保護電子郵件的原則建議
本文說明如何實作建議的 零信任 身分識別和裝置存取原則,以保護支援新式驗證和條件式存取的組織電子郵件和電子郵件用戶端。 本指引是以 一般身分識別和裝置存取原則 為基礎,也包含一些額外的建議。
這些建議是以三個不同層級的安全性和保護為基礎,可根據您需求的粒度來套用:起點、企業和特殊安全性。 您可以在建議的安全策略和設定簡介中深入瞭解這些安全性層級 和建議的用戶端操作系統。
這些建議需要您的使用者使用新式電子郵件用戶端,包括行動裝置上的iOS版 Outlook 和 Android 版。 iOS 和 Android 版 Outlook 支援 Microsoft 365 的最佳功能。 這些行動 Outlook 應用程式也具有支援行動裝置使用的安全性功能,並與其他 Microsoft 雲端安全性功能搭配使用。 如需詳細資訊,請 參閱 iOS 版 Outlook 和 Android 常見問題。
更新一般原則以包含電子郵件
為了保護電子郵件,下圖說明要從一般身分識別和裝置存取原則更新哪些原則。
請注意,Exchange Online 新增原則以封鎖 ActiveSync 用戶端。 此原則會強制在行動裝置上使用 iOS 版和 Android 版 Outlook。
如果您在設定原則時將 Exchange Online 和 Outlook 包含在原則的範圍內,則只需要建立新的原則來封鎖 ActiveSync 用戶端。 檢閱下表中所列的原則,並提出建議的新增專案,或確認這些設定已包含在內。 每個原則都會連結至 一般身分識別和裝置存取原則中相關聯的設定指示。
保護層級 | 原則 | 其他相關資訊 |
---|---|---|
起點 | 登入風險中或高時需要 MFA | 在雲端應用程式指派中包含 Exchange Online |
封鎖不支援新式驗證的用戶端 | 在雲端應用程式指派中包含 Exchange Online | |
套用應用程式數據保護原則 | 請確定 Outlook 包含在應用程式清單中。 請務必更新 iOS、Android、Windows) (每個平台的原則 | |
需要核准的應用程式和應用程式保護 | 在雲端應用程式清單中包含 Exchange Online | |
封鎖 ActiveSync 用戶端 | 新增此新原則 | |
企業 | 登入風險低、中或高時需要 MFA | 在雲端應用程式指派中包含 Exchange Online |
需要符合規範的計算機 和 行動裝置 | 在雲端應用程式清單中包含 Exchange Online | |
特製化安全性 | 一律 需要 MFA | 在雲端應用程式指派中包含 Exchange Online |
封鎖 ActiveSync 用戶端
Exchange ActiveSync 可用來同步處理桌面和行動裝置上的訊息和行事曆數據。
針對行動裝置,下列用戶端會根據在需要 核准的應用程式和應用程式保護中建立的條件式存取原則進行封鎖:
- Exchange ActiveSync 使用基本身份驗證的用戶端。
- Exchange ActiveSync 支援新式驗證但不支援 Intune 應用程式保護原則的用戶端。
- 支援 Intune 應用程式保護原則,但未在原則中定義的裝置。
若要在其他類型的裝置上使用基本身份驗證來封鎖 Exchange ActiveSync 連線 (例如計算機) ,請遵循封鎖所有裝置上的 Exchange ActiveSync 中的步驟。
限制從 Outlook 網頁版 存取 Exchange Online
您可以限制使用者從非受控裝置上的 Outlook 網頁版 下載附件的能力。 這些裝置上的使用者可以使用 Office Online 來檢視和編輯這些檔案,而不會將檔案洩漏並儲存在裝置上。 您也可以封鎖使用者在 Unmanaged 裝置上看到附件。
步驟如下:
每個具有 Exchange Online 信箱的 Microsoft 365 組織都有內建的 Outlook 網頁版 (,先前稱為 Outlook Web App 或 OWA) 信箱原則,名稱為 OwaMailboxPolicy-Default。 系統管理員也可以 建立 自定義原則。
若要查看可用 Outlook 網頁版 信箱原則,請執行下列命令:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy
若要允許檢視附件但不下載,請在受影響的原則上執行下列命令:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly
例如:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly
若要封鎖附件,請在受影響的原則上執行下列命令:
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
例如:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked
在 Azure 入口網站 中,使用下列設定建立新的條件式存取原則:
作業>使用者和群組:選取要包含和排除的適當使用者和群組。
作業>雲端應用程式或動作>雲端應用程式>包括>選取應用程式:選取 [Office 365 Exchange Online]。
訪問控制>會話:選 取 [使用應用程式強制執行的限制]。
需要iOS和Android裝置必須使用 Outlook
若要確保 iOS 和 Android 裝置只能使用 iOS 版和 Android 版 Outlook 存取公司或學校內容,您需要以這些潛在使用者為目標的條件式存取原則。
請參閱 使用 iOS 和 Android 版 Outlook 管理傳訊共同作業存取中設定此原則的步驟。
設定訊息加密
透過使用 Azure 資訊保護 中保護功能的 Microsoft Purview 郵件加密,您的組織可以輕鬆地與任何裝置上的任何人共享受保護的電子郵件。 使用者可以與其他 Microsoft 365 組織以及使用 Outlook.com、Gmail 和其他電子郵件服務的非客戶一起傳送和接收受保護的郵件。
如需詳細資訊, 請參閱設定訊息加密。
後續步驟
針對下列項目設定條件式存取原則:
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應