Principrekommendationer för att skydda e-post
I den här artikeln beskrivs hur du implementerar rekommenderade principer för nollförtroendeidentitet och enhetsåtkomst för att skydda organisationens e-post- och e-postklienter som stöder modern autentisering och villkorsstyrd åtkomst. Den här vägledningen bygger på gemensamma principer för identitet och enhetsåtkomst och innehåller också några ytterligare rekommendationer.
Dessa rekommendationer baseras på tre olika nivåer av säkerhet och skydd som kan tillämpas utifrån detaljnivån för dina behov: startpunkt , företag och särskild säkerhet. Du kan läsa mer om dessa säkerhetsnivåer och de rekommenderade klientoperativsystemet, som refereras av dessa rekommendationer i introduktionen av rekommenderade säkerhetsprinciper och konfigurationer.
De här rekommendationerna kräver att användarna använder moderna e-postklienter, Outlook för iOS och Android på mobila enheter. Outlook för iOS och Android har stöd för de bästa funktionerna i Office 365. Dessa Outlook appar är också arkitektur med säkerhetsfunktioner som stöder mobil användning och fungerar tillsammans med andra molnsäkerhetsfunktioner i Microsoft. Mer information finns i Vanliga frågor Outlook om iOS och Android.
Uppdatera vanliga principer så att e-post inkluderas
I följande diagram visas vilka principer som ska uppdateras från de gemensamma principerna för identitets- och enhetsåtkomst för att skydda e-post.
Observera att en ny princip för att Exchange Online blockera ActiveSync-klienter. Det här tvingar fram användningen Outlook mobil.
Om du Exchange Online och Outlook ingår i omfattningen för principerna när du konfigurerade dem behöver du bara skapa den nya principen för att blockera ActiveSync-klienter. Granska principerna som visas i följande tabell och gör antingen de rekommenderade tilläggen eller bekräfta att dessa redan finns med. Varje princip länkar till de associerade konfigurationsanvisningarna i Vanliga principer för identitets- och enhetsåtkomst.
| Skyddsnivå | Policyer | Mer information |
|---|---|---|
| Startpunkt | Kräv MFA när inloggningsrisken är medium eller hög | Inkludera Exchange Online i tilldelningen av molnappar |
| Blockera klienter som inte har stöd för modern autentisering | Inkludera Exchange Online i tilldelningen av molnappar | |
| Använda principer för APP-dataskydd | Se till Outlook ingår i listan med program. Se till att uppdatera principen för varje plattform (iOS, Android, Windows) | |
| Kräv godkända appar och appskydd | Inkludera Exchange Online i listan med molnappar | |
| Blockera ActiveSync-klienter | Lägg till den här nya principen | |
| Enterprise | Kräv MFA när inloggningsrisken är låg, medelstor eller hög | Inkludera Exchange Online i tilldelningen av molnappar |
| Kräv kompatibla datorer och mobila enheter | Inkludera Exchange Online i listan med molnappar | |
| Särskild säkerhet | Kräv alltid MFA | Inkludera Exchange Online i tilldelningen av molnappar |
Blockera ActiveSync-klienter
Exchange ActiveSync kan användas för att synkronisera meddelande- och kalenderdata på datorer och mobila enheter.
För mobila enheter med modern autentisering Exchange ActiveSync-klienter som inte har stöd för appskyddsprinciper för Intune (eller klienter som inte har definierats i programskyddsprincipen) och Exchange ActiveSync-klienter som använder grundläggande autentisering blockeras baserat på principen för villkorsstyrd åtkomst som skapats i Kräv godkända appar och APPskydd.
Om du Exchange ActiveSync att använda grundläggande autentisering på andra enheter följer du stegen i Blockera Exchange ActiveSyncpå alla enheter, vilket förhindrar att Exchange ActiveSync-klienter använder grundläggande autentisering på icke-mobila enheter från att ansluta till Exchange Online.
Du kan också använda autentiseringsprinciper för att inaktivera grundläggandeautentisering, som tvingar alla klientåtkomstförfrågningar att använda modern autentisering.
Begränsa åtkomsten till Exchange Online från Outlook på webben
Du kan begränsa möjligheten för användare att ladda ned bifogade filer Outlook på webben på ohanterade enheter. Användare på dessa enheter kan visa och redigera filerna med Office Online utan att läcka och lagra filerna på enheten. Du kan också blockera användare från att se bifogade filer på en ohanterad enhet.
Här är stegen:
Om du inte redan har en OWA-postlådeprincip skapar du en med cmdleten New-OwaMailboxPolicy.
Om du vill tillåta visning av bifogade filer men ingen nedladdning kan du använda det här kommandot:
Set-OwaMailboxPolicy -Identity Default -ConditionalAccessPolicy ReadOnlyAnvänd det här kommandot om du vill blockera bifogade filer:
Set-OwaMailboxPolicy -Identity Default -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedSkapa en ny princip för villkorsstyrd åtkomst i Azure-portalen med följande inställningar:
Uppgifter > Användare och grupper: Välj lämpliga användare och grupper som ska inkluderas och exkluderas.
Uppgifter > Molnappar eller -åtgärder > Molnappar > Inkludera > Välj appar: Välj Office 365 Exchange Online
Access-kontroller > Session: Välj Använd apptvingade begränsningar
Kräv att iOS- och Android-enheter måste använda Outlook
För att säkerställa att användare av iOS- och Android-enheter bara kan komma åt arbets- eller skolinnehåll med Outlook för iOS och Android behöver du en princip för villkorsstyrd åtkomst som riktar dessa potentiella användare.
Se anvisningarna för att konfigurera principen i Hantera åtkomst till samarbete via meddelanden med hjälp av Outlook för iOS och Android.
Konfigurera meddelandekryptering
Med de nya ome Meddelandekryptering i Office 365 funktionerna (OME), som utnyttjar skyddsfunktionerna i Azure Information Protection, kan organisationen enkelt dela skyddad e-post med vem som helst på valfri enhet. Användare kan skicka och ta emot skyddade meddelanden med Microsoft 365 organisationer och icke-kunder som använder Outlook.com, Gmail och andra e-posttjänster.
Mer information finns i Konfigurera nya Meddelandekryptering i Office 365 funktioner.
Nästa steg

Konfigurera principer för villkorsstyrd åtkomst för: