Partilhar via

Recomendações de políticas para proteger o e-mail

  • Artigo

Este artigo descreve como implementar a identidade Zero Trust recomendada e as políticas de acesso a dispositivos para proteger o email organizacional e os clientes de email que oferecem suporte à autenticação moderna e ao acesso condicional. Estas orientações baseiam-se nas políticas de de identidade comum e de acesso a dispositivos e também incluem algumas recomendações adicionais.

Essas recomendações são baseadas em três níveis diferentes de segurança e proteção que podem ser aplicados com base na granularidade de suas necessidades: ponto de partida, empresarial e de segurança especializada. Você pode saber mais sobre essas camadas de segurança e os sistemas operacionais cliente recomendados na introdução às políticas e configurações de segurança recomendadas .

Essas recomendações exigem que seus usuários usem clientes de email modernos, incluindo o Outlook para iOS e Android em dispositivos móveis. O Outlook para iOS e Android fornece suporte para os melhores recursos do Microsoft 365. Esses aplicativos móveis do Outlook também são projetados com recursos de segurança que oferecem suporte ao uso móvel e funcionam em conjunto com outros recursos de segurança na nuvem da Microsoft. Para obter mais informações, consulte Perguntas frequentes do Outlook para iOS e Android.

Atualizar políticas comuns para incluir e-mail

Para proteger o email, o diagrama a seguir ilustra quais políticas devem ser atualizadas a partir das políticas comuns de identidade e acesso a dispositivos.

Diagrama que mostra o resumo das atualizações de política para proteger o acesso ao Microsoft Exchange.

Note que está a ser adicionada uma nova política ao Exchange Online para bloquear clientes ActiveSync. Esta política força a utilização do Outlook para iOS e Android em dispositivos móveis.

Se você incluiu o Exchange Online e o Outlook no escopo das políticas ao configurá-las, só precisará criar a nova política para bloquear clientes do ActiveSync. Revise as políticas listadas na tabela a seguir e faça as adições recomendadas ou confirme se essas configurações já estão incluídas. Cada política tem links para as instruções de configuração associadas em Identidade comum e políticas de acesso a dispositivos.

Nível de proteção Políticas Mais informações
Ponto de partida Exigir MFA quando o risco de entrada for médio ou alto Incluir o Exchange Online na atribuição de aplicativos na nuvem
Bloquear clientes que não suportam autenticação moderna Incluir o Exchange Online na atribuição de aplicativos na nuvem
Aplicar as políticas de proteção de dados da APP Certifique-se de que o Outlook está incluído na lista de aplicações. Certifique-se de atualizar a política para cada plataforma (iOS, Android, Windows)
Exigir aplicativos aprovados ou políticas de proteção de aplicativos Incluir o Exchange Online na lista de aplicativos na nuvem
Bloquear clientes ActiveSync Adicionar esta nova política
Empresa Exigir MFA quando o risco de entrada for baixo, médio ou alto Incluir o Exchange Online na atribuição de aplicativos na nuvem
Exigir PCs compatíveis e dispositivos móveis Incluir o Exchange Online na lista de aplicativos na nuvem
Segurança Especializada Exigir sempre MFA Incluir o Exchange Online na atribuição de aplicativos na nuvem

Bloquear clientes ActiveSync

O Exchange ActiveSync pode ser usado para sincronizar dados de mensagens e calendário em computadores e dispositivos móveis.

Para dispositivos móveis, os seguintes clientes são bloqueados com base na política de Acesso Condicional criada em Exigir aplicativos aprovados ou políticas de proteção de aplicativos:

  • Clientes do Exchange ActiveSync que usam autenticação básica.
  • Clientes do Exchange ActiveSync que suportam autenticação moderna, mas não suportam políticas de proteção de aplicações do Intune.
  • Dispositivos que suportam políticas de proteção de aplicações do Intune, mas que não estão definidos na política.

Para bloquear conexões do Exchange ActiveSync usando autenticação básica em outros tipos de dispositivos (por exemplo, PCs), siga as etapas em Bloquear o Exchange ActiveSync em todos os dispositivos.

Limitar o acesso ao Exchange Online a partir do Outlook na Web

Você pode restringir a capacidade de os usuários baixarem anexos do Outlook na Web em dispositivos não gerenciados. Os usuários nesses dispositivos podem exibir e editar esses arquivos usando o Office Online sem vazar e armazenar os arquivos no dispositivo. Também pode impedir que os utilizadores vejam anexos num dispositivo não gerido.

Aqui estão os passos:

  1. Conectar-se ao PowerShell do Exchange Online.

  2. Cada organização do Microsoft 365 com caixas de correio do Exchange Online tem uma política de caixa de correio interna do Outlook na Web (anteriormente conhecida como Outlook Web App ou OWA) chamada OwaMailboxPolicy-Default. Os administradores também podem criar políticas personalizadas.

    Para ver as diretivas de caixa de correio do Outlook na Web disponíveis, execute o seguinte comando:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Para permitir a visualização de anexos, mas sem download, execute o seguinte comando nas políticas afetadas:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Por exemplo:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Para bloquear anexos, execute o seguinte comando nas políticas afetadas:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Por exemplo:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. No portal do Azure, criar uma nova política de Acesso Condicional com estas configurações:

    Atribuições>Usuários e grupos: Selecione os usuários e grupos apropriados para incluir e excluir.

    Atribuições>aplicações de nuvem ou ações>aplicações de nuvem>Incluir>Selecionar aplicações: Selecione Office 365 Exchange Online.

    Controles de acesso>de sessão: Selecione Usar restrições impostas pelo aplicativo.

Exigir que os dispositivos iOS e Android usem o Outlook

Para garantir que os dispositivos iOS e Android possam aceder ao conteúdo escolar ou profissional utilizando o Outlook apenas para iOS e Android, precisa de uma política de Acesso Condicional direcionada a esses potenciais utilizadores.

Consulte as etapas para configurar essa política em Gerenciar o acesso à colaboração de mensagens usando o Outlook para iOS e Android.

Configurar a encriptação de mensagens

Com a Encriptação de Mensagens Microsoft Purview, que utiliza as funcionalidades de proteção na Proteção de Informações do Azure, a sua organização pode facilmente partilhar e-mails protegidos com qualquer pessoa em qualquer dispositivo. Os usuários podem enviar e receber mensagens protegidas com outras organizações do Microsoft 365, bem como com não clientes usando o Outlook.com, o Gmail e outros serviços de email.

Para obter mais informações, consulte Configurar a criptografia de mensagem.

Próximos passos

Captura de ecrã das políticas para aplicações na nuvem do Microsoft 365.

Configure políticas de Acesso Condicional para: