Microsoft Purview 数据丢失防护 (DLP) 监视和保护内置于 Microsoft Edge 商业版 浏览器中。 无需将设备载入 Microsoft Purview。 此集成有助于阻止用户使用 Edge for Business 与云应用共享敏感信息。
开始之前
如果你不熟悉Microsoft Purview 收集策略、Microsoft Purview 即用即付计费模型或 Microsoft Purview DLP,则应熟悉以下文章中的信息:
授权
有关许可的信息,请参阅
在 Edge for Business 中保护从托管设备共享到非托管应用的数据是一项即用即付功能。 有关详细信息,请参阅 详细了解即用即付功能和请求定义。 有关设置即用即付计费模型的信息,请参阅 为新客户启用 Microsoft Purview 即用即付功能。
使用 Edge for Business 时,Microsoft Entra注册 (托管) 应用中的数据受到保护的方案包含在Microsoft 365 E5或等效许可证中。
权限
可在此处找到创建和部署 Microsoft Purview DLP 策略的权限。
Microsoft Purview 之外的先决条件和配置也需要权限。 有关所需权限的详细信息,请参阅 支持的云应用。
托管设备
可以保护由 Intune 管理的 Windows 10/11 设备。 用户必须使用其工作或学校帐户登录。
在这些设备上,Edge for Business 直接与 Microsoft Purview 和 Microsoft Edge 服务连接,以获取策略更新并应用保护。 Microsoft Edge 配置策略 阻止用户在未受保护的浏览器中使用受保护的非托管云应用。 如果用户尝试在未受保护的浏览器中访问非托管应用,他们将受到阻止,必须使用 Edge for Business。
Microsoft Purview DLP 策略 可帮助防止通过 Edge for Business 从托管设备共享到非托管 AI 应用。
Microsoft Purview 收集策略 可以应用于与托管设备中的非托管 AI 应用的交互。
未托管的设备
非托管设备未连接到Intune,也不会使用 Microsoft Entra 加入组织。 用户不会使用其工作或学校帐户登录到设备。 而是登录到 Edge for Business 工作配置文件来访问组织托管的应用。
Edge for Business 仅将非托管设备的 DLP 策略应用于工作配置文件。 当用户选择个人或 InPrivate 配置文件时,这些策略不适用。 将策略定向到非托管设备上的托管应用时,必须在 Edge for Business 中强制实施工作配置文件。 对非托管设备的保护 有助于防止用户与 Edge for Business 中的云应用共享敏感信息。
支持的云应用
Microsoft Entra连接 (托管) 应用
Microsoft Entra连接 (托管) 应用是为Microsoft Entra单一登录 (SSO) 设置的业务应用。 当用户使用其工作或学校帐户访问它们时,策略适用。 非托管设备和托管设备支持 Edge for Business 中托管应用的策略。
若要创建和管理应用于托管应用的策略,需要额外的权限才能管理条件访问,并Microsoft Defender边缘 In-Browser 保护。
非托管云应用
这些应用不由组织管理。 用户无需使用其Microsoft工作或学校帐户登录即可访问这些帐户。 Intune托管的设备上支持 Edge for Business 中非托管云应用的策略。
若要创建有助于防止从托管设备共享到非托管应用的 DLP 策略,必须将你使用的帐户分配给可以创建服务主体的角色,并且需要其他权限才能进行Microsoft Intune管理和Microsoft Edge 管理。
Edge for Business 中的浏览器策略支持以下非托管云应用:
Adobe Firefly
CapCut
ChatGPT (使用者)
Cohere
DeepAI
DeepL
DeepSeek
Google Gemini
Grok (xAI)
元 AI
Microsoft Copilot 365 聊天
概念 AI
Otter.ai
困惑 AI
QwenAI
Qwen 聊天
跑道
Textcortex
Textcortex Zenochat
你 (You.com)
Zapier
重要
非托管云应用功能仅适用于智能 Microsoft 365 Copilot 副驾驶®的使用者版本。 详细了解智能 Microsoft 365 Copilot 副驾驶®企业保护。
支持的浏览器
浏览器中云应用的 DLP 策略直接在 Edge for Business 中工作。
Edge for Business
从版本 144 开始,这些功能在 Edge for Business 的两个最新稳定版本中可用。 有关 Edge for Business 版本的详细信息,请参阅 Microsoft Edge 版本。
重要
Microsoft Purview 浏览器数据安全策略不适用于 B2B 来宾用户。
提示
开始使用智能 Microsoft Security Copilot 副驾驶®,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的智能 Microsoft Security Copilot 副驾驶®。
可以监视并对其执行操作的活动
可以在浏览器中审核和管理对敏感项的这些活动:
| 活动 | 设备类型 | 应用类型 | 支持的策略作 |
|---|---|---|---|
| 上传文本 | 托管 | 非 托管 | 允许、阻止,这两个作都已审核 |
| 上传文件 | 托管、非托管 | 托管、非托管 | 允许、阻止,这两个作都已审核 |
| 下载文件 | 托管、非托管 | 托管 | 允许、阻止,这两个作都已审核 |
| 剪切/复制数据 | 托管、非托管 | 托管 | 允许、阻止,这两个作都已审核 |
| 粘贴数据 | 托管、非托管 | 托管 | 允许、阻止,这两个作都已审核 |
| 打印数据 | 托管、非托管 | 托管 | 允许、阻止,这两个作都已审核 |
| 受保护的剪贴板 (预览版) | 托管、非托管 | 托管 | 请参阅 Microsoft Edge Protected 剪贴板 (预览) |
| 屏幕截图 (预览版) | 托管、非托管 | 托管 | 请参阅 Microsoft Edge Protected 剪贴板 (预览) |
重要
剪切/复制数据、粘贴数据和打印数据活动仅支持托管或非托管设备条件。
托管应用交互的策略
当用户登录到其 Edge for Business 工作配置文件时,浏览器中面向托管应用的 DLP 策略适用于 Windows 10/11 中的 Edge for Business 和 macOS 桌面设备。
当策略应用于托管应用时,适用于企业的 Edge 会自动禁用开发人员工具,并阻止应用在本机客户端中打开, (在审核和阻止模式下) 。
若要为托管应用激活 Edge for Business 工作配置文件中的保护,请执行以下作:
- 将应用加入 条件访问应用控制
- 从连接的应用中导入用户组
- 使用自定义会话控件设置Microsoft Entra条件访问策略
- 配置 Edge for Business 浏览器内保护
- 创建面向托管应用交互的 Microsoft Purview DLP 策略
- (可选) 在 Microsoft Edge 的Microsoft管理员门户设置中激活受保护的剪贴板和屏幕捕获防护功能
有关完整实现详细信息,请参阅 帮助防止用户与 Edge for Business 中的云应用共享敏感信息。
重要
如果用户同时在 Microsoft Purview 托管云应用 DLP 策略和Microsoft Defender会话策略或 Microsoft Purview 终结点 DLP 策略的范围内,则 Microsoft Purview 浏览器策略的托管应用可能不适用于 Microsoft Edge for Business 中的保护。 必须从 Microsoft Defender中删除或排除用户,以及 Edge for Business 策略中托管云应用的终结点 DLP 策略才能正确应用。
首次将用户添加到策略时,如果用户已登录到应用,则可能不会立即应用该策略。 策略在令牌过期并再次登录后应用。 可以使用条件访问会话控制 更改登录频率 ,以缩短等待时间。
条件访问应用控制中存在一些已知限制,可能会影响Microsoft针对浏览器中托管应用的 Purview 策略。 有关详细信息,请参阅 条件访问应用控制中的已知限制
非托管应用交互的策略
面向浏览器中非托管应用的 DLP 策略适用于由 Microsoft Intune 管理的 Windows 10/11 桌面设备上的 Edge for Business。 有关设置详细信息,请参阅 帮助防止通过 Edge for Business 与托管设备的非托管 AI 应用共享。
在 Edge for Business 中激活保护遵循以下阶段:
- 创建Microsoft Purview DLP 策略
- Microsoft Edge 管理服务自动创建在 Edge for Business 中激活 DLP 策略的配置策略。 配置策略使用 Microsoft Intune 策略在 Edge for Business 中激活 Microsoft Purview 策略。
- 建议在浏览器中创建面向非托管应用的 收集策略 ,以识别组织中可能发生的其他敏感数据共享。
来自 Microsoft 适用于 AI 的数据安全状况管理 的非托管 AI 应用的默认策略
适用于 AI) 的Microsoft Purview 适用于 AI 的数据安全状况管理 (DSPM提供建议的策略来监视和阻止受支持的非托管生成 AI 应用。 在 DSPM 中使用一键式策略,让 AI 应用这些策略。
从托管应用交互访问数据
可以在Defender XDR调查中查看策略数据和警报。
从非托管应用交互访问数据
可以在活动资源管理器、审核日志和Defender XDR调查中查看活动和审核日志条目。 在活动资源管理器中,按设置为浏览器的强制平面进行筛选。 特定于 AI 应用的数据在 ai DSPM中也可见。