Freigeben über

Richtlinienempfehlungen zum Sichern von E-Mails

  • Artikel

In diesem Artikel wird beschrieben, wie Cloud-E-Mail- und E-Mail-Clients durch Implementieren der empfohlenen Zero Trust Identity- und Gerätezugriffsrichtlinien geschützt werden. Dieser Schutz erfordert E-Mail-Clients und Geräte, die moderne Authentifizierung und bedingten Zugriff unterstützen. Dieser Leitfaden basiert auf den Allgemeinen Identitäts- und Gerätezugriffsrichtlinien und enthält auch weitere Empfehlungen.

Diese Empfehlungen basieren auf drei verschiedenen Sicherheits- und Schutzebenen, die basierend auf der Granularität Ihrer Anforderungen angewendet werden können: Ausgangspunkt, Unternehmenund spezialisierte Sicherheit. Weitere Informationen zu diesen Sicherheitsstufen und den empfohlenen Clientbetriebssystemen finden Sie in den empfohlenen Sicherheitsrichtlinien und -konfigurationen.

Diese Empfehlungen erfordern die Verwendung moderner E-Mail-Clients auf mobilen Geräten. Outlook für iOS und Android unterstützt die besten Features von Microsoft 365. Die Sicherheitsfunktionen in Outlook für iOS und Android unterstützen die mobile Nutzung und Zusammenarbeit mit anderen Microsoft Cloud Security-Features. Weitere Informationen finden Sie unter häufig gestellte Fragen zu Outlook für iOS und Android.

Aktualisieren allgemeiner Richtlinien, um E-Mails einzuschließen

Zum Schutz von E-Mails veranschaulicht das folgende Diagramm, welche Richtlinien aus den allgemeinen Identitäts- und Gerätezugriffsrichtlinien aktualisiert werden sollen.

Diagramm, das die Zusammenfassung der Richtlinienupdates zum Schutz des Zugriffs auf Microsoft Exchange zeigt.

Beachten Sie das Hinzufügen einer neuen Richtlinie für Exchange Online zum Blockieren von ActiveSync-Clients. Diese Richtlinie erzwingt die Verwendung von Outlook für iOS und Android auf mobilen Geräten.

Wenn Sie Exchange Online und Outlook in den Umfang der Richtlinien einbezogen haben, wenn Sie sie einrichten, müssen Sie nur die neue Richtlinie erstellen, um ActiveSync-Clients zu blockieren. Überprüfen Sie die in der folgenden Tabelle aufgeführten Richtlinien, und stellen Sie die empfohlenen Ergänzungen für E-Mails vor, oder vergewissern Sie sich, dass diese Einstellungen bereits enthalten sind. Jede Richtlinie enthält einen Link zu den zugehörigen Konfigurationsanweisungen in den Allgemeinen Identitäts- und Gerätezugriffsrichtlinien.

Schutzebene Richtlinien Weitere Informationen
Startpunkt MFA bei einem Anmelderisiko mittel oder hoch verlangen Schließen Sie Exchange Online in die Zuweisung von Cloud-Apps ein.
Blockieren von Clients, die keine moderne Authentifizierung unterstützen Schließen Sie Exchange Online in die Zuweisung von Cloud-Apps ein.
Anwenden von APP-Datenschutzrichtlinien Stellen Sie sicher, dass Outlook in der Liste der Apps enthalten ist. Achten Sie darauf, die Richtlinie für jede Plattform (iOS, Android, Windows) zu aktualisieren.
Anfordern genehmigter Apps oder App-Schutzrichtlinien Schließen Sie Exchange Online in die Liste der Cloud-Apps ein.
Überprüfen Sie, ob die automatische E-Mail-Weiterleitung an externe Empfänger deaktiviert ist Standardmäßig blockiert die standardmäßige ausgehende Spamrichtlinie die automatische externe E-Mail-Weiterleitung, administratoren können die Einstellung jedoch ändern.
Blockieren von Exchange ActiveSync-Clients Fügen Sie diese neue Richtlinie hinzu.
Unternehmen MFA erfordern, wenn das Anmelderisiko niedrig, mitteloder hoch ist Schließen Sie Exchange Online in die Zuweisung von Cloud-Apps ein.
Kompatible PCs und Mobilgeräte verlangen Schließen Sie Exchange Online in die Liste der Cloud-Apps ein.
Spezielle Sicherheitsmaßnahmen Immer MFA verlangen Schließen Sie Exchange Online in die Zuweisung von Cloud-Apps ein.

Überprüfen, ob die automatische E-Mail-Weiterleitung an externe Empfänger deaktiviert ist

Standardmäßig blockieren ausgehende Spamrichtlinien in Exchange Online Protection (EOP) die automatische E-Mail-Weiterleitung an externe Empfänger durch Posteingangsregeln oder durch Postfachweiterleitung (auch als SMTP-Weiterleitungbezeichnet). Weitere Informationen finden Sie unter Automatische externe E-Mail-Weiterleitung in Microsoft 365 steuern.

Überprüfen Sie in allen ausgehenden Spamrichtlinien, ob der Wert der Einstellung Automatische Weiterleitungsregeln auf Automatisch – Systemgesteuert oder Aus – Weiterleitung ist deaktiviert festgelegt ist (beide Werte blockieren die automatische externe E-Mail-Weiterleitung). Eine Standardrichtlinie gilt für alle Benutzer, und Administratoren können benutzerdefinierte Richtlinien erstellen, die für bestimmte Benutzergruppen gelten. Weitere Informationen finden Sie unter Konfigurieren von ausgehenden Spamrichtlinien in EOP-.

Blockieren von Exchange ActiveSync-Clients

Exchange ActiveSync synchronisiert E-Mail- und Kalenderdaten auf Desktop- und mobilen Geräten.

Bei mobilen Geräten werden die folgenden Clients basierend auf der Richtlinie für den bedingten Zugriff blockiert, die in Richtlinien für genehmigte Apps und den App-Schutz verlangen erstellt wurde:

  • ActiveSync-Clients, die die Standardauthentifizierung verwenden.
  • ActiveSync-Clients, die moderne Authentifizierung unterstützen, jedoch keine Intune-App-Schutzrichtlinien.
  • Geräte, die Intune-App-Schutzrichtlinien unterstützen, aber nicht in der Richtlinie definiert sind.

Um ActiveSync-Verbindungen zu blockieren, die die Standardauthentifizierung auf anderen Gerätetypen verwenden (z. B. PCs), führen Sie die Schritte in Blockieren von Exchange ActiveSync auf allen Gerätenaus.

Einschränken des Zugriffs auf E-Mail-Anlagen in Outlook im Web und dem neuen Outlook für Windows

Sie können Benutzer auf nicht verwalteten Geräten daran hindern, E-Mail-Anhänge in Outlook im Web (früher bekannt als Outlook Web App oder OWA) und im neuen Outlook für Windows herunterzuladen. Benutzer können diese Dateien mithilfe von Office Online anzeigen und bearbeiten, ohne die Dateien auf dem Gerät zu speichern oder preiszugeben. Sie können auch verhindern, dass Benutzer überhaupt Anhänge in der Outlook Web-App und im neuen Outlook für Windows auf den nicht verwalteten Geräten sehen.

Sie setzen diese Einschränkungen mithilfe der Postfachrichtlinien für Outlook im Web in Exchange Online durch. Jede Microsoft 365-Organisation mit Exchange Online-Postfächern verfügt über eine integrierte Outlook im Internet Postfachrichtlinie mit dem Namen OwaMailboxPolicy-Default. Diese Richtlinie wird standardmäßig auf alle Benutzer angewendet. Administratoren können auch benutzerdefinierte Richtlinien erstellen, die für bestimmte Benutzergruppen gelten.

Gehen Sie wie folgt vor, um den Zugriff auf E-Mail-Anlagen einzuschränken:

  1. Herstellen einer Verbindung mit Exchange Online PowerShell

  2. Um die verfügbaren Postfachrichtlinien für Outlook im Web anzuzeigen, führen Sie den folgenden Befehl aus:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Um das Anzeigen, aber nicht herunterladen von Anlagen zuzulassen, ersetzen Sie <PolicyName> durch den Namen der betroffenen Richtlinie, und führen Sie dann den folgenden Befehl aus:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Zum Beispiel:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Um das Anzeigen von Anlagen zu blockieren, ersetzen Sie <PolicyName> durch den Namen der betroffenen Richtlinie, und führen Sie dann den folgenden Befehl aus:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Zum Beispiel:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. Auf der Seite Bedingter Zugriff | Übersicht im Microsoft Entra Admin-Center unter https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, erstellen Sie eine neue Richtlinie für bedingten Zugriff mit den folgenden Einstellungen.

    • Abschnitt Zuweisungen:

      • Benutzer: Wählen Sie geeignete Benutzer und Gruppen aus, die auf den Registerkarten Einschließen und Ausschließen ein- und ausgeschlossen werden sollen.
      • Zielressourcen: Wählen Sie aus, worauf diese Richtlinie angewendet werden soll>Ressourcen (früher Cloud-Apps)>Einschließen Registerkarte >Ressourcen auswählen>Auswählen> Suchen Sie die Option Office 365 Exchange Online, und wählen Sie sie aus.

    • Abschnitt Zugangskontrollen: Sitzung>, wählen Sie Von der App erzwungene Einschränkungen verwenden aus.

    • Abschnitt Richtlinie aktivieren: Wählen Sie die Option Ein aus.

Erfordern von Outlook für iOS und Android auf mobilen Geräten

Um Outlook für iOS und Android für den Zugriff auf Unternehmensdaten zu benötigen, benötigen Sie eine Richtlinie für bedingten Zugriff, die auf diese potenziellen Benutzer ausgerichtet ist.

Führen Sie zum Konfigurieren dieser Richtlinie die Schritte unter Verwalten des Zugriffs auf Messaging und Collaboration mit Outlook für iOS und Android aus.

Einrichten der Nachrichtenverschlüsselung

Mit der Microsoft Purview-Nachrichtenverschlüsselung, die Schutzfunktionen in Azure Information Protection verwendet, kann Ihre Organisation geschützte E-Mails problemlos für alle Benutzer auf jedem Gerät freigeben. Benutzer können geschützte Nachrichten mit anderen Organisationen senden und empfangen, die Microsoft 365, Outlook.com, Gmail und andere E-Mail-Dienste verwenden.

Weitere Informationen finden Sie unter Einrichten der Nachrichtenverschlüsselung.

Nächste Schritte

Screenshot der Richtlinien für Microsoft 365-Cloud-Apps.

Konfigurieren von Richtlinien für bedingten Zugriff für: