使用 Microsoft Edge for Business(预览版)的浏览器内保护
使用 Microsoft Edge for Business 且受会话策略约束的 Defender for Cloud Apps 用户直接在浏览器中受到保护。 浏览器内保护减少了对代理的需求,提高了安全性和工作效率。
受保护的用户可体验到流畅的云应用程序使用体验,且没有延迟或应用程序兼容性问题,并且具有更高级别的安全保护。
浏览器内保护要求
若要使用浏览器内保护,用户必须位于其浏览器的工作配置文件中。
Microsoft Edge 配置文件允许用户将浏览数据拆分为单独的配置文件中,其中属于每个配置文件的数据都与其他配置文件分开。 例如,当用户具有不同的个人浏览和工作配置文件时,其个人收藏夹和历史记录不会与其工作配置文件同步。
当用户拥有单独的配置文件时,其工作浏览器 (Microsoft Edge for Business) 和个人浏览器 (Microsoft Edge) 就会有独立的缓存和存储位置,并且信息保持独立。
若要使用浏览器内保护,用户还必须满足以下环境要求:
要求 | 说明 |
---|---|
操作系统 | Windows 10 或 11 |
标识平台 | Microsoft Entra ID |
Microsoft Edge 商业版 | 122 及更高版本 |
支持的会话策略 | - 阻止\监视文件下载(所有文件\敏感文件) - 阻止\监视文件上传 - 阻止\监视复制\剪切 - 阻止\监视打印 由多个策略提供服务的用户,包括 Microsoft Edge for Business 不支持的至少一个策略,其会话始终由反向代理提供服务。 Microsoft Entra ID 门户中定义的策略也始终由反向代理提供服务。 |
所有其他方案都使用标准反向代理技术自动提供服务,包括不支持浏览器内保护的浏览器的用户会话,或针对浏览器内保护不支持的策略。
例如,以下用户均由反向代理提供服务:
- Google Chrome 用户
- 范围限定为受阻粘贴策略的 Microsoft Edge 用户
- Android 设备上的 Microsoft Edge 用户
- 使用 OKTA 身份验证方法的应用程序中的用户
- InPrivate 模式下的 Microsoft Edge 用户
- 使用旧浏览器版本的 Microsoft Edge 用户
- B2B 来宾用户
使用浏览器内保护的用户体验
用户知道他们在 Microsoft Edge for Business 中使用浏览器内保护,因为他们在浏览器地址栏中看到额外的 "lock" 图标。 该图标表示会话受 Defender for Cloud Apps 保护。 例如:
此外,.mcas.ms
后缀不会像标准条件访问应用程序控制那样出现在具有浏览器内保护的浏览器地址栏中,并且开发人员工具会通过浏览器内保护关闭。
浏览器内保护的工作配置文件强制执行
若要使用浏览器内保护访问 contoso.com 中的工作资源,用户必须使用其 username@contoso.com 配置文件登录。 如果用户尝试从工作配置文件外部访问工作资源,系统会提示他们切换到工作配置文件,或者创建工作配置文件(如果工作配置文件不存在)。 用户还可以选择继续使用其当前配置文件,在这种情况下,由反向代理体系结构提供服务。
如果用户决定创建新的工作配置文件,系统会提示他们使用“允许我的组织管理我的设备”选项。 在这种情况下,用户无需选择此选项来创建工作配置文件或受益于浏览器内保护。
有关详细信息,请参阅 Microsoft Edge for Business 以及如何向 Microsoft Edge 添加新配置文件。
配置浏览器内保护设置
默认情况下,Microsoft Edge for Business 的浏览器内保护处于打开状态。 管理员可以关闭和打开集成,并且可以配置提示,让非 Edge 用户切换到 Microsoft Edge 以提高性能和安全性。
配置浏览器内保护设置:
在 Microsoft Defender 门户中,选择设置> Cloud Apps >条件访问应用控制> Edge for Business protection。
根据需要配置以下设置:
切换“打开 Edge for Business protection”选项“关闭”或“打开”。
选择通知非 Edge 浏览器中的用户使用 Microsoft Edge for Business 以提高性能和安全性。
如果选择通知非 Edge 用户,请选择使用默认消息或自定义个人消息。
完成后,选择“保存”以保存更改。
使用 Microsoft Purview 和 Endpoint 数据丢失防护
如果为 Defender for Cloud Apps 策略和 Microsoft Purview 终结点数据丢失防护策略 (DLP) 配置了相同的上下文和操作,则会应用终结点 DLP 策略。
例如,如果您有一个阻止文件上传到 Salesforce 的 Endpoint DLP 策略,而您也有一个监控文件上传到 Salesforce 的 Defender for Cloud Apps 策略,则会应用 Endpoint DLP 策略。
有关详细信息,请参阅了解数据丢失防护。
相关内容
有关详细信息,请参阅Microsoft Defender for Cloud Apps 条件访问应用控制。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈