保護電子郵件的原則建議
本文說明如何藉由實作建議的零信任身分識別和裝置存取原則來保護雲端電子郵件和電子郵件客戶程式。 此保護需要支援新式驗證和條件式存取的電子郵件客戶端和裝置。 本指南以 通用身分識別和裝置存取原則為基礎, 也包含其他建議。
這些建議是基於三種不同層級的安全性和保護措施,可根據需求的細緻程度進行應用:起始點、企業級,以及 專業安全。 您可以在 建議的安全策略和組態簡介中深入瞭解這些安全性層級和建議的用戶端作業系統,。
這些建議需要在行動裝置上使用新式電子郵件客戶程式。 iOS 和 Android 版 Outlook 支援 Microsoft 365 的最佳功能。 iOS 版 Outlook 和 Android 版的安全性功能支援行動裝置使用,並與其他Microsoft雲端安全性功能搭配使用。 如需詳細資訊,請參閱 iOS 版 Outlook 和 Android 版常見問題。
更新通用原則以包含電子郵件
為了保護電子郵件,下圖說明要從一般身分識別和裝置存取原則更新哪些原則。
請注意新增 Exchange Online 的新原則,以封鎖 ActiveSync 用戶端。 此原則會強制在行動裝置上使用 iOS 版 Outlook 和 Android 版 Outlook。
如果您在設定 Exchange Online 和 Outlook 時將 Exchange Online 和 Outlook 包含在原則的範圍內,則只需要建立新的原則來封鎖 ActiveSync 用戶端。 檢閱下表所列的政策,並依照建議為電子郵件進行新增,或確認這些設定是否已經包括在內。 每個原則都會連結到 通用身分識別和裝置存取原則中相關聯的設定指示,。
保護層級 | 政策 | 詳細資訊 |
---|---|---|
起點 | 當登入風險 |
將 Exchange Online 納入雲端應用程式的指派中。 |
封鎖不支援新式驗證的用戶端 | 將 Exchange Online 包含在雲端應用程式的指派中。 | |
套用應用程式數據保護原則 | 請確定 Outlook 包含在應用程式清單中。 請務必更新每個平台的原則(iOS、Android、Windows)。 | |
需要核准的應用程式或應用程式保護原則 | 將 Exchange Online 包含在雲端應用程式清單中。 | |
[封鎖 ActiveSync 用戶端](封鎖 Exchange ActiveSync 用戶端) | 新增此新原則。 | |
企業 | 當登入風險 低、中等或 高時, 需要 MFA | 在雲端應用程式的指派中包含 Exchange Online。 |
需要符合規範的計算機 和行動裝置 | 將 Exchange Online 包含在雲端應用程式清單中。 | |
特製化安全性 | Always 需要 MFA | 在雲端應用程式分配任務中包含 Exchange Online。 |
封鎖 Exchange ActiveSync 用戶端
ActiveSync 可用來同步處理桌面和行動裝置上的電子郵件和行事曆數據。
針對行動裝置,下列客戶端會根據在 [需要核准的應用程式] 或應用程式保護原則中所建立的條件式存取原則予以封鎖:
- 使用基本身份驗證的 Exchange ActiveSync 用戶端。
- 支援新式驗證,但不支援 Intune 應用程式保護原則的 Exchange ActiveSync 用戶端。
- 支援 Intune 應用程式保護原則但未在原則中定義的裝置。
若要封鎖在其他類型的裝置上使用基本身份驗證的 ActiveSync 連線(例如電腦),請遵循 封鎖所有裝置上的 Exchange ActiveSync 中的步驟。
限制在 Outlook 網頁版和新的 Windows Outlook 中存取電子郵件附件
您可以限制非受控裝置上的使用者,在 Outlook 網頁版 (先前稱為 Outlook Web App 或 OWA) 和新的 Windows Outlook 中下載電子郵件附件。 使用者可以使用 Office Online 來檢視和編輯這些檔案,而不會洩漏並儲存在裝置上的檔案。 您也可以封鎖使用者,甚至防止使用者在 Outlook 網頁版中看到附件,以及在非受控裝置上看到新的 Windows Outlook。
您可以使用 Exchange Online 中的 Outlook 網頁版信箱原則來強制執行這些限制。 每個具有 Exchange Online 信箱的 Microsoft 365 組織都有名為 OwaMailboxPolicy-Default 的內建 Outlook 網頁版信箱原則。 根據預設,此原則會套用至所有使用者。 系統管理員也可以 建立套用至特定使用者群組的自定義原則。
以下是限制電子郵件附件存取的步驟:
若要查看可用的 Outlook 網頁版信箱原則,請執行下列命令:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
若要允許檢視但不下載附件,請使用受影響的原則名稱取代 <PolicyName>,然後執行下列命令:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
例如:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
若要封鎖檢視附件,請使用受影響的原則名稱取代 <PolicyName>,然後執行下列命令:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
例如:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
在 Microsoft Entra 入口網站的 條件式存取 | 概觀 頁面,https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview使用下列設定建立新的條件式存取原則:
工作分派 區段:
- [使用者]:選取適當的使用者和群組,以在 [包含] 和 [排除] 索引標籤上包括或排除。
- 目標資源:選取此原則適用於>資源(先前稱為雲端應用程式)>[包含] 索引卷標,>選取 [選取>> 選取資源],然後選取 [Office 365 Exchange Online]。
訪問控制 區段:會話> 選擇 使用應用程式強制限制。
[啟用原則] 區段:選取 [on]。
行動裝置上需要 iOS 版和 Android 版 Outlook
若要要求 iOS 版和 Android 版 Outlook 存取公司數據,您需要以這些潛在使用者為目標的條件式存取原則。
請依照 中使用 iOS 版和 Android 版的 Outlook 來管理郵件協作存取的步驟,來設定此原則。
設定訊息加密
使用 Microsoft Purview 訊息加密,這項技術利用 Azure 資訊保護中的保護功能,讓您的組織能夠在任何裝置上輕鬆地與任何人共享受保護的電子郵件。 使用者可以與其他使用 Microsoft 365、Outlook.com、Gmail 和其他電子郵件服務的組織一起傳送和接收受保護的郵件。
如需詳細資訊,請參閱 設定訊息加密。
後續步驟
針對下列項目設定條件式存取原則: