Microsoft Edge for Businessでのブラウザー内保護 (プレビュー)
Defender for Cloud Apps Microsoft Edge for Businessを使用し、セッションポリシーの対象となるユーザーは、ブラウザー内から直接保護されます。 ブラウザー内保護によりプロキシの必要性が減り、セキュリティと生産性の両方が向上します。
保護されたユーザーは、待機時間やアプリの互換性の問題がなく、より高いレベルのセキュリティ保護を使用して、クラウドアプリでスムーズなエクスペリエンスを体験できます。
ブラウザー内保護の要件
ブラウザー内保護を使用するには、ユーザーがブラウザーの仕事用プロファイルにいる必要があります。
Microsoft Edgeプロファイルを使用すると、ユーザーは閲覧データを個別のプロファイルに分割できます。各プロファイルに属するデータは、他のプロファイルとは別に保持されます。 たとえば、ユーザーが個人用の閲覧と仕事用に異なるプロファイルを持っている場合、個人のお気に入りと履歴は仕事用プロファイルと同期されません。
ユーザーが個別のプロファイルを持っている場合、仕事用ブラウザー (Microsoft Edge for Business) と個人用ブラウザー (Microsoft Edge) には個別のキャッシュと保存場所があり、情報は個別のままです。
ブラウザー内保護を使用するには、ユーザーは次の環境要件も満たしている必要があります。
| 要件 | 説明 |
|---|---|
| オペレーティング システム | Windows 10 または 11 |
| Identity platform | Microsoft Entra ID |
| Microsoft Edge for Businessのバージョン | 122 以上 |
| サポートされているセッションポリシー | -ファイルのダウンロードをブロック\監視 (すべてのファイル\機密ファイル) -ファイルのアップロードをブロック\監視 -コピー\カットをブロック\監視 -印刷をブロック\監視 Microsoft Edge for Businessでサポートされていないポリシーを少なくとも1つ含む、複数のポリシーによってサービスを提供されているユーザーのセッションは、常にリバースプロキシによって提供されます。 Microsoft Entra IDポータルで定義されているポリシーも、常にリバースプロキシによって提供されます。 |
その他のすべてのシナリオは、標準のリバースプロキシテクノロジを使用して自動的に提供されます。これには、ブラウザー内保護をサポートしていないブラウザーからのユーザーセッションや、ブラウザー内保護でサポートされていないポリシーが含まれます。
たとえば、次のユーザーはすべてリバースプロキシによって提供されます。
- Google Chromeユーザー
- ブロック貼り付けポリシーにスコープされているMicrosoft Edgeユーザー
- Androidデバイス上のMicrosoft Edgeユーザー
- OKTA認証方法を使用するアプリのユーザー
- InPrivateモードのMicrosoft Edgeユーザー
- 以前のバージョンのブラウザーを使用しているMicrosoft Edgeユーザー
- B2B ゲスト ユーザー
ブラウザー内保護のユーザーエクスペリエンス
ブラウザーのアドレスバーに追加の"ロック"アイコンが表示されるため、ユーザーはMicrosoft Edge for Businessでブラウザー内保護を使用していることがわかります。 このアイコンは、セッションがDefender for Cloud Appsによって保護されていることを示します。 次に例を示します。
また、ブラウザー内保護を使用すると、ブラウザーのアドレスバーに.mcas.msサフィックスは表示されません。これは、標準の条件付きアクセスアプリコントロールの場合と同様であり、ブラウザー内保護を使用すると開発者ツールが無効になります。
ブラウザー内保護のための作業プロファイルの適用
ブラウザー内保護を使用してcontoso.comの作業リソースにアクセスするには、ユーザーは自分のusername@contoso.comプロファイルを使用してサインインする必要があります。 ユーザーが作業プロファイルの外部から作業リソースにアクセスしようとすると、作業プロファイルに切り替えるか、存在しない場合は作成するように求められます。 ユーザーは現在のプロファイルを続行することもできます。その場合は、リバースプロキシアーキテクチャによって処理されます。
ユーザーが新しい作業プロファイルを作成する場合は、 [組織によるデバイスの管理を許可する] オプションが表示されます。 このような場合、ユーザーはこのオプションを選択しなくても、作業プロファイルを作成したり、ブラウザー内保護を利用したりできます。
詳細については、 「Microsoft Edge for Business」 および 「Microsoft Edgeに新しいプロファイルを追加する方法」 を参照してください。
ブラウザー内保護設定を構成します
Microsoft Edge for Businessによるブラウザー内保護は、既定で有効になっています。 管理者は、統合のオンとオフを切り替えることができます。また、Edge以外のユーザーに対して、パフォーマンスとセキュリティを強化するためにMicrosoft Edgeに切り替えるように求めるメッセージを構成することもできます。
ブラウザー内保護設定を構成するには:
Microsoft Defenderポータルで、 [設定]> [Cloud Apps> Conditional Access App Control> Edge for Business protection] を選択します。
必要に応じて次の設定を構成します。
[Edge for Business protectionを有効にする] オプションをまたはに切り替えます。
パフォーマンスとセキュリティを向上させるために、Edge以外のブラウザーのユーザーにMicrosoft Edge for Businessを使用するように通知することを選択します。
Edge以外のユーザーに通知することを選択した場合は、既定のメッセージを使用するか、独自のメッセージをカスタマイズするかを選択します。
完了したら、 [保存] を選択して変更を保存します。
Microsoft PurviewとEndpointのデータ損失防止を使用します
Defender for Cloud AppsポリシーとMicrosoft Purview Endpointデータ損失防止ポリシー (DLP) の両方に対して同じコンテキストとアクションが構成されている場合は、エンドポイントDLPポリシーが適用されます。
たとえば、SalesforceへのファイルのアップロードをブロックするエンドポイントDLPポリシーがあり、Salesforceへのファイルのアップロードを監視するDefender for Cloud Appsポリシーもある場合は、エンドポイントDLPポリシーが適用されます。
詳細については、 「データ損失防止について」 を参照してください。
関連するコンテンツ
詳細については、 「Microsoft Defender for Cloud Apps conditional access app control」 を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示