Управление расширениями Microsoft Edge на предприятии
Эта статья содержит рекомендации для администраторов, управляющих расширениями Microsoft Edge в своих организациях. Вы можете использовать сведения этой статьи для разработки стратегии управления расширениями в организации.
Примечание.
Сейчас развертывается служба управления Microsoft Edge, специальное и упрощенное средство управления в Центре администрирования Microsoft 365. Подробнее.
Введение
Организации хотят защитить корпоративные и пользовательские данные и оценить расширения браузера, чтобы убедиться, что они безопасны и актуальны для своего предприятия. Администраторы хотят:
- Запретить установку плохих приложений и расширений.
- Сохранять расширения, необходимые пользователям для работы.
- Управлять доступом к данным пользователей и компании.
Эта статья является первой в серии, помогающей администраторам управлять расширениями, чтобы обеспечивать безопасное и продуктивное взаимодействие для пользователей. В этой серии рассматриваются различные параметры, помогающие выбрать оптимальный способ управления расширениями. Серия состоит из следующих статей.
- Управление расширениями Microsoft Edge на предприятии. Создайте стратегию управления расширениями и настройте административные шаблоны, необходимые для управления браузером.
- Использование групповых политик для управления расширениями Microsoft Edge. Варианты использования групповых политик для управления расширениями.
- Создание интернет-магазина для размещения расширений Microsoft Edge. Создавайте и размещайте расширения.
- Вопросы и ответы по расширениям Microsoft Edge. Вопросы и ответы.
Что следует учитывать при управлении расширениями
Пользователям необходим доступ к определенным приложениям, сайтам и расширениям для выполнения задач. При этом требуется защищать данные пользователей и компании. Эффективная стратегия безопасности включает в себя постановку правильных вопросов для вашего предприятия и того, как расширения могут соответствовать потребностям вашей компании. Некоторые ключевые вопросы:
- Какие нормативы и меры соответствия требованиям должны соблюдаться?
- Запрашивают ли некоторые расширения слишком широкие разрешения, которые могут идти в соответствие с политиками безопасности данных моей компании?
- Сколько пользовательских или корпоративных данных хранится на устройствах моих пользователей?
Отвечая на эти вопросы, вы можете использовать детализированные политики, предоставляемые браузером Microsoft Edge:
- Блокировать или разрешать расширения на компьютерах пользователей на основе политик защиты данных.
- Принудительная установка расширений на устройствах пользователей, чтобы у них были средства, необходимые для продуктивной работы.
- Расширения списка разрешенных или блокировочных списков, чтобы предоставить пользователям минимальный объем прав, необходимых для выполнения своей работы.
В традиционной модели управления расширениями используется подход со списками разрешенных и заблокированных элементов для определенных расширений. Однако Microsoft Edge также позволяет управлять разрешениями, запрашиваемыми расширениями. С помощью этой модели вы можете определить, какие права и разрешения необходимо предоставить расширениям для использования на компьютерах и устройствах, а затем реализовать глобальную политику, разрешающую или блокирующую расширения на основе ваших требований.
Сведения о разрешениях расширений
Для правильной работы расширений могут требоваться права на внесение изменений на устройстве или веб-странице. Эти права называются разрешениями. Разработчики должны перечислить права и уровень доступа, необходимый их расширениям. Существуют две основные категории разрешений, и многим расширениям необходимы оба следующих разрешения.
- Разрешения узла требуют от расширения перечисления веб-страниц, которые оно может просматривать или изменять.
- Разрешения устройства — это права, необходимые расширению на устройстве, на котором оно работает.
Примеры таких разрешений: доступ к USB-порту, хранилищу или экрану просмотра, а также взаимодействие с собственными программами.
Подготовка к управлению расширениями
Перед началом работы
Эти параметры расширений предполагают, что вы уже управляете браузером Microsoft Edge для своих пользователей. Дополнительные сведения о настройке административных шаблонов для политик Microsoft Edge политик см. в статьях:
- Настройка параметров политик Microsoft Edge в Windows
- Настройка для Windows с помощью Intune
- Настройка для Windows с помощью системы управления мобильными устройствами
- Настройка для macOS с помощью файла PLIST
- Настройка для macOS с помощью Jamf
Этапы настройки в этой статье предназначены для Windows. Соответствующую реализацию в MAC/Linux см. в справочнике по политикам браузера Microsoft Edge.
Выбор разрешаемых расширений
Большинство организаций должны управлять расширениями с помощью разрешений и путем предоставления доступа к определенным веб-сайтам. Этот метод более безопасный, простой в управлении и масштабируемый для крупных организаций.
- Заблокированные и допустимые разрешения — позволяет управлять расширениями с помощью необходимых разрешений.
- Узлы блокировки среды выполнения — позволяет выбирать, к каким веб-сайтам есть доступ у этих расширений.
Использование этого подхода экономит время, так как эти параметры нужно установить только один раз. А благодаря политике узлов среды выполнения ваши наиболее важные сайты будут защищены. Существуют и другие параметры, например:
- Принудительная установка расширений — позволяет устанавливать расширения автоматически.
- Список разрешенных или заблокированных элементов (если требуется) — определите, какие расширения можно устанавливать.
Чтобы определить, какие расширения доступны в организации, используйте следующие действия.
Создайте список расширений, необходимых сотрудникам на их компьютерах. Проверьте расширения в тестовой среде, чтобы диагностировать любые проблемы совместимости с внутренними приложениями.
Выберите сайты, которым требуется дополнительная безопасность.
- Узнайте, для каких конфиденциальных внутренних веб-сайтов или доменов необходимо заблокировать внесение изменений или чтение данных расширениями.
- Запретите доступ к этим сайтам, заблокировав вызовы API при работе расширения. Это включает блокировку веб-запросов, чтение файлов cookie, внедрение JavaScript, XHR и т. д.
Определите, какие разрешения необходимы для запуска этих расширений. Определите, какие разрешения создают потенциальные риски для пользователей.
Проведите аудит установленных пользователями расширений и просмотрите необходимые им разрешения. Вы можете посмотреть JSON-файл манифеста веб-приложения в коде расширения. Выполните следующие действия, чтобы узнать, какие права необходимы расширению.
- Установите расширение с веб-сайта Надстройки Microsoft Edge или из интернет-магазина Chrome.
- Протестируйте расширение и выясните, как оно работает в организации.
- Проверьте разрешения, необходимые для расширения, перейдя на страницу edge://extensions. Например, расширение Microsoft Office, показанное на следующем снимке экрана, запрашивает разрешения "Чтение журнала браузера" и "Отображение уведомлений". Оцените полезность этого расширения относительно уровня запрашиваемых разрешений. После утверждения расширения для организации управляйте им с помощью следующих средств.
Вы также можете проверять расширения, запрашиваемые пользователями в организации, прежде чем утверждать их в организации. Некоторые разрешения, которые используют расширения, могут быть расплывчатыми. Для критически важных бизнес-приложений вы можете напрямую обратиться к разработчику или поставщику приложений, чтобы получить дополнительные сведения о расширении или просмотреть исходный код. Они должны быть в состоянии подробно описать изменения, которые может вносить расширение на устройствах и веб-сайтах.
Проверьте список объявления разрешений, где перечислены все разрешения, которые может использовать расширение. С помощью этого списка можно решить, какие разрешения необходимо предоставить в организации.
Создайте основной список из собранных данных. В этот список будут включены следующие сведения.
- Обязательные расширения. Этот список может быть упорядочен по отделам, расположениям офисов или другим соответствующим сведениям.
- Список разрешенных расширений. Обязательные расширения с разрешениями, которые могут быть заблокированы, но будут разрешены к запуску. Эти расширения необходимы пользователям, или в ходе бесед с поставщиком определено, что они не создают риска.
- Список заблокированных расширений. Расширения, установка которых заблокирована. Расширения в этом списке имеют разрешения, которые не разрешено запускать. Он также содержит основные сайты и домены, которые должны быть защищены и к которым запрещен доступ расширения. Позже вы можете сравнить этот список блокировки с другими, которые у вас уже применяются. Вы можете обнаружить, что текущие политики списков блокировок можно сделать менее строгими.
Представьте свой список заинтересованным лицам и ИТ-команде для совершения покупки.
Протестируйте новую политику в лаборатории или в небольшой пилотной группе в организации.
Разворачивайте эти новые наборы политик для сотрудников поэтапно. Дополнительные сведения см. в статье Использование групповых политик для управления расширениями Microsoft Edge.
Просмотрите отзывы пользователей.
Повторяйте и настраивайте процесс ежемесячно, ежеквартально или ежегодно.
Благодаря применению базовых или разрешенных разрешений и защите конфиденциальных корпоративных сайтов вы можете обеспечить для предприятия дополнительную защиту и улучшенное взаимодействие с пользователями. Сотрудники могут устанавливать расширения, которые ранее были им недоступны, но не могут запускать их на конфиденциальных бизнес-сайтах.