Управление расширениями Microsoft Edge на предприятии

Эта статья содержит рекомендации для администраторов, управляющих расширениями Microsoft Edge в своих организациях. Вы можете использовать сведения этой статьи для разработки стратегии управления расширениями в организации.

Примечание.

Сейчас развертывается служба управления Microsoft Edge, специальное и упрощенное средство управления в Центр администрирования Microsoft 365. Подробнее.

Введение

Организации хотят защитить корпоративные и пользовательские данные и оценить расширения браузера, чтобы убедиться, что они безопасны и актуальны для своего предприятия. Администраторы хотят:

• Запретить установку плохих приложений и расширений.
• Сохранять расширения, необходимые пользователям для работы.
• Управлять доступом к данным пользователей и компании.

Эта статья является первой в серии, помогающей администраторам управлять расширениями, чтобы обеспечивать безопасное и продуктивное взаимодействие для пользователей. В этой серии рассматриваются различные параметры, помогающие выбрать оптимальный способ управления расширениями. Серия состоит из следующих статей.

• Управление расширениями Microsoft Edge на предприятии. Создайте стратегию управления расширениями и настройте административные шаблоны, необходимые для управления браузером.
• Использование групповых политик для управления расширениями Microsoft Edge. Варианты использования групповых политик для управления расширениями.
• Создание интернет-магазина для размещения расширений Microsoft Edge. Создавайте и размещайте расширения.
• Вопросы и ответы по расширениям Microsoft Edge. Вопросы и ответы.

Что следует учитывать при управлении расширениями

Пользователям необходим доступ к определенным приложениям, сайтам и расширениям для выполнения задач. При этом требуется защищать данные пользователей и компании. Эффективная стратегия безопасности включает в себя постановку правильных вопросов для вашего предприятия и того, как расширения могут соответствовать потребностям вашей компании. Некоторые ключевые вопросы:

• Какие нормативы и меры соответствия требованиям должны соблюдаться?
• Запрашивают ли некоторые расширения слишком широкие разрешения, которые могут идти в соответствие с политиками безопасности данных моей компании?
• Сколько пользовательских или корпоративных данных хранится на устройствах моих пользователей?

Отвечая на эти вопросы, вы можете использовать детализированные политики, предоставляемые браузером Microsoft Edge:

• Блокировать или разрешать расширения на компьютерах пользователей на основе политик защиты данных.
• Принудительная установка расширений на устройствах пользователей, чтобы у них были средства, необходимые для продуктивной работы.
• Расширения списка разрешенных или блокировочных списков, чтобы предоставить пользователям минимальный объем прав, необходимых для выполнения своей работы.

В традиционной модели управления расширениями используется подход со списками разрешенных и заблокированных элементов для определенных расширений. Однако Microsoft Edge также позволяет управлять разрешениями, запрашиваемыми расширениями. С помощью этой модели вы можете определить, какие права и разрешения необходимо предоставить расширениям для использования на компьютерах и устройствах, а затем реализовать глобальную политику, разрешающую или блокирующую расширения на основе ваших требований.

Сведения о разрешениях расширений

Для правильной работы расширений могут требоваться права на внесение изменений на устройстве или веб-странице. Эти права называются разрешениями. Разработчики должны перечислить права и уровень доступа, необходимый их расширениям. Существуют две основные категории разрешений, и многим расширениям необходимы оба следующих разрешения.

• Разрешения узла требуют от расширения перечисления веб-страниц, которые оно может просматривать или изменять.
• Разрешения устройства — это права, необходимые расширению на устройстве, на котором оно работает.

Примеры таких разрешений: доступ к USB-порту, хранилищу или экрану просмотра, а также взаимодействие с собственными программами.

Подготовка к управлению расширениями

Перед началом работы

Эти параметры расширений предполагают, что вы уже управляете браузером Microsoft Edge для своих пользователей. Дополнительные сведения о настройке административных шаблонов для политик Microsoft Edge политик см. в статьях:

• Настройка параметров политик Microsoft Edge в Windows
• Настройка для Windows с помощью Intune
• Настройка для Windows с помощью системы управления мобильными устройствами
• Настройка для macOS с помощью файла PLIST
• Настройка для macOS с помощью Jamf

Этапы настройки в этой статье предназначены для Windows. Соответствующую реализацию в MAC/Linux см. в справочнике по политикам браузера Microsoft Edge.

Выбор разрешаемых расширений

Большинство организаций должны управлять расширениями с помощью разрешений и путем предоставления доступа к определенным веб-сайтам. Этот метод более безопасный, простой в управлении и масштабируемый для крупных организаций.

• Заблокированные и допустимые разрешения — позволяет управлять расширениями с помощью необходимых разрешений.
• Узлы блокировки среды выполнения — позволяет выбирать, к каким веб-сайтам есть доступ у этих расширений.

Использование этого подхода экономит время, так как эти параметры нужно установить только один раз. А благодаря политике узлов среды выполнения ваши наиболее важные сайты будут защищены. Существуют и другие параметры, например:

• Принудительная установка расширений — позволяет устанавливать расширения автоматически.
• Список разрешенных или заблокированных элементов (если требуется) — определите, какие расширения можно устанавливать.

Чтобы определить, какие расширения доступны в организации, используйте следующие действия.

1. Создайте список расширений, необходимых сотрудникам на их компьютерах. Проверьте расширения в тестовой среде, чтобы диагностировать любые проблемы совместимости с внутренними приложениями.

2. Выберите сайты, которым требуется дополнительная безопасность.

   • Узнайте, для каких конфиденциальных внутренних веб-сайтов или доменов необходимо заблокировать внесение изменений или чтение данных расширениями.
   • Запретите доступ к этим сайтам, заблокировав вызовы API при работе расширения. Это включает блокировку веб-запросов, чтение файлов cookie, внедрение JavaScript, XHR и т. д.

3. Определите, какие разрешения необходимы для запуска этих расширений. Определите, какие разрешения создают потенциальные риски для пользователей.

   • Проведите аудит установленных пользователями расширений и просмотрите необходимые им разрешения. Вы можете посмотреть JSON-файл манифеста веб-приложения в коде расширения. Выполните следующие действия, чтобы узнать, какие права необходимы расширению.

     • Установите расширение с веб-сайта Надстройки Microsoft Edge или из интернет-магазина Chrome.
     • Протестируйте расширение и выясните, как оно работает в организации.
     • Проверьте разрешения, необходимые для расширения, перейдя на страницу edge://extensions. Например, расширение Microsoft Office, показанное на следующем снимке экрана, запрашивает разрешения "Чтение журнала браузера" и "Отображение уведомлений". Оцените полезность этого расширения относительно уровня запрашиваемых разрешений. После утверждения расширения для организации управляйте им с помощью следующих средств.

   • Вы также можете проверять расширения, запрашиваемые пользователями в организации, прежде чем утверждать их в организации. Некоторые разрешения, которые используют расширения, могут быть расплывчатыми. Для критически важных бизнес-приложений вы можете напрямую обратиться к разработчику или поставщику приложений, чтобы получить дополнительные сведения о расширении или просмотреть исходный код. Они должны быть в состоянии подробно описать изменения, которые может вносить расширение на устройствах и веб-сайтах.

   • Проверьте список объявления разрешений, где перечислены все разрешения, которые может использовать расширение. С помощью этого списка можно решить, какие разрешения необходимо предоставить в организации.

4. Создайте основной список из собранных данных. В этот список будут включены следующие сведения.

   • Обязательные расширения. Этот список может быть упорядочен по отделам, расположениям офисов или другим соответствующим сведениям.
   • Список разрешенных расширений. Обязательные расширения с разрешениями, которые могут быть заблокированы, но будут разрешены к запуску. Эти расширения необходимы пользователям, или в ходе бесед с поставщиком определено, что они не создают риска.
   • Список заблокированных расширений. Расширения, установка которых заблокирована. Расширения в этом списке имеют разрешения, которые не разрешено запускать. Он также содержит основные сайты и домены, которые должны быть защищены и к которым запрещен доступ расширения. Позже вы можете сравнить этот список блокировки с другими, которые у вас уже применяются. Вы можете обнаружить, что текущие политики списков блокировок можно сделать менее строгими.

5. Представьте свой список заинтересованным лицам и ИТ-команде для совершения покупки.

6. Протестируйте новую политику в лаборатории или в небольшой пилотной группе в организации.

7. Разворачивайте эти новые наборы политик для сотрудников поэтапно. Дополнительные сведения см. в статье Использование групповых политик для управления расширениями Microsoft Edge.

8. Просмотрите отзывы пользователей.

9. Повторяйте и настраивайте процесс ежемесячно, ежеквартально или ежегодно.

Благодаря применению базовых или разрешенных разрешений и защите конфиденциальных корпоративных сайтов вы можете обеспечить для предприятия дополнительную защиту и улучшенное взаимодействие с пользователями. Сотрудники могут устанавливать расширения, которые ранее были им недоступны, но не могут запускать их на конфиденциальных бизнес-сайтах.

См. также

• Использование групповых политик для управления расширениями Microsoft Edge
• Создание интернет-магазина для размещения расширений Microsoft Edge
• Справочное руководство по политике ExtensionSettings
• Вопросы и ответы по расширениям Microsoft Edge
• Целевая страница Microsoft Edge Enterprise