorňuje, které zásady z běžných zásad identit a přístupu k zařízením je třeba aktualizovat.

diagram, který zobrazuje souhrn aktualizací zásad pro ochranu přístupu k serveru Microsoft Exchange.

Všimněte si přidání nových zásad pro Exchange Online, které blokují klienty ActiveSync. Tato zásada nuceně prosazuje používání Outlooku pro iOS a Android na mobilních zařízeních.

Pokud jste při nastavování zásad zahrnuli Exchange Online a Outlook do rozsahu zásad, stačí vytvořit nové zásady, které budou blokovat klienty ActiveSync. Zkontrolujte zásady uvedené v následující tabulce a proveďte doporučené doplňky pro e-mail nebo ověřte, že tato nastavení už jsou zahrnutá. Každá zásada odkazuje na přidružené pokyny ke konfiguraci ve společných zásadách identity a přístupu k zařízením .

Úroveň ochrany Zásady Další informace
výchozí bod Vyžadovat MFA, pokud je riziko přihlášení střední nebo vysoké Zahrňte Exchange Online do přiřazení cloudových aplikací.
Blokovat klienty, kteří nepodporují moderní ověřování Zahrňte Exchange Online do přiřazení cloudových aplikací.
Uplatněte zásady ochrany dat APP Ujistěte se, že je Outlook součástí seznamu aplikací. Nezapomeňte aktualizovat zásady pro každou platformu (iOS, Android, Windows).
Vyžadovat schválené aplikace nebo zásady ochrany aplikací Do seznamu cloudových aplikací zahrňte Exchange Online.
Ověření automatického přeposílání e-mailů externím příjemcům je zakázáno Ve výchozím nastavení výchozí zásady odchozího spamu blokují automatické přeposílání externích e-mailů, ale správci můžou nastavení změnit.
Blokování klientů Exchange ActiveSync Přidejte tuto novou zásadu.
Enterprise Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střednínebo vysoké Zahrňte Exchange Online do přiřazení cloudových aplikací.
Vyžadovat kompatibilní počítače a mobilní zařízení Do seznamu cloudových aplikací zahrňte Exchange Online.
Specializované zabezpečení vždy vyžadovat vícefaktorové ověřování Zahrňte Exchange Online do přiřazení cloudových aplikací.

Ověření, že je automatické přeposílání e-mailů externím příjemcům zakázané

Ve výchozím nastavení zásady odchozího spamu v Exchangi Online Protection (EOP) blokují automatické přesměrování e-mailů externím příjemcům pravidly doručené pošty nebo přesměrováním poštovní schránky (označované také jako předávání SMTP). Další informace najdete v tématu Řízení automatického přeposílání externích e-mailů v Microsoftu 365.

Ve všech zásadách odchozího spamu ověřte, že hodnota pravidel automatického předávání nastavení automatického předávání je Automatická – systémově řízená nebo Vypnuto – Přesměrování je zakázané (obě hodnoty blokují automatické externí přeposílání e-mailů). Výchozí zásady platí pro všechny uživatele a správci můžou vytvářet vlastní zásady, které platí pro konkrétní skupiny uživatelů. Další informace najdete v Konfigurace zásad odchozího spamu v EOP.

Blokování klientů Exchange ActiveSync

Exchange ActiveSync synchronizuje data e-mailu a kalendáře na stolních a mobilních zařízeních.

U mobilních zařízení jsou následující klienti blokovaní na základě zásad podmíněného přístupu vytvořených v Vyžadovat schválené aplikace nebo zásady ochrany aplikací:

  • Klienti ActiveSync, kteří používají základní ověřování.
  • Klienti ActiveSync, kteří podporují moderní ověřování, ale ne zásady ochrany aplikací Intune.
  • Zařízení, která podporují zásady ochrany aplikací Intune, ale nejsou v zásadách definovaná.

Pokud chcete blokovat připojení ActiveSync, která používají základní autentizaci na jiných typech zařízení (například počítače), postupujte podle kroků v Blokovat Exchange ActiveSync na všech zařízeních.

Omezení přístupu k e-mailovým přílohům v Outlooku na webu a novém Outlooku pro Windows

Uživatelům na nespravovaných zařízeních můžete omezit stahování e-mailových příloh v Outlooku na webu (dříve Outlook Web App nebo OWA) a v novém Outlooku pro Windows. Uživatelé můžou tyto soubory prohlížet a upravovat pomocí Office Online bez úniku a ukládání souborů na zařízení. Uživatelům můžete také zablokovat zobrazování příloh v Outlooku na webu a nové Outlooku pro Windows na nespravovaných zařízeních.

Tato omezení vynucujete pomocí zásad poštovní schránky v Outlooku na webu v Exchangi Online. Každá organizace Microsoftu 365 s poštovními schránkami Exchange Online má integrovanou zásadu Outlooku pro webovou poštovní schránku s názvem OwaMailboxPolicy-Default. Ve výchozím nastavení se tato zásada použije pro všechny uživatele. Správci můžou také vytvářet vlastní zásady, které platí pro konkrétní skupiny uživatelů.

Tady je postup, jak omezit přístup k e-mailovým přílohům:

  1. Připojení k prostředí Exchange Online PowerShell.

  2. Pokud chcete zobrazit dostupné zásady outlooku pro webovou poštovní schránku, spusťte následující příkaz:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Pokud chcete povolit zobrazování příloh, ale ne jejich stahování, nahraďte <PolicyName> názvem ovlivněné zásady a spusťte následující příkaz:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Například:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Pokud chcete blokovat zobrazování příloh, nahraďte <PolicyName> názvem ovlivněné zásady a spusťte následující příkaz:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Například:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. V podmíněném přístupu | Přehled stránku v Centru pro správu Microsoft Entra na https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, vytvořit novou zásadu podmíněného přístupu s následujícími nastaveními:

    • Úkoly sekce:

      • Uživatelé: Na kartách Zahrnout a Vyloučit vyberte vhodné uživatele a skupiny, které chcete zahrnout a vyloučit.
      • Cílové prostředky: Vyberte, na co se tato zásada vztahuje>Prostředky (dříve cloudové aplikace)>Zahrnout kartu>Vyberte prostředky>Vybrat> najít a vybrat Office 365 Exchange Online.

    • v sekci Řízení přístupu: Relace> vyberte Použít omezení vynucená aplikací.

    • Povolit zásady oddíl: Vyberte Zapnuto.

Vyžadování Outlooku pro iOS a Android na mobilních zařízeních

Pokud chcete vyžadovat Outlook pro iOS a Android pro přístup k firemním datům, potřebujete zásady podmíněného přístupu, které cílí na tyto potenciální uživatele.

Postupujte podle pokynů ke konfiguraci této zásady v Správa přístupu ke spolupráci na zasílání zpráv pomocí Outlooku pro iOS a Android.

Nastavení šifrování zpráv

Díky šifrování zpráv Microsoft Purview, které používá funkce ochrany ve službě Azure Information Protection, může vaše organizace snadno sdílet chráněné e-maily s kýmkoli na libovolném zařízení. Uživatelé můžou posílat a přijímat chráněné zprávy s jinými organizacemi, které používají Microsoft 365, Outlook.com, Gmail a další e-mailové služby.

Další informace naleznete v tématu Nastavení šifrování zpráv.

Další kroky

snímek obrazovky se zásadami pro cloudové aplikace Microsoft 365.

Konfigurace zásad podmíněného přístupu pro: