Microsoft Purview 数据丢失防护 (DLP) 监视和保护内置于 Microsoft Edge 商业版 浏览器中。 无需将设备载入 Microsoft Purview。 此集成有助于阻止用户使用 Edge 与云应用共享敏感信息。
开始之前
如果你不熟悉Microsoft Purview 收集策略、Microsoft Purview 即用即付计费模型或 Microsoft Purview DLP,则应熟悉以下文章中的信息:
授权
有关许可的信息,请参阅
在 Edge for Business 中保护从托管设备共享到非托管应用的数据是一项即用即付功能。 有关详细信息,请参阅 了解有关即用即付功能的详细信息。 有关设置即用即付计费模型的信息,请参阅 为新客户启用 Microsoft Purview 即用即付功能。
在使用 Edge for Business 时,已注册的 Entra (托管) 应用中的数据受到保护的方案包含在Microsoft 365 E5或等效许可证中。
权限
可在此处找到创建和部署 Purview DLP 策略的权限。
对于 Purview 之外的先决条件和配置,还需要权限。 有关所需权限的详细信息,请参阅 支持的云应用。
托管设备
可以保护由 Intune 管理的 Windows 10/11 设备。 用户必须使用其工作或学校帐户登录。
在这些设备上,Edge 直接与 Microsoft Purview 和 Edge 服务连接,以获取策略更新并应用保护。 边缘配置策略 阻止用户在未受保护的浏览器中使用受保护的应用。 如果用户尝试在未受保护的浏览器中访问非托管应用,他们将受到阻止,必须使用 Microsoft Edge。
Purview DLP 策略可帮助防止通过Microsoft Edge 商业版从托管设备共享到非托管 AI 应用。
Purview 收集策略 可以应用于与托管设备中的非托管 AI 应用的交互。
未托管的设备
非托管设备未连接到Intune,也不会使用 Microsoft Entra 加入组织。 用户不会使用其工作或学校帐户登录到设备。 相反,他们登录到其 Edge 工作配置文件以访问组织托管应用。
Edge 仅将非托管设备的浏览器 DLP 策略应用于工作配置文件。 当用户选择“个人”或“InPrivate”配置文件时,这些策略不适用。 将策略定向到非托管设备上的托管应用时,必须在 Edge 中强制实施工作配置文件。 对非托管设备的保护 有助于防止用户与 Edge for Business 中的云应用共享敏感信息。
支持的云应用
Microsoft Entra连接 (托管) 应用
Microsoft Entra连接 (托管) 应用是为Microsoft Entra单 Sign-On (SSO) 设置的业务应用。 当用户使用其工作或学校帐户访问它们时,策略适用。 非托管设备和托管设备支持 Edge for Business 中托管应用的策略。
若要创建和管理应用于托管应用的策略,需要额外的权限才能管理条件访问,并Microsoft Defender边缘 In-Browser 保护。
非托管云应用
这些应用不由组织管理。 用户无需使用其Microsoft工作或学校帐户登录即可访问这些帐户。 Intune托管的设备上支持 Edge for Business 中非托管云应用的策略。
Edge for Business 中浏览器策略支持的非托管云应用目前包括:
- OpenAI ChatGPT
- 谷歌双子座
- DeepSeek
- Microsoft Copilot
重要
非托管云应用功能仅适用于 智能 Microsoft 365 Copilot 副驾驶® 的使用者版本。 详细了解智能 Microsoft 365 Copilot 副驾驶®企业保护。
若要创建有助于防止从托管设备共享到非托管应用的 DLP 策略,必须将你使用的帐户分配到可以创建服务主体的角色,并且需要其他权限才能进行Microsoft Intune管理和Microsoft Edge 管理。
支持的浏览器
浏览器中云应用的 DLP 策略直接在 Microsoft Edge 商业版 中工作。
Edge for Business
从版本 142 开始,这些功能在 Edge 的两个最新稳定版本中可用。 有关受支持的 Edge 版本的详细信息,请参阅 Microsoft Edge 版本。
提示
开始使用智能 Microsoft Security Copilot 副驾驶®,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的智能 Microsoft Security Copilot 副驾驶®。
可以监视并对其执行操作的活动
可以在浏览器中审核和管理对敏感项的这些活动:
| 活动 | 设备类型 | 应用类型 | 支持的策略作 |
|---|---|---|---|
| 上传文本 | 托管 | 非 托管 | 允许、阻止,这两个作都已审核 |
| 上传文件 | 托管、非托管 | 托管 | 允许、阻止,这两个作都已审核 |
| 下载文件 | 托管、非托管 | 托管 | 允许、阻止,这两个作都已审核 |
| 剪切/复制数据 | 托管、非托管 | 托管 | 允许、阻止,这两个作都已审核 |
| 粘贴数据 | 托管、非托管 | 托管 | 允许、阻止,这两个作都已审核 |
| 打印数据 | 托管、非托管 | 托管 | 允许、阻止,这两个作都已审核 |
| 受保护的剪贴板 (预览版) | 托管、非托管 | 托管 | 请参阅 Microsoft Edge Protected 剪贴板 (预览) |
| 屏幕截图 (预览版) | 托管、非托管 | 托管 | 请参阅 Microsoft Edge Protected 剪贴板 (预览) |
托管应用交互的策略
面向浏览器中托管应用的 DLP 策略适用于在 Windows 10/11 和 macOS 中运行 Microsoft Edge 的桌面设备。
当策略应用于托管应用时,Edge 会自动禁用开发人员工具,并阻止在本机客户端中打开应用, (在审核和阻止模式下) 。
若要在 Edge 中为托管应用激活保护,请执行以下作:
- 将应用加入 条件访问应用控制
- 从连接的应用中导入用户组
- 使用自定义会话控件设置Microsoft Entra条件访问策略
- 配置 Edge for Business 浏览器内保护
- 创建面向托管应用交互的 Purview DLP 策略
- (可选) 在 Microsoft Edge 的Microsoft管理员门户设置中激活受保护的剪贴板和屏幕捕获防护功能
有关完整实现详细信息,请参阅 帮助防止用户与 Edge for Business 中的云应用共享敏感信息。
重要
如果用户的范围限定在 Edge 中托管云应用的 Purview DLP 策略中,并且Microsoft Defender会话策略或 Purview 终结点 DLP 策略,则可能无法通过 Purview 浏览器策略在 Edge 中应用保护。 从其他策略中删除或排除用户,以允许应用 Edge 中托管云应用的 Purview 策略。
首次将用户添加到策略时,如果用户已登录到应用,则可能不会立即应用该策略。 策略在令牌过期并再次登录后应用。 可以使用条件访问会话控制 更改登录频率 ,以缩短等待时间。
条件访问应用控制中存在一些已知限制,可能会影响针对浏览器中托管应用的 Purview 策略。 有关详细信息,请参阅 条件访问应用控制中的已知限制
非托管应用交互的策略
Windows 10/11 上的 Edge 支持有助于防止通过浏览器共享到非托管应用的 DLP 策略。
若要在 Edge 中激活保护,请执行以下作:
- 创建 Purview DLP 策略
- Microsoft Edge 管理服务自动创建在 Edge for Business 中激活 DLP 策略的配置策略。 配置策略使用 Microsoft Intune 策略在 Microsoft Edge 中激活 Purview 策略。
有关完整设置的详细信息,请参阅帮助防止通过Microsoft Edge 商业版从托管设备共享到非托管 AI 应用。
来自 Microsoft 适用于 AI 的数据安全状况管理 的非托管 AI 应用的默认策略
适用于 AI) 的 Microsoft Purview 适用于 AI 的数据安全状况管理 (DSPM提供了用于监视和阻止生成 AI 应用的建议策略。 在 DSPM 中使用一键式策略,让 AI 应用这些策略。
从托管应用交互访问数据
可以在Defender XDR调查中查看策略数据和警报。
从非托管应用交互访问数据
可以在活动资源管理器、审核日志和Defender XDR调查中查看活动和审核日志条目。 在活动资源管理器中,按设置为浏览器的强制平面进行筛选。 特定于 AI 应用的数据在 ai DSPM中也可见。