توصيات النهج لتأمين البريد الإلكتروني
تصف هذه المقالة كيفية تنفيذ نهج الهوية والوصول إلى الأجهزة ثقة معدومة الموصى بها لحماية عملاء البريد الإلكتروني والبريد الإلكتروني المؤسسيين الذين يدعمون المصادقة الحديثة والوصول المشروط. يعتمد هذا التوجيه على نهج الوصول إلى الأجهزة والهوية الشائعة ويتضمن أيضا بعض التوصيات الإضافية.
تستند هذه التوصيات إلى ثلاثة مستويات مختلفة من الأمان والحماية التي يمكن تطبيقها بناء على نقاوة احتياجاتك: نقطة البداية والمؤسسة والأمان المتخصص. يمكنك معرفة المزيد حول مستويات الأمان هذه، وأنظمة تشغيل العميل الموصى بها، المشار إليها من قبل هذه التوصيات في مقدمة نهج الأمان والتكوينات الموصى بها.
تتطلب هذه التوصيات من المستخدمين استخدام عملاء البريد الإلكتروني الحديثين، بما في ذلك Outlook لنظامي التشغيل iOS وAndroid على الأجهزة المحمولة. يوفر Outlook لنظامي التشغيل iOS وAndroid الدعم لأفضل ميزات Office 365. كما تم تصميم تطبيقات Outlook الأجهزة المحمولة هذه مع إمكانات الأمان التي تدعم استخدام الأجهزة المحمولة وتعمل مع قدرات الأمان السحابية الأخرى من Microsoft. لمزيد من المعلومات، راجع الأسئلة المتداولة حول Outlook لنظامي التشغيل iOS وAndroid.
تحديث النهج الشائعة لتضمين البريد الإلكتروني
لحماية البريد الإلكتروني، يوضح الرسم التخطيطي التالي النهج التي يجب تحديثها من نهج الوصول إلى الأجهزة والهوية الشائعة.
لاحظ إضافة نهج جديد Exchange Online لحظر عملاء ActiveSync. وهذا يفرض استخدام Outlook الجوال.
إذا قمت بتضمين Exchange Online Outlook في نطاق النهج عند إعدادها، فستحتاج فقط إلى إنشاء النهج الجديد لحظر عملاء ActiveSync. راجع النهج المدرجة في الجدول التالي وقم بإجراء الإضافات الموصى بها، أو تأكد من تضمينها بالفعل. يرتبط كل نهج بإرشادات التكوين المقترنة في نهج الوصول إلى الهوية والجهاز الشائعة.
| مستوى الحماية | السياسات | معلومات إضافية |
|---|---|---|
| نقطة البداية | طلب المصادقة متعددة العوامل (MFA) عندما يكون خطر تسجيل الدخول متوسطا أو مرتفعا | تضمين Exchange Online في تعيين تطبيقات السحابة |
| حظر العملاء الذين لا يدعمون المصادقة الحديثة | تضمين Exchange Online في تعيين تطبيقات السحابة | |
| تطبيق نهج حماية بيانات APP | تأكد من تضمين Outlook في قائمة التطبيقات. تأكد من تحديث النهج لكل نظام أساسي (iOS وAndroid Windows) | |
| طلب التطبيقات المعتمدة وحماية التطبيقات | تضمين Exchange Online في قائمة تطبيقات السحابة | |
| حظر عملاء ActiveSync | إضافة هذا النهج الجديد | |
| Enterprise | طلب المصادقة متعددة العوامل (MFA) عندما يكون خطر تسجيل الدخول منخفضا أو متوسطا أو مرتفعا | تضمين Exchange Online في تعيين تطبيقات السحابة |
| طلب أجهزة كمبيوتر وأجهزة محمولة متوافقة | تضمين Exchange Online في قائمة تطبيقات السحابة | |
| أمان متخصص | طلب المصادقة متعددة العوامل (MFA) دائما | تضمين Exchange Online في تعيين تطبيقات السحابة |
حظر عملاء ActiveSync
يمكن استخدام Exchange ActiveSync لمزامنة بيانات المراسلة والتقويم على أجهزة سطح المكتب والأجهزة المحمولة.
بالنسبة إلى الأجهزة المحمولة، يتم حظر عملاء Exchange ActiveSync الحديثة القادرة على المصادقة التي لا تدعم نهج حماية تطبيقات Intune (أو العملاء المدعومين غير المحددين في نهج حماية التطبيقات) وعملاء Exchange ActiveSync الذين يستخدمون المصادقة الأساسية استنادا إلى نهج الوصول المشروط الذي تم إنشاؤه في "طلب التطبيقات المعتمدة وحماية التطبيقات".
لحظر Exchange ActiveSync باستخدام المصادقة الأساسية على أجهزة أخرى، اتبع الخطوات الواردة في حظر Exchange ActiveSync على جميع الأجهزة، مما يمنع عملاء Exchange ActiveSync الذين يستخدمون المصادقة الأساسية على الأجهزة غير المحمولة من الاتصال Exchange Online.
يمكنك أيضا استخدام نهج المصادقة لتعطيل المصادقة الأساسية، ما يفرض على كافة طلبات وصول العميل استخدام المصادقة الحديثة.
تقييد الوصول إلى Exchange Online من Outlook على ويب
يمكنك تقييد قدرة المستخدمين على تنزيل المرفقات من Outlook على ويب على أجهزة غير مدارة. يمكن للمستخدمين على هذه الأجهزة عرض هذه الملفات وتحريرها باستخدام Office Online دون تسريب الملفات وتخزينها على الجهاز. يمكنك أيضا حظر المستخدمين من رؤية المرفقات على جهاز غير مدار.
فيما يلي الخطوات:
إذا لم يكن لديك بالفعل نهج علبة بريد OWA، قم بإنشاء واحد باستخدام New-OwaMailboxPolicy cmdlet.
إذا كنت تريد السماح بعرض المرفقات ولكن بدون تنزيل، فاستخدم هذا الأمر:
Set-OwaMailboxPolicy -Identity Default -ConditionalAccessPolicy ReadOnlyإذا كنت تريد حظر المرفقات، فاستخدم هذا الأمر:
Set-OwaMailboxPolicy -Identity Default -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedفي مدخل Microsoft Azure، قم بإنشاء نهج وصول مشروط جديد باستخدام هذه الإعدادات:
تعيينات > المستخدمون والمجموعات: حدد المستخدمين والمجموعات المناسبة لتضمينها واستبعادها.
تعيينات > تطبيقات أو إجراءات السحابة > تطبيقات السحابة > تشمل > تحديد التطبيقات: حدد Office 365 Exchange Online
عناصر التحكم في > الوصول جلسة العمل: تحديد القيود المفروضة على استخدام التطبيق
مطالبة أجهزة iOS وAndroid باستخدام Outlook
للتأكد من أن مستخدمي أجهزة iOS وAndroid يمكنهم الوصول إلى محتوى العمل أو المؤسسة التعليمية فقط باستخدام Outlook لنظامي التشغيل iOS وAndroid، تحتاج إلى نهج وصول مشروط يستهدف هؤلاء المستخدمين المحتملين.
راجع الخطوات لتكوين هذا النهج في إدارة الوصول إلى تعاون المراسلة باستخدام Outlook لنظامي التشغيل iOS وAndroid.
إعداد تشفير الرسائل
باستخدام Microsoft Purview Message Encryption، الذي يستفيد من ميزات الحماية في Azure حماية البيانات، يمكن لمؤسستك مشاركة البريد الإلكتروني المحمي بسهولة مع أي شخص على أي جهاز. يمكن للمستخدمين إرسال رسائل محمية وتلقيها مع مؤسسات Microsoft 365 أخرى بالإضافة إلى غير العملاء باستخدام Outlook.com وGmail وخدمات البريد الإلكتروني الأخرى.
لمزيد من المعلومات، راجع إعداد قدرات تشفير رسائل Office 365 جديدة.
الخطوات التالية
تكوين نهج الوصول المشروط من أجل:
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ