Beleidsaanaanveling voor het beveiligen van e-mail
In dit artikel wordt beschreven hoe u cloud-e-mail- en e-mailclients beveiligt door het aanbevolen Zero Trust-beleid voor identiteiten en apparaattoegang te implementeren. Deze beveiliging vereist e-mailclients en apparaten die moderne verificatie en voorwaardelijke toegang ondersteunen. Deze richtlijnen zijn gebaseerd op het Algemene beleidsregels voor identiteits- en apparaattoegang en bevat ook aanvullende aanbevelingen.
Deze aanbevelingen zijn gebaseerd op drie verschillende beveiligings- en beveiligingslagen die kunnen worden toegepast op basis van de granulariteit van uw behoeften: startpunt, enterprise-en gespecialiseerde beveiliging. U kunt meer te weten komen over deze beveiligingslagen en de aanbevolen clientbesturingssystemen in de inleiding van het aanbevolen beveiligingsbeleid en configuraties.
Voor deze aanbevelingen is het gebruik van moderne e-mailclients op mobiele apparaten vereist. Outlook voor iOS en Android ondersteunt de beste functies van Microsoft 365. De beveiligingsmogelijkheden in Outlook voor iOS en Android ondersteunen mobiel gebruik en werken samen met andere microsoft-cloudbeveiligingsfuncties. Zie Veelgestelde vragen over Outlook voor iOS en Androidvoor meer informatie.
Algemene beleidsregels bijwerken om e-mail op te nemen
Als u e-mail wilt beveiligen, ziet u in het volgende diagram welke beleidsregels moeten worden bijgewerkt van het algemene beleid voor identiteit en apparaattoegang.
Let op het toevoegen van een nieuw beleid voor Exchange Online om ActiveSync-clients te blokkeren. Dit beleid dwingt het gebruik van Outlook voor iOS en Android af op mobiele apparaten.
Als u Exchange Online en Outlook hebt opgenomen in het bereik van het beleid wanneer u ze instelt, hoeft u alleen het nieuwe beleid te maken om ActiveSync-clients te blokkeren. Controleer de beleidsregels in de volgende tabel en voer de aanbevolen toevoegingen voor e-mail aan of controleer of deze instellingen al zijn opgenomen. Elk beleid wordt gekoppeld aan de bijbehorende configuratie-instructies in Algemene beleidsregels voor identiteit en apparaattoegang.
| Beveiligingsniveau | Beleid | Meer informatie |
|---|---|---|
| beginpunt | MFA vereisen wanneer aanmeldingsrisico gemiddeld of hoog | Exchange Online opnemen in de toewijzing van cloud-apps. |
| Clients blokkeren die geen ondersteuning bieden voor moderne verificatie | Exchange Online opnemen in de toewijzing van cloud-apps. | |
| beleid voor app-gegevensbeveiliging toepassen | Zorg ervoor dat Outlook is opgenomen in de lijst met apps. Zorg ervoor dat u het beleid voor elk platform bijwerkt (iOS, Android, Windows). | |
| goedgekeurde apps of app-beveiligingsbeleid vereisen | Neem Exchange Online op in de lijst met cloud-apps. | |
| [ActiveSync-clients blokkeren](Exchange ActiveSync-clients) | Voeg dit nieuwe beleid toe. | |
| Enterprise | MFA vereisen wanneer aanmeldingsrisico laag, gemiddeldof hoog | Exchange Online opnemen in de toewijzing van cloud-apps. |
| Compatibele pc's vereisen en mobiele apparaten | Neem Exchange Online op in de lijst met cloud-apps. | |
| Gespecialiseerde beveiliging | Altijd MFA vereisen | Exchange Online opnemen in de toewijzing van cloud-apps. |
Exchange ActiveSync-clients blokkeren
ActiveSync wordt gebruikt voor het synchroniseren van e-mail- en agendagegevens op desktop- en mobiele apparaten.
Voor mobiele apparaten worden de volgende clients geblokkeerd op basis van het beleid voor voorwaardelijke toegang dat is gemaakt in Goedgekeurde apps of app-beschermingsbeleid vereisen:
- Exchange ActiveSync-clients die gebruikmaken van basisverificatie.
- Exchange ActiveSync-clients die moderne authenticatie ondersteunen, maar niet Intune app-beveiligingsbeleid.
- Apparaten die Intune-app-beveiligingsbeleid ondersteunen, maar niet in het beleid zijn gedefinieerd.
Als u ActiveSync-verbindingen wilt blokkeren die gebruikmaken van basisverificatie op andere typen apparaten (bijvoorbeeld pc's), volgt u de stappen in Exchange ActiveSync blokkeren op alle apparaten.
De toegang tot e-mailbijlagen in de webversie van Outlook en de nieuwe Versie van Outlook voor Windows beperken
U kunt voorkomen dat gebruikers op onbeheerde apparaten e-mailbijlagen downloaden in de webversie van Outlook (voorheen Outlook Web App of OWA genoemd) en in de nieuwe Versie van Outlook voor Windows. Gebruikers kunnen deze bestanden bekijken en bewerken met Office Online zonder de bestanden op het apparaat te lekken en op te slaan. U kunt ook voorkomen dat gebruikers zelfs bijlagen zien in de webversie van Outlook en de nieuwe Versie van Outlook voor Windows op onbeheerde apparaten.
U dwingt deze beperkingen af met behulp van het webpostvakbeleid van Outlook in Exchange Online. Elke Microsoft 365-organisatie met Exchange Online-postvakken heeft een ingebouwd Outlook-beleid voor het webpostvak met de naam OwaMailboxPolicy-Default. Dit beleid wordt standaard toegepast op alle gebruikers. Beheerders kunnen ook aangepaste beleidsregels maken die van toepassing zijn op specifieke groepen gebruikers.
Hier volgen de stappen om de toegang tot e-mailbijlagen te beperken:
Voer de volgende opdracht uit om de beschikbare beleidsregels voor Outlook op het webpostvak te zien:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyAls u het weergeven maar niet downloaden van bijlagen wilt toestaan, vervangt u <PolicyName-> door de naam van het betrokken beleid en voert u de volgende opdracht uit:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyBijvoorbeeld:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyAls u het weergeven van bijlagen wilt blokkeren, vervangt u <PolicyName-> door de naam van het betreffende beleid en voert u de volgende opdracht uit:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedBijvoorbeeld:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedOp de voorwaardelijke toegang | Overzicht pagina in de Microsoft Entra-portal op https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, een nieuw beleid voor voorwaardelijke toegang maken met de volgende instellingen:
sectie Opdrachten:
- gebruikers: Selecteer de juiste gebruikers en groepen die u wilt opnemen en uitsluiten op de tabbladen Opnemen en Uitsluiten.
- Doelresources: Selecteer waarop dit beleid van toepassing is>Resources (voorheen cloud-apps)>Opnemen tabblad>Selecteer resources>Selecteren> zoeken en selecteren Office 365 Exchange Online.
sectie Toegangsbeheer: Sessie> selecteer Door app afgedwongen beperkingen gebruiken.
sectie Beleid inschakelen: Selecteer Op.
Outlook voor iOS en Android verplicht stellen op mobiele apparaten
Als u Outlook voor iOS en Android wilt vereisen voor toegang tot bedrijfsgegevens, hebt u een beleid voor voorwaardelijke toegang nodig dat gericht is op deze potentiƫle gebruikers.
Volg de stappen om dit beleid te configureren in Toegang tot berichtensamenwerking beheren met outlook voor iOS en Android.
Het instellen van berichtversleuteling
Met Microsoft Purview Message Encryption, dat gebruikmaakt van beveiligingsfuncties in Azure Information Protection, kan uw organisatie eenvoudig beveiligde e-mail delen met iedereen op elk apparaat. Gebruikers kunnen beveiligde berichten verzenden en ontvangen met andere organisaties die gebruikmaken van Microsoft 365, Outlook.com, Gmail en andere e-mailservices.
Zie Message Encryption instellenvoor meer informatie.
Volgende stappen
Beleid voor voorwaardelijke toegang configureren voor: