Microsoft Edge for Businessによるブラウザー内保護 (プレビュー)
Microsoft Edge for Businessを使用し、セッション ポリシーの対象となるユーザー Defender for Cloud Appsは、ブラウザー内から直接保護されます。 ブラウザー内保護により、プロキシの必要性が減り、セキュリティと生産性の両方が向上します。
保護されたユーザーは、待機時間やアプリの互換性の問題がなく、より高いレベルのセキュリティ保護を使用して、クラウド アプリでスムーズなエクスペリエンスを実現します。
ブラウザー内保護の要件
ブラウザー内保護を使用するには、ユーザーがブラウザーの仕事用プロファイルに含まれる必要があります。
Microsoft Edge プロファイルを使用すると、ユーザーは閲覧データを個別のプロファイルに分割できます。ここで、各プロファイルに属するデータは他のプロファイルとは別に保持されます。 たとえば、ユーザーが個人の閲覧と仕事用に異なるプロファイルを持っている場合、個人用のお気に入りと履歴は仕事用プロファイルと同期されません。
ユーザーが個別のプロファイルを持っている場合、作業ブラウザー (Microsoft Edge for Business) と個人用ブラウザー (Microsoft Edge) には別々のキャッシュとストレージの場所があり、情報は個別のままになります。
ブラウザー内保護を使用するには、ユーザーは次の環境要件も満たしている必要があります。
要件 | 説明 |
---|---|
オペレーティング システム | Windows 10または 11、macOS |
ID プラットフォーム | Microsoft Entra ID |
Microsoft Edge for Business バージョン | 最後の 2 つの安定したバージョン。 たとえば、最新の Microsoft Edge が 126 の場合、ブラウザー内保護は v126 と v125 に対して機能します。 詳細については、「 Microsoft Edge リリース」を参照してください。 |
サポートされているセッション ポリシー |
Microsoft Edge for Businessでサポートされていない少なくとも 1 つのポリシーを含む、複数のポリシーによって提供されるユーザーは、常にリバース プロキシによってサービスされます。 Microsoft Entra ID ポータルで定義されているポリシーも、常にリバース プロキシによって処理されます。 |
その他のすべてのシナリオは、ブラウザー内保護をサポートしていないブラウザーからのユーザー セッションや、ブラウザー内保護でサポートされていないポリシーなど、標準のリバース プロキシ テクノロジを使用して自動的に提供されます。
たとえば、次のシナリオはリバース プロキシによって処理されます。
- Google Chrome ユーザー。
- 保護ファイルダウンロード ポリシーの対象となる Microsoft Edge ユーザー。
- Android デバイス上の Microsoft Edge ユーザー。
- OKTA 認証方法を使用するアプリ内のユーザー。
- InPrivate モードの Microsoft Edge ユーザー。
- 古いブラウザー バージョンの Microsoft Edge ユーザー。
- B2B ゲスト ユーザー。
- セッションのスコープは、Microsoft Entra ID ポータルで定義されている条件付きアクセス ポリシーです。
ブラウザー内保護のユーザー エクスペリエンス
ブラウザー内保護がアクティブであることを確認するには、ブラウザーのアドレス バーで "ロック" アイコンを選択し、表示されるフォームで "スーツケース" 記号を探す必要があります。 シンボルは、セッションがDefender for Cloud Appsによって保護されていることを示します。 以下に例を示します。
また、 .mcas.ms
サフィックスは、標準の条件付きアクセス アプリ制御と同様に、ブラウザー内保護を備えたブラウザー アドレス バーには表示されません。また、開発者ツールはブラウザー内保護でオフになっています。
ブラウザー内保護の仕事用プロファイルの適用
ブラウザー内保護を使用 して contoso.com の作業リソースにアクセスするには、ユーザーが自分の username@contoso.com
プロファイルでサインインする必要があります。 ユーザーが仕事用プロファイルの外部から作業リソースにアクセスしようとすると、作業プロファイルに切り替えたり、存在しない場合は作成したりするように求められます。 また、ユーザーは現在のプロファイルを続行することもできます。その場合は、 リバース プロキシ アーキテクチャによって処理されます。
ユーザーが新しい仕事用プロファイルを作成することを決定した場合は、[デバイスの管理をorganizationに許可する] オプションが表示されます。 このような場合、ユーザーはこのオプションを選択して仕事用プロファイルを作成したり、ブラウザー内保護を利用したりする必要はありません。
詳細については、「Microsoft Edge for Business」および「Microsoft Edge に新しいプロファイルを追加する方法」を参照してください。
ブラウザー内の保護設定を構成する
Microsoft Edge for Businessを使用したブラウザー内保護は、既定でオンになっています。 管理者は、統合をオフにしたりオンにしたり、Microsoft Edge 以外のユーザーが Microsoft Edge に切り替えてパフォーマンスとセキュリティを強化するためのプロンプトを構成したりできます。
https://security.microsoft.comのMicrosoft Defender ポータルで、[System>Settings>Cloud apps>Conditional Access App Control] セクション >Edge for Business Protection に移動します。 または、 Edge for Business 保護 ページに直接移動するには、 https://security.microsoft.com/cloudapps/settings?tabid=edgeIntegrationを使用します。
[ Edge for Business 保護 ] ページで、必要に応じて次の設定を構成します。
Edge for Business ブラウザー保護を有効にする: 既定値は [オン] ですが、設定を [オフ] に切り替えることができます。
パフォーマンスとセキュリティを向上させるためにMicrosoft Edge for Businessを使用するように Edge 以外のブラウザーのユーザーに通知する: [チェック] ボックスを選択した場合は、表示される次のいずれかの値を選択します。
- 既定のメッセージを使用 する (既定値)
- メッセージのカスタマイズ: 表示されるボックスにカスタム テキストを入力します。
[プレビュー] リンクを使用して通知を表示します。
[Edge for Business 保護] ページが完了したら、[保存] を選択します。
Microsoft Purview とエンドポイントのデータ損失防止の使用
Defender for Cloud Apps ポリシーと Microsoft Purview Endpoint データ損失防止ポリシー (DLP) の両方に対して同じ正確なコンテキストとアクションが構成されている場合、エンドポイント DLP ポリシーが適用されます。
たとえば、Salesforce へのファイルのアップロードをブロックするエンドポイント DLP ポリシーがあり、Salesforce へのファイルのアップロードを監視するDefender for Cloud Apps ポリシーもあります。 このシナリオでは、エンドポイント DLP ポリシーが適用されます。
詳細については、「 データ損失防止の詳細」を参照してください。
ビジネス アプリにアクセスするときに Microsoft Edge ブラウザー保護を適用する
Microsoft Edge ブラウザー保護の機能を理解している管理者は、ユーザーが企業リソースにアクセスするときに Microsoft Edge を使用することを要求できます。 主な理由はセキュリティです。これは、Microsoft Edge を使用してセッション制御を回避するための障壁がリバース プロキシ テクノロジよりもはるかに高いためです。
https://security.microsoft.comのMicrosoft Defender ポータルで、[System>Settings>Cloud apps>Conditional Access App Control] セクション >Edge for Business Protection に移動します。 または、 Edge for Business 保護 ページに直接移動するには、 https://security.microsoft.com/cloudapps/settings?tabid=edgeIntegrationを使用します。
[ Edge for Business 保護 ] ページ で、[Edge for Business ブラウザー保護を有効にする ] がオンになっている限り、次の値を使用して Edge for Business の使用を強制 できます。
強制しない (既定値)
Edge からのアクセスのみを許可する: ビジネス アプリケーションへのアクセス (セッション ポリシーの範囲) は、Microsoft Edge ブラウザー経由でのみ使用できます。
可能な限り Edge からのアクセスを強制する: コンテキストが許可されている場合、ユーザーは Microsoft Edge を使用してアプリケーションにアクセスする必要があります。 それ以外の場合は、別のブラウザーを使用して保護されたアプリケーションにアクセスする可能性があります。
たとえば、ユーザーは、ブラウザー内の保護機能 (ダウンロード 時にファイルを保護するなど) と一致しないポリシーの対象となる場合や、オペレーティング システムに互換性がない (Android など) 場合などです。
このシナリオでは、ユーザーがコンテキストを制御できないため、別のブラウザーを使用することを選択する場合があります。
該当するポリシーで許可され、オペレーティング システムに互換性がある (Windows 10、11、macOS) 場合、ユーザーは Microsoft Edge を使用する必要があります。
[ Microsoft Edge からのアクセスのみを許可する ] または [ 可能な場合は Microsoft Edge からのアクセスを強制する] を選択した場合、[ どのデバイスに適用しますか? ] 設定は次の値で使用できます。
- すべてのデバイス (既定値)
- アンマネージド デバイスのみ
[Edge for Business 保護] ページが完了したら、[保存] を選択します。
関連コンテンツ
詳細については、「条件付きアクセス アプリの制御Microsoft Defender for Cloud Apps」を参照してください。