有关保护电子邮件的策略建议
本文介绍如何通过实施建议的零信任标识和设备访问策略来保护云电子邮件和电子邮件客户端。 此保护要求支持新式身份验证和条件访问的电子邮件客户端和设备。 本指南基于 通用标识和设备访问策略,还包括其他建议。
这些建议基于三个不同的安全和保护层,可以根据需求粒度应用:起点、企业,以及 专用安全。 可以在 推荐的安全策略和配置简介中详细了解这些安全层和建议的客户端作系统。
这些建议需要在移动设备上使用新式电子邮件客户端。 Outlook for iOS 和 Android 支持 Microsoft 365 的最佳功能。 Outlook for iOS 和 Android 中的安全功能支持移动使用,并与其他Microsoft云安全功能协同工作。 有关详细信息,请参阅 Outlook for iOS 和 Android 常见问题解答。
更新常用策略以包含电子邮件
为了保护电子邮件,下图说明了要从通用标识和设备访问策略更新的策略。
请注意,为 Exchange Online 添加了阻止 ActiveSync 客户端的新策略。 此策略强制在移动设备上使用 Outlook for iOS 和 Android。
如果在设置 Exchange Online 和 Outlook 时将 Exchange Online 和 Outlook 包含在策略范围内,则只需创建新策略来阻止 ActiveSync 客户端。 审核下表中列出的策略,并对电子邮件相关的设置提出建议性补充,或确认已包含这些设置。 每个策略链接到 通用标识和设备访问策略中的关联配置说明。
| 保护级别 | 政策 | 详细信息 |
|---|---|---|
| 起点 | 登录风险为中或高时需要 MFA | 在分配云应用时包括 Exchange Online。 |
| 阻止不支持新式身份验证的客户端 | 在分配云应用时包括 Exchange Online。 | |
| 应用 APP 数据保护策略 | 请确保 Outlook 包含在应用列表中。 请务必为每个平台(iOS、Android、Windows)更新策略。 | |
| 需要已批准的应用或应用保护策略 | 在云应用列表中包括 Exchange Online。 | |
| 验证是否禁用了向外部收件人转发自动电子邮件 | 默认情况下,默认出站垃圾邮件策略会阻止自动外部电子邮件转发,但管理员可以更改设置。 | |
| 阻止 Exchange ActiveSync 客户端 | 添加这项新策略。 | |
| 企业 | 当登录风险为低、中或高时,要求进行 MFA | 在分配云应用时包括 Exchange Online。 |
| 需要合规的电脑和合规的移动设备 | 在云应用列表中包括 Exchange Online。 | |
| 专用安全 | 始终需要 MFA | 在分配云应用时包括 Exchange Online。 |
验证是否禁用了自动向外部收件人转发电子邮件
默认情况下,Exchange Online Protection(EOP)中的出站垃圾邮件策略通过 收件箱规则 或 邮箱转发(也称为 SMTP 转发)阻止自动转发到外部收件人的电子邮件。 有关详细信息,请参阅控制 Microsoft 365 中的自动外部电子邮件转发。
在所有出站垃圾邮件策略中,验证自动转发规则设置的值为自动 - 系统控制或关闭 - 转发被禁用(两个值都阻止自动外部电子邮件转发)。 默认策略适用于所有用户,管理员可以创建自定义策略,这些策略适用于特定用户组。 有关详细信息,请参阅 在 EOP中配置出站垃圾邮件策略。
阻止 Exchange ActiveSync 客户端
Exchange ActiveSync 在桌面和移动设备上同步电子邮件和日历数据。
对于移动设备,根据 “要求批准的应用”或应用保护策略创建的条件访问策略,以下客户端会被阻止:
- 使用基本身份验证的 ActiveSync 客户端。
- 支持新式身份验证但不支持 Intune 应用保护策略的 ActiveSync 客户端。
- 支持 Intune 应用保护策略但未在策略中定义的设备。
若要阻止在其他类型设备(例如个人电脑)上使用基本身份验证的 ActiveSync 连接,请按照 阻止所有设备上的 Exchange ActiveSync中的步骤进行操作。
限制对 Outlook 网页版和新 Outlook for Windows 中电子邮件附件的访问
你可以限制非托管设备上的用户下载 Outlook 网页版(以前称为 Outlook Web App 或 OWA)和新的 Outlook for Windows 中的电子邮件附件。 用户可以使用 Office Online 查看和编辑这些文件,而无需泄露文件并将其存储在设备上。 你还可以阻止用户在未受管理的设备上通过网页版 Outlook 和新版 Outlook for Windows 查看附件。
在 Exchange Online 中使用 Outlook 网页版邮箱策略强制实施这些限制。 每个具有 Exchange Online 邮箱的 Microsoft 365 组织都有一个名为 OwaMailboxPolicy-Default 的内置 Outlook on the Web 上邮箱策略。 默认情况下,此策略将应用于所有用户。 管理员还可以 创建自定义策略 应用于特定用户组。
下面是限制对电子邮件附件的访问的步骤:
若要查看可用的 Outlook 网页版邮箱策略,请运行以下命令:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy若要允许查看但不下载附件,请将 <PolicyName> 替换为受影响的策略的名称,然后运行以下命令:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly例如:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly若要阻止查看附件,请将 <PolicyName> 替换为受影响的策略的名称,然后运行以下命令:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked例如:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked在 https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview 的 Microsoft Entra 管理中心的条件访问 | 概述页面上,使用以下设置创建新的条件访问策略:
分配部分:
- 用户:在包含和排除选项卡上选择要包含和排除的适当用户和组。
- 目标资源:选择此策略适用于>资源(前云应用)>包括 选项卡 >选择资源>选择> 查找并选择 Office 365 Exchange Online。
访问控制部分:会话>选择使用应用强制实施的限制。
启用策略部分:选择开。
需要在移动设备上安装 Outlook for iOS 和 Android
若要要求 Outlook for iOS 和 Android 访问公司数据,需要一个面向这些潜在用户的条件访问策略。
按照以下步骤配置此策略:使用适用于 iOS 和 Android 的 Outlook 管理消息传递协作访问。
设置消息加密
借助 Microsoft Purview 消息加密(使用 Azure 信息保护中的保护功能),组织可以轻松地与任何设备上的任何人共享受保护的电子邮件。 用户可以与其他使用 Microsoft 365、Outlook.com、Gmail 和其他电子邮件服务的组织发送和接收受保护的邮件。
有关详细信息,请参阅 设置消息加密。
后续步骤
为以下项配置条件访问策略: