适用于企业的 Microsoft Edge 安全

项目
09/02/2023

注意

Microsoft Edge for Business 现已在 Edge 稳定版本 116 中提供！详细了解内置了本机企业级安全性、生产力、可管理性和 AI 的全新专用工作经验。

Microsoft Edge 建立在 Chromium 开放源代码项目（与 Google Chrome 核心相同的项目）之上，这意味着它在其基础上共享同样经过精心设计和测试的安全体系结构和设计。 Microsoft Edge 安全案例并不就此止步。它具有强大的内置防御网络钓鱼和恶意软件防御功能，并且本机支持 Windows 上的硬件隔离 - 无需其他软件即可实现此安全基线。此外，当与 Microsoft 365 安全和合规性服务的本机支持配合使用时，Microsoft Edge 提供了额外的强大安全功能和特性，有助于防止数据丢失，从而获得更多好处。有关详细信息，请观看视频：Microsoft Edge 安全性、兼容性和可管理性。

让我们详细了解一下，从外部威胁开始，然后再看看内部风险和信息保护。

外部威胁防护

防范网络钓鱼和恶意软件

SmartScreen 内置于 Microsoft Edge 中，Microsoft Defender SmartScreen 在用户联机工作时提供站点和下载的实时信誉检查，并且是 Microsoft Intelligent Security Graph 的一部分，它从 Microsoft 全球资产、研究人员和合作伙伴的大型网络中提取信号和见解。通过对基于云的动态危险网站和下载列表进行检查，Microsoft Edge 有助于检测和阻止快速消失的短暂威胁。

Microsoft Edge 浏览器本机支持硬件隔离

Windows 上的 Microsoft Edge 浏览器本机支持硬件隔离功能。作为 Windows 专业版或企业版的一部分，Microsoft Defender 应用程序防护 (应用程序防护) 在与本地设备和内部网络隔离的内核中运行不受信任的站点。不受信任的站点在“容器”中运行，因此当攻击出现时，它会从公司网络的其余部分进行沙盒处理。有关详细信息，请参阅 Microsoft Edge 对应用程序防护的支持。

对于 Chrome，可以使用一个扩展来使用 Windows 硬件隔离，即 MDAG 扩展。此扩展启动 Microsoft Edge，以便使用应用程序防护的内核级别隔离。此外，若要为仅限 Chrome 的解决方案实现类似的内核级别隔离，需要第三方隔离软件。

注意

应用程序防护适用于 Windows 10、1809 和更高版本。应用程序防护在 Windows 10 家庭版中不可用。

内部风险和信息保护

无需其他软件即可对 Microsoft 365 安全提供本机支持

除了抵御外部威胁之外，IT 管理员还必须防范内部风险。可靠且大规模地保护敏感公司数据是 IT 管理员的头等大事，尤其是在劳动力分散的情况下。 Microsoft Edge 对Microsoft Entra条件访问、Windows 信息保护和新的 Microsoft Endpoint 数据丢失防护 (DLP) 提供本机支持，无需其他软件。

Microsoft Edge 本机支持条件访问。 Microsoft Edge 对条件访问的支持使组织可以轻松地将身份信号用作其访问控制决策的一部分。条件访问是Microsoft Entra ID 用来将信号汇集在一起、做出决策和强制实施组织策略的工具。条件访问是新的身份驱动控制平面的核心。若要在 Chrome 上获得条件访问支持，需使用额外插件。

注意

Microsoft Entra条件访问需要Microsoft 365 E3 (或更高版本) 或Microsoft 365 商业高级版订阅。

Microsoft Edge 本机支持 Windows 信息保护 (WIP) ，它为公司数据提供保护，以帮助防止 Windows 设备上的用户意外泄露。可以将 Microsoft Edge 对 WIP 的支持配置为仅允许 IT 强制应用访问公司数据。它还提供泄漏控制（例如剪贴板保护、下载时加密文件，以及防止文件上传到未经授权的网络共享或云位置），并提供无缝的用户体验。 WIP 使用基于外围的配置，其中 IT 管理员定义公司边界，并且该边界内的所有数据都被视为公司数据。

注意

Windows 信息保护 (WIP) 配置需要许可Microsoft Intune或 Microsoft 终结点Configuration Manager，或使用第三方移动设备管理 (MDM) 解决方案，这些解决方案可能有其他许可要求。

Microsoft Edge 原生支持 Microsoft Endpoint 数据丢失防护 (Endpoint DLP) 。终结点 DLP 与 Microsoft 安全中心集成并将信息保护扩展到 Microsoft Edge，从而帮助就不合规的活动提醒用户，并在用户联机工作时防止数据丢失。它可以发现并标记企业内部符合管理员定义的标准的敏感数据，例如包含信用卡号或政府 ID（例如身份证号）、财务信息等的文件。Microsoft 信息保护策略可以部署到 Microsoft Endpoint DLP，而无需进行额外的重新配置，包括敏感内容标识符和 IT 管理员已自定义的策略。这是面向 IT 管理员的信息保护无缝部署。

若要详细了解终结点 DLP 先决条件以及如何设置数据丢失防护，请转到终结点数据丢失防护入门。

注意

Microsoft Endpoint 数据丢失防护需要Microsoft 365 E5、Microsoft 365 E5 合规或Microsoft 365 商业高级版订阅。