Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Einführung
Die geschützte Zwischenablage in Microsoft Edge for Business wurde entwickelt, um Organisationen beim Schutz vertraulicher Daten zu unterstützen, indem Sie Kopier- und Einfügeaktionen zwischen verwalteten und nicht verwalteten Webanwendungen steuern. Durch die Nutzung von Konfigurationen in Purview DLP-Richtlinien für verwaltete Cloud-Apps trägt die geschützte Zwischenablage dazu bei, dass Daten innerhalb der vom Administrator definierten vertrauenswürdigen Grenzen verbleiben, wodurch das Risiko von versehentlichen oder absichtlichen Datenlecks verringert wird, insbesondere wenn Benutzer mit modernen SaaS- und GenAI-Tools interagieren.
Die geschützte Zwischenablage in Edge for Business ermöglicht Es Organisationen, vertrauliche Daten auf Der Ebene der Zwischenablage zu schützen und dabei ein Gleichgewicht zwischen Sicherheit und Produktivität zu erzielen. Mit richtliniengesteuerter Erzwingung, unbeaufsichtigter Benutzererfahrung und flexiblen Administratorsteuerelementen ist es eine moderne Lösung für die heutigen browserbasierten Workflows.
Hinweis
Dieses Dokument konzentriert sich in erster Linie auf die Implementierung von Microsoft Purview DLP-Richtlinien für verwaltete Cloud-Apps mit Edge for Business (E5). Organisationen, die Microsoft 365 E3 mit Intune Mobile Application Management (MAM) verwenden, finden Sie im abschnitt unten, wie die geschützte Zwischenablage auf Arbeitsprofile angewendet wird.
Informationen zum Bildschirmaufnahmeschutz
Für eine stärkere, einheitliche Geschichte rund um den Schutz der Zwischenablage bietet Edge for Business auch Den Screen Capture-Schutz. Dieses Feature schränkt Screenshots und Aufzeichnungen während geschützter Browsersitzungen ein, um vertrauliche Unternehmensdaten zu schützen. Wenn diese Option aktiviert ist, wird die Bildschirmaufnahme automatisch nur auf Seiten oder Websites blockiert, auf denen eine Copy:Block-Richtlinie aktiv ist. Screenshots werden als Erweiterung des Kopierschutzes behandelt, um nicht autorisierte Datenexfiltration über Bildschirmaufnahme zusammen mit Steuerelementen der Zwischenablage zu verhindern.
Wenn die Umschaltfläche Geschützte Zwischenablage im Edge-Verwaltungsdienst-Portal konfiguriert ist, wird auch die Bildschirmaufnahme-Schutzrichtlinie standardmäßig aktiviert. Dadurch wird sichergestellt, dass sowohl Zwischenablage- als auch Bildschirmaufnahmesteuerelemente zusammenarbeiten, um Datenlecks zu verhindern. Screenshots können verwendet werden, um Einschränkungen der Zwischenablage zu umgehen, sodass die standardmäßige Aktivierung beider Richtlinien eine umfassendere Schutzebene für vertrauliche Unternehmensdaten bietet.
Hinweis
Die Bildschirmaufnahme-Schutzrichtlinie gilt nur für Websites/Seiten mit einer Copy:Block Purview DLP-Richtlinie. Screenshots werden nicht global blockiert. die Erzwingung ist auf Speicherorte beschränkt, an denen der Kopierschutz aktiv ist.
Für Organisationen, die umfassendere Screenshoteinschränkungen wünschen, die über Purview-DLP-Richtlinien für die Durchsetzung verwalteter Cloud-Apps hinausgehen, unterstützt Microsoft Edge auch globale Steuerelemente wie disableScreenshots-Richtlinie:
Administratoren können Screenshots auf allen Websites in Edge for Business mithilfe der Microsoft Edge-Browserrichtliniendokumentation deaktivierenScreenshots | Microsoft Learn
Diese Richtlinie deaktiviert die integrierten Screenshot- und Web capture-Features von Edge für alle Websites, blockiert jedoch keine Tools auf Betriebssystemebene (z. B. Windows Snipping Tool).
Anforderungen
Um die geschützte Zwischenablage und den Bildschirmaufnahmeschutz zu verwenden, stellen Sie sicher, dass Ihre Umgebung die folgenden Voraussetzungen erfüllt:
- Microsoft Edge for Business (neueste Version empfohlen)
-
Microsoft 365 E3- oder E5-Abonnement
- Purview-DLP-Richtlinien für verwaltete Cloud-Apps , die im Microsoft Purview-Portal konfiguriert sind
- Intune MAM-Unterstützung
- Zugriff auf das Edge-Verwaltungsdienstportal , um geschützte Zwischenablage- und Bildschirmaufnahmeschutze (In der Vorschau) zu aktivieren.
Definieren vertrauenswürdiger Grenzen für E5
Mit der geschützten Zwischenablage in Microsoft Edge for Business können Organisationen definieren, wie und wohin vertrauliche Daten per Kopieren und Einfügen verschoben werden können. Durch das Konfigurieren von Purview DLP-Richtlinien können Administratoren ihre vertrauenswürdige Grenze festlegen. Eine vertrauenswürdige Grenze bedeutet, dass Daten innerhalb der Grenze nicht verlassen können und nicht außerhalb eingefügt werden können. Gleichzeitig können Daten von außerhalb der Grenze eingegeben werden, sodass sie bei Bedarf eingefügt werden können.
Wir beschreiben eine vertrauenswürdige Grenze als eine Gruppe von verwalteten Web-Apps und Websites, in denen Zwischenablagedaten sicher fließen können. Versuche, Daten außerhalb dieser Grenze zu verschieben (z. B. in nicht verwaltete Apps, persönliche Browserregisterkarten oder GenAI-Tools), werden im Hintergrund blockiert, wodurch das Risiko von Datenlecks verringert wird, ohne die Produktivität der Benutzer zu beeinträchtigen.
Vertrauenswürdige Grenzen werden durch Konfigurationen festgelegt, die in Purview DLP-Richtlinien für verwaltete Cloud-Apps vorgenommen wurden. Administratoren haben die folgenden Möglichkeiten:
- Angeben verwalteter Cloud-Apps, die in die Richtliniengrenze eingeschlossen werden sollen
- Richtlinien auf bestimmte Benutzer oder Gruppen ausrichten
- Anpassen von Grenzen bei der Weiterentwicklung der Organisationsanforderungen
Wenn eine Purview-DLP-Richtlinie für verwaltete Clouds mit einer Regel, die auf die Kopieraktion angewendet wird, aktiv ist, erzwingt Edge automatisch Zwischenablagesteuerelemente basierend auf diesen Grenzen, wodurch verhindert wird, dass vertrauliche Daten außerhalb der vertrauenswürdigen Grenze eingefügt werden.
Vertrauenswürdige Grenze für E3
Die geschützte Zwischenablage ist auch für Organisationen verfügbar, die Microsoft 365 E3 mit Intune Mobile Application Management (MAM) verwenden. In diesem Szenario ist die vertrauenswürdige Grenze das Edge-Arbeitsprofil. Alle Kopier-/Einfügeaktionen sind innerhalb des verwalteten Arbeitsprofils eingeschränkt. Das heißt, Daten können nicht außerhalb des Profils eingefügt werden, sodass vertrauliche Informationen auch auf BYOD- oder nicht verwalteten Geräten geschützt bleiben.
- Vertrauenswürdige Grenze: Edge-Arbeitsprofil (Entra-ID-Identität)
- Richtlinienerzwingung: Administratoren konfigurieren Intune MAM-Richtlinien, um das Kopieren/Einfügen innerhalb des Arbeitsprofils einzuschränken.
- Benutzererfahrung: Kopieren/Einfügen ist nur zwischen Websites und Apps innerhalb des verwalteten Profils zulässig. Versuche, außerhalb des Profils einzufügen, werden mit der Meldung blockiert: "Die Daten Ihres organization können hier nicht eingefügt werden."
Warum Modi wichtig sind
Verschiedene Organisationen und Szenarien erfordern unterschiedliche Ebenen der steuerungsgesteuerten Zwischenablage. Die geschützte Zwischenablage bietet mehrere Erzwingungsmodi, die jeweils die vertrauenswürdige Grenze auf einzigartige Weise strukturieren. Mit diesen Modi können Sie Sicherheit und Produktivität ausgleichen und so die Datenfreigabe schützen, während Benutzer in genehmigten Umgebungen effizient arbeiten können. Administratoren können diese Grenzen anpassen, wenn sich die Anforderungen der Organisation weiterentwickeln.
Geschützte Zwischenablagemodi erläutert
| Modus | Was geschieht mit Daten? (Ergebnis der vertrauenswürdigen Begrenzung) | Purview DLP-Richtlinie für verwaltete Cloud-Apps |
|---|---|---|
| Nicht konfiguriert | Daten können frei verschoben werden. Es wird keine vertrauenswürdige Grenze erzwungen. Benutzer können zwischen verwalteten Apps kopieren und einfügen. | Purview-Richtlinienregeln werden erzwungen, was das Blockieren von Kopiervorgängen umfassen kann. |
| Tab-Only | Daten verbleiben innerhalb der vertrauenswürdigen Grenze derselben Browserregisterkarte. Kopieren/Einfügen wird außerhalb dieser Registerkarte blockiert. |
Aktiviert mithilfe von Copy:Audit - oder Copy:Block-Konfigurationen . Ermöglicht es einer verwalteten App mit Audit oder Block , innerhalb derselben Registerkarte zu kopieren/einzufügen. |
| Freigegebene Grenze | Diese verwalteten Apps bilden eine freigegebene vertrauenswürdige Grenze. Zwischenablagedaten können diese Gruppe von verwalteten Apps nicht verlassen. |
Aktiviert durch Copy:Block-Konfigurationen . Nur verwaltete Apps mit Blockfreigabe-Zwischenablage. Verwaltete Apps in Überwachungsrichtlinien sind ausgeschlossen und nicht Teil der Grenze. |
| Hybridbereitstellung | Diese Standorte teilen sich eine breitere vertrauenswürdige Grenze. |
Aktiviert durch Copy:Audit - oder Copy:Block-Konfigurationen . Apps mit Audit können in Apps mit Blockieren eingefügt werden. Verwaltete Apps mit Blockieren können nicht in Apps mit Audit eingefügt werden. Verwaltete Apps mit Block sind auf das Verhalten mit der gleichen Registerkarte beschränkt. |
Alle Modi erfordern eine Regel, die diePurview-DLP-Richtlinie zum Kopieren der Konfiguration verwendet, die über Microsoft Purview eingerichtet wurde.
Auswählen eines Modus
- Beginnen Sie mit Ihren Datenschutzzielen: Möchten Sie Daten innerhalb einer einzelnen App oder in Gruppen von Apps beibehalten oder eine umfassendere Freigabe in vertrauenswürdigen Apps ermöglichen?
- Berücksichtigen Sie Benutzerworkflows: Wenn Benutzer zwischen mehreren verwalteten Apps kopieren müssen, sind freigegebene Grenzen oder Hybride möglicherweise am besten geeignet. Für eine strikte Isolation ist Tab-Only ideal.
- Überwachen und Anpassen: Verwenden Sie die Berichterstellung, um zu sehen, wie Richtlinien funktionieren, und verfeinern Sie Ihre vertrauenswürdigen Grenzen nach Bedarf.
Erste Schritte
Die geschützte Zwischenablage wurde aus Gründen der Einfachheit und nahtlosen Integration in Ihre vorhandenen Sicherheitsworkflows entwickelt. Weitere Informationen finden Sie unter Verhindern, dass Benutzer vertrauliche Informationen für Cloud-Apps in Edge for Business freigeben | Microsoft Learn für die ersten Schritte. Kurz gesagt:
1. Richtlinienerstellung
Starten Sie im Purview-Portal.
Erstellen Sie eine Richtlinie für verwaltete Cloud-Apps , die Ihre vertrauenswürdige Grenze definiert, die angibt, welche verwalteten Apps Zwischenablagedaten austauschen können.
2. Richtlinienzuweisung
Weisen Sie die Richtlinie relevanten Benutzern oder Gruppen zu. Nach der Zuweisung wird die Purview-Richtlinie automatisch in Edge for Business aktiviert. Die Erzwingung der geschützten Zwischenablage erfolgt jedoch durch die Konfiguration über das Edge Management Service-Portal (Schritt 3). Auf der Benutzerseite ist kein manueller Eingriff erforderlich.
3. Erzwingung der Zwischenablage a. Innerhalb der vertrauenswürdigen Grenze: Benutzer können zwischen verwalteten Web-Apps kopieren und einfügen. b. Überschreiten der Grenze: Versuche, Inhalte in nicht verwaltete Apps, persönliche Browserregisterkarten oder GenAI-Tools einzufügen, werden im Hintergrund blockiert. Es gibt kein Popupfenster oder keine Warnung. die Einfügevorgänge funktionieren einfach nicht.
4. Überwachung & Berichterstellung
Verwenden Sie Purview-Richtliniendaten und -Warnungen , um die Effektivität von Richtlinien zu überwachen, einschließlich blockierter Einfügeversuche. Dies hilft bei Compliance und Problembehandlung.
Hinweis
Wenn die Umschaltfläche Geschützte Zwischenablage im Edge-Verwaltungsdienst-Portal konfiguriert ist, wird auch die Bildschirmaufnahme-Schutzrichtlinie standardmäßig aktiviert. Weitere Informationen finden Sie im obigen Abschnitt.
Zusätzliche Anpassung (in Kürze verfügbar)
Die geschützte Zwischenablage und die zugehörigen Richtliniensteuerelemente befinden sich derzeit in der Vorschauphase. Weitere Anpassungsoptionen sind für zukünftige Releases geplant, die in enger Zusammenarbeit mit dem Microsoft Purview-Team entwickelt wurden. Diese Verbesserungen ermöglichen eine präzisere Erzwingung und Flexibilität und bieten Administratoren eine bessere Kontrolle über Datenschutzszenarien, um einzigartige Geschäftsanforderungen, Benutzergruppen und Complianceanforderungen zu erfüllen und einen stabileren und anpassbareren Sicherheitsstatus zu bieten.
Die aktuellsten Informationen zur Featureverfügbarkeit finden Sie in der Microsoft 365-Roadmap für Edge for Business .
Hinweis
Da sich diese Features in der Vorschau befinden, können sich Funktionalität und Verfügbarkeit ändern. Die neuesten Updates finden Sie in der offiziellen Microsoft-Dokumentation und in der Roadmap.
Feedback und Support
Diese Erfahrung wird von Microsoft-Support unterstützt. Sie können sich an Microsoft-Support wenden, um Probleme zu melden oder Feedback zu geben. Feedback können Sie auch in unserem TechCommunity-Forum hinterlassen.