Защита в браузере с помощью Microsoft Edge для бизнеса (предварительная версия)
Defender для облака пользователи приложений, использующие Microsoft Edge для бизнеса и подверженные политикам сеансов, защищены непосредственно из браузера. Защита в браузере снижает потребность в прокси-сервере, повышая безопасность и производительность.
Защищенные пользователи получают плавное взаимодействие с облачными приложениями, без проблем с задержкой или совместимостью приложений, а также с более высоким уровнем защиты безопасности.
Требования к защите в браузере
Чтобы использовать защиту в браузере, пользователи должны находиться в рабочем профиле браузера.
Профили Microsoft Edge позволяют пользователям разделить данные браузера на отдельные профили, где данные, принадлежащие каждому профилю, хранятся отдельно от других профилей. Например, если у пользователей есть различные профили для личного просмотра и работы, их личные избранное и журнал не синхронизируются с рабочим профилем.
Если у пользователей есть отдельные профили, их рабочий браузер (Microsoft Edge для бизнеса) и личный браузер (Microsoft Edge) имеют отдельные кэши и расположения хранилища, а информация остается отдельной.
Чтобы использовать защиту в браузере, пользователи также должны иметь следующие требования к окружающей среде.
| Требование | Description |
|---|---|
| Операционные системы | Windows 10 или 11, macOS |
| Платформа удостоверений | Microsoft Entra ID |
| Версии Microsoft Edge для бизнеса | Последние 2 стабильные версии (например, если новейший edge равен 126, защита в браузере работает для версии 126 и версии 125). См. выпуски Microsoft Edge |
| Поддерживаемые политики сеансов | — Block\Monitor of file download (все файлы\конфиденциальные файлы) — блокировать отправку файлов\Monitor (все файлы\конфиденциальные файлы) — Block\Monitor copy\cut\paste - Block\Monitor print — Блокировка\Мониторинг отправки вредоносных программ — Блокировка\Мониторинг загрузки вредоносных программ Пользователи, обслуживаемые несколькими политиками, включая по крайней мере одну политику, которая не поддерживается Microsoft Edge для бизнеса, их сеансы всегда обслуживаются обратным прокси-сервером. Политики, определенные на портале идентификатора Microsoft Entra ID, также всегда обслуживаются обратным прокси-сервером. |
Все остальные сценарии обслуживаются автоматически с помощью стандартной технологии обратного прокси-сервера, включая сеансы пользователей из браузеров, которые не поддерживают защиту в браузере или политики, не поддерживаемые защитой в браузере.
Например, эти сценарии обслуживаются обратным прокси-сервером:
- Пользователи Google Chrome
- Пользователи Microsoft Edge, которые ограничены политикой загрузки файлов
- Пользователи Microsoft Edge на устройствах Android
- Пользователи в приложениях, использующих метод проверки подлинности OKTA
- Пользователи Microsoft Edge в режиме InPrivate
- Пользователи Microsoft Edge с более старыми версиями браузера
- Пользователи B2B (гостевые пользователи)
- Сеанс ограничен политикой условного доступа, определенной на портале идентификатора Microsoft Entra
Взаимодействие с пользователем с защитой в браузере
Чтобы убедиться, что защита в браузере активна, пользователям нужно щелкнуть значок блокировки в адресной строке браузера и найти символ "чемодан" в появившемся виде. Символ указывает, что сеанс защищен Defender для облака Apps. Например:
Кроме того, .mcas.ms суффикс не отображается в адресной строке браузера с защитой в браузере, так как это делается со стандартным управлением приложением условного доступа, а средства разработчика отключены с защитой в браузере.
Принудительное применение рабочего профиля для защиты в браузере
Чтобы получить доступ к рабочему ресурсу в contoso.com с защитой в браузере, пользователи должны войти с помощью своего username@contoso.com профиля. Если пользователи пытаются получить доступ к рабочему ресурсу за пределами рабочего профиля, им будет предложено переключиться на рабочий профиль или создать его, если он не существует. Пользователи также могут продолжить работу с текущим профилем, в этом случае они обслуживаются обратной архитектурой прокси-сервера.
Если пользователь решит создать рабочий профиль, ему будет предложено разрешить организации управлять моим устройством . В таких случаях пользователям не нужно выбирать этот параметр, чтобы создать рабочий профиль или воспользоваться защитой в браузере.
Дополнительные сведения см. в статье Microsoft Edge для бизнеса и добавление новых профилей в Microsoft Edge.
Настройка параметров защиты в браузере
Защита в браузере с помощью Microsoft Edge для бизнеса включена по умолчанию. Администраторы могут отключить интеграцию и включить ее, а также настроить запрос на переход пользователей, отличных от Пограничных вычислений, для повышения производительности и безопасности.
Чтобы настроить параметры защиты в браузере, выполните следующие действия.
На портале Microsoft Defender выберите Settings > Cloud Apps > Conditional Access Control > Edge for Business Protection.
Настройте требуемые значения следующих параметров:
Переключите параметр "Включить edge для бизнеса", чтобы отключить или включить.
Выберите, чтобы уведомить пользователей в браузерах, отличных от Пограничных вычислений, чтобы использовать Microsoft Edge для бизнеса для повышения производительности и безопасности.
Если вы выбрали уведомление пользователей, отличных от Edge, выберите либо использовать сообщение по умолчанию, либо настроить собственное сообщение.
Нажмите кнопку "Сохранить", когда вы закончите сохранение изменений.
Работа с предотвращением потери данных Microsoft Purview и конечной точки
Если для политик приложений Defender для облака и политики защиты от потери данных конечной точки Microsoft Purview (DLP) настроен одинаковый контекст и действие, применяется политика защиты от потери данных конечной точки.
Например, если у вас есть политика защиты от потери данных конечной точки, которая блокирует отправку файла в Salesforce, а также у вас есть политика Defender для облака Apps, которая отслеживает отправку файлов в Salesforce, применяется политика защиты от потери данных конечной точки.
Дополнительные сведения см. в статье о предотвращении потери данных.
Принудительное применение пограничных приложений в браузере при доступе к бизнес-приложениям
Администраторы, которые понимают возможности защиты edge в браузере, могут требовать от пользователей использовать Edge при доступе к корпоративным ресурсам. Основной причиной является безопасность, так как барьер для обхода элементов управления сеансами с помощью Edge гораздо выше, чем с обратной технологией прокси-сервера.
Интерфейс администратора
Эта функция управляется следующими параметрами:
Параметры Защитника > M365 Cloud Apps > Edge для бизнеса обеспечивают > принудительное использование Edge > для бизнеса
Имеются следующие варианты:
- Не применять (по умолчанию)
- Разрешить доступ только из Edge
- Принудительное применение доступа из Edge по возможности
Администраторы могут применять политики на всех устройствах или только на неуправляемых устройствах.
Разрешить доступ только из Edge означает, что доступ к бизнес-приложению, ограниченному политикам сеансов, можно получить только через браузер Edge.
Принудительное применение доступа из Edge, если это возможно , означает, что пользователи должны использовать Edge для доступа к приложению, если их контекст разрешен, но если нет, они могут использовать другой браузер для доступа к защищенному приложению.
Например, если пользователь подвергается политике, которая не соответствует возможностям защиты в браузере (например, "Защита файла при скачивании"), или операционная система несовместима (например, Android). В этом сценарии, так как пользователь не имеет контроля над контекстом, он может использовать другой браузер. Если политики, применимые к нему, позволяют ему и операционная система совместима (Windows 10, 11, macOS), то он должен использовать Edge.
Связанный контент
Дополнительные сведения см. в разделе Microsoft Defender для облака Управление приложениями условного доступа.