Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta guía completa le ayuda a implementar una estrategia completa de Secure Enterprise Browser mediante Microsoft Edge para negocios y Microsoft Intune en todas las plataformas.
Se aplica a:
- Microsoft Edge para negocios
- Microsoft Intune Mobile Application Management (MAM)
- Microsoft Intune Mobile Administración de dispositivos (MDM)
- Plataformas: Windows, macOS, iOS y Android
Audiencia de destino
La audiencia de destino para este contenido incluye:
- administradores de Intune: este contenido proporciona instrucciones detalladas sobre cómo configurar y administrar Microsoft Edge para negocios en todas las plataformas de Microsoft Intune.
- Profesionales de seguridad: En este documento se proporciona a los profesionales de seguridad un enfoque estructurado para la seguridad de los exploradores, que describe los controles clave, las estrategias de mitigación de riesgos y la alineación con los marcos de seguridad del sector.
- Arquitectos de TI: Este contenido ayuda a los arquitectos a diseñar soluciones de explorador seguras que equilibran los requisitos de seguridad con la productividad del usuario en los dispositivos administrados y no administrados.
- Responsables de la toma de decisiones: Este contenido ayuda a los responsables de la toma de decisiones a comprender las ventajas de seguridad, productividad y capacidad de administración de la implementación de una estrategia completa de exploradores empresariales seguros.
Nota:
Este contenido está diseñado para ayudarle a usar todo el potencial de Microsoft Edge para negocios y Administración de aplicaciones de Microsoft en todas las plataformas de dispositivos y escenarios de administración.
Importante
El marco secure enterprise browser hace referencia a las instrucciones del sector, como los procedimientos recomendados de NIST, DISA STIG y CISA. La aplicación de las recomendaciones de esta serie por sí solas no garantiza el cumplimiento. Trabaje con los equipos de cumplimiento y seguridad para validar los requisitos de su organización.
Información general
En esta guía se proporcionan instrucciones detalladas completas para implementar la experiencia de Secure Enterprise Browser mediante el marco de protección de datos:
- Microsoft Entra acceso condicional con Microsoft Edge para negocios: cree directivas de acceso condicional de Microsoft Entra y directivas de protección de aplicaciones Intune para examinar Android, iOS y Windows.
- Protección de aplicaciones directivas para Microsoft Edge para negocios: implemente directivas de protección de aplicaciones de nivel 1, nivel 2 y nivel 3 para plataformas Windows, Android e iOS para garantizar el acceso seguro y el uso de aplicaciones empresariales.
- Integración de Mobile Threat Defense: mejore la posición de seguridad general de su organización mediante la integración del explorador empresarial seguro con asociados de Seguridad de Windows Center, Microsoft Defender o MTD.
- Directivas de configuración de aplicaciones para Microsoft Edge para negocios: configure directivas de configuración de aplicaciones de nivel 1, nivel 2 y nivel 3 para Android, iOS y Windows para personalizar el comportamiento y las características del explorador.
- Catálogo de configuración para Microsoft Edge para negocios: aplique las configuraciones de catálogo de configuración de nivel 1, nivel 2 y nivel 3 para Windows y macOS con el fin de establecer controles de explorador completos a nivel de dispositivo.
- Línea base de seguridad para Microsoft Edge : implemente la línea de base de seguridad de Microsoft Edge para implementar rápidamente la seguridad de nivel 2 con 23 configuraciones preconfiguradas.
- Microsoft Edge para negocios experiencia del usuario final: comprenda cómo afectan las medidas de seguridad a la interacción del usuario para Microsoft Edge para negocios.
- Solución de problemas y preguntas más frecuentes : solución de problemas de directivas de protección de aplicaciones con ejemplos de validación y preguntas más frecuentes.
Para obtener más información sobre el contenido de seguridad de Microsoft Edge, consulte Microsoft Edge para negocios: IA y protección en un explorador empresarial seguro.
Niveles de seguridad de un vistazo
| Nivel | Objetivo | Usuarios típicos | Objetivo de diseño | Impacto en la productividad | Alineación de estándares |
|---|---|---|---|---|---|
| Nivel 1: básico | Establece una higiene fundamental y un límite de datos seguro. | Personal general (≈80%). | Implementación de baja fricción que permite una adopción amplia. | Interrupción mínima. | Controles básicos de NIST, DISA STIG CAT III. |
| Nivel 2: mejorado | Refuerza la prevención de pérdida de datos (DLP) y refuerza las superficies de riesgo. | Administradores, TI, RR. HH., Finanzas (≈15%). | Reduzca la filtración de datos y aplique una exploración más segura. | Moderado: agrega mensajes y bloques dirigidos. | CONTROLES MODERADOS DE NIST, DISA STIG CAT II. |
| Nivel 3: alto | Aplica el aislamiento máximo y la exploración con privilegios mínimos. | Ejecutivos, SecOps, roles legales y confidenciales (≈5%). | Contener actividad de alto riesgo con garantías provables. | Alto por diseño para proteger datos confidenciales. | Controles altos de NIST, DISA STIG CAT I, controles críticos de CISA. |
Estos niveles de seguridad describen los resultados deseados. Las guías de implementación vinculadas asignan esos resultados a herramientas de directiva, como directivas de protección de aplicaciones, directivas de configuración de aplicaciones, perfiles de catálogo de configuración y acceso condicional.
Grupos de Microsoft Entra ID necesarios
Cree grupos de seguridad antes de crear directivas para que pueda dirigirse a cada nivel de forma coherente:
-
Grupos de dispositivos:
SEB-Level1-Devices,SEB-Level2-Devices,SEB-Level3-Devices,SEB-Excluded-Devices. -
Grupos de usuarios:
SEB-Level1-Users,SEB-Level2-Users,SEB-Level3-Users,SEB-Excluded-Users.
Los grupos específicos del nivel admiten asignaciones progresivas, mientras que los grupos de exclusión proporcionan rutas de acceso de emergencia y pruebas seguras.
Cobertura de directivas entre plataformas
Use la siguiente matriz para confirmar qué tipos de directiva se aplican en cada nivel y plataforma antes de profundizar en los artículos paso a paso:
| Plataforma y tipo de directiva | Nivel 1 | Nivel 2 | Nivel 3 | Información destacada |
|---|---|---|---|---|
| Windows: catálogo de configuración | Configuración de higiene básica. | Agrega SmartScreen, cifrado enlazado a la aplicación y controles de extensión más amplios. | Presenta Protección de aplicaciones, listas de permitidos de direcciones URL y gobernanza estricta de actualizaciones. | Protección del dispositivo principal para puntos de conexión de Windows administrados. |
| Windows: directivas de Protección de aplicaciones | Protección de datos básica con límites mínimos de uso compartido. | Bloquea copiar y pegar y aplica comprobaciones de estado del dispositivo. | Permite una alta seguridad con niveles de amenazas protegidos y bloqueo de impresoras. | Protege los datos de trabajo en dispositivos Windows administrados y no administrados. |
| Windows: directivas de configuración de aplicaciones | Establece las páginas principales, los controles de contraseña y las directivas de descarga. | Se extiende a la administración de certificados, WebRTC y limpieza de sesión. | Fuerza las listas de permitidos, deshabilita las herramientas de desarrollo y bloquea las descargas. | Personalización profunda del explorador sin reemplazar las directivas de dispositivo. |
| macOS: catálogo de configuración | Implementa las protecciones de línea base y la administración de actualizaciones. | Agrega bloqueo de herramientas para desarrolladores, bloques WebUSB/WebHID y DNS de SmartScreen. | Fuerza la exploración de solo lista de permitidos con restricciones de descarga y portapapeles. | El catálogo de configuración es el plano de control principal para macOS. |
| iOS/iPadOS: configuración Protección de aplicaciones & | Requiere pin de aplicación, cifrado y valores predeterminados inteligentes. | Ajusta las copias de seguridad, bloquea las capturas de pantalla y limita los destinos de uso compartido. | Aplica la fuerza biométrica, las listas de permitidos de direcciones URL y la configuración de DLP alta. | Cubre dispositivos personales y corporativos con MAM + ACP. |
| Android: configuración de Protección de aplicaciones & | Proporciona la configuración fundamental de cifrado, PIN y SmartScreen. | Agrega bloqueos de copia de seguridad, comprobaciones de integridad de reproducción y bloques de medios sociales. | Requiere biometría de clase 3, opciones de pantalla completa y acceso solo permitido. | Refleja las protecciones de iOS con controles específicos de Android. |
| Acceso condicional (multiplataforma) | Presenta el acceso solo del explorador con los requisitos de MFA y APP. | Agrega controles de cumplimiento de dispositivos, acceso basado en riesgos y frecuencia de sesión. | Aplica ubicaciones de elevada confianza, evaluación de acceso continuo y clientes aprobados. | Complementa la configuración de la directiva con la aplicación controlada por identidades. |
Protección de Enterprise Browser
La solución Secure Enterprise Browser combina Microsoft Edge para negocios con el marco de directivas completo de Microsoft Intune para crear una experiencia de exploración segura y fácil de administrar en todas las plataformas. Esta solución amplía el marco de protección de datos probado más allá de las directivas de protección de aplicaciones para incluir directivas de configuración de aplicaciones y configuraciones de catálogo de configuración, lo que proporciona un enfoque unificado para proteger las implementaciones de exploradores empresariales.
Data Protection Framework para Secure Enterprise Browser
El marco de protección de datos para Secure Enterprise Browser se basa en el marco de directiva de protección de aplicaciones establecido y lo amplía para abarcar todos los aspectos de configuración de Microsoft Edge para negocios. Este marco organiza las configuraciones de seguridad en tres niveles:
- Nivel 1: protección de datos básica de empresa: configuración mínima recomendada para dispositivos empresariales. Este nivel proporciona controles de seguridad fundamentales al mismo tiempo que mantiene la productividad del usuario.
- Nivel 2: Protección de datos mejorada para empresas: se recomienda para dispositivos que acceden a información confidencial o confidencial. Esta configuración se aplica a la mayoría de los usuarios que acceden a datos profesionales o educativos e incluye controles adicionales que pueden afectar a la experiencia del usuario.
- Nivel 3: alta protección de datos empresarial: diseñada para organizaciones con requisitos de seguridad sofisticados o usuarios con riesgo elevado. Esta configuración proporciona el nivel más alto de protección para los datos confidenciales.
Cada nivel se aplica de forma coherente entre directivas de protección de aplicaciones, directivas de configuración de aplicaciones y configuraciones de catálogo de configuración, lo que le permite implementar una estrategia de seguridad coherente adaptada a las necesidades de su organización.
¿Qué es Microsoft Edge para negocios?
Microsoft Edge para negocios es el explorador seguro y de primera productividad creado para un trabajo moderno. Diseñado para dispositivos administrados y no administrados, ofrece controles y seguridad de nivel empresarial, a la vez que mantiene la conocida experiencia de Microsoft Edge en la que confía.
Con la separación automática del trabajo y la exploración personal, Microsoft Edge para negocios crea ventanas dedicadas para cada una, que se completan con sus propios favoritos, cachés y almacenamiento. Esta separación significa que no hay mezclas, ni fugas accidentales de datos y una manera perfecta de mantener la productividad sin poner en peligro la privacidad.
¿Por qué elegir Microsoft Edge para negocios?
- Proteger de forma predeterminada : proteja los datos confidenciales sin esfuerzo.
- Diseñado para la productividad : características empresariales que ya conoce y optimizadas para el trabajo.
- Separación inteligente : mantenga el trabajo y la navegación personal claramente separados.
¿Es un nuevo explorador?
No, no es un nuevo explorador. Se trata de una nueva experiencia de Microsoft Edge dedicada creada específicamente para el trabajo. Permite a las organizaciones configurarlo para maximizar la productividad y la seguridad. Conserva la misma funcionalidad con la que los usuarios ya están familiarizados en Microsoft Edge. Además, ofrece una característica opcional de cambio automático entre cuentas personales y corporativas, diseñada para satisfacer las necesidades cambiantes de usuarios y empresas. Iniciar sesión con un Microsoft Entra ID habilitará automáticamente la experiencia de Microsoft Edge para negocios.
Ventajas
Microsoft Edge para negocios ofrece una gran variedad de ventajas:
Operaciones de TI simplificadas: Microsoft Edge para negocios pueden reducir significativamente el área expuesta a ataques cibernéticos y mejorar la posición de seguridad de su organización. Para ello, simplifica las operaciones en un único explorador para todos los casos de uso, lo que simplifica la administración de TI.
Experiencia de usuario mejorada: Para los usuarios finales que han iniciado sesión con perfiles profesionales y personales, Microsoft Edge para negocios ofrece una experiencia de exploración superior. La característica de conmutación automática no solo mejora la facilidad de uso, sino que también refuerza la seguridad y la privacidad.
Explorador de trabajo con una actualización visual: El icono de Microsoft Edge para negocios, que reemplaza al icono existente de Microsoft Edge en la barra de tareas y otros accesos directos, proporciona una identidad distinta y reconocible para el explorador de negocios.
Seguridad mejorada: Microsoft Edge para negocios fortalece la experiencia de exploración mediante la implementación de directivas de protección de aplicaciones. Estas directivas garantizan que los datos empresariales permanezcan seguros, lo que proporciona tranquilidad tanto a la organización como a sus usuarios.
Administración centralizada: Microsoft Intune ofrece administración centralizada de directivas para Microsoft Edge para negocios que simplifica el proceso, lo que ahorra tiempo y recursos.
Además de las ventajas anteriores, puede habilitar el acceso protegido de Mobile Application Management a los datos corporativos en dispositivos personales. Esta funcionalidad usa la siguiente funcionalidad:
- Intune directivas de configuración de aplicaciones (ACP) con Microsoft Edge para negocios. El uso de ACP le permite aplicar la configuración de Microsoft Edge para habilitar mejor una experiencia de exploración segura.
- Intune directivas de protección de aplicaciones para proteger los datos de la organización y asegurarse de que el dispositivo cliente está en buen estado.
- Mobile Threat Protection (MTP) integrado con Intune directivas de protección de aplicaciones para detectar amenazas de estado locales en Windows personal y todos los dispositivos móviles.
- Microsoft Entra acceso condicional para asegurarse de que el dispositivo está protegido y en buen estado antes de conceder acceso a servicios protegidos a través de Microsoft Entra.
Metodología de Confianza cero
La estrategia de seguridad Confianza cero está transformando la forma en que las organizaciones abordan la seguridad. Se está convirtiendo en el nuevo estándar de la estrategia de seguridad en respuesta al panorama de amenazas en constante evolución. Los procedimientos recomendados tradicionales giraban en torno al modelo de "confianza pero comprobación", pero este enfoque se puede aprovechar mediante ataques modernos. Esto está impulsando la necesidad de un cambio en la estrategia de seguridad. La metodología de Confianza cero se basa en el concepto de "nunca confiar, comprobar siempre" y se alinea con tres principios clave:
- Compruebe explícitamente: Autentíquese y autorice siempre en función de todos los puntos de datos disponibles. Estos puntos de datos incluyen la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y las anomalías.
- Use Least-Privilege Access: Limite el acceso de usuario con directivas just-in-time y just-enough-access (JIT/JEA). Implemente directivas adaptables basadas en riesgos y protección de datos para proteger los datos y la productividad.
- Asumir infracción: Minimice el radio de expansión y el acceso al segmento. Asegúrese del cifrado de un extremo a otro y use el análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.
Microsoft Edge para negocios complementa Confianza cero
Microsoft Edge para negocios, basada en la sólida y segura base de Chromium, está diseñada para mantenerse por delante de las amenazas de seguridad. Publica actualizaciones y revisiones rápidamente para contrarrestar amenazas como vulnerabilidades de seguridad de día cero, lo que minimiza el efecto de cualquier posible riesgo.
Además de las características de seguridad inherentes de Chromium, Microsoft Edge para negocios incorpora características de protección únicas y admite una gama de tecnologías de Microsoft:
- Microsoft Defender: proporciona soluciones de seguridad completas.
- Microsoft Entra: ofrece servicios de administración de identidades y acceso.
- Microsoft Intune: ofrece administración de dispositivos móviles y aplicaciones.
- Microsoft Purview: Admite la gobernanza de datos en el patrimonio de datos híbridos.
Además, Microsoft Edge para negocios se alinea con la metodología de Confianza cero ofreciendo las siguientes características:
- Prevención de pérdida de datos (DLP) con Microsoft Purview: Ayuda a evitar fugas de datos y acceso a datos no autorizados.
- Microsoft Defender SmartScreen: proporciona protección basada en la reputación contra phishing y malware.
- Modo de seguridad mejorado (ESM): Ofrece medidas de seguridad adicionales.
- Protección contra errores tipográficos del sitio web: Ayuda a evitar la navegación a sitios malintencionados debido a errores tipográficos.
- Compatibilidad nativa con Microsoft Entra acceso condicional: garantiza que solo los usuarios autenticados y autorizados puedan acceder a los recursos.
- Generador y supervisión de contraseñas: Ayuda a mantener contraseñas seguras y únicas.
- Servicio de administración de Microsoft Edge (EMS): Proporciona control centralizado sobre las implementaciones de Microsoft Edge.
- Compatibilidad con dispositivos no administrados con Microsoft Intune Mobile Application Management: permite el acceso seguro a los recursos empresariales desde dispositivos no administrados.
Qué hay en esta solución
Esta solución proporciona una guía completa para implementar la configuración de Secure Enterprise Browser mediante Microsoft Edge para negocios y Microsoft Intune. El enfoque paso a paso abarca todos los tipos de directivas y plataformas, organizados por el método de configuración para ayudarle a crear un marco de seguridad completo.
Continúe con el paso 1 para crear Microsoft Entra acceso condicional.