Criteri consigliati per la protezione della posta elettronicaPolicy recommendations for securing email

In questo articolo viene descritto come implementare i criteri di identità e accesso ai dispositivi consigliati per proteggere la posta elettronica e i client di posta elettronica che supportano l'autenticazione moderna e l'accesso condizionale.This article describes how to implement the recommended identity and device access policies to protect organizational email and email clients that support modern authentication and conditional access. Queste linee guida si basano sui criteri comuni di accesso a identità e dispositivi e sono inoltre disponibili alcuni suggerimenti aggiuntivi.This guidance builds on the Common identity and device access policies and also includes a few additional recommendations.

Questi suggerimenti si basano su tre diversi livelli di sicurezza e protezione che possono essere applicati in base alla granularità delle proprie esigenze: linea di base, sensibilee altamente regolamentata.These recommendations are based on three different tiers of security and protection that can be applied based on the granularity of your needs: baseline, sensitive, and highly regulated. Per altre informazioni su questi livelli di sicurezza e sui sistemi operativi client consigliati a cui fanno riferimento questi consigli, vedere Recommended security policies and configurations (Criteri di sicurezza e configurazioni consigliati).You can learn more about these security tiers, and the recommended client operating systems, referenced by these recommendations in the recommended security policies and configurations introduction.

Questi suggerimenti richiedono agli utenti di utilizzare i client di posta elettronica moderni, tra cui Outlook per iOS e Android su dispositivi mobili.These recommendations require your users to use modern email clients, including Outlook for iOS and Android on mobile devices. Outlook per iOS e Android fornisce supporto per le migliori funzionalità di Office 365.Outlook for iOS and Android provide support for the best features of Office 365. Queste app per dispositivi mobili di Outlook sono inoltre architettate con funzionalità di sicurezza che supportano l'utilizzo dei dispositivi mobili e utilizzano altre funzionalità di sicurezza cloud Microsoft.These mobile Outlook apps are also architected with security capabilities that support mobile use and work together with other Microsoft cloud security capabilities. Per ulteriori informazioni, vedere le domande frequenti su Outlook per iOS e Android.For more information, see Outlook for iOS and Android FAQ.

Aggiornamento di criteri comuni per includere messaggi di posta elettronicaUpdating common policies to include email

Nel diagramma seguente vengono illustrati i criteri comuni di identità e accesso ai dispositivi e viene indicato quali criteri devono essere aggiornati per proteggere la posta elettronica.The following diagram illustrates the common identity and device access policies and indicates which policies need to be updated to protect email. Si noti l'aggiunta di una nuova regola per Exchange Online per bloccare i client ActiveSync.Note the addition of a new rule for Exchange Online to block ActiveSync clients. Questo impone l'utilizzo di Outlook Mobile.This forces the use of Outlook mobile.

Riepilogo degli aggiornamenti dei criteri per la protezione della posta elettronica

Se è stato incluso Exchange Online e Outlook nell'ambito dei criteri quando vengono configurati, è necessario creare solo il nuovo criterio per bloccare i client ActiveSync.If you included Exchange Online and Outlook in the scope of the policies when you set them up, you only need to create the new policy to block ActiveSync clients. Esaminare i criteri elencati nella tabella seguente e apportare le aggiunte consigliate o confermare che sono già inclusi.Review the policies listed in the following table and either make the recommended additions, or confirm that these are already included. Ogni regola collega le istruzioni di configurazione associate nell'articolo Common Identity and Device Access Policies .Each rule links to the associated configuration instructions in the Common identity and device access policies article.

Livello di protezioneProtection level GeneraliPolicies Altre informazioniMore information
BaseBaseline Richiedere l'AMF quando il rischio di accesso è medio o elevatoRequire MFA when sign-in risk is medium or high Includere Exchange Online nell'assegnazione delle app CloudInclude Exchange Online in the assignment of cloud apps
Bloccare i client che non supportano l'autenticazione modernaBlock clients that don't support modern authentication Includere Exchange Online nell'assegnazione delle app CloudInclude Exchange Online in the assignment of cloud apps
Definire i criteri di protezione delle appDefine app protection policies Assicurarsi che Outlook sia incluso nell'elenco delle app.Be sure Outlook is included in the list of apps. Assicurarsi di aggiornare i criteri per ogni piattaforma (iOS, Android, Windows)Be sure to update the policy for each platform (iOS, Android, Windows)
Richiedere applicazioni approvateRequire approved apps Includere Exchange Online nell'elenco delle app CloudInclude Exchange Online in the list of cloud apps
Richiedi PC conformiRequire compliant PCs Includere Exchange Online nell'elenco delle app CloudInclude Exchange Online in list of cloud apps
Bloccare i client ActiveSyncBlock ActiveSync clients Aggiungere il nuovo criterioAdd this new policy
Dati sensibiliSensitive Richiedere l'AMF quando il rischio di accesso è basso, medio o altoRequire MFA when sign-in risk is low, medium or high Includere Exchange Online nell'assegnazione delle app CloudInclude Exchange Online in the assignment of cloud apps
Richiedere PC conformi e dispositivi mobiliRequire compliant PCs and mobile devices Includere Exchange Online nell'elenco delle app CloudInclude Exchange Online in the list of cloud apps
Altamente regolamentatoHighly regulated Richiede sempre l'autenticazione MasterAlways require MFA Includere Exchange Online nell'assegnazione delle app CloudInclude Exchange Online in the assignment of cloud apps

Bloccare i client ActiveSyncBlock ActiveSync clients

Questo criterio impedisce ai client ActiveSync di ignorare altre regole di accesso condizionale.This policy prevents ActiveSync clients from bypassing other conditional access rules. La configurazione della regola si applica solo ai client ActiveSync.The rule configuration applies only to ActiveSync clients. Selezionando Richiedi applicazione clientapprovata, questo criterio blocca i client ActiveSync.By selecting Require approved client app, this policy blocks ActiveSync clients. Per configurare questo criterio:To configure this policy:

  1. Andare nel portale di Azure e accedere con le proprie credenziali.Go to the Azure portal, and sign in with your credentials. Dopo aver eseguito l'accesso, è possibile visualizzare il dashboard di Azure.After you've successfully signed in, you see the Azure dashboard.

  2. Scegliere Azure Active Directory dal menu a sinistra.Choose Azure Active Directory from the left menu.

  3. Nella sezione Sicurezza scegliere Accesso condizionale.Under the Security section, choose Conditional access.

  4. Scegliere Nuovo criterio.Choose New policy.

  5. Immettere un nome per i criteri, quindi in Utenti e gruppi scegliere gli utenti e i gruppi ai quali applicare i criteri.Enter a policy name, then choose the Users and groups you want to apply the policy for.

  6. Scegliere App cloud.Choose Cloud apps.

  7. Scegliere Seleziona app, quindi Office 365 Exchange Online.Choose Select apps, select Office 365 Exchange Online. Scegliere Seleziona e Chiudi.Choose Select and Done.

  8. Scegliere le condizioni, quindi fare clic su app client.Choose Conditions, and then choose Client apps.

  9. Per la configurazione, selezionare .For Configure, select Yes. Controllare solo gli elementi seguenti: app per dispositivi mobili e client desktop e client Exchange ActiveSync.Check only the following: Mobile apps and desktop clients and Exchange ActiveSync clients. Scegliere Done.Choose Done.

  10. Scegliere Concedi nella sezione Controlli di accesso.Choose Grant from the Access controls section.

  11. Scegliere Concedi accesso, selezionare Richiedi applicazione clientapprovata.Choose Grant access, select Require approved client app. Per più controlli, selezionare Richiedi i controlli selezionati, quindi scegliere Seleziona.For multiple controls, select Require the selected controls, then choose Select.

  12. Selezionare *Crea*.Choose Create.

Configurazione della crittografia dei messaggi di Office 365Setup Office 365 message encryption

Con le nuove funzionalità di crittografia dei messaggi di Office 365, che sfruttano le funzionalità di protezione di Azure Information Protection, l'organizzazione può facilmente condividere la posta elettronica protetta con chiunque su qualsiasi dispositivo.With the new Office 365 Message Encryption (OME) capabilities, which leverage the protection features in Azure Information Protection, your organization can easily share protected email with anyone on any device. Gli utenti possono inviare e ricevere messaggi protetti con altre organizzazioni di Office 365, nonché clienti non di Office 365 che utilizzano Outlook.com, Gmail e altri servizi di posta elettronica.Users can send and receive protected messages with other Office 365 organizations as well as non-Office 365 customers using Outlook.com, Gmail, and other email services.

Per ulteriori informazioni, vedere configurare le nuove funzionalità di crittografia dei messaggi di Office 365.For more information, see Set up new Office 365 Message Encryption capabilities.

Passaggi successiviNext steps

Suggerimenti sui criteri per la protezione di siti e file di SharePointLearn about policy recommendations for securing SharePoint Sites and files