Compartir a través de

Recomendaciones de directivas para proteger el correo electrónico

  • Artículo

En este artículo se describe cómo proteger los clientes de correo electrónico y correo electrónico en la nube mediante la implementación de las directivas recomendadas de acceso a dispositivos e identidades de Confianza cero. Esta protección requiere clientes de correo electrónico y dispositivos compatibles con la autenticación moderna y el acceso condicional. Esta guía se basa en las directivas de acceso a dispositivos y identidades comunes e incluye recomendaciones adicionales.

Estas recomendaciones se basan en tres niveles diferentes de seguridad y protección que se pueden aplicar en función de la granularidad de sus necesidades: punto de partida, empresay seguridad especializada. Puede obtener más información sobre estos niveles de seguridad y los sistemas operativos cliente recomendados en la introducción a las directivas de seguridad y las configuraciones recomendadas.

Estas recomendaciones requieren el uso de clientes de correo electrónico modernos en dispositivos móviles. Outlook para iOS y Android admite las mejores características de Microsoft 365. Las funcionalidades de seguridad de Outlook para iOS y Android admiten el uso móvil y funcionan junto con otras características de seguridad en la nube de Microsoft. Para obtener más información, consulte Outlook para iOS y Android FAQ.

Actualización de directivas comunes para incluir correo electrónico

Para proteger el correo electrónico, en el diagrama siguiente se muestran las directivas que se van a actualizar de las directivas comunes de acceso a identidades y dispositivos.

Diagrama que muestra el resumen de las actualizaciones de directivas para proteger el acceso a Microsoft Exchange.

Observe la adición de una nueva directiva para Exchange Online para bloquear los clientes de ActiveSync. Esta directiva fuerza el uso de Outlook para iOS y Android en dispositivos móviles.

Si incluyó Exchange Online y Outlook en el ámbito de las directivas al configurarlas, solo tiene que crear la nueva directiva para bloquear los clientes de ActiveSync. Revise las directivas enumeradas en la tabla siguiente y realice las adiciones recomendadas para el correo electrónico o confirme que esta configuración ya está incluida. Cada directiva se vincula a las instrucciones de configuración asociadas de Directivas de acceso a dispositivos e identidades comunes.

Nivel de protección Directivas Más información
Punto de partida Exigir la MFA cuando el riesgo de inicio de sesión sea medio o alto Incluya Exchange Online en la asignación de aplicaciones en la nube.
Bloquear clientes que no admiten la autenticación moderna Incluya Exchange Online en la asignación de aplicaciones en la nube.
Aplicar directivas de protección de datos de APP Asegúrese de que Outlook está incluido en la lista de aplicaciones. Asegúrese de actualizar la directiva para cada plataforma (iOS, Android, Windows).
Requerir aplicaciones aprobadas o directivas de protección de aplicaciones Incluya Exchange Online en la lista de aplicaciones en la nube.
Comprobar que el reenvío automático de correo electrónico a destinatarios externos está deshabilitado De forma predeterminada, la directiva predeterminada de correo no deseado saliente bloquea el reenvío automático de correo electrónico externo, pero los administradores pueden cambiar la configuración.
bloquear clientes de Exchange ActiveSync Agregue esta nueva directiva.
Empresa Requiera MFA cuando el riesgo de inicio de sesión sea bajo, medio o alto Incluya Exchange Online en la asignación de aplicaciones en la nube.
Exigir PC y dispositivos móviles conformes Incluya Exchange Online en la lista de aplicaciones en la nube.
Seguridad especializada Exigir siempre la MFA Incluya Exchange Online en la asignación de aplicaciones en la nube.

Compruebe que el reenvío automático de correo electrónico a destinatarios externos está deshabilitado

De forma predeterminada, las políticas de spam saliente en Exchange Online Protection (EOP) bloquean el reenvío automático de correo electrónico a destinatarios externos mediante Reglas de bandeja de entrada o mediante reenvío a buzón de correo (también conocido como reenvío SMTP). Para obtener más información, consulte Controlar el reenvío automático de correo electrónico externo en Microsoft 365.

En todas las directivas de correo no deseado saliente, compruebe que el valor del parámetro Reglas de reenvío automático es Automático - Controlado por el sistema o Apagado - El reenvío está desactivado (ambos valores bloquean el reenvío automático de correo electrónico externo). Una directiva predeterminada se aplica a todos los usuarios y los administradores pueden crear directivas personalizadas que se aplican a grupos específicos de usuarios. Para obtener más información, consulte Configurar políticas de correo no deseado saliente en EOP.

Bloquear clientes de Exchange ActiveSync

Exchange ActiveSync sincroniza los datos de correo electrónico y calendario en dispositivos móviles y de escritorio.

En el caso de los dispositivos móviles, los siguientes clientes se bloquean en función de la directiva de acceso condicional creada en Requerir aplicaciones aprobadas o directivas de protección de aplicaciones:

  • Clientes de ActiveSync que usan la autenticación básica.
  • Clientes de ActiveSync que admiten la autenticación moderna, pero no las directivas de protección de aplicaciones de Intune.
  • Dispositivos que admiten directivas de protección de aplicaciones de Intune, pero que no se definen en la directiva.

Para bloquear las conexiones de ActiveSync que usan la autenticación básica en otros tipos de dispositivos (por ejemplo, equipos), siga los pasos descritos en Bloquear Exchange ActiveSync en todos los dispositivos.

Limitar el acceso a los datos adjuntos de correo electrónico en Outlook en la Web y el nuevo Outlook para Windows

Puede restringir que los usuarios de dispositivos no administrados descarguen datos adjuntos de correo electrónico en Outlook en la Web (anteriormente conocidos como Outlook Web App o OWA) y en el nuevo Outlook para Windows. Los usuarios pueden ver y editar estos archivos mediante Office Online sin necesidad de filtrar y almacenar los archivos en el dispositivo. También puede impedir que los usuarios vean datos adjuntos en Outlook en la Web y el nuevo Outlook para Windows en dispositivos no administrados.

Estas restricciones se aplican mediante las directivas de buzón de Outlook en la Web en Exchange Online. Cada organización de Microsoft 365 con buzones de Exchange Online tiene una directiva de buzón integrada de Outlook en la web denominada OwaMailboxPolicy-Default. De forma predeterminada, esta directiva se aplica a todos los usuarios. Los administradores también pueden crear directivas personalizadas que se aplican a grupos específicos de usuarios.

Estos son los pasos para limitar el acceso a los datos adjuntos de correo electrónico:

  1. Conéctese a Exchange Online PowerShell.

  2. Para ver las directivas de buzón de correo de Outlook disponibles en la web, ejecute el siguiente comando:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Para permitir la visualización, pero no descargar datos adjuntos, reemplace <PolicyName> por el nombre de la directiva afectada y, a continuación, ejecute el siguiente comando:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Por ejemplo:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Para bloquear la visualización de datos adjuntos, reemplace <PolicyName> por el nombre de la directiva afectada y, a continuación, ejecute el siguiente comando:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Por ejemplo:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. En la página Acceso condicional | Descripción general del centro de administración de Microsoft Entra en https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, crea una nueva directiva de Acceso condicional con la siguiente configuración:

    • Sección Asignaciones:

      • Usuarios: seleccione los usuarios y grupos adecuados para incluir y excluir en las pestañas Incluir y Excluir.
      • Recursos de destino: Seleccione a qué se aplica esta directiva>Recursos (anteriormente aplicaciones en la nube)>Incluir pestaña>Seleccionar recursos>Seleccionar> buscar y seleccionar Office 365 Exchange Online.

    • Sección Controles de acceso: Sesión> seleccione Usar restricciones impuestas por la aplicación.

    • Sección Habilitar política: Seleccionar Activar.

Requerir Outlook para iOS y Android en dispositivos móviles

Para requerir Outlook para iOS y Android para el acceso a los datos de la empresa, necesita una directiva de acceso condicional destinada a esos posibles usuarios.

Siga los pasos para configurar esta directiva en Administrar el acceso de colaboración de mensajería mediante Outlook para iOS y Android.

Configuración del cifrado de mensajes

Con el cifrado de mensajes de Microsoft Purview, que usa características de protección en Azure Information Protection, su organización puede compartir fácilmente el correo electrónico protegido con cualquier usuario de cualquier dispositivo. Los usuarios pueden enviar y recibir mensajes protegidos con otras organizaciones que usan Microsoft 365, Outlook.com, Gmail y otros servicios de correo electrónico.

Para obtener más información, vea Configurar la Encriptación de Mensajes.

Pasos siguientes

Captura de pantalla de las directivas para aplicaciones en la nube de Microsoft 365.

Configuración de directivas de acceso condicional para: