정책별 사이트별 구성
이 문서에서는 정책별 사이트별 구성과 브라우저가 사이트에서 페이지 로드를 처리하는 방법을 설명합니다.
의사 결정자로서의 브라우저
모든 페이지 로드의 일부로 브라우저는 많은 결정을 내립니다. 이러한 결정 중 일부(전부는 아님)에는 특정 API를 사용할 수 있는지 여부, 리소스 로드가 허용되어야 하는지, 스크립트를 실행할 수 있어야 하는지 여부가 포함됩니다.
대부분의 경우 브라우저 결정은 다음 입력에 의해 제어됩니다.
- 사용자 설정
- 결정이 내려지는 페이지의 URL입니다.
Internet Explorer 웹 플랫폼에서 이러한 각 결정을 URLAction이라고 했습니다. 자세한 내용은 URL 작업 플래그를 참조하세요. 인터넷 제어판의 URLAction, 엔터프라이즈 그룹 정책 및 사용자 설정은 브라우저가 각 결정을 처리하는 방법을 제어했습니다.
Microsoft Edge에서 대부분의 사이트별 권한은 제한된 와일드카드 지원과 함께 간단한 구문을 사용하여 표현된 settngs 및 정책을 사용하여 제어됩니다. Windows 보안 영역은 여전히 몇 가지 구성 결정에 사용됩니다.
Windows 보안 영역
사용자 또는 관리자에 대한 구성을 간소화하기 위해 레거시 플랫폼은 사이트를 5가지 보안 영역 중 하나로 분류했습니다. 이러한 보안 영역은 로컬 컴퓨터, 로컬 인트라넷, 신뢰할 수 있는, 인터넷 및 제한된 사이트입니다.
페이지 로드 결정을 내릴 때 브라우저는 웹 사이트를 영역에 매핑한 다음 해당 영역에 대한 URLAction 설정을 참조하여 수행할 작업을 결정합니다. "내 인트라넷에서 인증 챌린지를 자동으로 충족"와 같은 합리적인 기본값은 대부분의 사용자가 기본 설정을 변경할 필요가 없다는 것을 의미합니다.
사용자는 인터넷 제어판 사용하여 특정 사이트를 영역에 할당하고 각 영역에 대한 사용 권한 결과를 구성할 수 있습니다. 관리되는 환경에서 관리자는 그룹 정책을 사용하여 특정 사이트를 영역에 할당하고("사이트 대 영역 할당 목록" 정책을 통해) 영역별로 URLActions에 대한 설정을 지정할 수 있습니다. 사이트에 대한 수동 관리 또는 사용자 할당 외에도 다른 추론은 로컬 인트라넷 영역에 사이트를 할당할 수 있습니다. 특히 점 없는 호스트 이름(예: http://payroll)이 인트라넷 영역에 할당되었습니다. 프록시 구성 스크립트를 사용하는 경우 프록시를 무시하도록 구성된 모든 사이트가 인트라넷 영역에 매핑됩니다.
WebView1 컨트롤 및 Microsoft Edge 레거시에 사용되는 EdgeHTML은 몇 가지 간소화된 변경 내용으로 Internet Explorer 선행 작업에서 영역 아키텍처를 상속했습니다.
- Windows의 기본 제공 영역 5개는 인터넷(인터넷), 신뢰할 수 있는 영역(인트라넷+신뢰할 수 있음) 및 로컬 컴퓨터의 3개 영역으로 축소되었습니다. 제한된 사이트 영역이 제거되었습니다.
- URLAction 매핑에 대한 영역 간 매핑이 브라우저에 하드 코딩되어 인터넷 제어판 그룹 정책 및 설정을 무시했습니다.
Microsoft Edge의 사이트별 권한
Microsoft Edge는 Windows 보안 영역을 제한합니다. 대신 정책을 통해 사이트별 관리자 구성을 제공하는 대부분의 권한 및 기능은 URL 필터 형식의 규칙 목록에 의존합니다.
최종 사용자가 와 같은 edge://settings/content/siteDetails?site=https://example.com설정 페이지를 열면 다양한 권한에 대한 구성 스위치 및 목록의 긴 목록을 찾습니다. 사용자는 설정 페이지를 직접 사용하는 경우가 거의 없으며, 대신 페이지 정보 드롭다운에서 다양한 위젯 및 토글을 탐색하고 사용하는 동안 선택할 수 있습니다. 주소 표시줄에서 잠금 아이콘을 선택하면 이 목록이 나타납니다. 주소 표시줄의 오른쪽 가장자리에 있는 다양한 프롬프트 또는 단추를 사용할 수도 있습니다. 다음 스크린샷은 페이지 정보의 예를 보여줍니다.
기업은 그룹 정책을 사용하여 브라우저의 동작을 제어하는 개별 정책에 대한 사이트 목록을 설정할 수 있습니다. 이러한 정책을 찾으려면 Microsoft Edge 그룹 정책 설명서를 열고 "ForUrls"를 검색하여 로드된 사이트의 URL에 따라 동작을 허용하고 차단하는 정책을 찾습니다. 대부분의 관련 설정은 콘텐츠 설정에 대한 그룹 정책 섹션에 나열됩니다.
지정된 설정의 기본 동작을 제어하는 많은 정책(이름에 "기본값"이 포함됨)도 있습니다.
대부분의 설정은 모호하며(WebSerial, WebMIDI) 기본값에서 설정을 변경할 이유가 없는 경우가 많습니다.
Microsoft Edge의 보안 영역
Microsoft Edge는 URL 필터 형식을 사용하는 개별 정책에 주로 의존하지만 몇 가지 경우 기본적으로 Windows의 보안 영역을 계속 사용합니다. 이 방법은 역사적으로 영역 구성에 의존해 둔 엔터프라이즈의 배포를 간소화합니다.
영역 정책은 다음 동작을 제어합니다.
- Windows 통합 인증(Kerberos 또는 NTLM) 자격 증명을 자동으로 해제할지 여부를 결정합니다.
- 파일 다운로드를 처리하는 방법을 결정합니다.
- Internet Explorer 모드의 경우.
자격 증명 릴리스
기본적으로 Microsoft Edge는 URLACTION_CREDENTIALS_USE Windows 통합 인증이 자동으로 사용되는지 또는 사용자에게 수동 인증 프롬프트가 표시되는지 여부를 결정합니다. AuthServerAllowlist 사이트 목록 정책을 구성하면 영역 정책을 참조할 수 없습니다.
파일 다운로드
파일 다운로드 원본에 대한 증거("웹의 표시"라고도 함)는 인터넷 영역에서 다운로드한 파일에 대해 기록됩니다. Windows 셸 및 Microsoft Office와 같은 다른 응용 프로그램은 파일을 처리하는 방법을 결정할 때 이 원본 증거를 고려할 수 있습니다.
Windows 보안 영역 정책이 애플리케이션 시작 설정을 사용하지 않도록 설정하고 안전하지 않은 파일을 다운로드하도록 구성된 경우 Microsoft Edge의 다운로드 관리자는 해당 영역의 사이트에서 파일 다운로드를 차단합니다. 사용자에게 "다운로드할 수 없습니다- 차단됨"이라는 메모가 표시됩니다.
IE 모드
IE 모드는 IE 모드에서 모든 인트라넷 사이트를 열도록 구성할 수 있습니다. 이 구성을 사용하는 경우 Microsoft Edge는 IE 모드에서 열지 여부를 결정할 때 URL 영역을 평가합니다. 이 초기 결정 외에도 IE 모드 탭은 실제로 Internet Explorer를 실행하고 있으며, 그 결과 Internet Explorer와 마찬가지로 모든 정책 결정에 대한 영역 설정을 평가합니다.
요약
대부분의 경우 Microsoft Edge 설정은 기본값으로 둘 수 있습니다. 모든 사이트 또는 특정 사이트의 기본값을 변경하려는 관리자는 적절한 그룹 정책을 사용하여 사이트 목록 또는 기본 동작을 지정할 수 있습니다. 자격 증명 릴리스, 파일 다운로드 및 IE 모드와 같은 소수의 경우 관리자는 Windows 보안 영역 설정을 구성하여 동작을 계속 제어합니다.
질문과 대답
URL 필터 형식이 사이트의 IP 주소에서 일치할 수 있나요?
아니요, 형식은 허용 목록 및 차단 목록에 대한 IP 범위 지정을 지원하지 않습니다. 개별 IP 리터럴의 사양을 지원하지만 이러한 규칙은 사용자가 말된 리터럴(예 http://127.0.0.1/: )을 사용하여 사이트로 이동하는 경우에만 적용됩니다. 호스트 이름(http://localhost)을 사용하는 경우 호스트의 확인된 IP가 필터 나열 IP와 일치하더라도 IP 리터럴 규칙이 적용되지 않습니다.
URL 필터가 점 없는 호스트 이름과 일치할 수 있나요?
아니요. 각 호스트 이름(예 https://payroll: , https://stock, https://who등)을 나열해야 합니다.
호스트 이름이 다음 형식이 되도록 인트라넷을 구조화할 만큼 미래지향적인 생각을 했다면 모범 사례를 구현했습니다.
https://payroll.contoso-intranet.comhttps://timecard.contoso-intranet.comhttps://sharepoint.contoso-intranet.com
이전 시나리오에서는 *.contoso-intranet.com 항목으로 각 정책을 구성할 수 있으며 전체 인트라넷이 옵트인됩니다.