簡介
商務用 Microsoft Edge 中的 Protected Clipboard 設計用來協助組織透過控制受管理與非受管理網頁應用程式間的複製與貼上操作來保護敏感資料。 透過利用 Purview DLP 政策中針對託管雲端應用的設定,Protected Clipboard 有助於確保資料保持在管理員定義的可信範圍內,降低意外或故意資料外洩的風險,尤其在使用者與現代 SaaS 及生成式人工智慧工具互動時。
Edge for Business 中的 Protected Clipboard 讓組織能在剪貼簿層級保護敏感資料,兼顧安全與生產力。 憑藉政策驅動的執行、靜默的使用者體驗與靈活的管理控制,它是當今瀏覽器工作流程的現代解決方案。
注意
本文件主要聚焦於使用 Microsoft Purview DLP 政策,針對 Edge for Business (E5) 的託管雲端應用實施。 對於使用 Microsoft 365 E3 Intune 行動應用程式管理 (MAM) 的組織,請參閱下方章節,說明受保護剪貼板如何應用於工作設定檔。
關於螢幕擷取保護
為了打造更強大且統一的故事,Edge for Business 也包含螢幕擷取保護。 此功能限制在受保護瀏覽時的截圖與錄影,以保護敏感的企業資料安全。 啟用後,螢幕擷取僅在啟用複製:封鎖政策的頁面或網站上自動被封鎖。 截圖被視為防拷保護的延伸,有助於防止未經授權的螢幕擷取資料外洩,並搭配剪貼板控制。
當在邊緣管理服務入口中設定受保護剪貼簿切換時,螢幕擷取保護政策也會預設啟用。 這確保剪貼簿與螢幕擷取控制能協同運作,防止資料外洩。 截圖可用來繞過剪貼簿限制,因此預設啟用這兩種政策,能為敏感企業資料提供更全面的保護層。
注意
螢幕擷取保護政策僅適用於採用複製:封鎖 Purview DLP 政策的網站/頁面。 它不會全域封鎖截圖;執法範圍僅限於防拷保護生效的地點。
對於尋求超越 Purview DLP 政策、針對託管雲端應用程式執行的更廣泛截圖限制的組織,Microsoft Edge 也支援全域控制措施,如 DisableScreenshots 政策:
管理員可透過 Microsoft Edge 瀏覽器政策文件 DisableScreenshots | 在 Edge for Business 中封鎖所有網站的截圖Microsoft Learn
此政策會停用 Edge 內建的截圖與網頁擷取功能,但不會阻擋作業系統層級工具 (如 Windows 剪輯工具) 。
需求
要使用受保護的剪貼簿與螢幕擷取保護,請確保您的環境符合以下先決條件:
- 商務用 Microsoft Edge (推薦)
-
Microsoft 365 E3 或 E5 訂閱
- 針對在 Microsoft Purview 入口網站中設定的管理雲端應用程式的 Purview DLP 政策
- Intune MAM 支援
- 存取 邊緣管理服務入口 網站,選擇加入受保護剪貼簿及螢幕捕捉保護 (預覽) 。
定義 E5 的可信邊界
商務用 Microsoft Edge 中的 Protected Clipboard 讓組織能夠定義敏感資料如何以及在哪裡可以透過複製與貼上移動。 透過設定 Purview DLP 政策,管理員可以建立其可信邊界。 受信任的邊界意味著邊界內的資料無法離開,且無法被貼上到外部。 同時,邊界外的資料也能進入,必要時可貼入內部。
我們將可信邊界描述為一組受管理的網頁應用程式和網站,剪貼簿資料可以安全流動。 例如,將資料移出此範圍的嘗試, (例如將資料移入未管理的應用程式、個人瀏覽器分頁或生成式人工智慧工具) ,會被悄悄阻擋,降低資料外洩風險,同時不影響使用者生產力。
可信邊界是透過 Purview DLP 政策中針對受管雲端應用程式的設定來建立的。 系統管理員可以︰
- 指定要包含在政策邊界中的受管理雲端應用程式
- 針對特定使用者或群組的政策
- 隨著組織需求演變調整邊界
當針對受管雲的 Purview DLP 政策並套用複製動作的規則啟動時,Edge 會自動根據這些邊界強制剪貼簿控制,幫助防止敏感資料被貼上到可信邊界之外。
E3 的可信邊界
保護剪貼板也適用於使用Microsoft 365 E3與 Intune 行動應用程式管理 (MAM) 的組織。 在此情境中,受信任邊界即為 Edge 工作設定檔。 所有複製/貼上操作都限制在受管理的工作設定檔內。 也就是說,資料無法被貼上到設定檔外,確保敏感資訊即使在自帶裝置或未受管理的裝置上也能受到保護。
- 可信邊界: Edge 工作檔案 (Entra ID 身份)
- 政策執行:管理員會設定 Intune MAM 政策,限制工作設定檔內的複製/貼上。
- 使用者體驗: 複製貼上僅允許在受管理的設定檔內的網站與應用程式之間使用。 嘗試貼上個人資料外的資料會被阻擋,並顯示「您的組織資料無法貼上此處」。
模式重要
不同的組織和情境需要不同層級的剪貼板控制。 Protected Clipboard 提供多種執法模式,每種模式都能以獨特的方式塑造受信任的邊界。 這些模式能在安全性與生產力之間取得平衡,幫助保護資料共享,同時使用者能在核准環境中高效工作。 管理員可以隨著組織需求演變調整這些界限。
受保護的剪貼板模式說明
| 模式 | 資料會怎麼樣? (可信邊界結果) | Purview 管理雲端應用程式的 DLP 政策 |
|---|---|---|
| 未設定 | 資料可以自由流動。 沒有可信的界線被強制執行。 使用者可以在受管理的應用程式間複製貼上。 | Purview 政策規則會被執行,這可能包括封鎖文案。 |
| Tab-Only | 資料會保持在同一瀏覽器分頁的可信邊界內。複製貼上在那個分頁外會被阻擋。 |
可透過 Copy:Audit 或 Copy:Block 設定來啟動。 允許帶有 Audit 或 Block 的受管理應用程式在同一分頁內複製/貼上。 |
| 共享邊界 | 這些受管理應用程式形成一個共享的可信邊界。 剪貼簿資料無法離開這組受管理的應用程式。 |
由 Copy:Block 配置啟動 。 只有管理應用程式會用 Block 分享剪貼板。 僅有審核政策的管理應用程式會被排除在外,且不屬於邊界範圍。 |
| 混合式部署 | 這些網站共享更廣泛的可信邊界。 |
可透過 Copy:Audit 或 Copy:Block 設定啟動。 帶有 Audit 的應用程式可以貼到有 Block 的應用程式中。 用 Block 管理的應用程式無法貼到 Audit 的應用程式裡。 使用 Block 的管理應用程式只能在同一分頁出現。 |
所有模式都需要透過Microsoft Purview 設定的複製配置 Purview DLP 政策制定規則。
如何選擇模式
- 從你的資料保護目標開始:你想將資料保留在單一應用程式、多個應用程式群組內,或允許在受信任的應用程式內更廣泛地分享?
- 考慮使用者工作流程:若使用者需要在多個受管理應用程式間複製,共享邊界或混合式可能是最佳選擇。 對於嚴格隔離,Tab-Only 是理想的。
- 監控與調整:利用報告了解政策運作情況,並視需要調整你信任的界限。
開始使用
Protected Clipboard 設計簡潔且能無縫整合於您現有的安全工作流程中。 請參閱 協助防止用戶在 Edge for Business 中與雲端應用程式分享敏感資訊 |Microsoft 學習 開始。 簡而言之:
1. 政策制定
從 Purview 入口網站開始。
為受管雲端應用程式建立政策 ,定義你的可信邊界,並指定哪些受管理應用程式可以交換剪貼簿資料。
2. 政策分配
將政策指派給相關使用者或群組。 一旦指派完成,Purview 政策會在 Edge for Business 中自動啟用。 然而,受保護的剪貼簿強制執行則需透過邊緣管理服務入口網站 (第三步) 設定來限制。 使用者端不需要人工介入。
3. 剪貼板執法 a. 在可信範圍內: 使用者可以在受管理的網頁應用程式間複製貼上。 b. 越界: 嘗試將內容貼入未管理的應用程式、個人瀏覽器分頁或生成式人工智慧工具時,都會被無聲阻擋。 沒有彈出視窗或警告;膏狀物根本無法奏效。
4. 監控 & 報告
利用 Purview 的政策資料與警示 來監控政策成效,包括被阻擋的貼上嘗試。 這有助於合規和故障排除。
注意
當在邊緣管理服務入口中設定受保護剪貼簿切換時,螢幕擷取保護政策也會預設啟用。 請參閱上方章節以獲得更多資訊。
更多自訂功能即將推出 ()
受保護剪貼簿及相關政策控制目前處於預覽階段。 未來版本還計劃加入更多自訂選項,並與 Microsoft Purview 團隊密切合作開發。 這些改進將允許更細緻的執法與彈性,並讓管理員能更掌控資料保護情境,以符合獨特的業務需求、使用者群體及合規要求,帶來更穩健且具彈性的安全態勢。
請參閱 Microsoft 365 Edge for Business 的路線圖 ,以獲得最新的功能可用性資訊。
注意
由於這些功能仍處於預覽階段,功能與可用性可能會有所變動。 最新更新請參閱官方 Microsoft 文件與路線圖溝通。
意見反應與支援
這項體驗由 Microsoft 支援服務支援。 你可以聯絡 Microsoft 支援服務,回報問題或提供回饋。 您也可以在我們的 TechCommunity 論壇留下意見反應。