安全密码部署在微软Edge企业版中的引入

当今许多组织中，员工常常通过便利贴或电子邮件共享密码。这不仅会将敏感凭证暴露给非目标接收者，还会增加密码被转发或滥用的风险。为解决这一问题，微软Edge企业版推出安全密码部署功能——现已正式上市——作为企业级解决方案，无需额外成本即可帮助增强安全性并简化访问流程。

什么是安全密码部署？

安全密码部署允许管理员向组织内的特定用户群部署加密的共享密码。通过此功能，用户将在其设备上接收部署的密码，并可无缝登录网站。这有助于通过防止最终用户向非目标对象复制或共享密码来降低未授权访问风险，从而提升组织的整体安全状况。

工作原理

安全密码部署功能集成在Microsoft 365管理中心内的微软Edge管理服务中。管理员可通过配置策略轻松为其组织配置和管理浏览器设置。在策略中，管理员可以选择向特定用户组部署加密密码。通过扩展熟悉的自动填充体验，管理员可获得简化直观的界面，根据需要添加、更新和撤销凭证。

最终用户体验

当密码与最终用户共享时，它会出现在其Edge密码管理器中，在访问相应网站时随时准备自动填充。

这些密码可在Edge内访问，但无法查看、编辑或删除（除非网站允许），也无法从密码管理器导出。管理员部署的密码将自动显示在受管Windows设备上Edge的工作配置文件中，确保无缝安全的登录体验。

请注意，有动机的用户可能使用开发者工具显示密码；您可通过配置DeveloperToolsAvailability策略来限制对开发者工具的访问。

安全与加密

从Edge管理服务端

为确保凭证部署的企业级安全性，微软Edge管理服务中的安全密码部署功能与Microsoft信息保护SDK（Protection SDK）集成。该SDK支持身份绑定加密，意味着加密凭证仅可由组织内经过身份验证的用户访问。

通过利用Protection SDK，密码使用强大的、基于标准的算法进行加密，并在存储位置持续受到保护。加密与Entra身份紧密耦合，确保基于组织策略自动强制执行访问控制——无需手动密钥管理或额外基础设施。

此集成将微软数据保护平台的能力直接融入Edge管理体验，为管理员提供安全部署凭证的无缝方式，同时符合零信任原则和合规要求。

从Edge企业版客户端

Edge企业版同样集成Microsoft信息保护SDK，在运行时安全解密凭证。当用户访问需要部署密码的站点时，浏览器使用SDK验证用户身份，然后使用加密时应用的相同身份绑定保护来解密凭证。

这确保即使是在终端点上，凭证也仅对授权用户可访问。解密过程对用户无缝且无干扰，在维持熟悉自动填充体验的同时，在后台执行严格的访问控制。由于加密与Entra ID身份绑定，即使凭证被复制或移动到浏览器上下文之外，仍保持受保护状态。

通过将Protection SDK直接嵌入Edge企业版，我们将微软的数据保护能力一直延伸至终端点——确保敏感信息从配置到使用全程受到保护。

开始使用安全密码部署

要开始使用安全密码部署，请首先导航至Microsoft 365管理中心内的Edge管理服务。从中选择现有配置策略或创建新配置策略。进入策略后，导航至“自定义设置”选项卡，然后进入“安全密码部署”页面。此功能适用于Microsoft 365商业高级版、E3和E5订阅，需要Edge管理员或全局管理员角色。

Edge企业版持续创新，提供强大的安全功能以满足现代组织不断发展的需求。立即采用安全密码部署，迈向更安全的数字环境。