Partage via

Recommandations de stratégie pour la sécurisation de l’e-mail

  • Article

Cet article explique comment protéger les clients de messagerie et de messagerie cloud en implémentant les stratégies d’accès aux identités et aux appareils Confiance Zéro recommandées. Cette protection nécessite des clients et des appareils de messagerie qui prennent en charge l’authentification moderne et l’accès conditionnel. Ces orientations s'appuient sur les politiques communes en matière d'identité et d'accès aux dispositifs et comprennent également des recommandations supplémentaires.

Ces recommandations sont basées sur trois niveaux de sécurité et de protection différents qui peuvent être appliqués en fonction de la granularité de vos besoins : point de départ, entrepriseet de sécurité spécialisée. Pour en savoir plus sur ces niveaux de sécurité et sur les systèmes d'exploitation clients recommandés, reportez-vous à l'introduction sur les stratégies et configurations de sécurité recommandées.

Ces recommandations nécessitent l’utilisation de clients de messagerie modernes sur des appareils mobiles. Outlook pour iOS et Android prend en charge les meilleures fonctionnalités de Microsoft 365. Les fonctionnalités de sécurité dans Outlook pour iOS et Android prennent en charge l’utilisation mobile et fonctionnent avec d’autres fonctionnalités de sécurité cloud Microsoft. Pour plus d'informations, voir la FAQ Outlook pour iOS et Android.

Mettre à jour les stratégies courantes pour inclure un e-mail

Pour protéger l’e-mail, le diagramme suivant illustre les stratégies à mettre à jour à partir des stratégies courantes d’accès aux identités et aux appareils.

Diagramme montrant le résumé des mises à jour de stratégie pour protéger l’accès à Microsoft Exchange.

Notez l’ajout d’une nouvelle stratégie pour Exchange Online pour bloquer les clients ActiveSync. Cette stratégie force l’utilisation d’Outlook pour iOS et Android sur les appareils mobiles.

Si vous avez inclus Exchange Online et Outlook dans l’étendue des stratégies lorsque vous les configurez, vous devez uniquement créer la stratégie pour bloquer les clients ActiveSync. Passez en revue les stratégies répertoriées dans le tableau suivant et apportez les ajouts recommandés pour l’e-mail ou vérifiez que ces paramètres sont déjà inclus. Chaque politique renvoie aux instructions de configuration associées dans les politiques d'identité commune et d'accès aux dispositifs.

Niveau de protection Politiques Complément d'information
Point de départ Exiger l'AMF lorsque le risque de connexion est moyen ou élevé Incluez Exchange Online dans l’affectation d’applications cloud.
Bloquer les clients qui ne prennent pas en charge l’authentification moderne Incluez Exchange Online dans l’affectation d’applications cloud.
Appliquer des stratégies de protection des données APP Vérifiez qu’Outlook est inclus dans la liste des applications. Veillez à mettre à jour la stratégie pour chaque plateforme (iOS, Android, Windows).
Exiger des applications approuvées ou des stratégies de protection des applications Incluez Exchange Online dans la liste des applications cloud.
Vérifier que le transfert automatique d’e-mail aux destinataires externes est désactivé Par défaut, la stratégie de courrier indésirable sortante par défaut bloque le transfert automatique de courrier électronique externe, mais les administrateurs peuvent modifier le paramètre.
bloquer les clients Exchange ActiveSync Ajoutez cette nouvelle stratégie.
Entreprise Exiger l’authentification multifacteur lorsque le risque de connexion est faible, moyen ou élevé Incluez Exchange Online dans l’affectation d’applications cloud.
Exiger des PC conformes et des appareils mobiles Incluez Exchange Online dans la liste des applications cloud.
sécurité spécialisée Toujours exiger l'AMF Incluez Exchange Online dans l’affectation d’applications cloud.

Vérifier que le transfert automatique d’e-mail vers des destinataires externes est désactivé

Par défaut, les stratégies de courrier indésirable sortant dans Exchange Online Protection (EOP) bloquent le transfert automatique de courrier électronique vers des destinataires externes via les règles de boîte de réception ou le transfert de boîte aux lettres (également appelé transfert SMTP ). Pour plus d'informations, voir Contrôler la redirection automatique des courriels externes dans Microsoft 365.

Dans toutes les politiques de lutte contre le spam sortant, vérifiez que la valeur du paramètre Règles de transfert automatique est Automatique - Contrôlé par le système ou Désactivé - Le transfert est désactivé (les deux valeurs bloquent le transfert automatique du courrier électronique externe). Une stratégie par défaut s’applique à tous les utilisateurs, et les administrateurs peuvent créer des stratégies personnalisées qui s’appliquent à des groupes spécifiques d’utilisateurs. Pour plus d’informations, consultez Configurer des stratégies de courrier indésirable sortant dans EOP.

Bloquer les clients Exchange ActiveSync

Exchange ActiveSync synchronise les données de messagerie et de calendrier sur les appareils mobiles et de bureau.

Pour les appareils mobiles, les clients suivants sont bloqués en fonction de la stratégie d’accès conditionnel créée dans Exiger des applications approuvées ou des stratégies de protection des applications:

  • Clients ActiveSync qui utilisent l’authentification de base.
  • Clients ActiveSync qui prennent en charge l’authentification moderne, mais pas les stratégies de protection des applications Intune.
  • Appareils qui prennent en charge les stratégies de protection des applications Intune, mais qui ne sont pas définis dans la stratégie.

Pour bloquer les connexions ActiveSync qui utilisent l’authentification de base sur d’autres types d’appareils (par exemple, pc), suivez les étapes décrites dans Bloquer Exchange ActiveSync sur tous les appareils.

Limiter l’accès aux pièces jointes de courrier électronique dans Outlook sur le web et dans le nouvel Outlook pour Windows

Vous pouvez restreindre les utilisateurs sur les appareils non gérés de télécharger des pièces jointes de courrier électronique dans Outlook sur le web (anciennement Outlook Web App ou OWA) et dans le nouvel Outlook pour Windows. Les utilisateurs peuvent afficher et modifier ces fichiers à l'aide d'Office Online sans qu'ils ne soient divulgués ni stockés sur l'appareil. Vous pouvez également empêcher les utilisateurs de voir des pièces jointes dans Outlook sur le web et le nouvel Outlook pour Windows sur des appareils non gérés.

Vous appliquez ces restrictions à l’aide d’Outlook sur les stratégies de boîte aux lettres web dans Exchange Online. Chaque organisation Microsoft 365 avec des boîtes aux lettres Exchange Online dispose d’une stratégie de boîte aux lettres intégrée Outlook sur le web nommée OwaMailboxPolicy-Default. Par défaut, cette stratégie est appliquée à tous les utilisateurs. Les administrateurs peuvent également créer des stratégies personnalisées qui s’appliquent à des groupes spécifiques d’utilisateurs.

Voici les étapes permettant de limiter l’accès aux pièces jointes de courrier électronique :

  1. Se connecter à Exchange Online PowerShell.

  2. Pour afficher les stratégies de boîte aux lettres Outlook disponibles sur le web, exécutez la commande suivante :

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Pour autoriser l’affichage, mais pas le téléchargement de pièces jointes, remplacez <PolicyName> par le nom de la stratégie affectée, puis exécutez la commande suivante :

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Exemple :

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Pour bloquer l’affichage des pièces jointes, remplacez <PolicyName> par le nom de la stratégie affectée, puis exécutez la commande suivante :

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Exemple :

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. Sur la page Accès conditionnel | Vue d'ensemble dans le centre d'administration de Microsoft Entrahttps://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, créez une nouvelle politique d'accès conditionnel avec les paramètres suivants :

    • Section des missions :

      • Utilisateurs: sélectionnez les utilisateurs et groupes appropriés à inclure et exclure dans les onglets Inclure et Exclure.
      • Ressources cibles: Sélectionner les ressources auxquelles cette stratégie s'applique>Ressources (anciennement applications cloud)>Inclure onglet >Sélectionner des ressources>Sélectionner> rechercher et sélectionner Office 365 Exchange Online.

    • Section Contrôles d'accès : Session> sélectionnez Utiliser les restrictions imposées par l'application.

    • Activer la section politique : Sélectionnez On.

Exiger Outlook pour iOS et Android sur les appareils mobiles

Pour exiger Outlook pour iOS et Android pour accéder aux données d’entreprise, vous avez besoin d’une stratégie d’accès conditionnel qui cible ces utilisateurs potentiels.

Suivez les étapes de configuration de cette stratégie dans Gérer l’accès à la collaboration de messagerie à l’aide d’Outlook pour iOS et d’Android.

Configurer le chiffrement des messages

Avec Microsoft Purview Message Encryption, qui utilise des fonctionnalités de protection dans Azure Information Protection, votre organisation peut facilement partager des e-mails protégés avec n’importe quel appareil. Les utilisateurs peuvent envoyer et recevoir des messages protégés avec d’autres organisations qui utilisent Microsoft 365, Outlook.com, Gmail et d’autres services de messagerie.

Pour plus d’informations, consultez Configurer le chiffrement des messages.

Étapes suivantes

Capture d’écran des stratégies pour les applications cloud Microsoft 365.

Configurer les politiques d'accès conditionnel pour :