Recomendaciones de directivas para proteger el correo electrónico
En este artículo se describe cómo implementar las directivas de acceso a dispositivos e identidades de Confianza cero recomendadas para proteger los clientes de correo electrónico y correo electrónico de la organización que admiten la autenticación moderna y el acceso condicional. Esta guía se basa en las directivas de acceso a dispositivos e identidades comunes y también incluye algunas recomendaciones adicionales.
Estas recomendaciones se basan en tres niveles diferentes de seguridad y protección que se pueden aplicar en función de la granularidad de sus necesidades: punto de partida, empresa y seguridad especializada. Puede obtener más información sobre estos niveles de seguridad y los sistemas operativos de cliente recomendados en la introducción a las directivas y configuraciones de seguridad recomendadas.
Estas recomendaciones requieren que los usuarios usen clientes de correo electrónico modernos, como Outlook para iOS y Android en dispositivos móviles. Outlook para iOS y Android proporcionan compatibilidad con las mejores características de Microsoft 365. Estas aplicaciones móviles de Outlook también están diseñadas con funcionalidades de seguridad que admiten el uso móvil y funcionan junto con otras funcionalidades de seguridad en la nube de Microsoft. Para obtener más información, vea Preguntas más frecuentes sobre Outlook para iOS y Android.
Actualización de directivas comunes para incluir correo electrónico
Para proteger el correo electrónico, en el diagrama siguiente se muestran las directivas que se van a actualizar a partir de las directivas comunes de acceso a dispositivos e identidades.
Tenga en cuenta la adición de una nueva directiva para Exchange Online bloquear clientes de ActiveSync. Esta directiva fuerza el uso de Outlook para iOS y Android en dispositivos móviles.
Si incluyó Exchange Online y Outlook en el ámbito de las directivas al configurarlas, solo tendrá que crear la nueva directiva para bloquear los clientes de ActiveSync. Revise las directivas enumeradas en la tabla siguiente y realice las adiciones recomendadas o confirme que esta configuración ya está incluida. Cada directiva se vincula a las instrucciones de configuración asociadas en Directivas comunes de acceso a dispositivos e identidades.
| Nivel de protección | Directivas | Más información |
|---|---|---|
| Punto de inicio | Requerir MFA cuando el riesgo de inicio de sesión es medio o alto | Incluir Exchange Online en la asignación de aplicaciones en la nube |
| Bloquear a los clientes que no sean compatibles con la autenticación moderna | Incluir Exchange Online en la asignación de aplicaciones en la nube | |
| Aplicación de directivas de protección de datos de APLICACIONES | Asegúrese de que Outlook está incluido en la lista de aplicaciones. Asegúrese de actualizar la directiva para cada plataforma (iOS, Android, Windows) | |
| Requerir aplicaciones aprobadas y protección de aplicaciones | Incluir Exchange Online en la lista de aplicaciones en la nube | |
| Bloquear clientes de ActiveSync | Agregar esta nueva directiva | |
| Empresarial | Requerir MFA cuando el riesgo de inicio de sesión es bajo, medio o alto | Incluir Exchange Online en la asignación de aplicaciones en la nube |
| Requerir equipos compatibles y dispositivos móviles | Incluir Exchange Online en la lista de aplicaciones en la nube | |
| Seguridad especializada | Siempre se requiere MFA | Incluir Exchange Online en la asignación de aplicaciones en la nube |
Bloquear clientes de ActiveSync
Exchange ActiveSync se pueden usar para sincronizar datos de mensajería y calendario en dispositivos móviles y de escritorio.
En el caso de los dispositivos móviles, los siguientes clientes se bloquean en función de la directiva de acceso condicional creada en Requerir aplicaciones aprobadas y protección de aplicaciones:
- Exchange ActiveSync clientes que usan la autenticación básica.
- Exchange ActiveSync clientes que admiten la autenticación moderna, pero no admiten Intune directivas de protección de aplicaciones.
- Los dispositivos que admiten Intune directivas de protección de aplicaciones, pero no están definidos en la directiva.
Para bloquear Exchange ActiveSync conexiones mediante la autenticación básica en otros tipos de dispositivos (por ejemplo, equipos), siga los pasos descritos en Bloquear Exchange ActiveSync en todos los dispositivos.
Limitar el acceso a Exchange Online desde Outlook en la Web
Puede restringir la capacidad de los usuarios para descargar datos adjuntos de Outlook en la Web en dispositivos no administrados. Los usuarios de estos dispositivos pueden ver y editar estos archivos mediante Office Online sin perder ni almacenar los archivos en el dispositivo. También puede impedir que los usuarios vean datos adjuntos en un dispositivo no administrado.
Estos son los pasos:
Cada organización de Microsoft 365 con buzones de Exchange Online tiene una directiva de buzón de correo integrada de Outlook en la Web (anteriormente conocida como Outlook Web App o OWA) denominada OwaMailboxPolicy-Default. Los administradores también pueden crear directivas personalizadas.
Para ver las directivas de buzón de Outlook en la Web disponibles, ejecute el siguiente comando:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyPara permitir la visualización de datos adjuntos pero sin descarga, ejecute el siguiente comando en las directivas afectadas:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPor ejemplo:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPara bloquear los datos adjuntos, ejecute el siguiente comando en las directivas afectadas:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedPor ejemplo:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedEn el Azure Portal, cree una nueva directiva de acceso condicional con esta configuración:
Asignaciones>Usuarios y grupos: seleccione los usuarios y grupos adecuados para incluir y excluir.
Asignaciones>Aplicaciones o acciones> en la nubeAplicaciones en la nube>Incluír>Seleccionar aplicaciones: seleccione Office 365 Exchange Online.
>Controles de accesoSesión: seleccione Usar restricciones aplicadas por la aplicación.
Requerir que los dispositivos iOS y Android usen Outlook
Para asegurarse de que los dispositivos iOS y Android puedan acceder a contenido profesional o educativo con Outlook solo para iOS y Android, necesita una directiva de acceso condicional destinada a esos usuarios potenciales.
Consulte los pasos para configurar esta directiva en Administración del acceso a la colaboración de mensajería mediante Outlook para iOS y Android.
Configuración del cifrado de mensajes
Con Cifrado de mensajes de Microsoft Purview, que usa las características de protección de Azure Information Protection, su organización puede compartir fácilmente el correo electrónico protegido con cualquier usuario de cualquier dispositivo. Los usuarios pueden enviar y recibir mensajes protegidos con otras organizaciones de Microsoft 365, así como con clientes que no usen Outlook.com, Gmail y otros servicios de correo electrónico.
Para obtener más información, vea Configurar el cifrado de mensajes.
Pasos siguientes
Configurar directivas de acceso condicional para:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de