Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
мониторинг и защита Защита от потери данных Microsoft Purview (DLP) встроены непосредственно в браузер Microsoft Edge для бизнеса. Вам не нужно подключить устройство к Microsoft Purview. Эта интеграция помогает запретить пользователям предоставлять доступ к конфиденциальной информации в облачные приложения и из нее с помощью Edge для бизнеса.
Подготовка к работе
Если вы не знакомы с политиками сбора Microsoft Purview, моделями выставления счетов microsoft Purview с оплатой по мере использования или Microsoft Purview DLP, ознакомьтесь со сведениями, приведенными в следующих статьях:
- Политики сбора
- Сведения о защите от потери данных
- Сведения о моделях выставления счетов Microsoft Purview
- Начало работы с обозревателем действий
Лицензирование
Сведения о лицензировании см. в разделе
Защита данных, передаваемых с управляемого устройства в неуправляемое приложение в Edge для бизнеса, — это функция оплаты по мере использования. Дополнительные сведения см. в статье Дополнительные сведения о возможностях с оплатой по мере использования и определениях запросов. Сведения о настройке модели выставления счетов с оплатой по мере использования см. в статье Включение функций Microsoft Purview с оплатой по мере использования для новых клиентов.
Сценарии, в которых данные в Microsoft Entra зарегистрированных (управляемых) приложениях защищены при использовании Edge для бизнеса, включаются в Microsoft 365 E5 или эквивалентную лицензию.
Разрешения
Разрешения на создание и развертывание политик защиты от потери данных Microsoft Purview можно найти здесь.
Вам также требуются разрешения для предварительных требований и конфигураций за пределами Microsoft Purview. Дополнительные сведения о необходимых разрешениях см. в разделе Поддерживаемые облачные приложения.
Управляемые устройства
Вы можете защитить устройства Windows 10 и Windows 11, управляемые Microsoft Intune. Пользователи должны войти на устройство с помощью рабочей или учебной учетной записи.
На этих устройствах Edge для бизнеса подключается непосредственно к службам Microsoft Purview и Microsoft Edge для получения обновлений политики и применения мер защиты. Политики конфигурации Microsoft Edge блокируют использование защищенных неуправляемых облачных приложений в незащищенных браузерах. Если пользователи пытаются получить доступ к неуправляемым приложениям в незащищенном браузере, они блокируются и должны использовать Edge для бизнеса.
Политики защиты от потери данных в Microsoft Purview помогают предотвратить совместное использование через Edge для бизнеса с управляемых устройств в неуправляемые приложения ИИ, а политики сбора Microsoft Purview можно применять к взаимодействию с неуправляемыми приложениями ИИ с управляемых устройств. Политики, предназначенные для неуправляемых приложений на управляемых устройствах, применяются ко всем профилям браузера Edge (рабочий профиль, личный профиль и InPrivate).
Неуправляемые устройства
Неуправляемые устройства не подключены к Intune или не присоединяются к вашей организации с помощью Microsoft Entra. Пользователи не входят в устройство с помощью рабочей или учебной учетной записи. Вместо этого они входят в свой рабочий профиль Edge для бизнеса, чтобы получить доступ к приложениям, управляемым организацией, с неуправляемого устройства.
Edge для бизнеса применяет политики защиты от потери данных для неуправляемых устройств к идентификатору рабочего профиля. Эти политики не применяются, если пользователи выбирают личный профиль или профиль InPrivate, за исключением случаев, когда к рабочему профилю, используемому для открытия окна InPrivate , применена политика. При нацелии политик на управляемые приложения на неуправляемых устройствах необходимо применить рабочий профиль в Edge для бизнеса. Защита неуправляемых устройств помогает предотвратить предоставление пользователям общего доступа к конфиденциальной информации в облачных приложениях в Edge для бизнеса.
Поддерживаемые облачные приложения
Microsoft Entra подключенных (управляемых) приложений
Microsoft Entra подключенные (управляемые) приложения — это бизнес-приложения, настроенные для Microsoft Entra единого входа. Политики применяются, когда пользователи получают доступ к ним в Edge для бизнеса с помощью учетных данных рабочей или учебной учетной записи. Политики для управляемых приложений в Edge для бизнеса поддерживаются на неуправляемых устройствах, а управляемые устройства и политики применяются только в рабочем профиле Edge.
Чтобы активировать политики, применяемые к управляемым приложениям, требуются дополнительные разрешения для администрирования условного доступа и Microsoft Defender для защиты пограничных In-Browser.
Неуправляемые облачные приложения
Ваша организация не управляет этими приложениями. Пользователи получают доступ к ним без входа с помощью рабочей или учебной учетной записи Майкрософт. Политики для неуправляемых облачных приложений в Edge для бизнеса можно использовать на устройствах, управляемых Intune, а политики применяются ко всем профилям браузера Edge (рабочий профиль, личный профиль и InPrivate).
Чтобы полностью активировать политики защиты от потери данных для неуправляемых приложений, требуются дополнительные группы и политики за пределами Purview. Это поведение автоматизировано и активируется действием администратора в Purview. После сохранения первой коллекции Purview или политики защиты от потери данных, предназначенных для неуправляемых приложений в Edge для бизнеса, Служба управления Microsoft Edge автоматически создает необходимые конфигурации и политики за пределами Purview и управляет ими. Дополнительные сведения см. в статье Автоматическая активация политики защиты от потери данных Microsoft Purview в Microsoft Edge.
Чтобы полностью активировать политики Purview в Edge для бизнеса, администратору требуются следующие разрешения:
Политики браузера в Edge для бизнеса поддерживают следующие неуправляемые приложения:
- Adobe Firefly
- CapCut
- ChatGPT (потребитель)
- Cohere
- DeepAI
- DeepSeek
- Google Gemini
- Grok (xAI)
- Meta AI
- Microsoft Copilot 365 Chat
- ИИ понятия
- Otter.ai
- ИИ «Недоумение»
- QwenAI
- Qwen Chat
- Подиум
- Текстовая кортекса
- Textcortex Zenochat
- Вы (You.com)
Примечание.
Неуправляемая функция защиты от потери данных в облачном приложении применяется только к потребительской версии Microsoft 365 Copilot. Дополнительные сведения о корпоративной версии и доступных функциях защиты от потери данных см. в статье Дополнительные сведения о защите Microsoft 365 Copilot enterprise.
Важно!
- Если для одного приложения существует несколько записей каталога с различиями в имени записи (например, QwenAI и Qwen Chat), включаются все записи для приложения, чтобы избежать непреднамеренных пробелов в покрытии.
- Когда вы нацелены на неуправляемое облачное приложение в политике, обнаружение основано на трафике целевого приложения, который не всегда точно совпадает с исходящим приложением.
- Некоторые неуправляемые приложения ИИ, такие как Runway и Meta AI, могут периодически отправлять содержимое в закодированной форме в динамически создаваемые конечные точки, что может повлиять на применение политик.
Поддерживаемые браузеры
Политики защиты от потери данных для облачных приложений в браузере работают непосредственно в Edge для бизнеса.
Edge для бизнеса
Эти функции доступны в двух последних стабильных версиях Edge для бизнеса, начиная с версии 144. Дополнительные сведения о версиях Edge для бизнеса см. в разделе Выпуски Microsoft Edge.
Важно!
Политики безопасности данных браузера Microsoft Purview не применяются к гостевым пользователям B2B.
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
Действия, доступные для отслеживания и реагирования
Вы можете выполнять аудит и управлять этими действиями в отношении конфиденциальных элементов в браузере:
| Действие | Тип устройства | Тип приложения | Поддерживаемые действия политики |
|---|---|---|---|
| Отправка текста | Управление | Неуправляемые | разрешить, блокировать, оба действия проверены |
| Отправка файла | Управляемый, неуправляемый | Управляемый, неуправляемый | разрешить, блокировать, оба действия проверены |
| Скачивание файла | Управляемый, неуправляемый | Управление | разрешить, блокировать, оба действия проверены |
| Вырезаение и копирование данных | Управляемый, неуправляемый | Управление | разрешить, блокировать, оба действия проверены |
| Вставка данных | Управляемый, неуправляемый | Управление | разрешить, блокировать, оба действия проверены |
| Печать данных | Управляемый, неуправляемый | Управление | разрешить, блокировать, оба действия проверены |
| Защищенный буфер обмена (предварительная версия) | Управляемый, неуправляемый | Управление | См. раздел Защищенный буфер обмена Microsoft Edge (предварительная версия) |
| Снимок экрана (предварительная версия) | Управляемый, неуправляемый | Управление | См. раздел Защищенный буфер обмена Microsoft Edge (предварительная версия) |
Важно!
Некоторые действия имеют ограничения:
- Вырезание и копирование данных, вставка данных и печать данных можно использовать только с условием управляемых или неуправляемых устройств.
- Действие скачивания файла не поддерживается для приложений, которые не соответствуют конвейеру загрузки Microsoft Edge для бизнеса.
Политики для взаимодействия с управляемыми приложениями
Политики защиты от потери данных, предназначенные для управляемых приложений в браузере, применяются к Edge для бизнеса в Windows 10/11 и классическим устройствам macOS, когда пользователь входит в свой рабочий профиль Edge для бизнеса.
Edge для бизнеса автоматически отключает средства разработчика и блокирует открытие приложений в собственных клиентах, когда политики применяются к управляемым приложениям (как в режиме аудита, так и в режиме блокировки).
Чтобы активировать защиту в рабочем профиле Edge для бизнеса для управляемых приложений, выполните следующие действия.
Подключение приложений к элементу управления условным доступом.
Импорт групп пользователей из подключенных приложений. Этот шаг позволяет ориентироваться на группы в политике условного доступа Entra и политиках Purview для управляемых приложений в Edge для бизнеса.
Настройте политику условного доступа Microsoft Entra с пользовательскими элементами управления сеансами.
Настройка защиты Edge для бизнеса в браузере.
(Необязательно) Активируйте защищенный буфер обмена и возможности защиты от захвата экрана в параметрах портала Microsoft Администратор для Microsoft Edge.
Полные сведения о реализации см . в статье Предотвращение совместного доступа пользователей к конфиденциальной информации с помощью облачных приложений в Edge для бизнеса.
Важно!
Защита может не применяться в Edge для бизнеса к управляемым приложениям, включенным в политику браузера Microsoft Purview, если пользователь находится в область для политики защиты от потери данных в управляемом облачном приложении Microsoft Purview и политики сеанса Microsoft Defender или политики защиты от потери данных конечной точки Microsoft Purview. Необходимо удалить или исключить пользователей из Microsoft Defender и политик защиты от потери данных конечной точки для управляемых облачных приложений в Edge для бизнеса.
При первом добавлении пользователей в политики политика может быть применена не сразу, если они уже вошли в приложение. Политика применяется после истечения срока действия маркера и повторного входа. Вы можете изменить частоту входа, используя элементы управления сеансом условного доступа, чтобы сократить время ожидания.
Некоторые известные ограничения в элементе управления условным доступом к приложениям могут повлиять на политики Microsoft Purview, предназначенные для управляемых приложений в браузере. Дополнительные сведения см. в разделе Известные ограничения в управлении условным доступом к приложениям.
Политики для неуправляемого взаимодействия с приложениями
Политики защиты от потери данных, предназначенные для неуправляемых приложений в браузере, применяются к Microsoft Edge для бизнеса на Windows 10 и Windows 11 настольных устройствах, управляемых Microsoft Intune. Сведения о настройке см. в статье Предотвращение совместного использования с помощью Edge для бизнеса неуправляемых приложений ИИ с управляемых устройств.
Важно!
Встроенная защита Microsoft Purview в Microsoft Edge для бизнеса для неуправляемых приложений не поддерживает клиентов, которые используют утверждение нескольких администраторов в Microsoft Intune. Дополнительные сведения см. в разделе Утверждение несколькими администраторами.
При активации политики защиты от потери данных Microsoft Purview для неуправляемых облачных приложений Purview автоматически создает необходимые политики конфигурации Microsoft Edge и Microsoft Intune политики (за пределами Purview) и назначает включенных пользователей.
Если настроить блокировку политики защиты от потери данных, пользователи в область не смогут использовать незащищенные браузеры, где политика не применяется. Это ограничение не влияет на их работу в Microsoft Edge для бизнеса.
Дополнительные сведения см. в статье Активация политики Microsoft Purview в Microsoft Edge.
Активация защиты в Microsoft Edge для бизнеса выполняется следующим образом:
- Создайте политику защиты от потери данных Microsoft Purview, ориентированную на неуправляемое взаимодействие с приложениями.
- Служба управления Microsoft Edge автоматически создает политики конфигурации, которые активируют политики защиты от потери данных в Microsoft Edge для бизнеса. Политики конфигурации используют политики Microsoft Intune для активации политик Microsoft Purview в Microsoft Edge для бизнеса.
- Создайте политику сбора , предназначенную для неуправляемых приложений в браузере, чтобы определить дополнительный общий доступ к конфиденциальным данным, который может происходить в вашей организации.
Важно!
Если автоматическое поведение не удается синхронизировать, Microsoft Purview отображает сообщение об ошибке. Purview не применяет политики защиты от потери данных и сбора данных для неуправляемых приложений в Edge для бизнеса, пока вы не устраните ошибку. Администратор с необходимыми разрешениями должен выполнить повторную синхронизацию для устранения ошибки. Дополнительные сведения см. в статье Активация политики Microsoft Purview в Microsoft Edge.
Политики по умолчанию для неуправляемых приложений ИИ от Microsoft Управление состоянием безопасности данных для ИИ
Управление состоянием безопасности данных для ИИ Microsoft Purview (DSPM для ИИ) предлагает рекомендуемые политики для мониторинга и блокировки поддерживаемых неуправляемых приложений искусственного интеллекта. Используйте политики одним щелчком в DSPM для применения ИИ.
Доступ к данным из взаимодействия с управляемыми приложениями
Данные политики и оповещения можно просматривать в Defender XDR исследованиях.
Доступ к данным из неуправляемых взаимодействий с приложениями
Вы можете просматривать действия и записи журнала аудита в обозревателе действий, журналах аудита и Defender XDR исследованиях. В обозревателе действий выполните фильтрацию по плоскости принудительного применения, задайте для параметра браузер. Данные, относящиеся к приложениям ИИ, также отображаются в DSPM для ИИ.
Работа с предотвращением потери данных конечной точки Microsoft Purview
Политики защиты от потери данных конечных точек имеют приоритет над встроенными политиками защиты от потери данных для облачных приложений в Edge для бизнеса, если в обеих политиках настроен один и тот же пользователь, контекст и действие. Например, если у вас есть политика защиты от потери данных конечной точки, которая блокирует отправку файлов, а также встроенная политика для облачных приложений в Edge для бизнеса, которая отслеживает отправку файлов. Политика защиты от потери данных в конечной точке имеет приоритет и применяется. Дополнительные сведения см. в статье Сведения о защите от потери данных в конечной точке.