電子メールをセキュリティで保護するためのポリシーの推奨事項
この記事では、先進認証と条件付きアクセスをサポートする組織の電子メール クライアントと電子メール クライアントを保護するために、推奨されるゼロ トラスト ID とデバイス アクセス ポリシーを実装する方法について説明します。 このガイダンスは、共通 ID とデバイス アクセス ポリシー に基づいており、いくつかの追加の推奨事項も含まれています。
これらの推奨事項は、ニーズの粒度に基づいて適用できる 3 つの異なるレベルのセキュリティと保護に基づいています。
これらの推奨事項では、ユーザーがモバイル デバイスで Outlook for iOS や Android などの最新の電子メール クライアントを使用する必要があります。 iOS および Android 用 Outlook では、Microsoft 365 の最適な機能がサポートされています。 これらのモバイル Outlook アプリは、モバイル使用をサポートし、他の Microsoft クラウド セキュリティ機能と連携するセキュリティ機能を備えて設計されています。 詳細については、「Outlook for iOS および Android の FAQ」を参照してください。
電子メールを含むように一般的なポリシーを更新する
電子メールを保護するために、次の図は、共通 ID とデバイス アクセス ポリシーから更新するポリシーを示しています。
ActiveSync クライアントをブロックするための Exchange Online の新しいポリシーが追加されていることに注意してください。 このポリシーにより、モバイル デバイスでの iOS および Android 用 Outlook の使用が強制されます。
セットアップ時にポリシーのスコープに Exchange Online と Outlook を含める場合は、ActiveSync クライアントをブロックする新しいポリシーを作成するだけで済みます。 次の表に示すポリシーを確認し、推奨される追加を行うか、これらの設定が既に含まれていることを確認します。 各ポリシーは、の共通 ID およびデバイス アクセス ポリシー
| 保護レベル | 方針 | 詳細情報 |
|---|---|---|
| 開始点 | サインインリスクが中または高 の場合に MFA を要求する | クラウド アプリの割り当てに Exchange Online を含める |
| 先進認証 をサポートしていないクライアントをブロックする | クラウド アプリの割り当てに Exchange Online を含める | |
| APP データ保護ポリシーを適用する | Outlook がアプリの一覧に含まれていることを確認します。 各プラットフォーム (iOS、Android、Windows) のポリシーを必ず更新してください | |
| 承認済みのアプリまたはアプリ保護ポリシーが必要 | クラウド アプリの一覧に Exchange Online を含める | |
| ActiveSync クライアント をブロックする | この新しいポリシーを追加する | |
| Enterprise | サインイン リスクが 低い、中、または 高い 場合に MFA を要求する | クラウド アプリの割り当てに Exchange Online を含める |
| 準拠している PC およびモバイルデバイスを要求する | クラウド アプリの一覧に Exchange Online を含める | |
| 特殊なセキュリティ | 常に MFA を要求する | クラウド アプリの割り当てに Exchange Online を含める |
ActiveSync クライアントをブロックする
Exchange ActiveSync を使用して、デスクトップおよびモバイル デバイス上のメッセージングと予定表のデータを同期できます。
モバイル デバイスの場合、承認されたアプリまたはアプリ保護ポリシーを要求する
- 基本認証を使用する Exchange ActiveSync クライアント。
- 先進認証をサポートしているが、Intune アプリ保護ポリシーをサポートしていない Exchange ActiveSync クライアント。
- Intune アプリ保護ポリシーをサポートしているが、ポリシーで定義されていないデバイス。
他の種類のデバイス (PC など) で基本認証を使用して Exchange ActiveSync 接続をブロックするには、「のすべてのデバイスで Exchange ActiveSync をブロック
Outlook on the web から Exchange Online へのアクセスを制限する
ユーザーが管理されていないデバイス上の Outlook on the web から添付ファイルをダウンロードする機能を制限できます。 これらのデバイスのユーザーは、Office Online を使用してこれらのファイルを表示および編集できます。このファイルは、デバイスに漏えいしたり保存したりすることはありません。 また、ユーザーがアンマネージド デバイスに添付ファイルを表示できないようにすることもできます。
手順を次に示します。
Exchange Online PowerShellに接続します。
Exchange Online メールボックスを使用するすべての Microsoft 365 組織には、OwaMailboxPolicy-Default という名前の組み込みの Outlook on the web (旧称 Outlook Web App または OWA) メールボックス ポリシーがあります。 管理者はカスタム ポリシーを作成することもできます。
使用可能な Outlook on the web メールボックス ポリシーを表示するには、次のコマンドを実行します。
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy添付ファイルの表示を許可し、ダウンロードを許可しない場合は、影響を受けるポリシーで次のコマンドを実行します。
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly例えば:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly添付ファイルをブロックするには、影響を受けるポリシーで次のコマンドを実行します。
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked例えば:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedAzure portal で、次の設定で新しい条件付きアクセス ポリシー を作成
。 割り当て>ユーザーとグループ: 含める適切なユーザーとグループを選択し、除外します。
[割り当て>[クラウド アプリまたはアクション]>[クラウド アプリ]>[含める]>[アプリを選択]: [Office 365 Exchange Online] を選択します。
[アクセス制御]>[セッション]: [アプリによって適用される制限を使用する] を選択します。
iOS および Android デバイスで Outlook を使用する必要がある
iOS および Android デバイスが、Outlook for iOS と Android のみを使用して職場または学校のコンテンツにアクセスできるようにするには、それらの潜在的なユーザーを対象とする条件付きアクセス ポリシーが必要です。
このポリシーを構成する手順については、「iOS および Android用 Outlook を使用してメッセージング コラボレーション アクセスを管理する」を参照してください。
メッセージ暗号化を設定する
Azure Information Protection の保護機能を使用する Microsoft Purview Message Encryption を使用すると、組織は保護された電子メールを任意のデバイス上のユーザーと簡単に共有できます。 ユーザーは、Outlook.com、Gmail、その他のメール サービスを使用して、他の Microsoft 365 組織や顧客以外のユーザーと保護されたメッセージを送受信できます。
詳細については、「Message Encryptionの設定」を参照してください。
次の手順
次の条件付きアクセス ポリシーを構成します。