Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce guide complet vous aide à implémenter une stratégie complète secure Enterprise Browser à l’aide de Microsoft Edge for Business et de Microsoft Intune sur toutes les plateformes.
S’applique à :
- Microsoft Edge for Business
- Microsoft Intune Gestion des applications mobiles (GAM)
- Microsoft Intune Mobile Gestion des appareils (MDM)
- Plateformes : Windows, macOS, iOS et Android
Public cible
L’audience cible de ce contenu comprend :
- administrateurs Intune : ce contenu fournit des instructions détaillées sur la configuration et la gestion des Microsoft Edge for Business sur toutes les plateformes dans Microsoft Intune.
- Professionnels de la sécurité : Ce document fournit aux professionnels de la sécurité une approche structurée de la sécurité des navigateurs, décrivant les contrôles clés, les stratégies d’atténuation des risques et l’alignement avec les infrastructures de sécurité du secteur.
- Architectes informatiques : Ce contenu aide les architectes à concevoir des solutions de navigateur sécurisées qui équilibrent les exigences de sécurité et la productivité des utilisateurs sur les appareils gérés et non managés.
- Décideurs: Ce contenu aide les décideurs à comprendre les avantages en matière de sécurité, de productivité et de gestion de l’implémentation d’une stratégie complète de navigateur d’entreprise sécurisée.
Remarque
Ce contenu est conçu pour vous aider à exploiter tout le potentiel de Microsoft Edge for Business et de la gestion des applications Microsoft sur toutes les plateformes d’appareils et tous les scénarios de gestion.
Importante
L’infrastructure Secure Enterprise Browser fait référence à des conseils sectoriels tels que les meilleures pratiques NIST, DISA STIG et CISA. L’application des recommandations de cette série seule ne garantit pas la conformité. Collaborez avec vos équipes de conformité et de sécurité pour valider les exigences de votre organization.
Vue d’ensemble
Ce guide fournit des instructions détaillées pour implémenter l’expérience Secure Enterprise Browser à l’aide de l’infrastructure de protection des données :
- Microsoft Entra l’accès conditionnel avec Microsoft Edge for Business : créez des stratégies d’accès conditionnel Microsoft Entra et des stratégies de protection des applications Intune pour la navigation sur Android, iOS et Windows.
- Protection d'applications stratégies pour Microsoft Edge for Business : implémentez des stratégies de protection des applications de niveau 1, 2 et 3 pour les plateformes Windows, Android et iOS afin de garantir un accès et une utilisation sécurisés des applications d’entreprise.
- Intégrer Mobile Threat Defense : améliorez la posture de sécurité globale de votre organization en intégrant le navigateur d’entreprise sécurisé avec Sécurité Windows Center, Microsoft Defender ou des partenaires MTD.
- Stratégies de configuration d’application pour Microsoft Edge for Business : configurez des stratégies de configuration d’application de niveau 1, de niveau 2 et de niveau 3 pour Android, iOS et Windows afin de personnaliser le comportement et les fonctionnalités du navigateur.
- Catalogue de paramètres pour Microsoft Edge for Business : appliquez les configurations de catalogue de paramètres de niveau 1, de niveau 2 et de niveau 3 pour Windows et macOS afin d’établir des contrôles de navigateur complets au niveau de l’appareil.
- Base de référence de sécurité pour Microsoft Edge : déployez la base de référence de sécurité Microsoft Edge pour implémenter rapidement la sécurité de niveau 2 avec 23 paramètres préconfigurés.
- Microsoft Edge for Business l’expérience de l’utilisateur final : découvrez comment les mesures de sécurité affectent l’interaction de l’utilisateur pour Microsoft Edge for Business.
- Résolution des problèmes et FAQ - Résoudre les problèmes liés aux stratégies de protection des applications avec des exemples de validation et des questions fréquemment posées.
Pour plus d’informations sur le contenu microsoft Edge Security, consultez Microsoft Edge for Business : IA et protection dans un navigateur d’entreprise sécurisé.
Niveaux de sécurité en un coup d’œil
| Level | Objectif | Utilisateurs classiques | Objectif de conception | Impact sur la productivité | Alignement des normes |
|---|---|---|---|---|---|
| Niveau 1 – De base | Établit une hygiène de base et une limite de données sécurisée. | Le personnel général (≈80 %). | Déploiement à faible friction qui permet une adoption à grande échelle. | Interruption minimale. | Contrôles de base NIST, DISA STIG CAT III. |
| Niveau 2 – Amélioré | Renforce la protection contre la perte de données (DLP) et resserre les surfaces à risque. | Responsables, INFORMATIQUE, RH, Finance (≈15 %). | Réduisez l’exfiltration des données et appliquez une navigation plus sûre. | Moderate : ajoute des invites et des blocs ciblés. | Contrôles modérés NIST, DISA STIG CAT II. |
| Niveau 3 – Élevé | Applique l’isolation maximale et la navigation avec privilège minimum. | Cadres supérieurs, SecOps, Juridique, rôles sensibles (≈5 %). | Contenir une activité à haut risque avec des garanties provables. | Élevé par conception pour protéger les données sensibles. | Contrôles élevés NIST, DISA STIG CAT I, contrôles critiques CISA. |
Ces niveaux de sécurité décrivent les résultats souhaités. Les guides d’implémentation liés mappent ces résultats à des outils de stratégie tels que les stratégies de protection des applications, les stratégies de configuration des applications, les profils de catalogue de paramètres et l’accès conditionnel.
Groupes de Microsoft Entra ID requis
Créez des groupes de sécurité avant de créer des stratégies afin de pouvoir cibler chaque niveau de manière cohérente :
-
Groupes d’appareils :
SEB-Level1-Devices,SEB-Level2-Devices,SEB-Level3-Devices,SEB-Excluded-Devices. -
Groupes d’utilisateurs :
SEB-Level1-Users,SEB-Level2-Users,SEB-Level3-Users,SEB-Excluded-Users.
Les groupes spécifiques au niveau prennent en charge les affectations progressives, tandis que les groupes d’exclusion fournissent des chemins d’accès de test et d’accès d’urgence sécurisés.
Couverture de la stratégie sur les plateformes
Utilisez la matrice suivante pour vérifier quels types de stratégies s’appliquent à chaque niveau et plateforme avant de vous plonger dans les articles pas à pas :
| Plateforme et type de stratégie | Niveau 1 | Niveau 2 | Niveau 3 | Points forts |
|---|---|---|---|---|
| Windows – Catalogue de paramètres | Configuration de l’hygiène principale. | Ajoute SmartScreen, le chiffrement lié à l’application et des contrôles d’extension plus larges. | Présente Application Guard, les listes d’autorisation d’URL et une gouvernance de mise à jour stricte. | Renforcement de l’appareil principal pour les points de terminaison Windows managés. |
| Windows : stratégies de Protection d'applications | Protection des données de base avec des limites de partage minimales. | Bloque le copier/coller et applique les contrôles d’intégrité de l’appareil. | Offre une assurance élevée avec des niveaux de menace sécurisés et un blocage d’imprimante. | Protège les données de travail sur les appareils Windows gérés et non gérés. |
| Windows – Stratégies de configuration des applications | Établit les pages d’accueil, les contrôles de mot de passe et les stratégies de téléchargement. | S’étend à la gestion des certificats, au webRTC et au nettoyage de session. | Force les listes d’autorisation, désactive les outils de développement et bloque les téléchargements. | Personnalisation approfondie du navigateur sans remplacer les stratégies d’appareil. |
| macOS – Catalogue de paramètres | Implémente les protections de base et la gestion des mises à jour. | Ajoute le verrouillage de l’outil de développement, les blocs WebUSB/WebHID et le DNS SmartScreen. | Force la navigation sur liste d’autorisation uniquement avec des restrictions de téléchargement et du Presse-papiers. | Le catalogue de paramètres est le plan de contrôle principal pour macOS. |
| iOS/iPadOS : configuration Protection d'applications & | Nécessite le code confidentiel, le chiffrement et les valeurs par défaut intelligentes de l’application. | Renforce les sauvegardes, bloque les captures d’écran et limite les destinations de partage. | Applique la force biométrique, les listes d’autorisation d’URL et les paramètres DLP élevés. | Couvre les appareils personnels et d’entreprise avec GAM + ACP. |
| Android : configuration Protection d'applications & | Fournit des paramètres fondamentaux de chiffrement, de code confidentiel et de SmartScreen. | Ajoute le blocage de sauvegarde, les vérifications d’intégrité de la lecture et les blocs de réseaux sociaux. | Nécessite la biométrie de classe 3, les options de kiosque et l’accès à la liste verte uniquement. | Met en miroir les protections iOS avec des contrôles spécifiques à Android. |
| Accès conditionnel (multiplateforme) | Introduit l’accès par navigateur uniquement avec les exigences MFA et APP. | Ajoute des contrôles de conformité des appareils, d’accès en fonction des risques et de fréquence de session. | Applique les emplacements à haut niveau de fiabilité, l’évaluation continue de l’accès et les clients approuvés. | Complète la configuration de stratégie avec une application basée sur l’identité. |
Secure Enterprise Browser
La solution Secure Enterprise Browser combine Microsoft Edge for Business avec l’infrastructure de stratégie complète de Microsoft Intune pour créer une expérience de navigation sécurisée et gérable sur toutes les plateformes. Cette solution étend l’infrastructure de protection des données éprouvée au-delà des stratégies de protection des applications pour inclure des stratégies de configuration d’application et des configurations de catalogue de paramètres, offrant une approche unifiée de la sécurisation des déploiements de navigateurs d’entreprise.
Data Protection Framework for Secure Enterprise Browser
L’infrastructure de protection des données pour secure Enterprise Browser s’appuie sur l’infrastructure de stratégie de protection des applications établie et l’étend pour englober tous les aspects de configuration de Microsoft Edge for Business. Cette infrastructure organise les configurations de sécurité en trois niveaux :
- Niveau 1 - Protection de base des données d’entreprise : configuration minimale recommandée pour les appareils d’entreprise. Ce niveau fournit des contrôles de sécurité fondamentaux tout en conservant la productivité des utilisateurs.
- Niveau 2 - Protection améliorée des données d’entreprise : recommandé pour les appareils qui accèdent à des informations sensibles ou confidentielles. Cette configuration s’applique à la plupart des utilisateurs qui accèdent aux données professionnelles ou scolaires et inclut des contrôles supplémentaires susceptibles d’affecter l’expérience utilisateur.
- Niveau 3 - Haute protection des données d’entreprise : conçu pour les organisations avec des exigences de sécurité sophistiquées ou les utilisateurs à risque élevé. Cette configuration fournit le niveau de protection le plus élevé pour les données sensibles.
Chaque niveau s’applique de manière cohérente aux stratégies de protection des applications, aux stratégies de configuration des applications et aux configurations de catalogue de paramètres, ce qui vous permet d’implémenter une stratégie de sécurité cohérente adaptée aux besoins de votre organization.
Qu’est-ce que Microsoft Edge for Business ?
Microsoft Edge for Business est votre navigateur sécurisé et axé sur la productivité, conçu pour le travail moderne. Conçu pour les appareils gérés et non gérés, il offre une sécurité et des contrôles de qualité professionnelle tout en conservant l’expérience Microsoft Edge que vous connaissez.
Avec la séparation automatique de la navigation professionnelle et personnelle, Microsoft Edge for Business crée des fenêtres dédiées pour chacune d’elles, avec leurs propres favoris, caches et stockage. Cette séparation signifie qu’il n’y a pas de mélanges, qu’il n’y a pas de fuite accidentelle de données et qu’il est possible de rester productif sans compromettre la confidentialité.
Pourquoi choisir Microsoft Edge for Business ?
- Sécurisé par défaut : protégez facilement les données sensibles.
- Conçu pour la productivité : fonctionnalités d’entreprise que vous connaissez déjà, optimisées pour le travail.
- Séparation intelligente : séparez clairement la navigation professionnelle et la navigation personnelle.
S’agit-il d’un nouveau navigateur ?
Non, il ne s’agit pas d’un nouveau navigateur. Il s’agit d’une nouvelle expérience Microsoft Edge dédiée conçue spécifiquement pour le travail. Il permet aux organisations de le configurer pour optimiser la productivité et la sécurité. Il conserve les mêmes fonctionnalités que celles que les utilisateurs connaissent déjà dans Microsoft Edge. En outre, il offre une fonctionnalité facultative de basculement automatique entre les comptes personnels et d’entreprise, conçue pour répondre aux besoins en constante évolution des utilisateurs et des entreprises. La connexion avec un Microsoft Entra ID active automatiquement l’expérience Microsoft Edge for Business.
Avantages
Microsoft Edge for Business offre une multitude d’avantages :
Opérations informatiques rationalisées : Microsoft Edge for Business peuvent réduire considérablement la surface d’exposition aux cyberattaques et améliorer la posture de sécurité de votre organization. Pour ce faire, il simplifie les opérations dans un seul navigateur pour tous les cas d’usage, ce qui simplifie la gestion informatique.
Amélioration de l’expérience utilisateur : Pour les utilisateurs finaux connectés avec des profils professionnels et personnels, Microsoft Edge for Business offre une expérience de navigation supérieure. La fonctionnalité de basculement automatique améliore non seulement la facilité d’utilisation, mais renforce également la sécurité et la confidentialité.
Navigateur de travail avec actualisation visuelle : L’icône Microsoft Edge for Business, qui remplace l’icône Microsoft Edge existante dans la barre des tâches et d’autres raccourcis, fournit une identité distincte et reconnaissable pour le navigateur d’entreprise.
Sécurité renforcée : Microsoft Edge for Business renforce l’expérience de navigation en implémentant des stratégies de protection des applications. Ces stratégies garantissent que les données d’entreprise restent sécurisées, offrant ainsi la tranquillité d’esprit à la organization et à ses utilisateurs.
Gestion centralisée : Microsoft Intune offre une gestion centralisée des stratégies pour Microsoft Edge for Business qui simplifie le processus, ce qui permet d’économiser du temps et des ressources.
En plus des avantages ci-dessus, vous pouvez activer l’accès protégé à la gestion des applications mobiles aux données d’entreprise sur les appareils personnels. Cette fonctionnalité utilise les fonctionnalités suivantes :
- Intune des stratégies de configuration d’application (ACP) avec Microsoft Edge for Business. L’utilisation d’ACP vous permet d’appliquer des paramètres Microsoft Edge pour mieux activer une expérience de navigation sécurisée.
- Intune des stratégies de protection des applications pour sécuriser organization données et garantir l’intégrité de l’appareil client.
- Protection contre les menaces mobiles (MTP) intégrée aux stratégies de protection des applications Intune pour détecter les menaces de santé locales sur windows personnel et tous les appareils mobiles.
- Microsoft Entra l’accès conditionnel pour vous assurer que l’appareil est protégé et sain avant d’accorder l’accès aux services protégés via Microsoft Entra.
Méthodologie Confiance nulle
La stratégie de sécurité Confiance nulle transforme la façon dont les organisations abordent la sécurité. Il devient la nouvelle norme pour la stratégie de sécurité en réponse à l’évolution du paysage des menaces. Les meilleures pratiques traditionnelles tournent autour du modèle de « confiance mais vérification », mais cette approche est exploitable par le biais d’attaques modernes. Cela est à l’origine de la nécessité d’un changement de stratégie de sécurité. La méthodologie Confiance nulle est basée sur le concept de « ne jamais faire confiance, toujours vérifier » et s’aligne sur trois principes clés :
- Vérifiez explicitement : Authentifiez et autorisez toujours en fonction de tous les points de données disponibles. Ces points de données incluent l’identité de l’utilisateur, l’emplacement, l’intégrité de l’appareil, le service/la charge de travail, la classification des données et les anomalies.
- Utiliser Least-Privilege Access : Limitez l’accès utilisateur avec des stratégies juste-à-temps et juste-assez d’accès (JIT/JEA). Implémentez des stratégies adaptatives basées sur les risques et la protection des données pour sécuriser les données et la productivité.
- Supposer une violation : Réduisez le rayon d’explosion et l’accès au segment. Assurez un chiffrement de bout en bout et utilisez l’analytique pour gagner en visibilité, favoriser la détection des menaces et améliorer les défenses.
Microsoft Edge for Business complète Confiance nulle
Microsoft Edge for Business, basé sur la base robuste et sécurisée de Chromium, est conçu pour rester à l’avance sur les menaces de sécurité. Il publie des mises à jour et des correctifs rapidement pour contrer les menaces telles que les attaques zero-day, ce qui réduit l’effet de toute compromission potentielle.
Outre les fonctionnalités de sécurité inhérentes à Chromium, Microsoft Edge for Business intègre des fonctionnalités de protection uniques et prend en charge une gamme de technologies Microsoft :
- Microsoft Defender : fournit des solutions de sécurité complètes.
- Microsoft Entra : offre des services de gestion des identités et des accès.
- Microsoft Intune : offre la gestion des appareils mobiles et des applications.
- Microsoft Purview : Prend en charge la gouvernance des données dans votre patrimoine de données hybride.
En outre, Microsoft Edge for Business s’aligne sur la méthodologie de Confiance nulle en offrant les fonctionnalités suivantes :
- Protection contre la perte de données (DLP) avec Microsoft Purview : Permet d’éviter les fuites de données et l’accès non autorisé aux données.
- Microsoft Defender SmartScreen : fournit une protection basée sur la réputation contre le hameçonnage et les programmes malveillants.
- Mode de sécurité renforcée (ESM) : Offre des mesures de sécurité supplémentaires.
- Protection contre les fautes de frappe du site web : Empêche la navigation vers des sites malveillants en raison d’erreurs typographiques.
- Prise en charge native de l’accès conditionnel Microsoft Entra : garantit que seuls les utilisateurs authentifiés et autorisés peuvent accéder à vos ressources.
- Surveillance et générateur de mots de passe : Permet de conserver des mots de passe forts et uniques.
- Service de gestion Microsoft Edge (EMS) : Fournit un contrôle centralisé sur vos déploiements Microsoft Edge.
- Prise en charge des appareils non managés avec Microsoft Intune gestion des applications mobiles : autorise l’accès sécurisé aux ressources d’entreprise à partir d’appareils non managés.
Qu’est-ce qu’il y a dans cette solution ?
Cette solution fournit des conseils complets pour l’implémentation de la configuration de Secure Enterprise Browser à l’aide de Microsoft Edge for Business et de Microsoft Intune. L’approche pas à pas couvre tous les types de stratégies et plateformes, organisés par méthode de configuration pour vous aider à créer une infrastructure de sécurité complète.
Passez à l’étape 1 pour créer Microsoft Entra accès conditionnel.