開始使用適用於 Firefox 的 Microsoft Purview 擴充功能
使用這些程式來推出 Firefox 的 Microsoft Purview 擴充功能。
提示
開始使用 Microsoft Copilot for Security,探索使用 AI 功能來更聰明且更快速地工作的新方式。 深入瞭解 Microsoft Purview 中的 Microsoft Copilot for Security。
開始之前
若要使用 Firefox 的 Microsoft Purview 擴充功能,裝置必須上線到端點 DLP。 如果您不熟悉 DLP 或端點 DLP,請檢閱這些文章
- 瞭解 Microsoft Firefox 的 Purview 擴充功能
- 了解 Microsoft Purview 資料外洩防護
- 建立和部署數據外洩防護原則
- 深入了解端點資料外洩防護
- 開始使用端點資料外洩防護
- Windows 10 裝置的上線工具及方法
- 設定資訊保護的裝置 Proxy 和網際網路連線設定
- 使用端點資料外洩防護
SKU/訂閱授權
在您開始之前,應先確認您的 Microsoft 365 訂閱 以及任何附加元件。 若要存取和使用端點 DLP 的功能,您必須擁有下列其中一個訂閱或附加元件。
- Microsoft 365 E5
- Microsoft 365 A5 (教育版)
- Microsoft 365 E5 合規性
- Microsoft 365 A5 合規性
- Microsoft 365 E5 資訊保護和控管
- Microsoft 365 A5 資訊保護和控管
如需授權指南的詳細資料,請參閱:Microsoft 365 安全性與合規性的授權指南。
- 您的組織必須獲得端點 DLP 的授權
- 您的裝置必須是可以執行 Windows 10 x64 組建 1809 或更新版本。
- 該裝置必須具有反惡意程式碼用戶端版本為 4.18.2202.x 或更新版本。 開啟 Windows 安全性 應用程式,選取 設定 圖示,然後選取 關於,以查看您目前的版本。
權限
可在 活動總管 中檢視來自端點 DLP 的資料。 有七個角色可以將權限授與活動總管,您用來存取資料的帳戶必須屬於其中任何一個角色的成員。
- 全域管理員
- 合規性系統管理員
- 安全性系統管理員
- 合規性資料系統管理員
- 全域讀取者
- 安全性讀取者
- 報告讀取者
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域管理員是高度特殊許可權的角色,只能在無法使用較低許可權角色的情況下使用。
角色和角色群組
您可以使用角色和角色群組來微調訪問控制。
以下是適用角色的清單。 若要深入瞭解,請參閱 Microsoft Purview 合規性入口網站中的許可權。
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
以下是適用的角色群組清單。 若要深入了解這些角色群組,請參閱 Microsoft Purview 合規性入口網站中的許可權。
- 資訊保護
- 資訊保護系統管理員
- 資訊保護分析員
- 資訊保護調查人員
- 資訊保護讀者
整體安裝工作流程
部署擴充功能是多階段流程。 您可以選擇一次安裝在一部計算機上,或使用 Microsoft Intune 或組策略進行全組織部署。
- 準備您的裝置。
- 基本設定單一裝置自我主控
- 使用 Microsoft Intune 進行部署
- 使用群組原則進行部署
- 測試擴充功能
- 使用警示管理儀錶板來檢視 Firefox DLP 警示
- 在活動總管中檢視 Firefox DLP 數據
準備基礎結構
如果您要將擴充功能推出至所有受監視的 Windows 10 裝置,您應該從不允許的應用程式和不允許的瀏覽器清單中移除 Mozilla Firefox。 有關詳細資訊,請參閱 不受允許的瀏覽器。 如果您只將它推出至幾個裝置,您可以將 Firefox 保留在不允許的瀏覽器或不允許的應用程式清單上。 延伸模組會略過這兩個已安裝計算機的清單限制。
準備您的裝置
- 使用這些文章中的程式將您的裝置上線:
基本設定單一裝置自我主控
這是建議的方法。
下載初始 XPI 檔案。
在檔案總管中找出擴展名,並將檔案拖曳至開啟的Mozilla Firefox 視窗。
確認安裝。
使用 Microsoft Intune 進行部署
使用此設定方法以進行全組織部署。
Microsoft Intune 強制安裝步驟
將擴充功能新增至強制安裝的擴充功能清單之前,請務必內嵌 Firefox ADMX。 Microsoft Intune 中此程式的步驟如下所述。 開始這些步驟之前,請確定您已從 Firefox GitHub 下載最新的 Firefox ADMX。
您可以遵循下列步驟來內嵌 Firefox ADMX。
流覽至 [裝置 ],然後流覽至 [ 設定]。
選 取 [建立新原則]。
選 取 [Windows 10及更新版本 ] 作為平臺。
選 取 [範本 ] 和 [自定義 為配置檔類型],然後按兩下 [ 建立]。
輸入描述性名稱,例如 Firefox ADMX 和選擇性描述。
按兩下 [新增OMA-URI 設定] ,然後輸入下列原則資訊。
名稱:描述性名稱。
描述:選擇性描述
OMA-URI:
./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/Firefox/Policy/FirefoxAdmx
資料類型:
String
值:將下載之 firefox.admx 檔案中的所有文字複製到 [值 ] 字段
選取 [建立]。
在擷取 ADMX 之後,可以依照下列步驟依序建立此延伸模組的組態設定檔。
瀏覽至組態設定檔。
選取 建立設定檔。
選取 Windows 10 做為平台。
選取 自訂 作為設定檔類型。
選取 設定 索引標籤。
選取 新增。
輸入下列原則資訊。
OMA-URI:
./Device/Vendor/MSFT/Policy/Config/Firefox~Policy~firefox~Extensions/ExtensionSettings
資料類型:String
值:<enabled/><data id="ExtensionSettings" value='{"microsoft.defender.browser_extension.native_message_host@microsoft.com":{"installation_mode": "force_installed", "install_url": "https://github.com/microsoft/purview/raw/main/endpointDLP/browser_extension/prod-1.1.0.212.xpi","updates_disabled":false}}'/>
注意:請務必
updates_disabled
將 設定為false
,讓擴充功能可以隨著時間自動更新。選取 [建立]。
使用群組原則部署
如果您不想使用 Microsoft Intune,您可以使用組策略在整個組織中部署擴充功能。
將 Firefox 延伸模組新增至 ForceInstall 清單
在群組原則管理編輯器中,瀏覽至您的 OU。
展開下列路徑 計算機/使用者設定>原則>系統管理>範本傳統系統管理範>本Firefox>擴充功能。 此路徑可能會根據您的設定而不同。
選 取要安裝的擴充功能。
以滑鼠右鍵按一下以滑鼠右鍵按一下,選取 編輯。
選取 已啟用。
選取 顯示。
在 值 下方,新增下列項目:
https://github.com/microsoft/purview/raw/main/endpointDLP/browser_extension/prod-1.1.0.212.xpi
選取 OK 然後選取 套用。
測試擴充功能
上傳到雲端服務,或透過不受允許的 Cloud Egress 存取
- 建立或取得敏感性項目,並嘗試將檔案上傳到貴組織的限制服務網域之一。 敏感性資料必須與我們其中一個內建的 敏感性資訊類型或貴組織的其中一個敏感性資訊類型相符。 您應該會在您要測試的裝置上收到 DLP 快顯通知,其中顯示檔案開啟時不允許此動作。
在 Firefox 中測試其他 DLP 案例
既然您已從不允許的瀏覽器/應用程式清單中移除 Firefox,您可以在下列案例的原則上執行模擬,以確認行為符合貴組織的需求:
- 使用 [剪貼簿] 將資料從敏感性項目複製到另一份文件
- 若要測試,請開啟受保護的檔案,以防止在 Firefox 瀏覽器中複製到剪貼簿動作,並嘗試從檔案複製數據。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
- 列印文件
- 若要測試,請在 Firefox 瀏覽器中開啟不受列印動作保護的檔案,並嘗試列印檔案。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
- 複製到 USB 卸除式媒體
- 若要測試,請嘗試將檔案儲存至抽取式媒體記憶體。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
- 複製到網路共用
- 若要測試,請嘗試將檔案儲存到網路共用。
- 預期的結果:DLP 快顯通知,顯示檔案開啟時不允許此動作。
使用警示管理儀錶板來檢視 Firefox DLP 警示
在 Microsoft Purview 合規性入口網站開啟 [資料外洩防護] 頁面,然後選取 [警示]。
請參閱 開始使用數據外泄防護警示儀錶板 和 使用 Microsoft Defender XDR 調查數據遺失事件 中的程式,以檢視端點 DLP 原則的警示。
在活動總管中檢視 Firefox DLP 數據
在 Microsoft Purview 合規性入口網站開啟您網域的 [資料分類] 頁面,然後選擇 [活動總管]。
請參閱 開始使用活動總管 中的程序,以存取及篩選您端裝置的所有資料。
已知問題與限制
- 不支援 Incognito 模式,而且必須停用。
後續步驟
既然您已將裝置上線,而且可以在 [活動總管] 中檢視活動數據,您就可以繼續進行下一個步驟,以建立可保護敏感性專案的 DLP 原則。