Microsoft Purview 資料外洩防護 (DLP) 監控與保護都內建於 商務用 Microsoft Edge 瀏覽器中。 你不需要把裝置導入 Microsoft Purview。 此整合幫助你阻止用戶透過 Edge 與雲端應用程式間分享敏感資訊。
開始之前
如果您是 Microsoft Purview 收款政策、Microsoft Purview 按需付費計費模式或 Microsoft Purview DLP 的新手,您應該熟悉以下文章中的資訊:
授權
有關授權資訊,請參見
在 Edge for Business 中,保護從受管理裝置分享到未受管理應用程式的資料,是一種按使用量付費的功能。 欲了解更多資訊,請參閱「隨用付費」功能詳情。 關於如何設定隨用付費計費模式的資訊,請參閱 「啟用 Microsoft Purview 新客戶隨用隨付功能」。
在使用 Edge for Business 時,保護 Entra 註冊 (管理) 應用程式資料的情境,包含在 Microsoft 365 E5 或同等授權中。
權限
對於 Purview 以外的前置條件與設定,也需要取得權限。 欲了解更多所需權限資訊,請參閱 支援的雲端應用程式。
管理裝置
你可以保護由 Intune 管理的 Windows 10/11 裝置。 用戶必須使用工作或學校帳號登入。
在這些裝置上,Edge 直接連接 Microsoft Purview 和 Edge 服務,以獲取政策更新並套用保護措施。 Edge 設定政策 會阻止使用者在未受保護的瀏覽器中使用受保護的應用程式。 如果使用者嘗試在未受保護的瀏覽器中存取未受管理的應用程式,他們會被封鎖,必須使用 Microsoft Edge。
Purview DLP 政策可協助防止商務用 Microsoft Edge 從受管裝置分享給非管理 AI 應用程式。
Purview 的收集政策 可套用於受管理裝置與未管理的 AI 應用程式互動。
未受管理的裝置
非受管理裝置不會連接到 Intune,也不會透過 Microsoft Entra 與你的組織連結。 使用者不會用工作或學校帳號登入裝置。 他們會登入 Edge 工作個人檔案,才能存取組織管理的應用程式。
Edge 只對工作設定檔套用瀏覽器 DLP 政策,針對未受管理裝置。 當用戶選擇個人或 InPrivate 個人檔案時,這些政策並不適用。 當你將政策針對未受管理裝置上的受管理應用程式時,必須在 Edge 強制執行工作設定檔。 對於未受管理裝置的保護 措施,有助於防止用戶在 Edge for Business 中與雲端應用程式分享敏感資訊。
支援的雲端應用程式
Microsoft Entra 連接 (管理) 應用程式
Microsoft Entra連接 (管理) 應用程式是為單 Sign-On (SSO) 設定的商業應用程式Microsoft Entra。 當使用者以工作或學校帳號存取時,政策會適用。 Edge for Business 中託管應用程式的政策支援於非管理裝置與受管理裝置。
要建立和管理適用於受管理應用程式的政策,條件存取管理需要額外權限,邊緣 In-Browser 保護則需Microsoft Defender權限。
非管理雲端應用程式
這些應用程式並非由你的組織管理。 使用者無需登入 Microsoft 工作或學校帳號即可存取。 Intune 管理裝置支援 Edge for Business 中非管理雲端應用的政策。
Edge for Business 目前支援的瀏覽器政策非管理雲端應用程式包括:
- OpenAI ChatGPT
- Google Gemini
- 深尋
- Microsoft Copilot
重要事項
非管理式雲端應用程式的功能僅適用於消費者版的 Microsoft 365 Copilot。 了解更多關於 Microsoft 365 Copilot 企業保護的資訊。
要建立有助於防止受管理裝置與非管理應用程式分享的 DLP 政策,您必須將帳號分配到可建立服務主體的角色,且 Microsoft Intune 與Microsoft Edge 管理需額外權限。
支援的瀏覽器
瀏覽器中雲端應用程式的 DLP 政策直接在 商務用 Microsoft Edge 中運作。
商業邊緣
這些功能皆可在 Edge 最新穩定版本中使用,從版本 142 開始。 欲了解更多支援版本的 Edge 資訊,請參閱 Microsoft Edge 版本。
提示
立即開始使用 Microsoft Security Copilot,探索利用 AI 力量更聰明、更快速地工作的新方法。 在 Microsoft Purview 中了解更多關於 Microsoft Security Copilot 的資訊。
您可以監視和採取動作的活動
你可以在瀏覽器中審核並管理這些敏感項目的活動:
| 活動 | 裝置類型 | 應用程式類型 | 支持的政策行動 |
|---|---|---|---|
| 上傳文字 | 受管理 | 未管理 | 允許、封鎖、兩個行動都被稽核 |
| 上傳檔案 | 管理與管理 | 受管理 | 允許、封鎖、兩個行動都被稽核 |
| 下載檔案 | 管理與管理 | 受管理 | 允許、封鎖、兩個行動都被稽核 |
| 剪輯/複製資料 | 管理與管理 | 受管理 | 允許、封鎖、兩個行動都被稽核 |
| 貼上資料 | 管理與管理 | 受管理 | 允許、封鎖、兩個行動都被稽核 |
| 列印資料 | 管理與管理 | 受管理 | 允許、封鎖、兩個行動都被稽核 |
| 受保護剪貼簿 (預覽) | 管理與管理 | 受管理 | 請參閱Microsoft Edge 保護剪貼板 (預覽) |
| 螢幕截圖 (預覽) | 管理與管理 | 受管理 | 請參閱Microsoft Edge 保護剪貼板 (預覽) |
託管應用程式互動政策
針對瀏覽器中受管理應用程式的 DLP 政策,適用於在 Windows 10/11 和 macOS 中運行 Microsoft Edge 的桌面裝置。
Edge 會自動停用開發者工具,並在管理應用程式在審核與封鎖模式下 () 時,自動停用開發者工具並阻止應用程式在原生客戶端中被開啟。
要在 Edge 中為受管應用程式啟用保護:
- 板上應用程式到 條件存取應用程式控制
- 從連接的應用程式匯入使用者群組
- 建立一個帶有自訂會話控制的 Microsoft Entra 條件存取政策
- 在瀏覽器內設定 Edge for Business 保護
- 建立針對受管理應用程式互動的 Purview DLP 政策
- (選擇) 在 Microsoft 管理員 Portal 設定中啟用受保護剪貼簿與螢幕擷取防止功能,適用於 Microsoft Edge
完整實作細節請參閱 Edge for Business 中的「幫助防止使用者與雲端應用程式分享敏感資訊」。
重要事項
若使用者在 Edge 與 Microsoft Defender 會話政策中被 Purview DLP 政策針對受管理雲端應用程式,或 Purview Endpoint 的 DLP 政策,Purview 瀏覽器政策可能無法在 Edge 中適用保護。 移除或排除其他政策中的使用者,讓 Edge 中管理雲端應用程式的 Purview 政策得以套用。
當你第一次將使用者加入政策時,如果他們已經登入應用程式,政策可能不會立即套用。 該政策會在他們的令牌到期後再次登入後生效。 你可以用條件存取會話控制 來縮短登入頻率 。
條件存取應用程式控制有一些已知限制,可能會影響瀏覽器中針對受管應用程式的 Purview 政策。 欲了解更多資訊,請參閱 條件存取應用程式控制的已知限制
未管理應用程式互動政策
Windows 10/11 的 Edge 支援透過瀏覽器防止與未管理應用程式分享的 DLP 政策。
要在 Edge 啟動防護:
- 建立 Purview DLP 政策
- Microsoft Edge 管理服務會自動建立啟用 Edge for Business DLP 政策的設定政策。 設定政策會使用 Microsoft Intune 政策來啟用 Microsoft Edge 中的 Purview 政策。
完整設定細節請參閱「幫助防止透過商務用 Microsoft Edge 與受管裝置中未受管理的 AI 應用程式分享」。
Microsoft 針對未管理 AI 應用程式的預設政策 適用於 AI 的資料安全性態勢管理
Microsoft Purview 適用於 AI 的資料安全性態勢管理 (DSPM for AI) 提供建議的政策來監控和封鎖生成式 AI 應用程式。 在 DSPM for AI 中使用一鍵政策來套用。
從受管應用程式互動中存取資料
您可以在 Defender 全面偵測回應調查中查看政策資料與警示。
從未管理的應用程式互動中存取資料
你可以在活動總管、稽核日誌以及 Defender 全面偵測回應調查中查看活動和稽核日誌條目。 在活動總管中,依強制平面篩選為瀏覽器。 AI 應用程式專用的資料也會在 DSPM for AI 中顯示。