Beleidsaanaanveling voor het beveiligen van e-mail
In dit artikel wordt beschreven hoe u het aanbevolen beleid voor Zero Trust-identiteit en apparaattoegang implementeert om e-mail- en e-mailclients van organisaties te beveiligen die moderne verificatie en voorwaardelijke toegang ondersteunen. Deze richtlijnen zijn gebaseerd op het algemene beleid voor identiteits- en apparaattoegang en bevat ook enkele aanvullende aanbevelingen.
Deze aanbevelingen zijn gebaseerd op drie verschillende beveiligings- en beveiligingslagen die kunnen worden toegepast op basis van de granulariteit van uw behoeften: uitgangspunt, onderneming en gespecialiseerde beveiliging. Meer informatie over deze beveiligingslagen en de aanbevolen clientbesturingssystemen vindt u in de introductie van aanbevolen beveiligingsbeleid en configuraties.
Voor deze aanbevelingen moeten uw gebruikers moderne e-mailclients gebruiken, waaronder Outlook voor iOS en Android op mobiele apparaten. Outlook voor iOS en Android bieden ondersteuning voor de beste functies van Microsoft 365. Deze mobiele Outlook-apps zijn ook ontworpen met beveiligingsmogelijkheden die ondersteuning bieden voor mobiel gebruik en samenwerken met andere cloudbeveiligingsmogelijkheden van Microsoft. Zie de veelgestelde vragen over Outlook voor iOS en Android voor meer informatie.
Algemene beleidsregels bijwerken om e-mail op te nemen
Als u e-mail wilt beveiligen, ziet u in het volgende diagram welke beleidsregels moeten worden bijgewerkt van het algemene beleid voor identiteit en apparaattoegang.
Houd er rekening mee dat het toevoegen van een nieuw beleid voor Exchange Online om ActiveSync-clients te blokkeren. Dit beleid dwingt het gebruik van Outlook voor iOS en Android af op mobiele apparaten.
Als u Exchange Online en Outlook hebt opgenomen in het bereik van het beleid wanneer u ze instelt, hoeft u alleen het nieuwe beleid te maken om ActiveSync-clients te blokkeren. Controleer de beleidsregels in de volgende tabel en breng de aanbevolen toevoegingen aan of controleer of deze instellingen al zijn opgenomen. Elk beleid wordt gekoppeld aan de bijbehorende configuratie-instructies in algemene beleidsregels voor identiteit en apparaattoegang.
| Beveiligingsniveau | Beleidsregels | Meer informatie |
|---|---|---|
| Uitgangspunt | MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is | Exchange Online opnemen in de toewijzing van cloud-apps |
| Clients blokkeren die geen ondersteuning bieden voor moderne verificatie | Exchange Online opnemen in de toewijzing van cloud-apps | |
| Beleid voor app-gegevensbeveiliging toepassen | Zorg ervoor dat Outlook is opgenomen in de lijst met apps. Zorg ervoor dat u het beleid voor elk platform bijwerkt (iOS, Android, Windows) | |
| Goedgekeurde apps en APP-beveiliging vereisen | Exchange Online opnemen in de lijst met cloud-apps | |
| ActiveSync-clients blokkeren | Dit nieuwe beleid toevoegen | |
| Enterprise | MFA vereisen wanneer het aanmeldingsrisico laag, gemiddeld of hoog is | Exchange Online opnemen in de toewijzing van cloud-apps |
| Compatibele pc's en mobiele apparaten vereisen | Exchange Online opnemen in de lijst met cloud-apps | |
| Gespecialiseerde beveiliging | MFA altijd vereisen | Exchange Online opnemen in de toewijzing van cloud-apps |
ActiveSync-clients blokkeren
Exchange ActiveSync kan worden gebruikt om berichten en agendagegevens op desktop- en mobiele apparaten te synchroniseren.
Voor mobiele apparaten worden de volgende clients geblokkeerd op basis van het beleid voor voorwaardelijke toegang dat is gemaakt in Goedgekeurde apps en APP-beveiliging vereisen:
- Exchange ActiveSync-clients die gebruikmaken van basisverificatie.
- Exchange ActiveSync-clients die moderne verificatie ondersteunen, maar geen intune-beveiligingsbeleid voor apps ondersteunen.
- Apparaten die intune-beveiligingsbeleid voor apps ondersteunen, maar die niet zijn gedefinieerd in het beleid.
Als u Exchange ActiveSync-verbindingen wilt blokkeren met behulp van basisverificatie op andere typen apparaten (bijvoorbeeld pc's), volgt u de stappen in Exchange ActiveSync blokkeren op alle apparaten.
Toegang tot Exchange Online beperken vanaf webversie van Outlook
U kunt de mogelijkheid beperken dat gebruikers bijlagen downloaden van webversie van Outlook op onbeheerde apparaten. Gebruikers op deze apparaten kunnen deze bestanden bekijken en bewerken met Office Online zonder de bestanden op het apparaat te lekken en op te slaan. U kunt ook voorkomen dat gebruikers bijlagen zien op een onbeheerd apparaat.
Dit zijn de stappen:
Elke Microsoft 365-organisatie met Exchange Online-postvakken heeft een ingebouwd webversie van Outlook (voorheen bekend als Outlook Web App of OWA) postvakbeleid met de naam OwaMailboxPolicy-Default. Beheer s kunnen ook aangepaste beleidsregels maken.
Voer de volgende opdracht uit om de beschikbare webversie van Outlook postvakbeleid te bekijken:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyAls u het weergeven van bijlagen wilt toestaan, maar niet wilt downloaden, voert u de volgende opdracht uit op het betreffende beleid:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyVoorbeeld:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyAls u bijlagen wilt blokkeren, voert u de volgende opdracht uit op het betreffende beleid:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedVoorbeeld:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedMaak in Azure Portal een nieuw beleid voor voorwaardelijke toegang met de volgende instellingen:
Toewijzingen>: Selecteer de juiste gebruikers en groepen die u wilt opnemen en uitsluiten.
Toewijzingen>Cloud-apps of -acties>Cloud-apps>Omvatten>Geselecteerde apps: Selecteer Office 365 Exchange Online.
Sessie met besturingselementen voor> toegang: selecteer Door app afgedwongen beperkingen gebruiken.
Vereisen dat iOS- en Android-apparaten Outlook moeten gebruiken
Om ervoor te zorgen dat iOS- en Android-apparaten alleen toegang hebben tot werk- of schoolinhoud met Outlook voor iOS en Android, hebt u een beleid voor voorwaardelijke toegang nodig dat gericht is op deze potentiƫle gebruikers.
Zie de stappen voor het configureren van dit beleid in Toegang tot berichtensamenwerking beheren met outlook voor iOS en Android.
Berichtversleuteling instellen
Met Microsoft Purview Berichtcodering, die gebruikmaakt van de beveiligingsfuncties in Azure Information Protection, kan uw organisatie eenvoudig beveiligde e-mail delen met iedereen op elk apparaat. Gebruikers kunnen beveiligde berichten verzenden en ontvangen met andere Microsoft 365-organisaties en niet-klanten die gebruikmaken van Outlook.com, Gmail en andere e-mailservices.
Zie Berichtversleuteling instellen voor meer informatie.
Volgende stappen
Beleid voor voorwaardelijke toegang configureren voor:
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor