Delen via

Beleidsaanaanveling voor het beveiligen van e-mail

  • Artikel

In dit artikel wordt beschreven hoe u het aanbevolen beleid voor Zero Trust-identiteit en apparaattoegang implementeert om e-mail- en e-mailclients van organisaties te beveiligen die moderne verificatie en voorwaardelijke toegang ondersteunen. Deze richtlijnen zijn gebaseerd op het Algemene beleidsregels voor identiteiten en apparaattoegang en bevat ook enkele aanvullende aanbevelingen.

Deze aanbevelingen zijn gebaseerd op drie verschillende beveiligings- en beveiligingslagen die kunnen worden toegepast op basis van de granulariteit van uw behoeften: startpunt, enterprise-en gespecialiseerde beveiliging. U kunt meer te weten komen over deze beveiligingslagen en de aanbevolen clientbesturingssystemen in de inleiding van het aanbevolen beveiligingsbeleid en configuraties.

Voor deze aanbevelingen moeten uw gebruikers moderne e-mailclients gebruiken, waaronder Outlook voor iOS en Android op mobiele apparaten. Outlook voor iOS en Android bieden ondersteuning voor de beste functies van Microsoft 365. Deze mobiele Outlook-apps zijn ook ontworpen met beveiligingsmogelijkheden die ondersteuning bieden voor mobiel gebruik en samenwerken met andere cloudbeveiligingsmogelijkheden van Microsoft. Zie Veelgestelde vragen over Outlook voor iOS en Androidvoor meer informatie.

Algemene beleidsregels bijwerken om e-mail op te nemen

Als u e-mail wilt beveiligen, ziet u in het volgende diagram welke beleidsregels moeten worden bijgewerkt van het algemene beleid voor identiteit en apparaattoegang.

diagram met de samenvatting van beleidsupdates voor het beveiligen van toegang tot Microsoft Exchange.

Houd er rekening mee dat er een nieuw beleid wordt toegevoegd aan Exchange Online met als doel het blokkeren van ActiveSync-clients. Dit beleid dwingt het gebruik van Outlook voor iOS en Android af op mobiele apparaten.

Als u Exchange Online en Outlook hebt opgenomen in het bereik van het beleid wanneer u ze instelt, hoeft u alleen het nieuwe beleid te maken om ActiveSync-clients te blokkeren. Controleer de beleidsregels in de volgende tabel en breng de aanbevolen toevoegingen aan of controleer of deze instellingen al zijn opgenomen. Elk beleid wordt gekoppeld aan de bijbehorende configuratie-instructies in Algemene beleidsregels voor identiteit en apparaattoegang.

Beveiligingsniveau Beleid Meer informatie
beginpunt MFA vereisen wanneer aanmeldingsrisico gemiddeld of hoog Exchange Online opnemen in de toewijzing van cloud-apps
Clients blokkeren die geen ondersteuning bieden voor moderne verificatie Exchange Online opnemen in de toewijzing van cloud-apps
beleid voor app-gegevensbeveiliging toepassen Zorg ervoor dat Outlook is opgenomen in de lijst met apps. Zorg ervoor dat u het beleid voor elk platform bijwerkt (iOS, Android, Windows)
goedgekeurde apps of app-beveiligingsbeleid vereisen Exchange Online opnemen in de lijst met cloud-apps
ActiveSync-clients blokkeren Dit nieuwe beleid toevoegen
Enterprise MFA vereisen wanneer het aanmeldingsrisico laag, gemiddeld of hoog Exchange Online opnemen in de toewijzing van cloud-apps
Compatibele pc's vereisen en mobiele apparaten Exchange Online opnemen in de lijst met cloud-apps
Gespecialiseerde beveiliging Altijd MFA vereisen Exchange Online opnemen in de toewijzing van cloud-apps

ActiveSync-clients blokkeren

Exchange ActiveSync kan worden gebruikt om berichten en agendagegevens op desktop- en mobiele apparaten te synchroniseren.

Voor mobiele apparaten worden de volgende clients geblokkeerd op basis van het beleid voor voorwaardelijke toegang dat is gemaakt in Goedgekeurde apps of app-beschermingsbeleid vereisen:

  • Exchange ActiveSync-clients die gebruikmaken van basisverificatie.
  • Exchange ActiveSync-clients die moderne verificatie ondersteunen, maar geen intune-beveiligingsbeleid voor apps ondersteunen.
  • Apparaten die Intune-app-beveiligingsbeleid ondersteunen, maar niet gedefinieerd zijn in het beleid.

Als u Exchange ActiveSync-verbindingen wilt blokkeren met behulp van basisverificatie op andere typen apparaten (bijvoorbeeld pc's), volgt u de stappen in Exchange ActiveSync blokkeren op alle apparaten.

Toegang tot Exchange Online beperken vanuit de webversie van Outlook

U kunt de mogelijkheid beperken dat gebruikers bijlagen downloaden van de webversie van Outlook op onbeheerde apparaten. Gebruikers op deze apparaten kunnen deze bestanden bekijken en bewerken met Office Online zonder de bestanden op het apparaat te lekken en op te slaan. U kunt ook voorkomen dat gebruikers bijlagen zien op een onbeheerd apparaat.

Dit zijn de stappen:

  1. Verbinding maken met Exchange Online PowerShell.

  2. Elke Microsoft 365-organisatie met Exchange Online-postvakken heeft een ingebouwd postvakbeleid van Outlook (voorheen Outlook Web App of OWA genoemd) met de naam OwaMailboxPolicy-Default. Beheerders kunnen ook aangepaste beleidsregels maken.

    Voer de volgende opdracht uit om de beschikbare beleidsregels voor Outlook op het webpostvak te zien:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Als u het weergeven van bijlagen wilt toestaan, maar niet wilt downloaden, voert u de volgende opdracht uit op het betreffende beleid:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Bijvoorbeeld:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Als u bijlagen wilt blokkeren, voert u de volgende opdracht uit op het betreffende beleid:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Bijvoorbeeld:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. Maak in Azure Portal een nieuw beleid voor voorwaardelijke toegang met de volgende instellingen:

    toewijzingen>gebruikers en groepen: selecteer de juiste gebruikers en groepen die u wilt opnemen en uitsluiten.

    Toewijzingen>Cloud-apps of -acties>Cloud-apps>Inclusief>Apps selecteren: Selecteer Office 365 Exchange Online-.

    Besturingselementen voor toegang>Sessie: selecteer Gebruiken van App-afgedwongen beperkingen.

Vereisen dat iOS- en Android-apparaten Outlook moeten gebruiken

Om ervoor te zorgen dat iOS- en Android-apparaten alleen toegang hebben tot werk- of schoolinhoud met Outlook voor iOS en Android, hebt u een beleid voor voorwaardelijke toegang nodig dat gericht is op deze potentiƫle gebruikers.

Zie de stappen voor het configureren van dit beleid in Toegang tot berichtensamenwerking beheren met outlook voor iOS en Android.

Het instellen van berichtversleuteling

Met Microsoft Purview Message Encryption, die gebruikmaakt van de beveiligingsfuncties in Azure Information Protection, kan uw organisatie eenvoudig beveiligde e-mail delen met iedereen op elk apparaat. Gebruikers kunnen beveiligde berichten verzenden en ontvangen met andere Microsoft 365-organisaties en niet-klanten die gebruikmaken van Outlook.com, Gmail en andere e-mailservices.

Zie Message Encryption instellenvoor meer informatie.

Volgende stappen

Schermopname van het beleid voor Microsoft 365-cloud-apps.

Beleid voor voorwaardelijke toegang configureren voor: