Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser umfassende Leitfaden hilft Ihnen bei der Implementierung einer vollständigen Secure Enterprise Browser-Strategie mit Microsoft Edge for Business und Microsoft Intune auf allen Plattformen.
Gilt für:
- Microsoft Edge for Business
- Microsoft Intune Mobile Application Management (MAM)
- Microsoft Intune Mobile Geräteverwaltung (MDM)
- Plattformen: Windows, macOS, iOS und Android
Zielgruppe
Die Zielgruppe für diese Inhalte umfasst Folgendes:
- Intune-Administratoren: Dieser Inhalt enthält ausführliche Anleitungen zum Konfigurieren und Verwalten von Microsoft Edge for Business auf allen Plattformen in Microsoft Intune.
- Sicherheitsexperten: Dieses Dokument bietet Sicherheitsexperten einen strukturierten Ansatz für die Browsersicherheit, das Skizzieren wichtiger Kontrollen, Risikominderungsstrategien und die Ausrichtung auf Branchensicherheitsframeworks.
- IT-Architekten: Dieser Inhalt hilft Architekten dabei, sichere Browserlösungen zu entwerfen, die Sicherheitsanforderungen und Benutzerproduktivität auf verwalteten und nicht verwalteten Geräten in Einklang bringen.
- Entscheidungsträger: Dieser Inhalt hilft Entscheidungsträgern, die Vorteile von Sicherheit, Produktivität und Verwaltbarkeit der Implementierung einer umfassenden sicheren Unternehmensbrowserstrategie zu verstehen.
Hinweis
Diese Inhalte sollen Ihnen dabei helfen, das volle Potenzial von Microsoft Edge for Business und Microsoft-Anwendungsverwaltung für alle Geräteplattformen und Verwaltungsszenarien zu nutzen.
Wichtig
Das Secure Enterprise Browser-Framework verweist auf Branchenleitfäden wie NIST, DISA STIG und CISA best practices. Die Anwendung der Empfehlungen in dieser Reihe allein garantiert keine Konformität. Arbeiten Sie mit Ihren Compliance- und Sicherheitsteams zusammen, um die Anforderungen für Ihre organization zu überprüfen.
Übersicht
Dieser Leitfaden enthält eine umfassende Schritt-für-Schritt-Anleitung zum Implementieren der Secure Enterprise Browser-Umgebung mithilfe des Datenschutzframeworks:
- Microsoft Entra Bedingter Zugriff mit Microsoft Edge for Business: Erstellen sie richtlinien für Microsoft Entra bedingten Zugriff und Intune App-Schutzrichtlinien für das Browsen unter Android, iOS und Windows.
- App-Schutz Richtlinien für Microsoft Edge for Business: Implementieren Sie App-Schutzrichtlinien der Ebene 1, Ebene 2 und Ebene 3 für Windows-, Android- und iOS-Plattformen, um den sicheren Zugriff und die Verwendung von Unternehmensanwendungen sicherzustellen.
- Integrieren von Mobile Threat Defense: Verbessern Sie den allgemeinen Sicherheitsstatus Ihrer organization, indem Sie den sicheren Unternehmensbrowser mit Windows-Sicherheit Center, Microsoft Defender oder MTD-Partnern integrieren.
- App-Konfigurationsrichtlinien für Microsoft Edge for Business: Konfigurieren Sie App-Konfigurationsrichtlinien der Ebene 1, Ebene 2 und Ebene 3 für Android, iOS und Windows, um das Verhalten und die Features des Browsers anzupassen.
- Einstellungskatalog für Microsoft Edge for Business: Wenden Sie die Katalogkonfigurationen für Einstellungen der Ebene 1, Ebene 2 und Ebene 3 für Windows und macOS an, um umfassende Browsersteuerelemente auf Geräteebene einzurichten.
- Sicherheitsbaseline für Microsoft Edge : Stellen Sie die Microsoft Edge-Sicherheitsbaseline bereit, um die Sicherheit der Ebene 2 mit 23 vorkonfigurierten Einstellungen schnell zu implementieren.
- Microsoft Edge for Business Endbenutzererfahrung: Erfahren Sie, wie Sicherheitsmaßnahmen sich auf die Benutzerinteraktion für Microsoft Edge for Business auswirken.
- Problembehandlung und häufig gestellte Fragen : Problembehandlung für App-Schutzrichtlinien mit Validierungsbeispielen und häufig gestellten Fragen.
Weitere Informationen zu Microsoft Edge-Sicherheitsinhalten finden Sie unter Microsoft Edge for Business: KI und Schutz in einem sicheren Unternehmensbrowser.
Sicherheitsstufen auf einen Blick
| Ebene | Zweck | Typische Benutzer | Entwurfsziel | Auswirkungen auf die Produktivität | Normenausrichtung |
|---|---|---|---|---|---|
| Ebene 1 – Basic | Schafft grundlegende Hygiene und eine sichere Datengrenze. | Generalstab (≈80%). | Reibungsloser Rollout, der eine breite Einführung ermöglicht. | Minimale Unterbrechung. | NIST-Grundsteuerungen, DISA STIG CAT III. |
| Ebene 2 – Erweitert | Stärkt die Verhinderung von Datenverlust (Data Loss Prevention, DLP) und strafft risikobehaftete Oberflächen. | Manager, IT, HR, Finance (≈15%). | Reduzieren Sie die Datenexfiltration, und erzwingen Sie sichereres Browsen. | Moderat: Fügt gezielte Eingabeaufforderungen und Blöcke hinzu. | NIST moderate Kontrollen, DISA STIG CAT II. |
| Ebene 3 – Hoch | Wendet die maximale Isolation und das Browsen mit den geringsten Rechten an. | Führungskräfte, SecOps, Juristische, sensible Rollen (≈5%). | Enthalten Hochrisikoaktivitäten mit nachweisbaren Zusicherungen. | Vom Design her hoch, um vertrauliche Daten zu schützen. | NIST high controls, DISA STIG CAT I, CISA critical controls. |
Diese Sicherheitsstufen beschreiben die gewünschten Ergebnisse. Die verknüpften Implementierungsleitfäden ordnen diese Ergebnisse Richtlinientools wie App-Schutzrichtlinien, App-Konfigurationsrichtlinien, Einstellungskatalogprofile und bedingtem Zugriff zu.
Erforderliche Microsoft Entra ID Gruppen
Erstellen Sie Sicherheitsgruppen, bevor Sie Richtlinien erstellen, damit Sie jede Ebene konsistent ausrichten können:
-
Gerätegruppen:
SEB-Level1-Devices,SEB-Level2-Devices,SEB-Level3-Devices,SEB-Excluded-Devices. -
Benutzergruppen:
SEB-Level1-Users,SEB-Level2-Users,SEB-Level3-Users,SEB-Excluded-Users.
Die ebenenspezifischen Gruppen unterstützen progressive Zuweisungen, während die Ausschlussgruppen sichere Test- und Notfallzugriffspfade bereitstellen.
Plattformübergreifende Richtlinienabdeckung
Verwenden Sie die folgende Matrix, um zu bestätigen, welche Richtlinientypen auf jeder Ebene und Plattform gelten, bevor Sie sich mit den schrittweisen Artikeln befassen:
| Plattform- und Richtlinientyp | Stufe 1 | Stufe 2 | Ebene 3 | Highlights |
|---|---|---|---|---|
| Windows – Einstellungskatalog | Core Hygiene-Konfiguration. | Fügt SmartScreen, anwendungsgebundene Verschlüsselung und umfassendere Erweiterungssteuerelemente hinzu. | Führt Application Guard, URL-Positivlisten und strenge Updategovernance ein. | Primäre Gerätehärtung für verwaltete Windows-Endpunkte. |
| Windows – App-Schutz-Richtlinien | Grundlegender Datenschutz mit minimalen Freigabebeschränkungen. | Blockiert das Kopieren/Einfügen und erzwingt Geräteintegritätsprüfungen. | Ermöglicht eine hohe Sicherheit mit geschützten Bedrohungsstufen und Druckerblockierungen. | Schützt Arbeitsdaten auf verwalteten und nicht verwalteten Windows-Geräten. |
| Windows – App-Konfigurationsrichtlinien | Richtet Homepages, Kennwortsteuerelemente und Downloadrichtlinien ein. | Erweitert auf Zertifikatverwaltung, WebRTC und Sitzungsbereinigung. | Erzwingt Zulassungslisten, deaktiviert Entwicklertools und blockiert Downloads. | Umfassende Browseranpassung, ohne Geräterichtlinien zu ersetzen. |
| macOS – Einstellungskatalog | Implementiert Baselineschutz und Updateverwaltung. | Fügt Eine Sperrung des Entwicklertools, WebUSB-/WebHID-Blöcke und SmartScreen-DNS hinzu. | Erzwingt das Browsen nur für Zulassungslisten mit Download- und Zwischenablageeinschränkungen. | Der Einstellungskatalog ist die primäre Steuerungsebene für macOS. |
| iOS/iPadOS – App-Schutz & Konfiguration | Erfordert App-PIN, Verschlüsselung und intelligente Standardwerte. | Verschärft Sicherungen, blockiert Screenshots und schränkt die Freigabeziele ein. | Erzwingt biometrische Stärke, URL-Zulassungslisten und hohe DLP-Einstellungen. | Deckt persönliche und Unternehmensgeräte mit MAM + ACP ab. |
| Android – App-Schutz & Konfiguration | Stellt grundlegende Verschlüsselungs-, PIN- und SmartScreen-Einstellungen bereit. | Fügt Sicherungsblockierung, Überprüfungen der Wiedergabeintegrität und Social-Media-Blöcke hinzu. | Erfordert Biometrie der Klasse 3, Kioskoptionen und Zugriff auf zulassungsgeschützte Listen. | Spiegelt iOS-Schutz mit Android-spezifischen Steuerelementen wieder. |
| Bedingter Zugriff (plattformübergreifend) | Führt den reinen Browserzugriff mit MFA- und APP-Anforderungen ein. | Fügt Steuerungen für Gerätekonformität, risikobasierten Zugriff und Sitzungshäufigkeit hinzu. | Erzwingt besonders vertrauenswürdige Standorte, kontinuierliche Zugriffsauswertung und genehmigte Clients. | Ergänzt die Richtlinienkonfiguration durch identitätsgesteuerte Erzwingung. |
Sicherer Unternehmensbrowser
Die Secure Enterprise Browser-Lösung kombiniert Microsoft Edge for Business mit dem umfassenden Richtlinienframework von Microsoft Intune, um eine sichere, verwaltbare Browsererfahrung auf allen Plattformen zu schaffen. Diese Lösung erweitert das bewährte Datenschutzframework über App-Schutzrichtlinien hinaus um App-Konfigurationsrichtlinien und Einstellungskatalogkonfigurationen und bietet einen einheitlichen Ansatz zum Schützen von Unternehmensbrowserbereitstellungen.
Data Protection Framework for Secure Enterprise Browser
Das Datenschutzframework für den Secure Enterprise Browser baut auf dem etablierten Framework für App-Schutzrichtlinien auf und erweitert es auf alle Konfigurationsaspekte von Microsoft Edge for Business. Dieses Framework organisiert Sicherheitskonfigurationen in drei Ebenen:
- Ebene 1 – Grundlegendes Datenschutz für Unternehmen: Die empfohlene Mindestkonfiguration für Unternehmensgeräte. Diese Ebene bietet grundlegende Sicherheitskontrollen bei gleichzeitiger Aufrechterhaltung der Benutzerproduktivität.
- Ebene 2 – Erweiterter Schutz von Unternehmensdaten: Empfohlen für Geräte, die auf vertrauliche oder vertrauliche Informationen zugreifen. Diese Konfiguration gilt für die meisten Benutzer, die auf Geschäfts-, Schul- oder Unidaten zugreifen, und enthält zusätzliche Steuerelemente, die sich auf die Benutzererfahrung auswirken können.
- Stufe 3 – Hoher Datenschutz für Unternehmen: Konzipiert für Organisationen mit anspruchsvollen Sicherheitsanforderungen oder Für Benutzer mit erhöhtem Risiko. Diese Konfiguration bietet die höchste Schutzebene für vertrauliche Daten.
Jede Ebene gilt konsistent für App-Schutzrichtlinien, App-Konfigurationsrichtlinien und Einstellungskatalogkonfigurationen, sodass Sie eine zusammenhängende Sicherheitsstrategie implementieren können, die auf die Anforderungen Ihrer organization zugeschnitten ist.
Was ist Microsoft Edge for Business?
Microsoft Edge for Business ist Ihr sicherer, produktivitätsorientierter Browser, der für moderne Arbeit entwickelt wurde. Es wurde für verwaltete und nicht verwaltete Geräte entwickelt und bietet Sicherheit und Kontrolle auf Unternehmensniveau und sorgt gleichzeitig für die vertraute Microsoft Edge-Umgebung, der Sie vertrauen.
Mit der automatischen Trennung von Arbeit und persönlichem Browsen erstellt Microsoft Edge for Business dedizierte Fenster für jedes - komplett mit eigenen Favoriten, Caches und Speicher. Diese Trennung bedeutet keine Verwechslungen, keine versehentlichen Datenlecks und eine nahtlose Möglichkeit, produktiv zu bleiben, ohne die Privatsphäre zu beeinträchtigen.
Warum Microsoft Edge for Business?
- Standardmäßig sicher : Schützen Sie vertrauliche Daten mühelos.
- Für Produktivität entwickelt – Unternehmensfeatures, die Sie bereits kennen und für die Arbeit optimiert sind.
- Intelligente Trennung – Halten Sie Arbeit und persönliches Browsen deutlich voneinander ab.
Ist dies ein neuer Browser?
Nein, dies ist kein neuer Browser. Dies ist eine neue, dedizierte Microsoft Edge-Erfahrung, die speziell für die Arbeit entwickelt wurde. Es ermöglicht Es Organisationen, es zu konfigurieren, um Produktivität und Sicherheit zu maximieren. Es behält die gleiche Funktionalität bei, mit der Benutzer bereits in Microsoft Edge vertraut sind. Darüber hinaus bietet es ein optionales Feature des automatischen Wechsels zwischen persönlichen und Unternehmenskonten, das auf die sich entwickelnden Anforderungen von Benutzern und Unternehmen zugeschnitten ist. Wenn Sie sich mit einem Microsoft Entra ID anmelden, wird die Microsoft Edge for Business automatisch aktiviert.
Vorteile
Microsoft Edge for Business bietet eine Vielzahl von Vorteilen:
Optimierte IT-Vorgänge: Microsoft Edge for Business können die Oberfläche von Cyberangriffen erheblich reduzieren und den Sicherheitsstatus Ihrer organization verbessern. Dies wird erreicht, indem die Vorgänge für alle Anwendungsfälle auf einen einzelnen Browser heruntergefahren werden, wodurch die IT-Verwaltung vereinfacht wird.
Verbesserte Benutzererfahrung: Für Endbenutzer, die sowohl mit geschäftlichen als auch mit persönlichen Profilen angemeldet sind, bietet Microsoft Edge for Business eine hervorragende Browsererfahrung. Das automatische Umschalten verbessert nicht nur die Benutzerfreundlichkeit, sondern erhöht auch die Sicherheit und den Datenschutz.
Arbeitsbrowser mit visueller Aktualisierung: Das Microsoft Edge for Business-Symbol, das das vorhandene Microsoft Edge-Symbol in der Taskleiste und andere Tastenkombinationen ersetzt, stellt eine eindeutige und erkennbare Identität für den Unternehmensbrowser bereit.
Erhöhte Sicherheit: Microsoft Edge for Business verstärkt die Browsererfahrung durch die Implementierung von App-Schutzrichtlinien. Diese Richtlinien stellen sicher, dass Unternehmensdaten sicher bleiben und sorgen sowohl für die organization als auch für ihre Benutzer.
Zentralisierte Verwaltung: Microsoft Intune bietet eine zentralisierte Richtlinienverwaltung für Microsoft Edge for Business, die den Prozess vereinfacht und Zeit und Ressourcen spart.
Zusätzlich zu den oben genannten Vorteilen können Sie den geschützten Zugriff der Verwaltung mobiler Anwendungen auf Unternehmensdaten auf persönlichen Geräten aktivieren. Diese Funktion verwendet die folgenden Funktionen:
- Intune Anwendungskonfigurationsrichtlinien (ACP) mit Microsoft Edge for Business. Mithilfe von ACP können Sie Microsoft Edge-Einstellungen anwenden, um ein sicheres Browsen zu ermöglichen.
- Intune App-Schutzrichtlinien, um organization Daten zu schützen und sicherzustellen, dass das Clientgerät fehlerfrei ist.
- Mobile Threat Protection (MTP) ist in Intune App-Schutzrichtlinien integriert, um lokale Gesundheitsbedrohungen auf persönlichen Windows-Geräten und allen mobilen Geräten zu erkennen.
- Microsoft Entra bedingten Zugriff, um sicherzustellen, dass das Gerät geschützt und fehlerfrei ist, bevor Sie geschützten Diensten Zugriff über Microsoft Entra gewähren.
Zero Trust Methodik
Die Zero Trust Sicherheitsstrategie verändert die Art und Weise, wie Organisationen die Sicherheit angehen. Es wird zum neuen Standard für die Sicherheitsstrategie als Reaktion auf die sich entwickelnde Bedrohungslandschaft. Herkömmliche bewährte Methoden drehten sich um das Modell "Vertrauen, aber überprüfen", aber dieser Ansatz kann durch moderne Angriffe ausgenutzt werden. Dies treibt die Notwendigkeit einer Änderung der Sicherheitsstrategie voran. Die Zero Trust Methodik basiert auf dem Konzept "nie vertrauen, immer überprüfen" und richtet sich nach drei Schlüsselprinzipien:
- Explizite Überprüfung: Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. Zu diesen Datenpunkten gehören Benutzeridentität, Standort, Geräteintegrität, Dienst/Workload, Datenklassifizierung und Anomalien.
- Verwenden sie Least-Privilege Access: Beschränken Sie den Benutzerzugriff mit Just-in-Time-Richtlinien und JIT/JEA-Richtlinien (Just-In-Time und Just-Enough-Access). Implementieren Sie risikobasierte adaptive Richtlinien und Datenschutz, um Daten und Produktivität zu schützen.
- Annahme einer Sicherheitsverletzung: Minimieren Sie den Strahlradius und den Segmentzugriff. Stellen Sie die End-to-End-Verschlüsselung sicher, und verwenden Sie Analysen, um Sichtbarkeit zu gewinnen, die Bedrohungserkennung zu fördern und die Schutzmaßnahmen zu verbessern.
Microsoft Edge for Business ergänzt Zero Trust
Microsoft Edge for Business, das auf der stabilen und sicheren Grundlage von Chromium basiert, ist so konzipiert, dass es Sicherheitsbedrohungen einen Schritt voraus ist. Updates und Patches werden schnell veröffentlicht, um Bedrohungen wie Zero-Day-Exploits zu begegnen und die Auswirkungen potenzieller Kompromittierungen zu minimieren.
Zusätzlich zu den inhärenten Sicherheitsfeatures von Chromium enthält Microsoft Edge for Business einzigartige Schutzfunktionen und unterstützt eine Reihe von Microsoft-Technologien:
- Microsoft Defender: Bietet umfassende Sicherheitslösungen.
- Microsoft Entra: Bietet Identitäts- und Zugriffsverwaltungsdienste.
- Microsoft Intune: Bietet Verwaltung mobiler Geräte und Anwendungen.
- Microsoft Purview: Unterstützt Die Datengovernance in Ihrem hybriden Datenbestand.
Darüber hinaus entspricht Microsoft Edge for Business der Zero Trust Methodik, indem die folgenden Features angeboten werden:
- Verhinderung von Datenverlust (Data Loss Prevention, DLP) mit Microsoft Purview: Verhindert Datenlecks und nicht autorisierten Datenzugriff.
- Microsoft Defender SmartScreen: Bietet reputationsbasierten Schutz vor Phishing und Schadsoftware.
- Erweiterter Sicherheitsmodus (ESM): Bietet zusätzliche Sicherheitsmaßnahmen.
- Website Tippfehlerschutz: Verhindert die Navigation zu schädlichen Websites aufgrund von Typografiefehlern.
- Native Unterstützung für Microsoft Entra bedingten Zugriff: Stellt sicher, dass nur authentifizierte und autorisierte Benutzer auf Ihre Ressourcen zugreifen können.
- Kennwortüberwachung und -generator: Hilft bei der Aufrechterhaltung sicherer, eindeutiger Kennwörter.
- Microsoft Edge Management Service (EMS): Bietet zentralisierte Kontrolle über Ihre Microsoft Edge-Bereitstellungen.
- Unterstützung für nicht verwaltete Geräte mit Microsoft Intune Verwaltung mobiler Anwendungen: Ermöglicht den sicheren Zugriff auf Unternehmensressourcen von nicht verwalteten Geräten.
Inhalt dieser Lösung
Diese Lösung bietet umfassende Anleitungen für die Implementierung der Secure Enterprise Browser-Konfiguration mit Microsoft Edge for Business und Microsoft Intune. Der schritt-für-Schritt-Ansatz deckt alle Richtlinientypen und Plattformen ab, geordnet nach Konfigurationsmethode, um Ihnen beim Erstellen eines vollständigen Sicherheitsframeworks zu helfen.
Fahren Sie mit Schritt 1 fort, um Microsoft Entra bedingten Zugriff zu erstellen.