Delen via

Aanbevolen beleidsregels voor specifieke Microsoft 365-workloads

  • Artikel

Nadat u het algemene beveiligingsbeleid voor Zero Trust in uw Microsoft 365-organisatie hebt geconfigureerd, moet u extra beleidsregels en instellingen configureren voor specifieke apps en workloads op basis van de drie uitgangspunten van Zero Trust:

  • Expliciet verifiëren
  • Minimale bevoegdheden gebruiken
  • Stel dat er sprake is van een schending

De extra beleidsregels en instellingen voor specifieke apps en workloads worden beschreven in dit artikel.

Hint

Test indien mogelijk uw beleid in een niet-productieomgeving voordat u ze uitrolt voor uw productiegebruikers. Testen is essentieel om mogelijke effecten voor uw gebruikers te identificeren en te communiceren.

Microsoft Copilot-aanbevelingen voor Zero Trust

Zie Zero Trust-beveiliging gebruiken om u voor te bereiden op AI-companions, waaronder Microsoft Copilots, voor meer informatie.

Exchange Online-aanbevelingen voor Zero Trust

In deze sectie worden de aanbevolen instellingen voor Zero Trust in Exchange Online beschreven.

Controleren of automatisch doorsturen van e-mail naar externe geadresseerden is uitgeschakeld

Standaard blokkeren uitgaande spambeleidsregels in Exchange Online Protection (EOP) het automatisch doorsturen van e-mail naar externe geadresseerden die worden ingesteld door regels voor Postvak IN of doorsturen van e-mails (ook wel SMTP-doorsturen genoemd). Zie Automatisch doorsturen van externe e-mail beheren in Microsoft 365 voor meer informatie.

Controleer in alle uitgaande spambeleidsregels of de waarde van de instelling Voor regels voor automatisch doorsturenautomatisch is ingesteld op Systeembeheer (de standaardwaarde) of Doorsturen is uitgeschakeld. Beide waarden blokkeren het automatisch doorsturen van e-mail naar externe geadresseerden door betrokken gebruikers. Een standaardbeleid is van toepassing op alle gebruikers en beheerders kunnen aangepaste beleidsregels maken die van toepassing zijn op specifieke groepen gebruikers. Zie Uitgaande spambeleid configureren in EOP-voor meer informatie.

Exchange ActiveSync-clients blokkeren

Exchange ActiveSync is een clientprotocol waarmee e-mail- en agendagegevens op desktop- en mobiele apparaten worden gesynchroniseerd. Toegang tot bedrijfse-mail blokkeren door onveilige ActiveSync-clients, zoals wordt beschreven in de volgende procedures:

  • Mobiele apparaten: als u de toegang tot e-mail wilt blokkeren vanaf de volgende typen mobiele apparaten, maakt u het beleid voor voorwaardelijke toegang dat wordt beschreven in Goedgekeurde apps of app-beveiligingsbeleid vereisen:

    • ActiveSync-clients die gebruikmaken van basisverificatie.
    • ActiveSync-clients die moderne verificatie ondersteunen, maar niet de Intune-app-beveiligingsbeleid.
    • Apparaten die Intune-app-beveiligingsbeleid ondersteunen, maar die niet zijn gedefinieerd in een Intune-app-beveiligingsbeleid. Zie Een app-beveiligingsbeleid vereisen voor meer informatie.

    Hint

    We raden Microsoft Outlook voor iOS en Android aan als de app voor toegang tot bedrijfs-e-mail vanaf iOS-/iPadOS- en Android-apparaten.

  • Pc's en andere apparaten: als u alle ActiveSync-clients wilt blokkeren die gebruikmaken van basisverificatie, maakt u het beleid voor voorwaardelijke toegang dat wordt beschreven in Exchange ActiveSync blokkeren op alle apparaten.

De toegang tot e-mailbijlagen in de webversie van Outlook en de nieuwe Versie van Outlook voor Windows beperken

U kunt beperken hoe gebruikers op onbeheerde apparaten kunnen communiceren met e-mailbijlagen in de webversie van Outlook (voorheen Outlook Web App of OWA) en in de nieuwe Versie van Outlook voor Windows:

  • Voorkomen dat gebruikers e-mailbijlagen downloaden. Ze kunnen deze bestanden bekijken en bewerken met Office Online zonder de bestanden op het apparaat te lekken en op te slaan.
  • Voorkom dat gebruikers bijlagen überhaupt kunnen zien.

U dwingt deze beperkingen af met behulp van het postvakbeleid voor de webversie van Outlook. Microsoft 365-organisaties met Exchange Online-postvakken hebben het ingebouwde standaardpostvakbeleid van Outlook op het web met de naam OwaMailboxPolicy-Default. Dit beleid wordt standaard toegepast op alle gebruikers. Beheerders kunnen ook aangepaste beleidsregels maken die van toepassing zijn op specifieke groepen gebruikers.

Hier volgen de stappen om de toegang tot e-mailbijlagen op onbeheerde apparaten te beperken:

  1. Verbinding maken met Exchange Online PowerShell.

  2. Voer de volgende opdracht uit om de beschikbare beleidsregels voor Outlook op het webpostvak te zien:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Gebruik de volgende syntaxis om de toegang tot e-mailbijlagen in de webversie van Outlook en de nieuwe Versie van Outlook voor Windows op onbeheerde apparaten te beperken:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    In dit voorbeeld kunt u bijlagen weergeven, maar niet downloaden in het standaardbeleid.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    In dit voorbeeld wordt het weergeven van bijlagen in het standaardbeleid geblokkeerd.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. Op de pagina Voorwaardelijke toegang | Overzicht in het Microsoft Entra-beheercentrum op https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, maak een nieuw beleid voor voorwaardelijke toegang met de volgende instellingen:

    • Sectie Toewijzingen :
      • gebruikers: Selecteer de juiste gebruikers en groepen die u wilt opnemen en uitsluiten op de tabbladen Opnemen en Uitsluiten.
      • Doelresources: Selecteer waarop dit beleid van toepassing is>Resources (voorheen cloud-apps)>Opnemen tabblad>Selecteer resources>Selecteren> zoeken en selecteren Office 365 Exchange Online.
    • sectie Toegangsbeheer: Sessie> selecteer Door app afgedwongen beperkingen gebruiken.
    • sectie Beleid inschakelen: Selecteer Op.

Het instellen van berichtversleuteling

Met Microsoft Purview Message Encryption, dat gebruikmaakt van beveiligingsfuncties in Azure Information Protection, kan uw organisatie eenvoudig beveiligde e-mail delen met iedereen op elk apparaat. Gebruikers kunnen beveiligde berichten verzenden en ontvangen met andere organisaties die gebruikmaken van Microsoft 365, Outlook.com, Gmail en andere e-mailservices.

Zie Message Encryption instellenvoor meer informatie.

SharePoint-aanbevelingen voor Zero Trust

In deze sectie worden de aanbevolen instellingen voor Zero Trust in SharePoint beschreven.

SharePoint-toegangsbeheer configureren om de toegang te beperken door niet-beheerde apparaten

Hint

Voor de instellingen in deze sectie is Microsoft Entra ID P1 of P2 vereist. Zie Microsoft Entra-abonnementen en -prijzen voor meer informatie.

Wanneer u toegangsbeheer configureert voor niet-beheerde apparaten in SharePoint, wordt automatisch een bijbehorend beleid voor voorwaardelijke toegang gemaakt in Microsoft Entra ID. Deze instelling voor de hele organisatie is van toepassing op alle gebruikers, maar heeft alleen invloed op de toegang tot sites die specifiek zijn opgenomen in SharePoint-toegangsbeheer.

U moet met name sites opnemen in SharePoint-toegangsbeheer die gebruikmaken van bedrijfsbeveiliging of gespecialiseerde beveiliging voor Zero Trust, zoals beschreven in de volgende stappen:

  1. Configureer Beperkte toegang, alleen voor web of Blokkeren van toegang voor niet-beheerde apparaten in SharePoint-toegangscontrole. Deze instelling is van toepassing op alle gebruikers, maar heeft geen invloed op hun toegang tot sites waarvoor ze al sitemachtigingen hebben, tenzij de site is opgenomen in SharePoint-toegangsbeheer (de volgende stap).

    Hint

    Toegang op siteniveau kan niet meer permissief zijn dan de instelling voor toegangsbeheer van de organisatie. Selecteer bijvoorbeeld beperkte alleen-webtoegang toestaan voor onbeheerde apparaten in het organisatiebrede toegangsbeheer, zodat u AllowLimitedAccess of BlockAccess op specifieke sites kunt gebruiken. Als u Toegang blokkeren selecteert voor niet-beheerde apparaten in het toegangsbeheer voor de hele organisatie, kunt u deze niet gebruiken AllowLimitedAccess op specifieke sites (alleen BlockAccess beschikbaar).

  2. Maak verbinding met SharePoint Online PowerShell en gebruik de parameter ConditionalAccessPolicy in de cmdlet Set-SPOSite om de site op te nemen in SharePoint-toegangsbeheer voor niet-beheerde apparaten:

    • Bedrijfssites: gebruik de waarde AllowLimitedAccess om te voorkomen dat gebruikers op onbeheerde apparaten bestanden downloaden, afdrukken of synchroniseren.
    • Gespecialiseerde beveiligingssites: gebruik de waarde BlockAccess om de toegang vanaf niet-beheerde apparaten te blokkeren.

    Zie De toegang tot een specifieke SharePoint-site of OneDrive blokkeren of beperken voor instructies

Normaal gesproken beheren site-eigenaren SharePoint-sitemachtigingen op basis van de behoeften van het bedrijf om toegang te krijgen tot de site. Het configureren van SharePoint-toegangsbeheer voor onbeheerde apparaten op organisatie- en siteniveau zorgt voor consistente beveiliging voor deze sites op basis van het Zero Trust-beveiligingsniveau.

Bekijk de volgende voorbeeldsites in de Contoso-organisatie. SharePoint-toegangsbeheer voor niet-beheerde apparaten is geconfigureerd op het niveau Beperkte toegang, alleen-webtoegang toestaan voor de organisatie:

  • De Analytics-teamsite die is geconfigureerd met bedrijfsbeveiliging: de site is geconfigureerd AllowLimitedAccess voor onbeheerde apparaten in SharePoint-toegangsbeheer. Gebruikers met sitemachtigingen krijgen alleen browsertoegang tot de site op onbeheerde apparaten. Ze hebben toegang tot de site met andere apps op beheerde apparaten.
  • De site Handelsgeheimen wordt geconfigureerd met gespecialiseerde beveiligingsbescherming: de site wordt geconfigureerd voor Block onbeheerde apparaten in SharePoint-toegangsbeheer. Gebruikers met sitemachtigingen hebben geen toegang tot de site op onbeheerde apparaten. Ze hebben alleen toegang tot de site op beheerde apparaten.

Aanbevelingen voor Microsoft Teams voor Zero Trust

In deze sectie worden de aanbevolen instellingen voor Zero Trust in Microsoft Teams beschreven.

Architectuur van services die afhankelijk zijn van Teams

Het diagram bij Microsoft Teams en gerelateerde productiviteitsservices in Microsoft 365 voor IT-architecten illustreert de services die door Microsoft Teams worden gebruikt.

Gast- en externe toegang voor Teams

Microsoft Teams definieert de volgende toegangstypen voor gebruikers buiten de organisatie:

  • gasttoegang: maakt gebruik van een Microsoft Entra B2B-account voor elke gebruiker die kan worden toegevoegd als lid van een team. Gasttoegang biedt toegang tot Teams-resources en interactie met interne gebruikers in groepsgesprekken, chats en vergaderingen.

    Zie Gasttoegang in Microsoft Teamsvoor meer informatie over gasttoegang en hoe u deze implementeert.

  • externe toegang: gebruikers buiten de organisatie die geen Microsoft Entra B2B-account hebben. Externe toegang kan uitnodigingen en deelname aan gesprekken, chats en vergaderingen omvatten, maar bevat geen teamlidmaatschap of toegang tot de resources van het team. Externe toegang is een manier voor Teams-gebruikers in een extern domein om vergaderingen te zoeken, te bellen, te chatten en in te stellen in Teams met gebruikers in uw organisatie.

    Teams-beheerders kunnen aangepast beleid gebruiken om externe toegang te configureren voor de organisatie, groepen gebruikers of afzonderlijke gebruikers. Zie voor meer informatie IT-beheerders : externe vergaderingen beheren en chatten met personen en organisaties met behulp van Microsoft-identiteiten.

Externe toegangsgebruikers hebben minder toegang en functionaliteit dan gasttoegangsgebruikers. Externe toegangsgebruikers kunnen bijvoorbeeld chatten met interne gebruikers met Teams, maar ze hebben geen toegang tot teamkanalen, bestanden of andere bronnen.

Beleid voor voorwaardelijke toegang is alleen van toepassing op gasttoegangsgebruikers in Teams omdat er bijbehorende Microsoft Entra B2B-accounts zijn. Externe toegang maakt geen gebruik van Microsoft Entra B2B-accounts en kan daarom geen beleid voor voorwaardelijke toegang gebruiken.

Zie Beleid voor het toestaan van toegang tot een Gast- en extern B2B-accountvoor aanbevolen beleidsregels voor toegang tot een Microsoft Entra B2B-account.

Aanbevelingen voor SaaS-apps voor Zero Trust

Microsoft Defender voor Cloud Apps bouwt voort op het beleid voor voorwaardelijke toegang van Microsoft Entra om realtime bewaking en controle mogelijk te maken van gedetailleerde acties met SaaS-apps (Software as a Service), zoals het blokkeren van downloads, uploads, kopiëren/plakken en afdrukken. Deze functie voegt beveiliging toe aan sessies die inherent risico lopen, zoals wanneer bedrijfsbronnen worden geopend vanaf niet-beheerde apparaten of door gasten.

Zie SaaS-apps integreren voor Zero Trust met Microsoft 365 voor meer informatie.