Управление расширениями Microsoft Edge на предприятии

Эта статья содержит рекомендации для администраторов, управляющих расширениями Microsoft Edge в своих организациях. Вы можете использовать сведения этой статьи для разработки стратегии управления расширениями в организации.

Примечание.

Сейчас развертывается Служба управления Microsoft Edge, специальное и упрощенное средство управления в Центр администрирования Microsoft 365. Подробнее.

Введение

Организации хотят защитить корпоративные и пользовательские данные и оценить расширения браузера, чтобы убедиться, что они безопасны и актуальны для своего предприятия. Администраторы хотят:

• Запретить установку плохих приложений и расширений.
• Сохранять расширения, необходимые пользователям для работы.
• Управлять доступом к данным пользователей и компании.

Эта статья является первой в серии, помогающей администраторам управлять расширениями, чтобы обеспечивать безопасное и продуктивное взаимодействие для пользователей. В этой серии рассматриваются различные параметры, помогающие выбрать оптимальный способ управления расширениями. Серия состоит из следующих статей.

• Управление расширениями Microsoft Edge на предприятии. Создайте стратегию управления расширениями и настройте административные шаблоны, необходимые для управления браузером.
• Использование групповых политик для управления расширениями Microsoft Edge. Варианты использования групповых политик для управления расширениями.
• Создание интернет-магазина для размещения расширений Microsoft Edge. Создавайте и размещайте расширения.
• Вопросы и ответы по расширениям Microsoft Edge. Вопросы и ответы.

Что следует учитывать при управлении расширениями

Пользователям необходим доступ к определенным приложениям, сайтам и расширениям для выполнения задач. При этом требуется защищать данные пользователей и компании. Эффективная стратегия безопасности включает в себя постановку правильных вопросов для вашего предприятия и того, как расширения могут соответствовать потребностям вашей компании. Некоторые ключевые вопросы:

• Какие нормативы и меры соответствия требованиям должны соблюдаться?
• Запрашивают ли некоторые расширения слишком широкие разрешения, которые могут идти в соответствие с политиками безопасности данных моей компании?
• Сколько пользовательских или корпоративных данных хранится на устройствах моих пользователей?

Отвечая на эти вопросы, вы можете использовать детализированные политики, предоставляемые браузером Microsoft Edge:

• Блокировать или разрешать расширения на компьютерах пользователей на основе политик защиты данных.
• Принудительная установка расширений на устройствах пользователей, чтобы у них были средства, необходимые для продуктивной работы.
• Расширения списка разрешенных или блокировочных списков, чтобы предоставить пользователям минимальное количество прав, необходимых для выполнения своей работы.

В традиционной модели управления расширениями используется подход со списками разрешенных и заблокированных элементов для определенных расширений. Однако Microsoft Edge также позволяет управлять разрешениями, запрашиваемыми расширениями. С помощью этой модели вы можете определить, какие права и разрешения необходимо предоставить расширениям для использования на компьютерах и устройствах, а затем реализовать глобальную политику, разрешающую или блокирующую расширения на основе ваших требований.

Сведения о разрешениях расширений

Для правильной работы расширений могут требоваться права на внесение изменений на устройстве или веб-странице. Эти права называются разрешениями. Разработчики должны перечислить права и уровень доступа, необходимый их расширениям. Существуют две основные категории разрешений, и многим расширениям необходимы оба следующих разрешения.

• Разрешения узла требуют от расширения перечисления веб-страниц, которые оно может просматривать или изменять.
• Разрешения устройства — это права, необходимые расширению на устройстве, на котором оно работает.

Примеры таких разрешений: доступ к USB-порту, хранилищу или экрану просмотра, а также взаимодействие с собственными программами.

Подготовка к управлению расширениями

Перед началом работы

Эти параметры расширений предполагают, что вы уже управляете браузером Microsoft Edge для своих пользователей. Дополнительные сведения о настройке административных шаблонов для политик Microsoft Edge политик см. в статьях:

• Настройка параметров политик Microsoft Edge в Windows
• Настройка для Windows с помощью Intune
• Настройка для Windows с помощью системы управления мобильными устройствами
• Настройка для macOS с помощью файла PLIST
• Настройка для macOS с помощью Jamf

Действия по настройке в этой статье предназначены для Windows и для соответствующей реализации в MAC/Linux. См. справочник по политике браузера Microsoft Edge.

Выбор разрешаемых расширений

Большинство организаций должны управлять расширениями с помощью разрешений и путем предоставления доступа к определенным веб-сайтам. Этот метод более безопасный, простой в управлении и масштабируемый для крупных организаций.

• Заблокированные и допустимые разрешения — позволяет управлять расширениями с помощью необходимых разрешений.
• Узлы блоков среды выполнения— позволяет контролировать, к каким веб-сайтам могут обращаться эти расширения.

Использование этого подхода экономит время, так как эти параметры нужно установить только один раз. А с помощью политики узлов во время выполнения ваши самые важные сайты будут защищены. Существуют и другие варианты, например:

• Принудительная установка расширений — позволяет устанавливать расширения автоматически.
• Allowlist или blocklist (при необходимости) — решите, какие расширения можно установить.

Чтобы определить, какие расширения доступны в организации, используйте следующие действия.

1. Создайте список расширений, необходимых сотрудникам на их компьютерах. Проверьте расширения в тестовой среде, чтобы диагностировать любые проблемы совместимости с внутренними приложениями.

2. Выберите сайты, которым требуется дополнительная безопасность.

   • Узнайте, для каких конфиденциальных внутренних веб-сайтов или доменов необходимо заблокировать внесение изменений или чтение данных расширениями.
   • Запретите доступ к этим сайтам, заблокировав вызовы API при работе расширения. Это включает блокировку веб-запросов, чтение файлов cookie, внедрение JavaScript, XHR и т. д.

3. Определите, какие разрешения необходимы для запуска этих расширений. Определите, какие разрешения создают потенциальные риски для пользователей.

   • Проведите аудит установленных пользователями расширений и просмотрите необходимые им разрешения. Вы можете посмотреть JSON-файл манифеста веб-приложения в коде расширения. Выполните следующие действия, чтобы узнать, какие права необходимы расширению.

     • Установите расширение с веб-сайта Надстройки Microsoft Edge или из интернет-магазина Chrome.
     • Протестируйте расширение и выясните, как оно работает в организации.
     • Проверьте разрешения, необходимые для расширения, перейдя на страницу edge://extensions. Например, расширение Microsoft Office, показанное на следующем снимке экрана, запрашивает разрешения "Чтение журнала браузера" и "Отображение уведомлений". Оцените полезность этого расширения относительно уровня запрашиваемых разрешений. После утверждения расширения для организации управляйте им с помощью следующих средств.

   • Вы также можете проверять расширения, запрашиваемые пользователями в организации, прежде чем утверждать их в организации. Некоторые разрешения, которые используют расширения, могут быть расплывчатыми. Для критически важных бизнес-приложений вы можете напрямую обратиться к разработчику или поставщику приложений, чтобы получить дополнительные сведения о расширении или просмотреть исходный код. Они должны быть в состоянии подробно описать изменения, которые может вносить расширение на устройствах и веб-сайтах.

   • Проверьте список объявления разрешений, где перечислены все разрешения, которые может использовать расширение. С помощью этого списка можно решить, какие разрешения необходимо предоставить в организации.

4. Создайте список master на основе собранных данных. Этот список содержит следующие сведения:

   • Обязательные расширения. Этот список может быть упорядочен по отделам, расположениям офисов или другим соответствующим сведениям.
   • Список разрешенных расширений. Обязательные расширения с разрешениями, которые могут быть заблокированы, но будут разрешены к запуску. Эти расширения необходимы пользователям, или в ходе бесед с поставщиком определено, что они не создают риска.
   • Список заблокированных расширений. Расширения, установка которых заблокирована. Расширения в этом списке имеют разрешения, которые не разрешено запускать. Он также содержит основные сайты и домены, которые должны быть защищены и к которым запрещен доступ расширения. Позже вы можете сравнить этот список блокировки с другими, которые у вас уже применяются. Вы можете обнаружить, что текущие политики списков блокировок можно сделать менее строгими.

5. Представьте свой список заинтересованным лицам и ИТ-команде для совершения покупки.

6. Протестируйте новую политику в лаборатории или в небольшой пилотной группе в организации.

7. Разворачивайте эти новые наборы политик для сотрудников поэтапно. Дополнительные сведения см. в статье Использование групповых политик для управления расширениями Microsoft Edge.

8. Просмотрите отзывы пользователей.

9. Повторяйте и настраивайте процесс ежемесячно, ежеквартально или ежегодно.

Благодаря применению базовых или разрешенных разрешений и защите конфиденциальных корпоративных сайтов вы можете обеспечить для предприятия дополнительную защиту и улучшенное взаимодействие с пользователями. Сотрудники могут устанавливать расширения, которые ранее были им недоступны, но не могут запускать их на конфиденциальных бизнес-сайтах.

Элемент управления расширением на уровне сайта в меню Расширения

Поведение переключения расширения на уровне сайта

В Microsoft Edge пользователи могут управлять запуском расширений на определенном сайте с помощью переключателя уровня сайта в меню Расширения.

• Если переключатель включен ( по умолчанию), расширения запускаются в соответствии с настроенными разрешениями.
• Если переключатель выключен, расширения, установленные пользователем, блокируются для запуска на этом сайте.

Этот параметр применяется только к текущему веб-сайту и может быть изменен в любое время.

Поведение расширений, установленных политикой

На расширения, устанавливаемые администратором с помощью политики (например, с помощью ExtensionInstallForceList) не влияет переключатель уровня сайта.

Эти расширения продолжают работать на сайте независимо от выбора пользователем.

Поведение подсказки

При наличии установленных администратором расширений рядом с переключателем уровня сайта отображается информационный значок.

Подсказка указывает, что расширения, установленные администратором, продолжают работать на сайте, даже если переключатель отключен.

Это гарантирует, что необходимые корпоративные расширения остаются активными для обеспечения безопасности, соответствия требованиям или бизнес-функций.

См. также

• Использование групповых политик для управления расширениями Microsoft Edge
• Создание интернет-магазина для размещения расширений Microsoft Edge
• Справочное руководство по политике ExtensionSettings
• Вопросы и ответы по расширениям Microsoft Edge
• Целевая страница Microsoft Edge Enterprise