Policy rekommendationer för att skydda e-postPolicy recommendations for securing email

I den här artikeln beskrivs hur du implementerar de rekommenderade principer för identitet och enheter för att skydda organisatoriska e-post-och e-postklienter som stöder modern och villkorlig åtkomst.This article describes how to implement the recommended identity and device access policies to protect organizational email and email clients that support modern authentication and conditional access. Den här vägledningen bygger på den vanliga policyn för identitets-och enhets åtkomst och innehåller dessutom ytterligare några rekommendationer.This guidance builds on the Common identity and device access policies and also includes a few additional recommendations.

Dessa rekommendationer är baserade på tre olika nivåer av säkerhet och skydd som kan användas baserat på hur olika behov fungerar: bas linje, känslig och högreglerad.These recommendations are based on three different tiers of security and protection that can be applied based on the granularity of your needs: baseline, sensitive, and highly regulated. Du kan läsa mer om de här säkerhets nivåerna och de rekommenderade klient operativ systemen som hänvisas till av de här rekommendationerna i de rekommenderade säkerhets reglerna och konfigurationerna.You can learn more about these security tiers, and the recommended client operating systems, referenced by these recommendations in the recommended security policies and configurations introduction.

Dessa rekommendationer kräver att användarna använder moderna e-postklienter, inklusive Outlook för iOS och Android på mobila enheter.These recommendations require your users to use modern email clients, including Outlook for iOS and Android on mobile devices. Outlook för iOS och Android tillhandahåller stöd för de bästa funktionerna i Office 365.Outlook for iOS and Android provide support for the best features of Office 365. Dessa mobila Outlook-appar är också utformad med säkerhets funktioner som har stöd för mobil användning och arbetar tillsammans med andra säkerhets funktioner för Microsoft Cloud.These mobile Outlook apps are also architected with security capabilities that support mobile use and work together with other Microsoft cloud security capabilities. Mer information finns i vanliga frågor om Outlook för iOS och Android.For more information, see Outlook for iOS and Android FAQ.

Uppdatera gemensamma principer för att inkludera e-postUpdate common policies to include email

För att skydda e-post visar följande diagram vilka principer som ska uppdateras från den vanliga policyn för identitets-och enhets åtkomst.To protect email, the following diagram illustrates which policies to update from the the common identity and device access policies.

Sammanfattning av princip uppdateringar för att skydda åtkomst till team och dess beroende tjänsterSummary of policy updates for protecting access to Teams and its dependent services

Visa en större version av bildenSee a larger version of this image

Observera att en ny princip för Exchange Online läggs till för att blockera ActiveSync-klienter.Note the addition of a new policy for Exchange Online to block ActiveSync clients. Detta framtvingar användning av Outlook Mobile.This forces the use of Outlook mobile.

Om du har inkluderat Exchange Online och Outlook enligt principernas omfattning när du ställer in dem behöver du bara skapa den nya principen för att blockera ActiveSync-klienter.If you included Exchange Online and Outlook in the scope of the policies when you set them up, you only need to create the new policy to block ActiveSync clients. Granska de principer som visas i tabellen nedan och gör de rekommenderade tilläggen, eller bekräfta att dessa redan är med.Review the policies listed in the following table and either make the recommended additions, or confirm that these are already included. Varje princip länkar till de associerade konfigurations anvisningarna i vanliga principer för identitets-och enhets åtkomst.Each policy links to the associated configuration instructions in Common identity and device access policies.

Skydds nivåProtection level PrincipernaPolicies Mer informationMore information
GrundläggandeBaseline Kräv MFA när en inloggnings risk är mellan eller högRequire MFA when sign-in risk is medium or high Inkludera Exchange Online i tilldelning av moln programInclude Exchange Online in the assignment of cloud apps
Blockera klienter som inte har stöd för modern autentiseringBlock clients that don't support modern authentication Inkludera Exchange Online i tilldelning av moln programInclude Exchange Online in the assignment of cloud apps
Tillämpa program data skydds policyApply APP data protection policies Kontrol lera att Outlook ingår i listan med program.Be sure Outlook is included in the list of apps. Se till att uppdatera policyn för varje plattform (iOS, Android, Windows)Be sure to update the policy for each platform (iOS, Android, Windows)
Kräv godkända appar och program skyddRequire approved apps and APP protection Ta med Exchange Online i listan med moln programInclude Exchange Online in the list of cloud apps
Kräv kompatibla PC-datorerRequire compliant PCs Ta med Exchange Online i listan över moln programInclude Exchange Online in list of cloud apps
Blockera ActiveSync-klienterBlock ActiveSync clients Lägg till den här nya principenAdd this new policy
KänsligSensitive Kräv MFA när en inloggnings risk är låg, medium eller högRequire MFA when sign-in risk is low, medium or high Inkludera Exchange Online i tilldelning av moln programInclude Exchange Online in the assignment of cloud apps
Kräv kompatibla datorer och mobila enheterRequire compliant PCs and mobile devices Ta med Exchange Online i listan med moln programInclude Exchange Online in the list of cloud apps
Strikt regleradHighly regulated Kräv alltid MFAAlways require MFA Inkludera Exchange Online i tilldelning av moln programInclude Exchange Online in the assignment of cloud apps

Blockera ActiveSync-klienterBlock ActiveSync clients

Den här principen hindrar ActiveSync-klienter från att kringgå andra principer för villkorsstyrd åtkomst.This policy prevents ActiveSync clients from bypassing other Conditional Access policies. Princip konfigurationen gäller endast för ActiveSync-klienter.The policy configuration applies only to ActiveSync clients. Om du väljer Kräv program skydds princip spärrar den här principen ActiveSync-klienter.By selecting Require app protection policy, this policy blocks ActiveSync clients. Information om hur du skapar den här principen finns i Kräv program skydds princip för Cloud App Access med villkorlig åtkomst.Details on creating this policy can be found in Require app protection policy for cloud app access with Conditional Access.

Du kan också använda autentiseringsprinciper för att Inaktivera grundläggandeåtkomst, vilket tvingar alla klient åtkomst förfrågningar att använda modern verifikation.You can also use authentication policies to disable Basic authentication, which forces all client access requests to use modern authentication.

Begränsa åtkomsten till Exchange Online från Outlook på webbenLimit access to Exchange Online from Outlook on the web

Du kan begränsa möjligheten för användare att ladda ned bifogade filer från Outlook på webben på umnanaged-enheter.You can restrict the ability for users to download attachments from Outlook on the web on umnanaged devices. Användare på dessa enheter kan visa och redigera de här filerna med Office Online utan att läcka och lagra filerna på enheten.Users on these devices can view and edit these files using Office Online without leaking and storing the files on the device. Du kan också hindra användare från att se bilagor på en enhet som inte hanteras.You can also block users from seeing attachments on an unmanaged device.

Här är stegen:Here are the steps:

  1. Ansluta till en Exchange Online-Fjärrpowershell-session.Connect to an Exchange Online Remote PowerShell session.

  2. Om du inte redan har en princip för OWA-postlådan skapar du en med cmdleten New-OwaMailboxPolicy .If you don't already have an OWA mailbox policy, create one with the New-OwaMailboxPolicy cmdlet.

  3. Om du vill tillåta visning av bifogade filer men inte nedladdning använder du det här kommandot:If you want to allow viewing of attachments but no downloading, use this command:

    Set-OwaMailboxPolicy -Identity Default -ConditionalAccessPolicy ReadOnly
    
  4. Om du vill blockera bifogade filer använder du det här kommandot:If you want to block attachments, use this command:

    Set-OwaMailboxPolicy -Identity Default -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
    
  5. I Azure-portalen skapar du en ny princip för villkorsstyrd åtkomst med följande inställningar:In the Azure portal, create a new Conditional Access policy with these settings:

    Uppgifter > Användare och grupper: Välj lämpliga användare och grupper som ska ingå och exkluderas.Assignments > Users and groups: Select appropriate users and groups to include and exclude.

    Uppgifter > Moln program eller-åtgärder > Molnappar > Ta med > Välj appar: välj Office 365 Exchange OnlineAssignments > Cloud apps or actions > Cloud apps > Include > Select apps: Select Office 365 Exchange Online

    Åtkomst kontroller > Session: Välj Använd program begränsningarAccess controls > Session: Select Use app enforced restrictions

Kräv att iOS-och Android-enheter måste använda OutlookRequire that iOS and Android devices must use Outlook

För att säkerställa att användare av iOS-och Android-enheter endast kan komma åt arbets-eller skol innehåll med Outlook för iOS och Android behöver du en princip för villkorsstyrd åtkomst som är avsedd för de potentiella användarna.To ensure that users of iOS and Android devices can only access work or school content using Outlook for iOS and Android, you need a Conditional Access policy that targets those potential users.

Se anvisningarna för att konfigurera den här principen i Hantera åtkomst till samarbeten med hjälp av Outlook för iOS och Android.See the steps to configure this policy in Manage messaging collaboration access by using Outlook for iOS and Android.

Konfigurera meddelande krypteringSet up message encryption

Med de nya funktionerna för Office 365 Message Encryption (OME), som utnyttjar skydds funktionerna i Azure information Protection, kan din organisation enkelt dela skyddat e-postmeddelande med alla på valfri enhet.With the new Office 365 Message Encryption (OME) capabilities, which leverage the protection features in Azure Information Protection, your organization can easily share protected email with anyone on any device. Användare kan skicka och ta emot skyddade meddelanden med andra Microsoft 365-organisationer samt icke-kunder som använder Outlook.com, Gmail och andra e-posttjänster.Users can send and receive protected messages with other Microsoft 365 organizations as well as non-customers using Outlook.com, Gmail, and other email services.

Mer information finns i Konfigurera nya funktioner för kryptering av Office 365-meddelanden.For more information, see Set up new Office 365 Message Encryption capabilities.

Nästa stegNext steps

Steg 4: principer för Microsoft 365-molnappar

Konfigurera principer för villkorsstyrd åtkomst för:Configure Conditional Access policies for: