Partager via

Protection dans le navigateur avec Microsoft Edge Entreprise (préversion)

  • Article

Les utilisateurs de Microsoft Defender pour Cloud Apps qui utilisent Microsoft Edge Entreprise et sont soumis à des stratégies de session sont protégés directement depuis le navigateur. La protection dans le navigateur réduit le besoin de proxies, améliorant à la fois la sécurité et la productivité.

Les utilisateurs protégés bénéficient d’une expérience fluide avec leurs applications cloud, sans problèmes de latence ou de compatibilité des applications, et avec un niveau de protection de la sécurité plus élevé.

Conditions requises pour la protection dans le navigateur

Pour utiliser la protection dans le navigateur, les utilisateurs doivent être dans le profil de travail de leur navigateur.

Les profils Microsoft Edge permettent aux utilisateurs de répartir les données de navigation dans des profils distincts, où les données qui appartiennent à chaque profil sont séparées des autres profils. Par exemple, lorsque les utilisateurs ont des profils différents pour leur navigation personnelle et leur travail, leurs favoris personnels et leur historique ne sont pas synchronisés avec leur profil professionnel.

Lorsque les utilisateurs ont des profils distincts, leur navigateur professionnel (Microsoft Edge Entreprise) et leur navigateur personnel (Microsoft Edge) ont des caches et des emplacements de stockage distincts, et les informations restent séparées.

Pour utiliser la protection dans le navigateur, les utilisateurs doivent également avoir mis en place les conditions environnementales suivantes :

Condition requise Description
Systèmes d’exploitation Windows 10 ou 11, macOS
Plateforme d’identité Microsoft Entra ID
Versions de Microsoft Edge Entreprise Les deux dernières versions stables (par exemple, si la dernière version de Edge est la 126, la protection dans le navigateur fonctionne pour la v126 et la v125).
Consulter les versions de Microsoft Edge
Stratégies de session prises en charge – Blocage et/ou surveillance du téléchargement de fichiers (tous les fichiers sensibles)
– Blocage ou surveillance du chargement de fichiers (tous les fichiers ou les fichiers sensibles)
– Blocage et surveillance des actions Copier, Couper et Coller
– Blocage et/ou surveillance de l’impression
– Blocage et surveillance des chargements de logiciels malveillants
– Blocage et surveillance du téléchargement de logiciels malveillants

Les utilisateurs qui sont desservis par plusieurs stratégies, y compris au moins une stratégie qui n’est pas prise en charge par Microsoft Edge Entreprise, leurs sessions sont toujours desservies par le proxy inverse.

Les stratégies définies dans le portail Microsoft Entra ID sont également toujours servies par reverse proxy.

Tous les autres scénarios sont servis automatiquement par la technologie standard de proxy inverse, y compris les sessions d’utilisateurs provenant de navigateurs qui ne prennent pas en charge la protection dans le navigateur, ou pour les stratégies qui ne sont pas prises en charge par la protection dans le navigateur.

Par exemple, ces scénarios sont servis par le proxy inverse :

  • Utilisateurs de Google Chrome
  • Utilisateurs de Microsoft Edge concernés par une stratégie de protection des téléchargements de fichiers
  • Utilisateurs de Microsoft Edge sur des appareils Android
  • Utilisateurs d’applications utilisant la méthode d’authentification OKTA
  • Utilisateurs de Microsoft Edge en mode InPrivate
  • Utilisateurs de Microsoft Edge avec des versions de navigateur plus anciennes
  • Utilisateurs B2B invités
  • La session est limitée à la stratégie d'accès conditionnel définie dans le portail Entra ID

Expérience de l’utilisateur avec la protection dans le navigateur

Les utilisateurs savent qu’ils utilisent la protection dans le navigateur dans Microsoft Edge Entreprise parce qu’ils voient une icône « cadenas » supplémentaire dans la barre d’adresse du navigateur. L’icône indique que la session est protégée par Defender for Cloud Apps. Par exemple :

Capture d'écran d'une icône de verrouillage supplémentaire dans la barre d'adresse du navigateur.

Par ailleurs, le suffixe .mcas.ms n’apparaît pas dans la barre d’adresse du navigateur avec la protection dans le navigateur, comme c’est le cas avec le contrôle d’application à accès conditionnel standard, et les outils de développement sont désactivés avec la protection dans le navigateur.

Application du profil de travail pour la protection dans le navigateur

Pour accéder à une ressource professionnelle dans contoso.com avec la protection dans le navigateur, les utilisateurs doivent se connecter avec leur profil username@contoso.com. Si les utilisateurs tentent d’accéder à la ressource de travail en dehors du profil de travail, ils sont invités à basculer vers le profil de travail ou à en créer un s’il n’existe pas. Les utilisateurs peuvent également choisir de conserver leur profil actuel, auquel cas ils sont desservis par l’architecture de proxy inverse.

Si l’utilisateur décide de créer un nouveau profil professionnel, il est invité à choisir l’option Autoriser mon organisation à gérer mon appareil. Dans de tels incidents, les utilisateurs n’ont pas besoin de sélectionner cette option pour créer le profil de travail ou bénéficier de la protection dans le navigateur.

Pour en savoir plus, consultez Microsoft Edge Entreprise et Comment ajouter de nouveaux profils à Microsoft Edge.

Configurer les paramètres de protection dans le navigateur

La protection dans le navigateur avec Microsoft Edge Entreprise est activée par défaut. Les utilisateurs administrateurs peuvent désactiver et activer l’intégration, et peuvent configurer une invite pour les utilisateurs non-Edge à passer à Microsoft Edge pour des performances et une sécurité accrues.

Pour configurer les paramètres de protection dans le navigateur :

  1. Dans le portail Microsoft Defender, sélectionnez Paramètres > Applications cloud > Contrôle des applications à accès conditionnel > Protection Edge Entreprise.

  2. Définissez les paramètres suivants, en fonction de vos besoins :

    • Activez ou désactivez l’option Activer la protection Edge Entreprise.

    • Sélectionnez Notifier les utilisateurs de navigateurs non Edge d’utiliser Microsoft Edge Entreprise pour de meilleures performances et une meilleure sécurité.

      Si vous avez choisi de notifier les utilisateurs non-Edge, choisissez d’utiliser le message par défaut ou de personnaliser votre propre message.

  3. Si vous avez terminé, sélectionnez Enregistrer pour sauvegarder vos modifications.

Travailler avec Microsoft Purview et Endpoint data loss prevention

Si le même contexte et la même action exacts sont configurés à la fois pour les stratégies de Defender pour Cloud Apps et pour une stratégie de prévention de la perte de données (DLP) Endpoint de Microsoft Purview, c’est la stratégie DLP Endpoint qui est appliquée.

Par exemple, si vous avez une stratégie DLP Endpoint qui bloque le téléchargement d’un fichier vers Salesforce et que vous avez également une stratégie Defender for Cloud Apps qui surveille les téléchargements de fichiers vers Salesforce, c’est la stratégie DLP Endpoint qui est appliquée.

Pour en savoir plus, consultez En savoir plus sur la prévention des pertes de données.

Appliquer Edge dans le navigateur lors de l'accès aux applis métier

Les administrateurs qui comprennent la puissance de la protection Edge in-browser peuvent exiger de leurs utilisateurs qu'ils utilisent Edge lorsqu'ils accèdent aux ressources de l'entreprise. L'une des principales raisons est la sécurité, car la barrière de contournement des contrôles de session à l'aide d'Edge est beaucoup plus élevée qu'avec la technologie de proxy inverse.

Expérience d’administrateur
La fonctionnalité est contrôlée par les paramètres suivants :
M365 Defender > Paramètres > Applications cloud > Protection Edge for Business > Renforcer l'utilisation de Edge for business.

Les options suivantes sont disponibles :

  • Ne pas appliquer (par défaut)
  • Autoriser l'accès uniquement à partir de Edge
  • Appliquer l'accès à partir de Edge lorsque c'est possible

Les administrateurs ont la possibilité d'appliquer les stratégies sur tous les appareils ou uniquement sur les appareils non gérés.

Autoriser l'accès uniquement depuis Edge signifie que l'accès à l'application métier, cadré par les stratégies de session, ne peut être obtenu que via le navigateur Edge.

Obliger l'accès à partir de Edge lorsque c'est possible signifie que les utilisateurs doivent utiliser Edge pour accéder à l'application si leur contexte le permet, mais si ce n'est pas le cas, ils peuvent utiliser un autre navigateur pour accéder à l'application protégée.

Par exemple, les administrateurs ont la possibilité d'appliquer des stratégies sur tous les dispositifs ou uniquement sur les dispositifs non gérés : Si un utilisateur est soumis à une stratégie qui ne s'aligne pas sur les capacités de protection dans le navigateur (comme « Protéger le fichier lors du téléchargement »), OU si le système d'exploitation est incompatible (par exemple, Android). Dans ce scénario, comme l'utilisateur n'a pas le contrôle du contexte, il peut choisir d'utiliser un autre navigateur. Si les stratégies qui lui sont applicables le permettent et que le système d'exploitation est compatible (Windows 10, 11, macOS), alors il est tenu d'utiliser Edge.

Contenu connexe

Pour en savoir plus, consultez Microsoft Defender pour Cloud Apps pour le contrôle des applications à accès conditionnel.