适用于 Firefox 的 Microsoft Purview 扩展入门

使用这些过程推出适用于 Firefox 的 Microsoft Purview 扩展。

提示

开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的 Microsoft Copilot for Security

开始之前

若要使用适用于 Firefox 的 Microsoft Purview 扩展,必须将设备载入到终结点 DLP 中。 如果不熟悉 DLP 或终结点 DLP,请查看这些文章

SKU/订阅许可

在开始使用终结点 DLP 之前,应该先确认 Microsoft 365 订阅以及任何加载项。 若要访问和使用终结点 DLP 功能,必须具有这些订阅或加载项中的一个。

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 合规
  • Microsoft 365 A5 合规
  • Microsoft 365 E5 信息保护和治理
  • Microsoft 365 A5 信息保护和治理

有关详细的许可指南,请参阅 适用于安全性与合规性的 Microsoft 365 许可指南

  • 你的组织必须获得终结点 DLP 的许可
  • 您的设备必须运行 Windows 10 x64 内部版本 1809 或更高版本。
  • 设备必须具有反恶意软件客户端版本 4.18.2202.x 或更高版本。 请通过打开“Windows 安全中心”应用,选择“设置”图标,然后选择“关于”来查看当前版本。

权限

可在 活动资源管理器 中查看终结点 DLP 中的数据。 有七个角色可向活动资源管理器授予权限,用于访问数据的帐户必须是其中任何一个的成员。

  • 全局管理员
  • 合规性管理员
  • 安全管理员
  • 合规性数据管理员
  • 全局读取者
  • 安全读者
  • 报表阅读人员

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,只能在无法使用较低特权角色的情况下使用。

角色和角色组

可以使用一些角色和角色组来微调访问控制。

下面是适用角色的列表。 若要详细了解它们,请参阅 Microsoft Purview 合规性门户中的权限

  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

下面是适用角色组的列表。 若要详细了解这些角色组,请参阅 Microsoft Purview 合规性门户中的权限

  • 信息保护
  • 信息保护管理员
  • 信息保护分析师
  • 信息保护调查员
  • 信息保护读者

整体安装工作流

部署扩展是一个多阶段过程。 可以选择一次在一台计算机上安装,或使用 Microsoft Intune 或组策略进行组织范围的部署。

  1. 准备设备
  2. 基本设置单机自托管
  3. 使用 Microsoft Intune 进行部署
  4. 使用组策略部署
  5. 测试扩展
  6. 使用警报管理仪表板查看 Firefox DLP 警报
  7. 在活动资源管理器中查看 Firefox DLP 数据

准备基础结构

如果要向所有受监视的 Windows 10 设备推出扩展,则应从未启用的应用和未启用的浏览器列表中删除 Mozilla Firefox。 有关详细信息,请参阅 不允许的浏览器。 如果只将其部署到少数设备,则可以将 Firefox 保留在未启用的浏览器或未启用的应用列表中。 对于安装扩展的计算机,该扩展会绕过这两个列表的限制。

准备设备

  1. 使用以下文章中的过程载入设备:
    1. 终结点数据丢失防护入门
    2. 载入 Windows 10 和 Windows 11 设备
    3. 配置信息保护的设备代理和 Internet 连接设置

基本设置单机自托管

这是推荐采用的方法。

  1. 下载初始 XPI 文件

  2. 在文件资源管理器中找到扩展名,并将文件拖动到打开的 Mozilla Firefox 窗口中。

  3. 确认安装。

使用 Microsoft Intune 进行部署

使用此设置方法进行组织范围的部署

Microsoft Intune 强制安装步骤

在将扩展添加到强制安装的扩展列表之前,请务必引入 Firefox ADMX。 下面介绍了 Microsoft Intune 中此过程的步骤。 在开始这些步骤之前,请确保已从 Firefox GitHub 下载最新的 Firefox ADMX。

可以按照以下步骤引入 Firefox ADMX。

  1. 登录 Microsoft Endpoint Manager 管理中心

  2. 导航到 “设备” ,然后导航到 “配置”。

  3. 选择“ 创建新策略”。

  4. 选择 “Windows 10及更高版本 ”作为平台。

  5. 选择 “模板 ”和“ 自定义 ”作为配置文件类型,然后单击“ 创建”。

  6. 输入描述性名称(如 Firefox ADMX )和可选说明。

  7. 单击“ 添加OMA-URI 设置” 并输入以下策略信息。

    名称:描述性名称。

    说明:可选说明

    OMA-URI: ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/Firefox/Policy/FirefoxAdmx

    数据类型String

    值:将下载的 firefox.admx 文件中的所有文本复制到 “值 ”字段中

  8. 选择“创建”。

引入 ADMX 后,可按照以下步骤为此扩展创建配置文件。

  1. 登录到 Microsoft Intune 管理中心

  2. 导航到配置文件。

  3. 选择“创建配置文件”。

  4. 选择“Windows 10”平台。

  5. 选择“自定义”配置文件类型。

  6. 选择“设置”选项卡。

  7. 选择“添加”。

  8. 输入以下策略信息。

    OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Firefox~Policy~firefox~Extensions/ExtensionSettings
    数据类型String
    值:<enabled/><data id="ExtensionSettings" value='{"microsoft.defender.browser_extension.native_message_host@microsoft.com":{"installation_mode": "force_installed", "install_url": "https://github.com/microsoft/purview/raw/main/endpointDLP/browser_extension/prod-1.1.0.212.xpi","updates_disabled":false}}'/>

  9. 注意:设置为 false ,以便扩展可以随着时间的推移自动更新,这一点至关重要updates_disabled

  10. 选择“创建”。

使用组策略部署

如果不想使用 Microsoft Intune,可以使用组策略在整个组织中部署扩展。

将 Firefox 扩展添加到 ForceInstall 列表

  1. 在组策略管理编辑器中,导航到“OU”。

  2. 展开以下路径 计算机/用户配置>策略>管理模板>经典管理模板>Firefox>扩展。 此路径可能有所不同,具体取决于你的配置。

  3. 选择要 安装的扩展

  4. 右键单击并选择“编辑”。

  5. 选择“已启用”。

  6. 选择“显示”。

  7. 在“”下添加以下条目:https://github.com/microsoft/purview/raw/main/endpointDLP/browser_extension/prod-1.1.0.212.xpi

  8. 依次选择“确定”和“应用”。

测试扩展

上传到云服务,或通过不允许的浏览器云出口访问

  1. 创建或获取敏感项目,并尝试将文件上传到组织受限服务域之一。 敏感数据必须与我们的一个内置 敏感信息类型 或组织的敏感信息类型之一相匹配。 在测试的设备上,应会收到一条 DLP Toast 通知,显示文件打开时不允许此操作。

在 Firefox 中测试其他 DLP 方案

从不允许的浏览器/应用列表中删除了 Firefox 后,可以针对以下方案对策略运行模拟,以确认行为是否符合组织的要求:

  • 使用剪贴板将敏感项的数据复制到另一个文档
    • 若要进行测试,请在 Firefox 浏览器中打开防止复制到剪贴板操作的文件,并尝试从文件复制数据。
    • 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。
  • 打印文档
    • 若要进行测试,请在 Firefox 浏览器中打开一个不受打印操作保护的文件,并尝试打印该文件。
    • 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。
  • 复制到 USB 可移动媒体
    • 若要进行测试,请尝试将文件保存到可移动媒体存储。
    • 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。
  • 复制到网络共享
    • 若要测试,请尝试将文件保存到网络共享。
    • 预期结果:DLP Toast 通知,显示打开文件时不允许此操作。

使用警报管理仪表板查看 Firefox DLP 警报

  1. Microsoft Purview 合规门户 中打开“数据丢失防护”页面,然后选择“警报”。

  2. 请参阅 数据丢失防护警报仪表板入门 和使用 Microsoft Defender XDR 调查数据丢失事件 中的过程,查看终结点 DLP 策略的警报。

在活动资源管理器中查看 Firefox DLP 数据

  1. Microsoft Purview 合规门户 中打开域的“数据分类页”,然后选择“活动资源管理器”。

  2. 请参考活动资源管理器入门中的程序,以访问和筛选终结点设备的所有数据。

已知问题和限制

  1. 不支持 Incognito 模式,必须禁用。

后续步骤

现在,你已载入设备并可以在活动资源管理器中查看活动数据,接下来可以继续下一步,在其中创建 DLP 策略来保护敏感项。

另请参阅