Principrekommendationer för att skydda e-post
Den här artikeln beskriver hur du implementerar de rekommenderade Nolltillit principer för identitets- och enhetsåtkomst för att skydda organisationens e-post- och e-postklienter som stöder modern autentisering och villkorlig åtkomst. Den här vägledningen bygger på vanliga principer för identitets- och enhetsåtkomst och innehåller även några ytterligare rekommendationer.
Dessa rekommendationer baseras på tre olika nivåer av säkerhet och skydd som kan tillämpas baserat på dina behovs kornighet: startpunkt, företag och specialiserad säkerhet. Du kan lära dig mer om dessa säkerhetsnivåer och de rekommenderade klientoperativsystemen i introduktionen till rekommenderade säkerhetsprinciper och konfigurationer.
Dessa rekommendationer kräver att användarna använder moderna e-postklienter, inklusive Outlook för iOS och Android på mobila enheter. Outlook för iOS och Android har stöd för de bästa funktionerna i Microsoft 365. Dessa mobila Outlook-appar är också konstruerade med säkerhetsfunktioner som stöder mobil användning och fungerar tillsammans med andra Microsoft-molnsäkerhetsfunktioner. Mer information finns i Vanliga frågor och svar om Outlook för iOS och Android.
Uppdatera vanliga principer för att inkludera e-post
För att skydda e-post illustrerar följande diagram vilka principer som ska uppdateras från vanliga principer för identitets- och enhetsåtkomst.
Observera att tillägget av en ny princip för Exchange Online blockerar ActiveSync-klienter. Den här principen tvingar fram användning av Outlook för iOS och Android på mobila enheter.
Om du inkluderade Exchange Online och Outlook i omfånget för principerna när du konfigurerade dem behöver du bara skapa den nya principen för att blockera ActiveSync-klienter. Granska de principer som anges i följande tabell och gör antingen de rekommenderade tilläggen eller bekräfta att de här inställningarna redan ingår. Varje princip länkar till de associerade konfigurationsinstruktionerna i Vanliga principer för identitets- och enhetsåtkomst.
Skyddsnivå | Principer | Mer information |
---|---|---|
Utgångspunkt | Kräv MFA när inloggningsrisken är medelhög eller hög | Inkludera Exchange Online i tilldelningen av molnappar |
Blockera klienter som inte stöder modern autentisering | Inkludera Exchange Online i tilldelningen av molnappar | |
Tillämpa APP-dataskyddsprinciper | Se till att Outlook ingår i listan över appar. Se till att uppdatera principen för varje plattform (iOS, Android, Windows) | |
Kräv godkända appar och APP-skydd | Ta med Exchange Online i listan över molnappar | |
Blockera ActiveSync-klienter | Lägg till den här nya principen | |
Enterprise | Kräv MFA när inloggningsrisken är låg, medelhög eller hög | Inkludera Exchange Online i tilldelningen av molnappar |
Kräv kompatibla datorer och mobila enheter | Ta med Exchange Online i listan över molnappar | |
Specialiserad säkerhet | Kräv alltid MFA | Inkludera Exchange Online i tilldelningen av molnappar |
Blockera ActiveSync-klienter
Exchange ActiveSync kan användas för att synkronisera meddelande- och kalenderdata på stationära och mobila enheter.
För mobila enheter blockeras följande klienter baserat på principen för villkorlig åtkomst som skapats i Kräv godkända appar och APP-skydd:
- Exchange ActiveSync-klienter som använder grundläggande autentisering.
- Exchange ActiveSync-klienter som stöder modern autentisering, men som inte stöder Intune-appskyddsprinciper.
- Enheter som stöder Intune-appskyddsprinciper, men som inte definieras i principen.
Om du vill blockera Exchange ActiveSync-anslutningar med grundläggande autentisering på andra typer av enheter (till exempel datorer) följer du stegen i Blockera Exchange ActiveSync på alla enheter.
Begränsa åtkomsten till Exchange Online från Outlook på webben
Du kan begränsa möjligheten för användare att ladda ned bifogade filer från Outlook på webben på ohanterade enheter. Användare på dessa enheter kan visa och redigera dessa filer med Office Online utan att läcka och lagra filerna på enheten. Du kan också blockera användare från att se bifogade filer på en ohanterad enhet.
Här är stegen:
Varje Microsoft 365-organisation med Exchange Online-postlådor har en inbyggd Outlook på webben (tidigare kallad Outlook Web App eller OWA) postlådeprincip med namnet OwaMailboxPolicy-Default. Administratörer kan också skapa anpassade principer.
Kör följande kommando för att se tillgängliga Outlook på webben postlådeprinciper:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
Om du vill tillåta visning av bifogade filer men ingen nedladdning kör du följande kommando på de berörda principerna:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
Till exempel:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
Om du vill blockera bifogade filer kör du följande kommando på de berörda principerna:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
Till exempel:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
I Azure-portalen skapar du en ny princip för villkorsstyrd åtkomst med följande inställningar:
Tilldelningar Användare och grupper: Välj lämpliga användare och grupper som ska inkluderas>och exkluderas.
Tilldelningar>Molnappar eller åtgärder>Molnappar>Inkludera>Välj appar: Välj Office 365 Exchange Online.
Åtkomstkontroller>Session: Välj Använd apptvingande begränsningar.
Kräv att iOS- och Android-enheter måste använda Outlook
För att säkerställa att iOS- och Android-enheter endast kan komma åt arbets- eller skolinnehåll med outlook för iOS och Android behöver du en princip för villkorsstyrd åtkomst som riktar sig till dessa potentiella användare.
Se stegen för att konfigurera den här principen i Hantera åtkomst till meddelandesamarbete med hjälp av Outlook för iOS och Android.
Konfigurera meddelandekryptering
Med Meddelandekryptering i Microsoft Purview, som använder skyddsfunktionerna i Azure Information Protection, kan din organisation enkelt dela skyddad e-post med vem som helst på valfri enhet. Användare kan skicka och ta emot skyddade meddelanden med andra Microsoft 365-organisationer samt icke-kunder som använder Outlook.com, Gmail och andra e-posttjänster.
Mer information finns i Konfigurera meddelandekryptering.
Nästa steg
Konfigurera principer för villkorlig åtkomst för: