Compartilhar via

Recomendações de política para proteger emails

  • Artigo

Este artigo descreve como proteger email em nuvem e clientes de email implementando as políticas recomendadas de Confiança Zero de identidade e de acesso de dispositivos. Essa proteção requer clientes de email e dispositivos que dão suporte à autenticação moderna e ao acesso condicional. Essa orientação se baseia nas Políticas de acesso de identidade e dispositivo comuns e também inclui recomendações adicionais.

Essas recomendações são baseadas em três diferentes níveis de segurança e proteção que podem ser aplicados com base na granularidade de suas necessidades: inicial, empresarial, e de segurança especializada. Você pode saber mais sobre estas camadas de segurança e os sistemas operacionais cliente recomendados na introdução às políticas e configurações de segurança recomendadas .

Essas recomendações exigem o uso de clientes de email modernos em dispositivos móveis. O Outlook para iOS e Android dá suporte aos melhores recursos do Microsoft 365. Os recursos de segurança no Outlook para iOS e Android dão suporte ao uso móvel e funcionam em conjunto com outros recursos de segurança na nuvem da Microsoft. Para obter mais informações, consulte As perguntas frequentes do Outlook para iOS e Android.

Atualizar políticas comuns para incluir email

Para proteger o e-mail, o diagrama a seguir ilustra quais políticas das políticas comuns de identidade e acesso a dispositivos devem ser atualizadas.

Diagrama que mostra o resumo das atualizações de política para proteger o acesso ao Microsoft Exchange.

Observe a adição de uma nova política no Exchange Online para bloquear clientes ActiveSync. Essa política força o uso do Outlook para iOS e Android em dispositivos móveis.

Se você incluiu o Exchange Online e o Outlook no escopo das políticas ao configurá-las, você só precisará criar a nova política para bloquear clientes ActiveSync. Examine as políticas listadas na tabela a seguir e faça as adições recomendadas para email ou confirme se essas configurações já estão incluídas. Cada política tem um link para as instruções de configuração associadas nas Políticas Comuns de Identidade e Acesso a Dispositivos .

Nível de proteção Políticas Mais informações
Ponto de partida Exigir MFA quando o risco ao entrar é médio ou alto Inclua o Exchange Online na atribuição de aplicativos de nuvem.
Bloquear clientes que não dão suporte à autenticação moderna Inclua o Exchange Online na atribuição de aplicativos de nuvem.
Aplicar políticas de proteção de dados do APP Verifique se o Outlook está incluído na lista de aplicativos. Atualize a política para cada plataforma (iOS, Android, Windows).
Exigir aplicativos aprovados ou políticas de proteção de aplicativo Inclua o Exchange Online na lista de aplicativos de nuvem.
Verificar se o encaminhamento automático de email para destinatários externos está desabilitado Por padrão, a política de spam de saída padrão bloqueia o encaminhamento automático de email externo, mas os administradores podem alterar a configuração.
Bloqueio de clientes do Exchange ActiveSync Adicione essa nova política.
Empresa Exigir MFA quando o risco de entrada é baixo, médioou alto Inclua o Exchange Online na atribuição de aplicativos de nuvem.
Exigir computadores compatíveis e dispositivos móveis Inclua o Exchange Online na lista de aplicativos de nuvem.
Segurança especializada Sempre exigir MFA Inclua o Exchange Online na atribuição de aplicativos de nuvem.

Verifique se o encaminhamento automático de email para destinatários externos está desabilitado

Por padrão, as políticas de spam de saída na Proteção do Exchange Online (EOP) bloqueiam o encaminhamento automático de email para destinatários externos por regras de caixa de entrada ou por encaminhamento de caixa de correio (também conhecido como encaminhamento SMTP). Para obter mais informações, consulte Controlar o encaminhamento automático de emails externos no Microsoft 365.

Em todas as políticas de spam de saída, verifique se o valor das regras de encaminhamento automático configuração é Automático – controlado pelo sistema ou Desativado – o encaminhamento está desabilitado (ambos os valores bloqueiam o encaminhamento automático de email externo). Uma política padrão se aplica a todos os usuários e os administradores podem criar políticas personalizadas que se aplicam a grupos específicos de usuários. Para obter mais informações, consulte Configurar políticas de spam de saída no EOP.

Bloquear clientes do Exchange ActiveSync

O Exchange ActiveSync sincroniza dados de email e calendário em dispositivos móveis e desktop.

Para dispositivos móveis, os seguintes clientes são bloqueados com base na política de Acesso Condicional criada em Exigir aplicativos aprovados ou políticas de proteção de aplicativo:

  • Clientes ActiveSync que usam autenticação básica.
  • Clientes ActiveSync que dão suporte à autenticação moderna, mas não às políticas de proteção de aplicativo do Intune.
  • Dispositivos que dão suporte a políticas de proteção de aplicativo do Intune, mas não são definidos na política.

Para bloquear conexões ActiveSync que usam autenticação básica em outros tipos de dispositivos (por exemplo, computadores), siga as etapas em Bloquear o Exchange ActiveSync em todos os dispositivos.

Limitar o acesso a anexos de email no Outlook na Web e no novo Outlook para Windows

Você pode restringir os usuários em dispositivos não gerenciados de baixar anexos de email no Outlook na Web (anteriormente conhecido como Outlook Web App ou OWA) e no novo Outlook para Windows. Os usuários podem exibir e editar esses arquivos usando o Office Online sem vazar e armazenar os arquivos no dispositivo. Você também pode impedir que os usuários vejam anexos no Outlook na Web e no novo Outlook para Windows em dispositivos não gerenciados.

Você impõe essas restrições usando o Outlook nas políticas de caixa de correio da Web no Exchange Online. Cada organização do Microsoft 365 com caixas de correio do Exchange Online tem uma política integrada do Outlook na web chamada OwaMailboxPolicy-Default. Por padrão, essa política é aplicada a todos os usuários. Os administradores também podem criar políticas personalizadas que se aplicam a grupos específicos de usuários.

Estas são as etapas para limitar o acesso a anexos de email:

  1. Conectar-se ao Exchange Online PowerShell.

  2. Para ver as políticas disponíveis do Outlook na caixa de correio da Web, execute o seguinte comando:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Para permitir a exibição, mas não baixar anexos, substitua <PolicyName> pelo nome da política afetada e execute o seguinte comando:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Por exemplo:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Para bloquear a exibição de anexos, substitua <PolicyName> pelo nome da política afetada e execute o seguinte comando:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Por exemplo:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. Na página Acesso Condicional | Visão geral no centro de administrações do Microsoft Entra em https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, , crie uma política de Acesso Condicional, com estas configurações:

    • Seção Atribuições:

      • Usuários: selecione os usuários e grupos apropriados para incluir e excluir nas guias Incluir e Excluir.
      • Recursos de destino: selecione o que essa política se aplica a recursos de>(anteriormente aplicativos de nuvem)>guia Incluir >Selecionar recursos>Selecionar> localizar e selecionar Office 365 Exchange Online.

    • Seção Controles de acesso: Sessão> selecione Usar restrições impostas pelo aplicativo.

    • Seção Habilitar política: selecione Ativar.

Exigir o Outlook para iOS e Android em dispositivos móveis

Para exigir que o Outlook para iOS e Android acesse os dados da empresa, você precisa de uma política de Acesso Condicional direcionada a esses usuários potenciais.

Siga as etapas para configurar essa política no Gerenciar o acesso à colaboração de mensagens usando o Outlook para iOS e o Android.

Configurar a criptografia de mensagens

Com a Criptografia de Mensagens do Microsoft Purview, que usa recursos de proteção na Proteção de Informações do Azure, sua organização pode compartilhar facilmente emails protegidos com qualquer pessoa em qualquer dispositivo. Os usuários podem enviar e receber mensagens protegidas com outras organizações que usam o Microsoft 365, Outlook.com, Gmail e outros serviços de email.

Para obter mais informações, consulte Configurar Criptografia de Mensagens.

Próximas etapas

Captura de tela das políticas para aplicativos de nuvem do Microsoft 365.

Configurar políticas de Acesso Condicional para: