共用方式為

使用 商務用 Microsoft Edge (Preview) 的瀏覽器內保護

  • 發行項

Defender for Cloud Apps 使用 商務用 Microsoft Edge 且受限於會話原則的使用者,會直接從瀏覽器內受到保護。 瀏覽器內保護可減少 Proxy 的需求,同時改善安全性和生產力。

受保護的使用者可以順利體驗其雲端應用程式,而不會發生延遲或應用程式相容性問題,且具有更高層級的安全性保護。

瀏覽器內保護需求

若要使用瀏覽器內保護,用戶必須在瀏覽器的工作配置檔中。

Microsoft Edge 設定檔可讓使用者將瀏覽數據分割成不同的配置檔,其中屬於每個配置檔的數據會與其他配置檔分開。 例如,當使用者針對個人流覽和工作有不同的配置檔時,其個人我的最愛和歷程記錄不會與其工作配置檔同步處理。

當使用者擁有個別的配置檔時,其工作瀏覽器 (商務用 Microsoft Edge) 和個人瀏覽器 (Microsoft Edge) 有個別的快取和儲存位置,而且資訊會保持分開。

若要使用瀏覽器內保護,用戶也必須具備下列環境需求:

需求 描述
作業系統 Windows 10 或 11,macOS
身分識別平臺 Microsoft Entra ID
商務用 Microsoft Edge 版本 最後兩個穩定版本。 例如,如果最新的 Microsoft Edge 是 126,則瀏覽器內保護適用於 v126 和 v125。
如需詳細資訊, 請參閱 Microsoft Edge 版本
支援的會話原則
  • 封鎖\監視檔案下載 (所有檔案\敏感性檔案)
  • 封鎖\監視檔案上傳 (所有檔案\敏感性檔案)
  • Block\Monitor copy\cut\paste
  • 區塊\監視列印
  • 封鎖\監視惡意代碼上傳
  • 封鎖\監視惡意代碼下載

由多個原則提供服務的使用者,包括至少一個 商務用 Microsoft Edge 支持的原則,其會話一律由反向 Proxy 提供服務。

Microsoft Entra ID 入口網站中定義的原則也一律由反向 Proxy 提供。

所有其他案例都會使用標準反向 Proxy 技術自動提供,包括不支援瀏覽器內保護的瀏覽器用戶會話,或瀏覽器內保護不支持的原則。

例如,這些案例是由反向 Proxy 提供:

  • Google Chrome 使用者。
  • Microsoft限於保護檔案下載原則的 Edge 使用者。
  • Microsoft Android 裝置上的 Edge 使用者。
  • 應用程式中使用OKTA驗證方法的使用者。
  • Microsoft InPrivate 模式的 Edge 使用者。
  • Microsoft具有較舊瀏覽器版本的 Edge 使用者。
  • B2B 來賓使用者。
  • 會話的範圍是 Microsoft Entra ID 入口網站中定義的條件式存取原則。

使用瀏覽器內保護的用戶體驗

若要確認瀏覽器內保護為作用中,用戶必須在瀏覽器的網址列中選取「鎖定」圖示,並在出現的窗體中尋找「裝訂」符號。 符號表示會話受到 Defender for Cloud Apps 保護。 例如:

瀏覽器指示中Microsoft Edge 的螢幕快照。

此外, .mcas.ms 後綴不會出現在具有瀏覽器內保護的瀏覽器網址列中,就像使用標準條件式存取應用程控一樣,且開發人員工具會使用瀏覽器內保護來關閉。

強制執行瀏覽器內保護的工作配置檔

若要使用瀏覽器內保護 來存取 contoso.com 中的工作資源,用戶必須使用其 username@contoso.com 配置檔登入。 如果用戶嘗試從工作配置檔外部存取工作資源,系統會提示他們切換至工作配置檔,或在不存在時建立工作資源。 使用者也可以選擇繼續使用其目前的配置檔,在此情況下,反 向 Proxy 架構會提供這些配置檔。

如果使用者決定建立新的工作配置檔,系統會提示他們使用 [ 允許我的組織管理我的裝置 ] 選項。 在這種情況下,使用者不需要選取此選項即可建立工作配置檔,或受益於瀏覽器內保護。

如需詳細資訊,請參閱 商務用 Microsoft Edge如何將新的配置檔新增至 Microsoft Edge

設定瀏覽器內保護設定

默認會開啟具有 商務用 Microsoft Edge 的瀏覽器內保護。 系統管理員可以關閉和開啟整合,並可設定提示非Microsoft Edge 用戶切換至 Microsoft Edge,以提升效能和安全性。

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [系統>設定>] [雲端應用程式>] [條件式存取應用程控] 區段 >[商務用 Edge 保護]。 或者,若要直接移至 商務用Edge保護 頁面,請使用 https://security.microsoft.com/cloudapps/settings?tabid=edgeIntegration

  2. 在 [ 商務用 Edge 保護 ] 頁面上,視需要設定下列設定:

    • 開啟商務用 Edge 瀏覽器保護:預設值為 [開啟],但您可以將設定切換為 [關閉]

    • 通知非 Edge 瀏覽器中的使用者使用 商務用 Microsoft Edge 以提升效能和安全性:如果您選取複選框,請選取下列其中一個出現的值:

      • 使用預設訊 息 (預設)
      • 自訂訊息:在出現的方塊中輸入自定義文字。

      使用 [預覽] 連結來查看通知。

    當您在 商務用Edge保護 頁面上完成時,請選取 [ 儲存]

使用 Microsoft Purview 和端點數據外洩防護

如果針對 Defender for Cloud Apps 原則和 Microsoft Purview 端點數據外洩防護原則 (DLP) 設定相同的確切內容和動作,則會套用端點 DLP 原則。

例如,您有一個端點 DLP 原則會封鎖檔案上傳至 Salesforce,而且您也有監視檔案上傳至 Salesforce 的 Defender for Cloud Apps 原則。 在此案例中,會套用端點 DLP 原則。

如需詳細資訊,請 參閱了解數據外洩防護

存取商務應用程式時強制Microsoft Edge 瀏覽器保護

瞭解Microsoft Edge 瀏覽器保護功能的系統管理員,在存取公司資源時,可能需要使用者使用 Microsoft Edge。 主要原因是安全性,因為使用 Microsoft Edge 規避會話控件的障礙遠高於反向 Proxy 技術。

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [系統>設定>] [雲端應用程式>] [條件式存取應用程控] 區段 >[商務用 Edge 保護]。 或者,若要直接移至 商務用Edge保護 頁面,請使用 https://security.microsoft.com/cloudapps/settings?tabid=edgeIntegration

  2. [商務用 Edge 保護 ] 頁面上,只要開 啟 [開啟商務用 Edge] 瀏覽器保護 ,就可使用下列值 來強制使用商務用 Edge

    • 請勿強制執行 預設 ()

    • 只允許從 Edge 存取:存取商務應用程式 (限定範圍為會話原則) 只能透過 Microsoft Edge 瀏覽器使用。

    • 儘可能強制從 Edge 存取:如果內容允許,用戶應該使用 Microsoft Edge 來存取應用程式。 否則,他們可能會使用不同的瀏覽器來存取受保護的應用程式。

      例如,使用者受限於不符合瀏覽器內保護功能的原則 (例如,下載 時保護檔案) 或操作系統不相容 (,例如 Android) 。

      在此案例中,由於使用者無法控制內容,因此可能會選擇使用不同的瀏覽器。

      如果適用的原則允許,且操作系統與 Windows 10 11 macOS) 相容 (,則用戶必須使用 Microsoft Edge。

  3. 如果您選取 [只允許從 Microsoft Edge 存取 ] 或 [ 盡可能強制從 Microsoft Edge 存取],[ 強制執行哪些裝置? ] 設定可使用下列值:

    • 所有裝置 (預設)
    • 僅限非受控裝置

  4. 當您在 商務用Edge保護 頁面上完成時,請選取 [ 儲存]

相關內容

如需詳細資訊,請參閱 Microsoft Defender for Cloud Apps 條件式存取應用程控。