Поделиться через

Рекомендации по политике для защиты электронной почты

  • Статья

В этой статье описывается, как реализовать рекомендуемые политики идентификации и доступа к устройствам на основе модели Zero Trust для защиты электронной почты организации и клиентов электронной почты, поддерживающих современные методы аутентификации и условный доступ. Это руководство основывается на общих политиках идентификации и доступа к устройствам, а также содержит несколько дополнительных рекомендаций.

Эти рекомендации основаны на трех различных уровнях безопасности и защиты, которые можно применить на основе детализации ваших потребностей: базовый уровень, корпоративный уровеньи специализированный уровень безопасности. Дополнительные сведения об этих уровнях безопасности и рекомендуемых клиентских операционных системах см. в введении к рекомендуемым политикам безопасности и конфигурациям.

Эти рекомендации требуют, чтобы пользователи использовали современные почтовые клиенты, включая Outlook для iOS и Android на мобильных устройствах. Outlook для iOS и Android обеспечивают поддержку лучших функций Microsoft 365. Эти мобильные приложения Outlook также разработаны с возможностями безопасности, предназначены для мобильного использования и взаимодействуют с другими возможностями облачной безопасности Microsoft. Для получения дополнительной информации см. FAQ по Outlook для iOS и Android.

Обновление распространенных политик для включения электронной почты

Для защиты электронной почты на следующей схеме показано, какие политики следует обновить из общих политик идентификации и доступа к устройствам.

Диаграмма, которая показывает сводку обновлений политики для защиты доступа к Microsoft Exchange.

Обратите внимание, что в Exchange Online добавляется новая политика, блокирующая клиентов ActiveSync. Эта политика обязывает использовать Outlook для iOS и Android на мобильных устройствах.

Если вы включили Exchange Online и Outlook в область действия политик при их настройке, необходимо только создать новую политику для блокировки клиентов ActiveSync. Просмотрите политики, перечисленные в следующей таблице, и внесите рекомендуемые дополнения или убедитесь, что эти параметры уже включены. Каждая политика ссылается на связанные инструкции по настройке в общих политик удостоверений и политик доступа к устройствам.

Уровень защиты Политики Дополнительные сведения
Начальная точка Требовать MFA, если риск входа средний или высокий Включение Exchange Online в назначение облачных приложений
Блокировать клиенты, не поддерживающие современную проверку подлинности Включение Exchange Online в назначение облачных приложений
Применение политик защиты данных APP Убедитесь, что Outlook включен в список приложений. Обязательно обновите политику для каждой платформы (iOS, Android, Windows)
Требовать утвержденные приложения или политики защиты приложений Включение Exchange Online в список облачных приложений
Блокировка клиентов ActiveSync Добавление этой новой политики
Корпоративная Требовать многофакторную проверку подлинности, если риск входа низкий, средний или высокий Включение Exchange Online в назначение облачных приложений
Требовать совместимости компьютеров и мобильных устройств Включение Exchange Online в список облачных приложений
Специализированная безопасность для always требуется MFA Включение Exchange Online в назначение облачных приложений

Блокировать клиенты ActiveSync

Exchange ActiveSync можно использовать для синхронизации данных обмена сообщениями и календаря на настольных и мобильных устройствах.

Для мобильных устройств следующие клиенты блокируются на основе политики условного доступа, созданной в Требовать утвержденные приложения или политики защиты приложений:

  • Клиенты Exchange ActiveSync, использующие обычную проверку подлинности.
  • Клиенты Exchange ActiveSync, поддерживающие современную проверку подлинности, но не поддерживают политики защиты приложений Intune.
  • Устройства, поддерживающие политики защиты приложений Intune, но не определены в политике.

Чтобы заблокировать подключения Exchange ActiveSync с помощью базовой проверки подлинности на других типах устройств (например, пк), выполните действия, описанные в разделе Блокировать Exchange ActiveSync на всех устройствах.

Ограничение доступа к Exchange Online из Outlook в Интернете

Вы можете ограничить возможность скачивания вложений из Outlook в Интернете на неуправляемых устройствах. Пользователи на этих устройствах могут просматривать и изменять эти файлы с помощью Office Online без утечки и хранения файлов на устройстве. Кроме того, пользователи могут блокировать просмотр вложений на неуправляемом устройстве.

Ниже приведены действия.

  1. Подключение к Exchange Online PowerShell.

  2. Каждая организация Microsoft 365 с почтовыми ящиками Exchange Online имеет встроенную политику почтовых ящиков Outlook в Интернете (прежнее название — Outlook Web App или OWA) с именем OwaMailboxPolicy-Default. Администраторы также могут создавать настраиваемые политики.

    Чтобы просмотреть доступные политики почтовых ящиков Outlook в Интернете, выполните следующую команду:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Чтобы разрешить просмотр вложений, но не скачивать, выполните следующую команду в затронутых политиках:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Например:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Чтобы заблокировать вложения, выполните следующую команду в затронутых политиках:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Например:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. На портале Azure создать новую политику условного доступа с этими параметрами:

    назначения задач>пользователей и группы: выберите соответствующих пользователей и группы для включения и исключения.

    Назначения>облачных приложений или действий>Облачные приложения>Включить>Выбор приложений: выберите Office 365 Exchange Online.

    элементы управления доступом>сеанса: выберите Использовать ограничения, примененные приложением.

Требовать, чтобы устройства iOS и Android использовали Outlook

Чтобы убедиться, что устройства iOS и Android могут получить доступ к рабочему или учебному содержимому с помощью Outlook для iOS и Android, вам потребуется политика условного доступа, предназначенная для этих потенциальных пользователей.

Посмотрите шаги по настройке этой политики в управление доступом к совместной работе с сообщениями с помощью Outlook для iOS и Android.

Настройка шифрования сообщений

С помощью шифрования сообщений Microsoft Purview, использующего функции защиты в Azure Information Protection, ваша организация может легко предоставлять доступ к защищенной электронной почте любому пользователю на любом устройстве. Пользователи могут отправлять и получать защищенные сообщения с другими организациями Microsoft 365, а также не клиентами с помощью Outlook.com, Gmail и других служб электронной почты.

Дополнительные сведения см. в настройке шифрования сообщений.

Дальнейшие действия

снимок экрана: политики для облачных приложений Microsoft 365.

Настройка политик условного доступа для следующих условий: