Microsoft Edge w firmie – bezpieczna konfiguracja krok po kroku

Dlaczego przeglądarka to krytyczny element bezpieczeństwa firmy

Według raportów cyberbezpieczeństwa ponad 80% ataków phishingowych i infekcji złośliwym oprogramowaniem rozpoczyna się w przeglądarce internetowej. Pracownicy logują się przez nią do poczty, chmury, systemów finansowych i narzędzi HR – a niezarządzana przeglądarka to otwarta brama dla atakujących.

Microsoft Edge for Business to nie tylko zaktualizowana przeglądarka. To narzędzie zintegrowane z Microsoft 365 i Microsoft Entra ID, które pozwala administratorowi IT centralnie definiować zasady bezpieczeństwa, blokować niebezpieczne rozszerzenia i oddzielać dane firmowe od prywatnych. Klucz to centralne zarządzanie – bez niego każda stacja robocza jest inaczej skonfigurowana, a różnice w ustawieniach tworzą luki bezpieczeństwa.

W firmach bez zarządzanej przeglądarki typowe problemy to: pracownicy instalują losowe rozszerzenia (czasem złośliwe), wyłączają ostrzeżenia bezpieczeństwa, używają wbudowanego menedżera haseł zamiast firmowego, a dane służbowe trafiają do prywatnych profili chmurowych. Edge for Business adresuje każdy z tych problemów – ale tylko przy odpowiedniej konfiguracji.

Wdrożenie Edge w firmie – GPO czy Microsoft Intune?

Sposób wdrożenia zasad Edge zależy od modelu zarządzania urządzeniami w firmie. Masz dwie główne ścieżki:

• Zasady grupy (GPO) – sprawdzają się w środowiskach z lokalnym Active Directory. Wymaga pobrania szablonów ADMX ze strony Microsoftu i zaimportowania ich do centralnego magazynu zasad w SYSVOL.
• Microsoft Intune (Settings Catalog) – odpowiednie dla środowisk chmurowych i hybrydowych. Zasady konfiguruje się w portalu Intune i przypisuje do grup użytkowników lub urządzeń.

Niezależnie od wybranej metody, kroki wdrożenia przebiegają podobnie:

1. Upewnij się, że Edge jest aktualny na wszystkich stacjach roboczych – wersję możesz weryfikować przez Intune lub Microsoft Defender.
2. Zdefiniuj grupy docelowe – ustal, kto podlega jakim zasadom (np. ostrzejsza polityka dla działu finansów niż dla magazynu).
3. Skonfiguruj zasady w portalu Intune lub edytorze GPO, korzystając z gotowych Microsoft Security Baseline dla Edge.
4. Przetestuj zasady na grupie pilotażowej przed wdrożeniem firmowym.
5. Monitoruj zgodność przez raporty Intune lub zasad grupy.

Szablony Security Baseline dla Edge dostępne są bezpośrednio w Intune (Endpoint Security > Security Baselines) i stanowią dobry punkt startowy – obejmują ponad 150 zaleceń bezpieczeństwa Microsoftu skrojonych pod środowisko enterprise.

Kluczowe zasady bezpieczeństwa Edge do włączenia w firmie

Niezależnie od metody wdrożenia, kilka zasad powinno znaleźć się w każdej firmowej konfiguracji Edge:

• SmartScreen – wymuś włączenie: Zasada SmartScreenEnabled chroni przed phishingiem i złośliwymi plikami. Ustaw ją na Enabled i zablokuj użytkownikom możliwość wyłączenia przez zasadę SmartScreenPolicyEnabled.
• Blokada wbudowanego menedżera haseł: Edge ma własny menedżer haseł, ale w firmie powinieneś używać centralnego rozwiązania. Zasada PasswordManagerEnabled ustawiona na Disabled wymusi korzystanie z dedykowanego narzędzia firmowego.
• Kontrola rozszerzeń: Zasada ExtensionInstallBlocklist z wartością * blokuje wszystkie rozszerzenia. W połączeniu z ExtensionInstallAllowlist tworzysz białą listę – pracownicy instalują tylko zatwierdzone przez IT narzędzia.
• Wymuszenie HTTPS: Zasada AutomaticHttpsDefault umożliwia automatyczne przejście do wersji HTTPS stron, które ją obsługują – prosta ochrona przed podsłuchiwaniem ruchu.
• Blokada niebezpiecznych pobrań: Zasada DownloadRestrictions pozwala blokować pobieranie plików wykonywalnych (.exe, .msi) z niezaufanych źródeł.
• Wyłączenie autouzupełniania danych formularzy: Zasady AutofillAddressEnabled i AutofillCreditCardEnabled powinny być wyłączone – dane osobowe i płatnicze nie powinny być przechowywane w przeglądarce na stacji roboczej.

Separacja profilu służbowego i prywatnego w Edge for Business

Jedną z największych zalet Edge for Business jest automatyczna separacja profili. Gdy pracownik zaloguje się do Edge kontem Microsoft 365, przeglądarka tworzy profil służbowy oddzielony od prywatnego – z osobnymi zakładkami, historią przeglądania, hasłami i rozszerzeniami.

Bez tej separacji dane z konta firmowego (dokumenty, tokeny sesji, ciasteczka aplikacji) trafiają do tego samego środowiska co prywatne aktywności pracownika – co rodzi realne ryzyko wycieku przy synchronizacji z prywatnym kontem Microsoft lub Google.

Jak skonfigurować separację profilu:

1. W Intune lub GPO ustaw zasadę BrowserSignin na wartość 2 (Force users to sign in to use the browser) – wymusza zalogowanie kontem firmowym przy uruchomieniu przeglądarki.
2. Zasada NonRemovableProfileEnabled zapewnia, że profil służbowy nie może zostać usunięty przez użytkownika.
3. Włącz zasadę EdgeWorkforceExperienceEnabled, która aktywuje tryb Edge for Business z wizualnym oznaczeniem profilu służbowego (ikona teczki w pasku adresu).
4. Opcjonalnie włącz ProfileSeparationEnabled, który blokuje automatyczne logowanie do prywatnych aplikacji Microsoft (np. Outlook.com) w profilu służbowym.

Zarządzane zakładki, strona startowa i środowisko pracy użytkownika

Centralne zarządzanie zakładkami i stroną startową to niedoceniana funkcja, która przynosi realne korzyści – zarówno dla bezpieczeństwa, jak i produktywności. Zamiast każdy pracownik konfiguruje przeglądarkę samodzielnie, administrator IT raz ustawia spójne środowisko dla całej firmy.

Co warto skonfigurować:

• Zarządzane zakładki (Managed Favorites): Zasada ManagedFavorites pozwala zdefiniować listę zakładek do konkretnych systemów firmowych – intranetu, CRM, portalu HR, platformy szkoleń. Zakładki pojawiają się automatycznie u wszystkich pracowników i nie mogą być usunięte.
• Strona startowa i nowa karta: Zasada HomepageLocation lub NewTabPageLocation ustawia domyślny adres – np. firmowy intranet lub dashboard Microsoft 365. Eliminuje ryzyko, że pracownik otworzy przeglądarkę i trafi na losową stronę z reklamami.
• Enterprise New Tab Page: Edge obsługuje dedykowaną stronę nowej karty dla firm z logo firmy, skrótami do aplikacji i aktualnościami firmowymi – konfigurowaną przez Intune lub Azure Portal.
• Wyszukiwarka domyślna: Zasady DefaultSearchProviderEnabled i DefaultSearchProviderSearchURL pozwalają ustawić preferowaną wyszukiwarkę i zablokować jej zmianę przez użytkownika.

Monitorowanie Edge i kontrola zgodności urządzeń

Konfiguracja bez monitorowania to tylko połowa roboty. Microsoft oferuje kilka narzędzi do śledzenia, czy zasady Edge działają zgodnie z założeniami:

• Intune – raporty zgodności: W portalu Intune widać, które urządzenia mają zastosowane zasady konfiguracji Edge i czy pojawiły się konflikty lub błędy wdrożenia. To pierwszy punkt kontrolny po każdej zmianie polityki.
• Microsoft Defender for Cloud Apps (MDCA): Gdy Edge jest używany z profilem firmowym i MDCA, możliwe jest monitorowanie odwiedzanych stron, wykrywanie Shadow IT i alertowanie o próbach dostępu do niebezpiecznych domen.
• Microsoft Purview – Insider Risk Management: Integracja Edge z Purview pozwala wykrywać ryzykowne zachowania związane z przeglądarką – np. masowe pobieranie plików przed odejściem pracownika z firmy.
• Raport blokad SmartScreen: Edge przekazuje dane o zablokowanych stronach i plikach do Microsoft Defender – w portalu Defender 365 możesz je analizować i wyciągać wnioski operacyjne.

Dobra praktyka to przegląd raportów przynajmniej raz w miesiącu oraz ustawienie alertu o urządzeniach bez aktualnych zasad Edge – szczególnie po onboardingu nowego pracownika lub wymianie sprzętu. Jeśli potrzebujesz wsparcia przy konfiguracji przeglądarki w firmie, zespół NovaSys chętnie pomoże.