Microsoft商務用 Edge 的瀏覽器內保護 (預覽)
適用於雲端的 Defender 使用 Microsoft Edge for Business 且受限於會話原則的應用程式使用者,會直接從瀏覽器中受到保護。 瀏覽器內保護可減少 Proxy 的需求,同時改善安全性和生產力。
受保護的使用者在其雲端應用程式上體驗順暢的體驗,而不會有延遲或應用程式相容性問題,以及更高層級的安全性保護。
瀏覽器內保護需求
若要使用瀏覽器內保護,用戶必須位於其瀏覽器的工作配置檔中。
Microsoft Edge 設定檔可讓使用者將瀏覽數據分割成個別的配置檔,其中屬於每個配置檔的數據會與其他配置檔分開。 例如,當使用者有不同的個人流覽和工作配置檔時,其個人我的最愛和歷程記錄不會與其工作配置檔同步處理。
當使用者有個別配置檔時,其工作瀏覽器(Microsoft商務用 Edge)和個人瀏覽器(Microsoft Edge)有個別的快取和儲存位置,而且資訊會保持個別。
若要使用瀏覽器內保護,用戶也必須具備下列環境需求:
| 需求 | 描述 |
|---|---|
| 作業系統 | Windows 10 或 11、macOS |
| 身分識別平臺 | Microsoft Entra ID |
| Microsoft商務用 Edge 版本 | 最後 2 個穩定版本(例如,如果最新的 Edge 是 126,瀏覽器內保護適用於 v126 和 v125)。 請參閱 Microsoft Edge 版本 |
| 支援的會話原則 | - 封鎖\監視檔案下載 (所有檔案\敏感性檔案) - 封鎖\監視檔案上傳 (所有檔案\敏感性檔案) - 封鎖\監視器複製\剪下\貼上 - 封鎖\監視器列印 - 封鎖\監視惡意代碼上傳 - 封鎖\監視惡意代碼下載 由多個原則提供服務的使用者,包括至少一個不受商務用Edge Microsoft支援的原則,其會話一律由反向 Proxy 提供服務。 Microsoft Entra ID 入口網站中定義的原則也一律由反向 Proxy 提供服務。 |
所有其他案例都會使用標準反向 Proxy 技術自動提供,包括不支援瀏覽器內保護的瀏覽器的使用者會話,或瀏覽器內保護不支持的原則。
例如,反向 Proxy 會提供這些案例:
- Google Chrome 使用者
- Microsoft範圍設定為保護文件下載原則的 Edge 使用者
- 在 Android 裝置上Microsoft Edge 使用者
- 使用OKTA驗證方法之應用程式中的使用者
- 在 InPrivate 模式中Microsoft Edge 使用者
- Microsoft具有較舊瀏覽器版本的 Edge 使用者
- B2B 來賓使用者
- 會話的範圍是Microsoft Entra ID 入口網站中定義的條件式存取原則
瀏覽器內保護的用戶體驗
若要確認瀏覽器內保護作用中,用戶必須按兩下瀏覽器網址列中的 [鎖定] 圖示,並尋找出現的窗體中的「手提箱」符號。 符號表示會話受到 適用於雲端的 Defender Apps 保護。 例如:
此外, .mcas.ms 後綴不會出現在瀏覽器網址列中,具有瀏覽器內保護,就像使用標準條件式存取應用程控一樣,而且開發人員工具會透過瀏覽器內保護關閉。
瀏覽器內保護的工作配置檔強制執行
若要使用瀏覽器內保護存取 contoso.com 中的工作資源,用戶必須使用其 username@contoso.com 配置檔登入。 如果使用者嘗試從工作配置檔外部存取工作資源,系統會提示他們切換至工作配置檔,或在工作配置檔不存在時建立工作配置檔。 使用者也可以選擇繼續使用其目前的配置檔,在此情況下,由反向 Proxy 架構提供服務。
如果使用者決定建立新的工作配置檔,系統會提示 他們使用 [允許我的組織管理我的裝置 ] 選項。 在這種情況下,使用者不需要選取此選項,即可建立工作配置檔或受益於瀏覽器內保護。
如需詳細資訊,請參閱 Microsoft 商務 用 Edge 和 如何將新配置檔新增至 Microsoft Edge。
設定瀏覽器內保護設定
依預設會開啟Microsoft商務用Edge的瀏覽器內保護。 系統管理員可以關閉和開啟整合,並設定非Edge使用者的提示,以切換至 Microsoft Edge,以提高效能和安全性。
若要設定瀏覽器內保護設定:
在 Microsoft Defender 入口網站中,選取 [設定雲端應用程式>條件式存取應用程控 > Edge 企業版保護>]。
視需要設定下列設定:
切換 [開啟商務用 Edge 保護] 選項 [關閉] 或 [開啟]。
選取即可 通知非Edge瀏覽器中的使用者使用 Microsoft Edge for Business 以提升效能和安全性。
如果您選取通知非 Edge 使用者,請選取以使用預設訊息或自訂您自己的訊息。
當您完成儲存變更時,請選取 [儲存]。
使用 Microsoft Purview 和端點數據外洩防護
如果針對 適用於雲端的 Defender Apps 原則和 Microsoft Purview 端點數據外洩防護原則 (DLP) 設定相同的確切內容和動作,則會套用端點 DLP 原則。
例如,如果您有封鎖檔案上傳至 Salesforce 的端點 DLP 原則,而且您也有監視檔案上傳至 Salesforce 的 適用於雲端的 Defender Apps 原則,則會套用端點 DLP 原則。
如需詳細資訊,請參閱 了解數據外洩防護。
在存取商務應用程式時強制執行 Edge 瀏覽器內
瞭解 Edge 瀏覽器內保護功能的系統管理員可以要求其使用者在存取公司資源時使用 Edge。 主要原因是安全性,因為使用Edge規避會話控件的屏障遠高於反向 Proxy 技術。
管理員體驗
此功能是透過下列設定來控制:
M365 Defender > 設定 > Cloud Apps > Edge 企業版保護 > 強制使用商務用 Edge
下列是可用的選項:
- 請勿強制執行 (預設值)
- 僅允許從 Edge 存取
- 盡可能強制從 Edge 存取
系統管理員可以選擇在所有裝置上套用原則,或只套用在非受控裝置上。
僅允許從Edge 存取表示只能透過Edge瀏覽器取得商務應用程式的存取權,範圍限定為會話原則。
可能 的話,強制從Edge存取,這表示如果使用者的內容允許,則用戶應該使用Edge存取應用程式,但如果不允許,他們可能會使用不同的瀏覽器來存取受保護的應用程式。
例如:如果使用者受限於與瀏覽器內保護功能不一致的原則(例如,「下載時保護檔案」),或操作系統不相容(例如 Android)。 在該案例中,由於使用者無法控制內容,因此他們可能會選擇使用不同的瀏覽器。 如果適用於他的原則允許它,而且操作系統相容(Windows 10、11、macOS),則必須使用 Edge。
相關內容
如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender Apps 條件式存取應用程控。