Condividi tramite

Suggerimenti per i criteri per la protezione della posta elettronica

  • Articolo

Questo articolo descrive come implementare i criteri di identità e accesso ai dispositivi Zero Trust consigliati per proteggere i client di posta elettronica e di posta elettronica aziendali che supportano l'autenticazione moderna e l'accesso condizionale. Queste linee guida si basano sui criteri comuni di identità e accesso ai dispositivi e includono anche alcuni consigli aggiuntivi.

Queste raccomandazioni si basano su tre livelli diversi di sicurezza e protezione che possono essere applicati in base alla granularità delle esigenze: punto di partenza, enterprisee sicurezza specializzata. Per ulteriori informazioni su questi livelli di sicurezza e sui sistemi operativi client consigliati, consulta l'introduzione ai criteri di sicurezza e configurazioni consigliati .

Queste raccomandazioni richiedono agli utenti di usare client di posta elettronica moderni, tra cui Outlook per iOS e Android nei dispositivi mobili. Outlook per iOS e Android offre supporto per le migliori funzionalità di Microsoft 365. Queste app outlook per dispositivi mobili sono inoltre progettata con funzionalità di sicurezza che supportano l'uso dei dispositivi mobili e interagiscono con altre funzionalità di sicurezza cloud Microsoft. Per altre informazioni, vedere Domande frequenti su Outlook per iOS e Android.

Aggiornare i criteri comuni per includere la posta elettronica

Per proteggere la posta elettronica, il diagramma seguente illustra i criteri da aggiornare dai criteri comuni di accesso alle identità e ai dispositivi.

Diagramma che mostra il riepilogo degli aggiornamenti dei criteri per la protezione dell'accesso a Microsoft Exchange.

Si noti che l'aggiunta di un nuovo criterio per Exchange Online blocca i client ActiveSync. Questo criterio forza l'uso di Outlook per iOS e Android nei dispositivi mobili.

Se Exchange Online e Outlook sono stati inclusi nell'ambito dei criteri quando vengono configurati, è sufficiente creare il nuovo criterio per bloccare i client ActiveSync. Esaminare i criteri elencati nella tabella seguente e apportare le aggiunte consigliate oppure verificare che queste impostazioni siano già incluse. Ogni criterio è collegato alle istruzioni di configurazione associate in Criteri comuni di identità e accesso ai dispositivi.

Livello di protezione Politiche Altre informazioni
punto di partenza Richiedi autenticazione a più fattori quando il rischio di accesso è medio o alto Includere Exchange Online nell'assegnazione di app cloud
Bloccare i client che non supportano l'autenticazione moderna Includere Exchange Online nell'assegnazione di app cloud
Applicare i criteri di protezione dei dati delle app Assicurarsi che Outlook sia incluso nell'elenco delle app. Assicurarsi di aggiornare i criteri per ogni piattaforma (iOS, Android, Windows)
Richiedi app approvate o criteri di protezione delle app Includere Exchange Online nell'elenco delle app cloud
Bloccare i client ActiveSync Aggiungere questo nuovo criterio
Impresa Richiedi autenticazione a più fattori quando il rischio di accesso è basso, medio o alto Includere Exchange Online nell'assegnazione di app cloud
Richiedi pc conformi e dispositivi mobili Includere Exchange Online nell'elenco delle app cloud
di sicurezza specializzata Sempre richiedi AMF Includere Exchange Online nell'assegnazione di app cloud

Bloccare i client ActiveSync

Exchange ActiveSync può essere usato per sincronizzare i dati di messaggistica e calendario nei dispositivi desktop e mobili.

Per i dispositivi mobili, i client seguenti vengono bloccati in base ai criteri di accesso condizionale creati in Richiedi app approvate o criteri di protezione delle app:

  • Client Exchange ActiveSync che usano l'autenticazione di base.
  • Client Exchange ActiveSync che supportano l'autenticazione moderna, ma non supportano i criteri di protezione delle app di Intune.
  • I dispositivi che supportano le politiche di protezione delle app di Intune, ma non sono definiti in queste politiche.

Per bloccare le connessioni di Exchange ActiveSync usando l'autenticazione di base su altri tipi di dispositivi (ad esempio, PC), seguire la procedura descritta in Bloccare Exchange ActiveSync in tutti i dispositivi.

Limitare l'accesso a Exchange Online da Outlook sul Web

È possibile limitare la possibilità per gli utenti di scaricare allegati da Outlook sul Web nei dispositivi non gestiti. Gli utenti di questi dispositivi possono visualizzare e modificare questi file usando Office Online senza perdere e archiviare i file nel dispositivo. È anche possibile impedire agli utenti di visualizzare allegati in un dispositivo non gestito.

Ecco i passaggi seguenti:

  1. Connettersi a PowerShell di Exchange Online.

  2. Ogni organizzazione di Microsoft 365 con cassette postali di Exchange Online dispone di una policy integrata di Outlook sul Web (in precedenza noto come Outlook Web App o OWA) denominata OwaMailboxPolicy-Default. Gli amministratori possono anche creare criteri personalizzati.

    Per visualizzare i criteri delle cassette postali disponibili in Outlook sul Web, eseguire il comando seguente:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Per consentire la visualizzazione degli allegati ma senza download, eseguire il comando seguente nei criteri interessati:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    Per esempio:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. Per bloccare gli allegati, eseguire il comando seguente nei criteri interessati:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    Per esempio:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. Nel portale di Azure creare un nuovo criterio di accesso condizionale con queste impostazioni:

    Assegnazioni>Utenti e gruppi: selezionare utenti e gruppi appropriati da includere ed escludere.

    Assegnazioni>Applicazioni cloud o azioni>Applicazioni cloud>Includi>Seleziona le app: selezionare Office 365 Exchange Online.

    Controlli di accesso>Sessione: selezionare Usa restrizioni applicate dall'app.

Richiedere che i dispositivi iOS e Android usino Outlook

Per garantire che i dispositivi iOS e Android possano accedere al contenuto aziendale o dell'istituto di istruzione usando solo Outlook per iOS e Android, sono necessari criteri di accesso condizionale destinati a tali utenti potenziali.

Consulta la procedura per configurare la politica in Gestire l'accesso alla collaborazione di messaggistica usando Outlook per iOS e Android.

Configurare la crittografia dei messaggi

Con Microsoft Purview Message Encryption, che usa le funzionalità di protezione in Azure Information Protection, l'organizzazione può condividere facilmente la posta elettronica protetta con chiunque su qualsiasi dispositivo. Gli utenti possono inviare e ricevere messaggi protetti con altre organizzazioni di Microsoft 365 e non clienti che usano Outlook.com, Gmail e altri servizi di posta elettronica.

Per altre informazioni, vedere Configurare la crittografia dei messaggi.

Passaggi successivi

Screenshot dei criteri per le app cloud di Microsoft 365.

Configurare i criteri di accesso condizionale per: