Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Introdução
A Área de Transferência Protegida no Microsoft Edge para Empresas foi concebida para ajudar as organizações a salvaguardar dados confidenciais ao controlar as ações de cópia e colagem entre aplicações Web geridas e não geridas. Ao tirar partido das configurações nas políticas DLP do Purview direcionadas para aplicações na cloud geridas, a Área de Transferência Protegida ajuda a garantir que os dados permanecem dentro de limites fidedignos definidos pelo administrador, reduzindo o risco de fuga acidental ou intencional de dados, especialmente quando os utilizadores interagem com ferramentas Modernas de SaaS e GenAI.
A Área de Transferência Protegida no Edge para Empresas permite que as organizações protejam dados confidenciais ao nível da área de transferência, equilibrando a segurança e a produtividade. Com a imposição orientada por políticas, experiência silenciosa do utilizador e controlos de administrador flexíveis, é uma solução moderna para os fluxos de trabalho baseados no browser atuais.
Observação
Este documento concentra-se principalmente na implementação através de políticas DLP do Microsoft Purview direcionadas para aplicações na cloud geridas com o Edge para Empresas (E5). Para organizações que utilizam Microsoft 365 E3 com a Gestão de Aplicações Móveis (MAM) Intune, veja a secção abaixo sobre como a Área de Transferência Protegida se aplica aos perfis de trabalho.
Acerca da proteção contra Captura de ecrã
Para uma história mais forte e unificada em torno da proteção da área de transferência, o Edge para Empresas também inclui proteção contra Captura de ecrã. Esta funcionalidade restringe capturas de ecrã e gravações durante sessões de navegação protegidas para manter os dados confidenciais da empresa seguros. Quando ativada, a captura de ecrã é bloqueada automaticamente apenas em páginas ou sites onde está ativa uma política Copiar:Bloquear. As capturas de ecrã são tratadas como uma extensão da proteção de cópia, ajudando a impedir a transferência de dados não autorizados através da captura de ecrã, juntamente com os controlos da área de transferência.
Quando o botão de alternar Área de Transferência Protegida estiver configurado no portal do Serviço de Gestão do Edge, a política proteção de Captura de ecrã também será ativada por predefinição. Isto garante que os controlos de captura de ecrã e área de transferência funcionam em conjunto para evitar fugas de dados. As capturas de ecrã podem ser utilizadas para ignorar as restrições da área de transferência, pelo que ativar ambas as políticas por predefinição fornece uma camada mais abrangente de proteção para dados empresariais confidenciais.
Observação
A política de proteção de Captura de ecrã aplica-se apenas a sites/páginas com uma política DLP Copy:Block Purview. Não bloqueia capturas de ecrã globalmente; A imposição está limitada a localizações onde a proteção de cópia está ativa.
Resumo do âmbito: no caminho do E5 Purview, o SCP é por site/por aplicação, ativa apenas quando uma regra Copiar:Bloquear está ativa. No caminho de MAM do E3 Intune, o SCP é ao nível do perfil, ativa-se como um efeito colateral da política da área de transferência de MAM e aplica-se a todos os separadores no perfil de trabalho do Edge.
Para organizações que procuram restrições de captura de ecrã mais amplas para além das políticas DLP do Purview direcionadas para as imposição de aplicações na cloud geridas, o Microsoft Edge também suporta controlos globais, como a Política DisableScreenshots:
Os administradores podem bloquear capturas de ecrã em todos os sites no Edge para Empresas com a Documentação da Política de Browser do Microsoft Edge DisableScreenshots | Microsoft Learn
Esta política desativa a captura de ecrã incorporada do Edge e as funcionalidades de Captura Web para todos os sites, mas não bloqueia ferramentas ao nível do SO (como a Ferramenta de Recorte do Windows).
Requisitos
Para utilizar a Área de Transferência Protegida e a Proteção contra Captura de Ecrã, certifique-se de que o seu ambiente cumpre os seguintes pré-requisitos:
| Componente | Necessário para |
|---|---|
| Microsoft Edge para Empresas (mais recente) | Todos os cenários |
| Microsoft 365 E5 (ou Suplemento de Conformidade E5/Segurança E5) | Purview DLP + Controlos de sessão MDA (E5) |
| Microsoft 365 E3 com Intune MAM | Caminho de limite do perfil de trabalho E3 |
| Microsoft Defender para Aplicativos de Nuvem (MDA) | Ativar/desativar proteção no browser (E5) |
| Entra ID P1+ | Política de Acesso Condicional (E5) |
| Access to Edge Management Service portal (Acesso ao portal do Serviço de Gestão do Edge) | Ativar/desativar Área de Transferência Protegida |
| Acesso ao portal do Microsoft Purview | Criação de políticas DLP (E5) |
Definir Limites Fidedignos para E5
A Área de Transferência Protegida no Microsoft Edge para Empresas permite que as organizações definam como e onde os dados confidenciais podem ser movidos através da cópia e colagem. Ao configurar as políticas DLP do Purview, os administradores podem estabelecer o respetivo limite fidedigno. Um limite fidedigno significa que os dados dentro do limite não podem sair e estão impedidos de serem colados no exterior. Ao mesmo tempo, os dados de fora do limite podem entrar, permitindo que sejam colados no interior quando necessário.
Descrevemos um limite fidedigno como um conjunto de aplicações Web geridas e sites onde os dados da área de transferência podem fluir em segurança. As tentativas de mover dados para fora deste limite (por exemplo, para aplicações não geridas, separadores pessoais do browser ou ferramentas GenAI) são bloqueadas silenciosamente, reduzindo o risco de fugas de dados sem perturbar a produtividade do utilizador.
Os limites fidedignos são estabelecidos através de configurações efetuadas em políticas DLP do Purview direcionadas para aplicações na cloud geridas. Os administradores podem:
- Especificar aplicações na cloud geridas a incluir no limite da política
- Políticas de destino para utilizadores ou grupos específicos
- Ajustar limites à medida que as necessidades organizacionais evoluem
Quando uma política DLP do Purview direcionada para nuvens geridas com uma regra aplicada à ação Copiar estiver ativa, o Edge impõe automaticamente controlos da área de transferência com base nestes limites, ajudando a impedir que os dados confidenciais sejam colados fora do limite fidedigno.
Limite Fidedigno para E3
A Área de Transferência Protegida também está disponível para organizações que utilizam Microsoft 365 E3 com a Gestão de Aplicações Móveis (MAM) Intune. Neste cenário, o limite fidedigno é o perfil de trabalho do Edge. Todas as ações de copiar/colar são restritas no perfil de trabalho gerido. Ou seja, os dados não podem ser colados fora do perfil, garantindo que as informações confidenciais permanecem protegidas mesmo em dispositivos BYOD ou não geridos. Para obter mais informações sobre como configurar este cenário, veja Área de Transferência Protegida nos perfis de MAM.
- Limite Fidedigno: Perfil de trabalho do Edge (Entra identidade do ID)
- Imposição de Política: Os administradores configuram Intune políticas de MAM para restringir a cópia/colagem no perfil de trabalho.
- Experiência do Utilizador: Copiar/colar só é permitido entre sites e aplicações dentro do perfil gerido. As tentativas de colar fora do perfil são bloqueadas com a mensagem: "Os dados da sua organização não podem ser colados aqui.".
Por que os Modos Importam
Diferentes organizações e cenários requerem diferentes níveis de controlo da área de transferência regida. A Área de Transferência Protegida oferece vários modos de imposição, cada um formando o limite fidedigno de uma forma única. Estes modos permitem-lhe equilibrar a segurança e a produtividade, ajudando a proteger a partilha de dados, enquanto os utilizadores podem trabalhar de forma eficiente em ambientes aprovados. Os administradores podem ajustar estes limites à medida que as necessidades organizacionais evoluem.
Modos de Área de Transferência Protegidos Explicados
| Modo | O que acontece aos dados? (Resultado de Limite Fidedigno) | Política DLP do Purview para aplicações na cloud geridas |
|---|---|---|
| Não configurado | Os dados podem ser movidos livremente. Não é imposto nenhum limite fidedigno. Os utilizadores podem copiar e colar entre aplicações geridas. | As regras de política do Purview são impostas, o que pode incluir a cópia de bloqueio. |
| Tab-Only | Os dados permanecem dentro do limite fidedigno do mesmo separador do browser. Copiar/colar está bloqueado fora desse separador. |
Ativado através das configurações Copy:Audit ou Copy:Block . Permite que uma aplicação gerida com Auditoria ou Bloquear copie/cole no mesmo separador. |
| Limite Partilhado | Estas aplicações geridas formam um limite fidedigno partilhado. Os dados da área de transferência não podem sair deste grupo de aplicações geridas. |
Ativado por Copiar:Bloquear configurações. Apenas aplicações geridas com a área de transferência Bloquear partilha. As aplicações geridas em políticas apenas de auditoria são excluídas e não fazem parte do limite. |
| Híbrida | Estes sites partilham um limite fidedigno mais amplo. |
Ativado por Configurações Copy:Audit ou Copy:Block . As aplicações com Auditoria podem colar em aplicações com Bloquear. As aplicações geridas com Bloquear não podem ser coladas em aplicações com Auditoria. As aplicações geridas com Bloquear estão limitadas ao comportamento do mesmo separador. |
Todos os modos requerem uma regra através da política DLP copiar configuração doPurview configurada através do Microsoft Purview.
Como Escolher um Modo
- Comece com os seus objetivos de proteção de dados: pretende manter os dados numa única aplicação, grupos de aplicações ou permitir uma partilha mais ampla dentro de aplicações fidedignas?
- Considere os fluxos de trabalho do utilizador: se os utilizadores precisarem de copiar entre várias aplicações geridas, o Limite Partilhado ou Híbrido poderá ser o melhor. Para isolamento rigoroso, Tab-Only é ideal.
- Monitorizar e ajustar: utilize os relatórios para ver como as políticas estão a funcionar e refinar os limites fidedignos conforme necessário.
Começando
A Área de Transferência Protegida foi concebida para simplificar e integrar totalmente os seus fluxos de trabalho de segurança existentes. Consulte Ajudar a Impedir os Utilizadores de Partilhar Informações Confidenciais com Aplicações na Cloud no Edge para Empresas | Microsoft Learn para começar.
A configuração da Área de Transferência Protegida com o DLP do Purview requer a configuração em quatro portais pela seguinte ordem:
Passo 1 — Entra: Criar uma política de Acesso Condicional
- Navegue para
entra.microsoft.com> Acesso Condicional>Nova política. - EmUtilizadoresde Atribuições>, selecione o seu grupo de utilizadores piloto.
- Em Recursos de destino>Aplicações na cloud, selecione Office 365. Esta é uma configuração de exemplo. Pode selecionar todas as aplicações ligadas aos seus inquilinos com Entra. Saiba mais.
- Em Condições>Aplicações do cliente, selecione Apenas browser.
- Em Sessão, selecione Utilizar Controlo de Aplicações de> Acesso CondicionalUtilizar política personalizada.
- Ative e guarde a política.
Passo 2 – Autenticar uma vez para registar aplicações com o Controlo de Aplicações de AC
Depois de a política de AC estar ativa, pelo menos um utilizador visado tem de iniciar sessão numa das aplicações na cloud no âmbito (Outlook na Web, OneDrive, SharePoint, etc.) antes de continuar. As aplicações só aparecem na lista de aplicações do Controlo de Aplicações da AC do Defender depois de um utilizador se autenticar pela primeira vez através da política de AC. Se a lista estiver vazia, o Edge para Empresas não detetará a política de AC e a política DLP do Purview não será executada.
Para verificar se o Passo 2 funcionou: em security.microsoft.com> Definições do Sistema>Aplicações> nacloud>Aplicações de Controlo de Aplicações de Acesso Condicional, confirme que pelo menos uma aplicação é apresentada com Estado: Ativado, IDP: Entra aplicação de ID.
Passo 3 — Defender para Aplicativos de Nuvem: Ativar a proteção do browser Edge para Empresas
- Navegue para
security.microsoft.com>Definições doSistema> Aplicações >na cloudControlo> de aplicações > de acesso condicionalEdge para Proteção empresarial. - Ativeaproteção do = browser Edge para Empresas.
- Defina Impor utilização = Permitir acesso apenas a partir do Edge (obrigatório).
- Defina Impor apenas para os dispositivos = Todos os dispositivos ou Dispositivos não geridos.
- Defina Notificar utilizadores em browsers não Edge ativados = .
- Salvar.
Passo 4 — Purview: Criar a política DLP com a regra Copiar
- Navegue para
purview.microsoft.com→política Criar Políticas>DLP>. - Em Localização, selecione Aplicações na cloud geridas (localizadas na parte inferior da lista de localizações).
- Edite a localização e adicione aplicações de destino às mesmas aplicações que a política de AC (por exemplo: Exchange Online, SharePoint Online, etc.).
- Definir Condição de regra = : o dispositivo é gerido ou o dispositivo não é gerido (crie duas regras se segmentar ambos os estados do dispositivo).
- DefinirBloco deImposição = deCópia>de = Atividade.
- Ative e guarde a política.
Se vir uma faixa de política de Acesso Condicional não encontrada , confirme se as definições estão corrigidas para a política de AC e para a proteção do Edge para Empresas nos Passos 2 e 3.
Passo 5 — Serviço de Gestão do Edge: Ativar a Área de Transferência Protegida
- Aceda à Centro de administração do Microsoft 365 e inicie sessão
- Na barra de navegação principal à esquerda, acesse Configurações > Microsoft Edge.
- Criar uma política de configuração (as predefinições estão corretas).
- Editar a política >Definições de personalização Definições> desegurança.
- Defina a Área de Transferência = Protegidano> modo de imposição Selecionar (normalmente, Limite Partilhado).
- Guardar e atribuir.
Passo 6 — Aguarde pela propagação e, em seguida, teste
- Normalmente, as políticas do browser aplicam-se dentro de ~1 hora; A propagação completa pode demorar até um dia
- Verifique num dispositivo não gerido (o nosso cenário de destaque) ou dispositivo que corresponda à condição definida na política ao iniciar sessão numa conta de utilizador de destino, copiar a partir de uma aplicação gerida e confirmar que a colagem está bloqueada fora do limite
- Execute
edge://policy/no perfil de trabalho para confirmar que as políticas da Área de Transferência Protegidas aparecem conforme aplicadas
Observação
Quando o botão de alternar Área de Transferência Protegida estiver configurado no portal do Serviço de Gestão do Edge, a política proteção de Captura de ecrã também será ativada por predefinição. Consulte a secção acima para obter mais informações.
Falhas comuns de configuração e como corrigi-las
| Sintoma | Causa raiz | Resolução |
|---|---|---|
| Faixa "Política de Acesso Condicional não encontrada" no Purview Ou "Definições do Edge para Empresas não encontradas" no Purview. |
A configuração da política de AC e/ou a configuração do Edge para Empresas estão em falta ou estão incorretas. | Verifique as configurações da política de AC e as configurações do Edge para Empresas (Passo 2 e 3) |
| A localização das "aplicações na cloud geridas" está desativada no Purview | Mesmo que acima | Mesma correção |
| Política criada, mas não imposta | Propagação incompleta | Normalmente, as políticas do browser aplicam-se dentro de ~1 hora; A propagação completa pode demorar até um dia |
| Comportamento imprevisível após criar manualmente uma política de sessão do Defender | Política manual no Defender → Políticas → Acesso Condicional entra em conflito com a política acionada automaticamente | Elimine a política manual. A política do Purview aciona automaticamente o MDA – a criação manual não é necessária |
Separadores do Edge a redirecionar para *.mcas.ms URLs |
Contingência híbrida envolvida porque a política inclui ações que o Edge não consegue impor no browser | Esperado para ações não suportadas; rever a política se não for desejada |
| A captura de ecrã continua a funcionar numa página de aplicação gerida | Copiar:A regra de bloqueio não está ativa nesse URL/aplicação específico | O SCP é por site/por aplicação no caminho E5. Verificar a cobertura da aplicação/condição da regra do Purview |
Personalização Adicional (Brevemente)
A Área de Transferência Protegida e os controlos de política relacionados estão atualmente em Pré-visualização. Estão previstas opções de personalização adicionais para lançamentos futuros, desenvolvidas em estreita colaboração com a equipa do Microsoft Purview. Estas melhorias permitirão uma imposição e flexibilidade mais granulares e fornecerão aos administradores um maior controlo sobre cenários de proteção de dados para se adaptarem a necessidades empresariais exclusivas, grupos de utilizadores e requisitos de conformidade, proporcionando uma postura de segurança mais robusta e adaptável.
Consulte o plano do Microsoft 365 para o Edge para Empresas para obter as informações mais atualizadas sobre a disponibilidade de funcionalidades.
Observação
Como estas funcionalidades estão em Pré-visualização, a funcionalidade e a disponibilidade podem mudar. Para obter as atualizações mais recentes, consulte a documentação oficial da Microsoft e as comunicações de mapa de objetivos.
Comentários e suporte
Esta experiência é suportada por Suporte da Microsoft. Pode contactar o Suporte da Microsoft para comunicar problemas ou dar feedback. Você também pode deixar comentários em nosso Fórum TechCommunity.