Udostępnij za pośrednictwem

Zalecenia dotyczące zasad dotyczących zabezpieczania poczty e-mail

  • Artykuł

W tym artykule opisano sposób implementowania zalecanych zasad tożsamości Zero Trust i dostępu do urządzeń w celu ochrony organizacyjnych klientów poczty e-mail i poczty e-mail obsługujących nowoczesne uwierzytelnianie i dostęp warunkowy. Niniejsze wskazówki opierają się na wspólnych zasadach tożsamości i dostępu do urządzeń oraz zawierają kilka dodatkowych zaleceń.

Te zalecenia są oparte na trzech różnych poziomach zabezpieczeń i ochrony, które można zastosować w zależności od szczegółowości Twoich potrzeb: poziom podstawowy, poziom korporacyjnyi poziom specjalistycznyzabezpieczeń. Więcej informacji na temat tych warstw zabezpieczeń i zalecanych systemów operacyjnych klienta można znaleźć w wprowadzeniu do zalecanych zasad zabezpieczeń i konfiguracji.

Te zalecenia wymagają od użytkowników korzystania z nowoczesnych klientów poczty e-mail, w tym programu Outlook dla systemów iOS i Android na urządzeniach przenośnych. Program Outlook dla systemów iOS i Android zapewnia obsługę najlepszych funkcji platformy Microsoft 365. Te aplikacje mobilne Outlook są również zaprojektowane z funkcjami zabezpieczeń, które obsługują korzystanie z urządzeń przenośnych i współpracują z innymi funkcjami zabezpieczeń w chmurze firmy Microsoft. Aby uzyskać więcej informacji, zobacz Outlook dla systemów iOS i Android — często zadawane pytania.

Aktualizowanie typowych zasad w celu uwzględnienia wiadomości e-mail

Aby chronić pocztę e-mail, na poniższym diagramie pokazano, które zasady mają być aktualizowane na podstawie typowych zasad tożsamości i dostępu do urządzeń.

Diagram przedstawiający podsumowanie aktualizacji zasad dotyczących ochrony dostępu do programu Microsoft Exchange.

Należy pamiętać, że dodanie nowych zasad dla usługi Exchange Online w celu blokowania klientów usługi ActiveSync. Te zasady wymuszają korzystanie z programu Outlook dla systemów iOS i Android na urządzeniach przenośnych.

Jeśli podczas konfigurowania zostały uwzględnione usługi Exchange Online i Outlook w zakresie zasad, należy utworzyć tylko nowe zasady, aby zablokować klientów programu ActiveSync. Przejrzyj zasady wymienione w poniższej tabeli i dodaj zalecane dodatki lub upewnij się, że te ustawienia są już uwzględnione. Każda zasada zawiera linki do skojarzonych instrukcji konfiguracji w wspólnych strategiach tożsamości i dostępu do urządzeń.

Poziom ochrony Polityki Więcej informacji
punkt początkowy Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze
Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze
stosowanie zasad ochrony danych aplikacji Upewnij się, że program Outlook znajduje się na liście aplikacji. Pamiętaj, aby zaktualizować zasady dla każdej platformy (iOS, Android, Windows)
Wymagaj zatwierdzonych aplikacji lub zasad ochrony aplikacji Uwzględnij usługę Exchange Online na liście aplikacji w chmurze
Blokuj klientów ActiveSync Dodaj te nowe zasady
Enterprise wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania się jest niskie, średnie lub wysokie Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze
Wymagaj zgodnych komputerów i urządzeń przenośnych Uwzględnij usługę Exchange Online na liście aplikacji w chmurze
Specjalistyczne zabezpieczenia wymagaj zawsze uwierzytelniania wieloskładnikowego Dołączanie usługi Exchange Online do przypisania aplikacji w chmurze

Blokuj klientów programu ActiveSync

Program Exchange ActiveSync może służyć do synchronizowania wiadomości i danych kalendarza na komputerach i urządzeniach przenośnych.

W przypadku urządzeń przenośnych następujący klienci są blokowani na podstawie zasad dostępu warunkowego utworzonych w Wymagaj zatwierdzonych aplikacji lub zasad ochrony aplikacji:

  • Klienci programu Exchange ActiveSync korzystający z uwierzytelniania podstawowego.
  • Klienci programu Exchange ActiveSync, którzy obsługują nowoczesne uwierzytelnianie, ale nie obsługują zasad ochrony aplikacji Intune.
  • Urządzenia obsługujące zasady ochrony aplikacji Intune, ale nieujęte w tych zasadach.

Aby zablokować połączenia programu Exchange ActiveSync przy użyciu uwierzytelniania podstawowego na innych typach urządzeń (na przykład na komputerach), wykonaj kroki opisane w Blokuj program Exchange ActiveSync na wszystkich urządzeniach.

Ograniczanie dostępu do usługi Exchange Online z programu Outlook w sieci Web

Możesz ograniczyć użytkownikom możliwość pobierania załączników z programu Outlook w sieci Web na urządzeniach niezarządzanych. Użytkownicy na tych urządzeniach mogą wyświetlać i edytować te pliki przy użyciu usługi Office Online bez wycieku i przechowywania plików na urządzeniu. Możesz również zablokować użytkownikom wyświetlanie załączników na urządzeniu niezarządzanym.

Poniżej przedstawiono kroki:

  1. Połącz się z Exchange Online PowerShell.

  2. Każda organizacja Microsoft 365 ze skrzynkami pocztowymi usługi Exchange Online ma wbudowaną politykę Outlook w sieci web (wcześniej znaną jako Outlook Web App lub OWA) skrzynki pocztowej OwaMailboxPolicy-Default. Administratorzy mogą także tworzyć własne zasady.

    Aby wyświetlić dostępne zasady skrzynki pocztowej programu Outlook w sieci Web, uruchom następujące polecenie:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Aby zezwolić na wyświetlanie załączników bez pobierania, uruchom następujące polecenie w zasadach, których dotyczy problem:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Na przykład:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Aby zablokować załączniki, uruchom następujące polecenie w zasadach, których dotyczy problem:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Na przykład:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. W portalu Azure tworzyć nowe zasady dostępu warunkowego za pomocą następujących ustawień:

    Przypisania>Użytkownicy i Grupy; wybierz odpowiednich użytkowników i grupy, których uwzględnić i wykluczyć.

    Przypisania>aplikacje w chmurze lub akcje>aplikacje w chmurze>uwzględnij>Wybierz aplikacje: wybierz usługi Office 365 Exchange Online.

    Kontrole dostępu>Sesja: wybierz Użyj ograniczeń wymuszonych przez aplikację.

Wymagaj, aby urządzenia z systemami iOS i Android używały programu Outlook

Aby zapewnić, że urządzenia z systemami iOS i Android mogą uzyskiwać dostęp do zawartości służbowej tylko przy użyciu programu Outlook dla systemów iOS i Android, potrzebne są zasady dostępu warunkowego przeznaczone dla tych potencjalnych użytkowników.

Zobacz kroki konfigurowania tej polityki w Zarządzanie dostępem do współpracy przy użyciu programu Outlook dla systemów iOS i Android.

Konfigurowanie szyfrowania komunikatów

Dzięki szyfrowaniu komunikatów usługi Microsoft Purview, które korzysta z funkcji ochrony w usłudze Azure Information Protection, organizacja może łatwo udostępniać chronioną pocztę e-mail wszystkim osobom na dowolnym urządzeniu. Użytkownicy mogą wysyłać i odbierać chronione wiadomości z innymi organizacjami platformy Microsoft 365, a także innymi użytkownikami korzystającymi z usług Outlook.com, Gmail i innych usług poczty e-mail.

Aby uzyskać więcej informacji, zobacz Konfigurowanie szyfrowania komunikatów.

Następne kroki

Zrzut ekranu przedstawiający zasady dla aplikacji w chmurze platformy Microsoft 365.

Skonfiguruj zasady dostępu warunkowego dla: