使用 Microsoft Edge for Business(预览版)的浏览器内保护
使用 Microsoft Edge for Business 且受会话策略约束的 Defender for Cloud Apps 用户直接在浏览器中受到保护。 浏览器内保护减少了对代理的需求,提高了安全性和工作效率。
受保护的用户可体验到流畅的云应用程序使用体验,且没有延迟或应用程序兼容性问题,并且具有更高级别的安全保护。
浏览器内保护要求
要使用浏览器内保护,用户必须位于其浏览器的工作配置文件中。
Microsoft Edge 配置文件允许用户将浏览数据拆分为单独的配置文件中,其中属于每个配置文件的数据都与其他配置文件分开。 例如,当用户具有不同的个人浏览和工作配置文件时,其个人收藏夹和历史记录不会与其工作配置文件同步。
当用户拥有单独的配置文件时,其工作浏览器 (Microsoft Edge for Business) 和个人浏览器 (Microsoft Edge) 就会有独立的缓存和存储位置,并且信息保持独立。
要使用浏览器内保护,用户还必须满足以下环境要求:
| 要求 | 说明 |
|---|---|
| 操作系统 | Windows 10 或 11、macOS |
| 标识平台 | Microsoft Entra ID |
| Microsoft Edge 商业版 | 最近 2 个稳定版本(例如,如果最新 Edge 为 126,则浏览器内保护适用于 v126 和 v125)。 请参阅 Microsoft Edge 版本 |
| 支持的会话策略 | - 阻止\监视文件下载(所有文件\敏感文件) - 阻止\监视文件上传(所有文件\敏感文件) - 阻止\监视复制\剪切\粘贴 - 阻止\监视打印 - 阻止\监视恶意软件上传 - 阻止\监视恶意软件下载 由多个策略提供服务的用户,包括 Microsoft Edge for Business 不支持的至少一个策略,其会话始终由反向代理提供服务。 Microsoft Entra ID 门户中定义的策略也始终由反向代理提供服务。 |
所有其他方案都使用标准反向代理技术自动提供服务,包括不支持浏览器内保护的浏览器的用户会话,或针对浏览器内保护不支持的策略。
例如,这些方案由反向代理提供:
- Google Chrome 用户
- 受保护文件下载策略影响的 Microsoft Edge 用户
- Android 设备上的 Microsoft Edge 用户
- 使用 OKTA 身份验证方法的应用程序中的用户
- InPrivate 模式下的 Microsoft Edge 用户
- 使用旧浏览器版本的 Microsoft Edge 用户
- B2B 来宾用户
- 会话适用于 Microsoft Entra ID 门户中定义的条件访问策略
使用浏览器内保护的用户体验
若要确认浏览器内保护处于活动状态,用户需要单击浏览器地址栏中的“锁定”图标,并在显示的窗体中查找“行李箱”符号。 该符号表示会话受 Defender for Cloud Apps 保护。 例如:
此外,.mcas.ms 后缀不会像标准条件访问应用程序控制那样出现在具有浏览器内保护的浏览器地址栏中,并且开发人员工具会通过浏览器内保护关闭。
浏览器内保护的工作配置文件强制执行
要使用浏览器内保护访问 contoso.com 中的工作资源,用户必须使用其 username@contoso.com 配置文件登录。 如果用户尝试从工作配置文件外部访问工作资源,系统会提示他们切换到工作配置文件,或者创建工作配置文件(如果工作配置文件不存在)。 用户还可以选择继续使用其当前配置文件,在这种情况下,由反向代理体系结构提供服务。
如果用户决定创建新的工作配置文件,系统会提示他们使用“允许我的组织管理我的设备”选项。 在这种情况下,用户无需选择此选项来创建工作配置文件或受益于浏览器内保护。
有关详细信息,请参阅 Microsoft Edge for Business 以及如何向 Microsoft Edge 添加新配置文件。
配置浏览器内保护设置
默认情况下,Microsoft Edge for Business 的浏览器内保护处于打开状态。 管理员可以关闭和打开集成,并且可以配置提示,让非 Edge 用户切换到 Microsoft Edge 以提高性能和安全性。
配置浏览器内保护设置:
在 Microsoft Defender 门户中,选择设置> Cloud Apps >条件访问应用控制> Edge for Business protection。
根据需要配置以下设置:
切换“打开 Edge for Business protection”选项“关闭”或“打开”。
选择通知非 Edge 浏览器中的用户使用 Microsoft Edge for Business 以提高性能和安全性。
如果选择通知非 Edge 用户,请选择使用默认消息或自定义个人消息。
完成后,选择“保存”以保存更改。
使用 Microsoft Purview 和 Endpoint 数据丢失防护
如果为 Defender for Cloud Apps 策略和 Microsoft Purview 终结点数据丢失防护策略 (DLP) 配置了相同的上下文和操作,则会应用终结点 DLP 策略。
例如,如果你有一个阻止文件上传到 Salesforce 的 Endpoint DLP 策略,而你也有一个监控文件上传到 Salesforce 的 Defender for Cloud Apps 策略,则会应用 Endpoint DLP 策略。
有关详细信息,请参阅了解数据丢失防护。
访问商业应用程序时强制实施 Edge 浏览器内保护
了解 Edge 浏览器内保护功能的管理员可以要求其用户在访问公司资源时使用 Edge。 主要原因是安全性,因为使用 Edge 规避会话控制的障碍远高于反向代理技术。
管理员体验
此功能通过以下设置进行控制:
M365 Defender > 设置 > 云应用 > Edge for Business Protection > 强制使用适用于企业的 Edge
可以使用以下选项:
- 请勿强制实施(默认值)
- 仅允许从 Edge 进行访问
- 尽可能强制从 Edge 访问
管理员可以选择在所有设备上应用策略,或仅在非管理的设备上应用策略。
仅允许从 Edge 进行访问意味着只能通过 Edge 浏览器访问商业应用程序(限定为会话策略)。
尽可能强制从 Edge 访问意味着如果用户的上下文允许,则用户应使用 Edge 访问应用程序,但如果不允许,他们可能会使用不同的浏览器来访问受保护的应用程序。
例如:如果用户遵守与浏览器内保护功能(如“下载时保护文件”)不一致的策略,或者操作系统不兼容(例如 Android)。 在这种情况下,由于用户无法控制上下文,因此他们可以选择使用不同的浏览器。 如果适用的策略允许,并且操作系统兼容(Windows 10、11、macOS),则要求利用 Edge。
相关内容
有关详细信息,请参阅 Microsoft Defender for Cloud Apps 条件访问应用控制。