通过

针对特定 Microsoft 365 工作负载的推荐策略

在 Microsoft 365 组织中 为零信任配置通用安全策略 后,需要根据 零信任的三个指导原则为特定应用和工作负载配置额外的策略和设置:

  • 明确地验证
  • 使用最小特权
  • 假设发生安全漏洞

本文介绍了特定应用和工作负载的额外策略和设置。

小窍门

如果可能,请在非生产环境中测试策略,然后再将其推广到生产用户。 测试对于确定任何可能的影响并将其传达给用户至关重要。

Microsoft Copilot 针对零信任的建议

有关详细信息,请参阅使用零信任安全性,为包括 Microsoft Copilot 在内的 AI 助手做好准备

零信任环境下的 Exchange Online 建议

本部分介绍 Exchange Online 中零信任的建议设置。

验证是否禁用了自动向外部收件人转发电子邮件

默认情况下,Exchange Online Protection(EOP)中的出站垃圾邮件策略会阻止通过 收件箱规则邮箱转发 (也称为 SMTP 转发)自动将电子邮件转发给外部收件人。 有关详细信息,请参阅 控制 Microsoft 365 中的自动外部电子邮件转发

在所有出站垃圾邮件策略中,验证 自动转发规则 设置的值是否为 “自动 - 系统控制 ”(默认值)或 “关闭”-“转发”处于禁用状态。 这两个值都阻止受影响的用户自动向外部收件人转发电子邮件。 默认策略适用于所有用户,管理员可以创建自定义策略,这些策略适用于特定用户组。 有关详细信息,请参阅 在 EOP中配置出站垃圾邮件策略。

阻止 Exchange ActiveSync 客户端

Exchange ActiveSync 是一种客户端协议,用于同步桌面和移动设备上的电子邮件和日历数据。 按照以下过程所述,阻止不安全的 ActiveSync 客户端访问公司电子邮件:

  • 移动设备:若要阻止来自以下类型的移动设备的电子邮件访问,请创建 “需要批准的应用”或应用保护策略中所述的条件访问策略:

    • 使用基本身份验证的 ActiveSync 客户端。
    • 支持新式身份验证但不支持 Intune 应用保护策略的 ActiveSync 客户端。
    • 支持 Intune 应用保护策略但未在应用保护策略中定义的设备。 有关详细信息,请参阅 “需要应用保护策略”。

    小窍门

    我们建议Microsoft Outlook for iOS 和 Android 作为应用,以从 iOS/iPadOS 和 Android 设备访问公司电子邮件。

  • 电脑和其他设备:若要阻止使用基本身份验证的所有 ActiveSync 客户端,请在 所有设备上创建 Block Exchange ActiveSync 中所述的条件访问策略。

限制对 Outlook 网页版和新 Outlook for Windows 中电子邮件附件的访问

可以限制非托管设备上的用户如何与 Outlook 网页版(以前称为 Outlook Web App 或 OWA)和新的 Outlook for Windows 中的电子邮件附件进行交互:

  • 阻止用户下载电子邮件附件。 他们可以使用 Office Online 查看和编辑这些文件,而无需泄露文件并将其存储在设备上。
  • 阻止用户连附件都无法看到。

使用 Outlook 网页版邮箱策略强制实施这些限制。 拥有 Exchange Online 邮箱的 Microsoft 365 组织具有内置的默认 Outlook 网页版邮箱策略,名为 OwaMailboxPolicy-Default。 默认情况下,此策略将应用于所有用户。 管理员还可以 创建自定义策略 应用于特定用户组。

下面是限制对非托管设备上的电子邮件附件的访问的步骤:

  1. 连接到 Exchange Online PowerShell

  2. 若要查看可用的 Outlook 网页版邮箱策略,请运行以下命令:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. 使用以下语法来限制在非托管设备上的 Outlook 网页版和新版 Windows 版 Outlook 中访问电子邮件附件:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    此示例允许在默认策略中 查看但不允许下载附件

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    此示例阻止在默认策略中 查看附件

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. 的 Microsoft Entra 管理中心的https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview页面上,使用以下设置创建新的条件访问策略

    • 任务 部分:
      • 用户:在包含排除选项卡上选择要包含和排除的适当用户和组。
      • 目标资源选择此策略适用于>资源(前云应用)>包括 选项卡 >选择资源>选择> 查找并选择 Office 365 Exchange Online
    • 访问控制部分:会话>选择使用应用强制实施的限制
    • 启用策略部分:选择

设置消息加密

借助 Microsoft Purview 消息加密(使用 Azure 信息保护中的保护功能),组织可以轻松地与任何设备上的任何人共享受保护的电子邮件。 用户可以与其他使用 Microsoft 365、Outlook.com、Gmail 和其他电子邮件服务的组织发送和接收受保护的邮件。

有关详细信息,请参阅 设置消息加密

SharePoint 针对零信任的建议

本部分介绍 SharePoint 中零信任的建议设置。

配置 SharePoint 访问控制以限制非托管设备的访问

小窍门

本节中的设置需要Microsoft Entra ID P1 或 P2。 有关详细信息,请参阅 Microsoft Entra 计划和定价

在 SharePoint 中为非托管设备配置访问控制时,会自动在 Microsoft Entra ID 中创建用于强制实施访问级别的相应条件访问策略。 此组织范围的设置适用于所有用户,但仅影响对 SharePoint 访问控制中专门包含的网站的访问权限。

具体而言,你需要在 SharePoint 访问控制中包含使用 企业零信任专用安全性 的网站,如以下步骤中所述:

  1. 在 SharePoint 访问控制中为非托管设备配置 “允许仅限 Web 的访问 ”或 “阻止访问 ”。 此设置适用于所有用户,但不会影响他们对已拥有网站权限的网站的访问权限,除非该网站包含在 SharePoint 访问控制中(下一步)。

    小窍门

    站点级访问不能比组织访问控制设置更宽松。 例如,对于组织范围的访问控制中非管理的设备,请选择允许仅 Web 的受限访问,以便可以在特定站点上使用 AllowLimitedAccessBlockAccess。 如果在全组织访问控制中选择 阻止对非托管设备的访问,则无法在特定网站上使用 AllowLimitedAccess,只能使用 BlockAccess

  2. 连接到 SharePoint Online PowerShell 并使用 Set-SPOSite cmdlet 上的 ConditionalAccessPolicy 参数将网站包含在非托管设备的 SharePoint 访问控制中:

    • 企业网站:使用该值 AllowLimitedAccess 阻止非托管设备上的用户下载、打印或同步文件。
    • 专用安全站点:使用该值 BlockAccess 阻止来自非托管设备的访问。

    有关说明,请参阅 阻止或限制对特定 SharePoint 网站或 OneDrive 的访问

传统上,网站所有者根据业务需要访问网站来管理 SharePoint 网站权限。 在组织级别和站点级别为非托管设备配置 SharePoint 访问控制可确保基于零信任保护级别对这些站点进行一致的保护。

请考虑 Contoso 组织中的以下示例站点。 非管理的设备的 SharePoint 访问控制为组织已配置为允许仅 Web 的受限访问级别。

  • 配置有企业保护的 Analytics 团队站点:为 SharePoint 访问控制中非管理的设备配置了 AllowLimitedAccess 站点。 具有站点权限的用户在非托管设备上只能通过浏览器访问站点。 他们可以使用托管设备上的其他应用访问站点。
  • “商业机密”网站配置了专用安全保护:站点为 SharePoint 访问控制中非管理的设备配置了 Block。 阻止具有站点权限的用户访问非托管设备上的站点。 他们只能在托管设备上访问站点。

Microsoft Teams 针对零信任的建议

本部分介绍 Microsoft Teams 中零信任的建议设置。

Teams 依赖服务体系结构

面向 IT 架构师的 Microsoft 365 中Microsoft Teams 和相关生产力服务的关系图演示了 Microsoft Teams 使用的服务。

Teams 的来宾和外部访问

Microsoft Teams 为组织外部的用户定义以下访问类型:

  • 来宾访问:为每个可以添加为团队成员的用户使用 Microsoft Entra B2B 帐户。 来宾访问允许访问 Teams 资源,并在组对话、聊天和会议中与内部用户交互。

    有关来宾访问以及如何实现它的详细信息,请参阅 Microsoft Teams 中的来宾访问

  • 外部访问:组织外部没有Microsoft Entra B2B 帐户的用户。 外部访问权限可以包括邀请和参与通话、聊天和会议,但不包括团队成员身份或对团队资源的访问权限。 外部访问是外部域中的 Teams 用户查找、呼叫、聊天和在 Teams 中与组织中的用户设置会议的方法。

    Teams 管理员可以使用自定义策略为组织、用户组或单个用户配置外部访问权限。 有关详细信息,请参阅 IT 管理员 - 使用Microsoft标识管理外部会议和与人员和组织聊天

外部访问用户的访问权限和功能比来宾访问用户少。 例如,外部访问用户可以使用 Teams 与内部用户聊天,但他们无法访问团队频道、文件或其他资源。

条件访问策略仅适用于 Teams 中的来宾访问用户,因为有相应的Microsoft Entra B2B 帐户。 外部访问不使用 Microsoft Entra B2B 帐户,因此无法使用条件访问策略。

有关允许使用 Microsoft Entra B2B 帐户进行访问的建议策略,请参阅 允许来宾和外部 B2B 帐户访问的策略

零信任的 SaaS 应用建议

Microsoft Defender for Cloud Apps 基于 Microsoft Entra 条件访问策略构建,可实时监视和控制软件即服务 (SaaS) 应用的精细操作,如阻止下载、上传、复制/粘贴和打印。 此功能为具有固有风险的会话(例如,从非托管设备或来宾访问公司资源时)增加了安全性。

有关详细信息,请参阅 在 Zero Trust 框架内将 SaaS 应用与 Microsoft 365 集成