Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Defender for Cloud Apps Benutzer, die Microsoft Edge for Business- oder Purview-Richtlinien zur Verhinderung von Datenverlust für Cloud-Apps in Edge verwenden und Sitzungsrichtlinien unterliegen, werden direkt im Browser geschützt. Der In-Browser-Schutz reduziert den Bedarf an Proxys und verbessert sowohl die Sicherheit als auch die Produktivität.
Geschützte Benutzer erleben eine reibungslose Erfahrung mit ihren Cloud-Apps, ohne Latenz- oder App-Kompatibilitätsprobleme und mit einem höheren Sicherheitsniveau.
In-Browser-Schutzanforderungen
Um den In-Browser-Schutz verwenden zu können, müssen sich Benutzer im Arbeitsprofil ihres Browsers befinden.
Mit Microsoft Edge-Profilen können Benutzer Browserdaten in separate Profile aufteilen, wobei die Daten, die zu den einzelnen Profilen gehören, getrennt von den anderen Profilen aufbewahrt werden. Wenn Benutzer beispielsweise über unterschiedliche Profile für persönliches Surfen und Arbeiten verfügen, werden ihre persönlichen Favoriten und der Verlauf nicht mit ihrem Arbeitsprofil synchronisiert.
Wenn Benutzer über separate Profile verfügen, verfügen ihr Arbeitsbrowser (Microsoft Edge for Business) und der persönliche Browser (Microsoft Edge) über separate Caches und Speicherorte, und die Informationen bleiben getrennt.
Um den In-Browser-Schutz verwenden zu können, müssen benutzer außerdem die folgenden Umgebungsanforderungen erfüllen:
| Anforderung | Beschreibung |
|---|---|
| Betriebssysteme | Windows 10 oder 11, macOS |
| Identity Platform | Microsoft Entra-ID |
| Microsoft Edge for Business Versionen | Die letzten beiden stabilen Versionen. Wenn der neueste Microsoft Edge beispielsweise 126 ist, funktioniert der Browserschutz für v126 und v125. Weitere Informationen finden Sie unter Microsoft Edge-Releases. |
| Unterstützte Sitzungsrichtlinien |
Benutzer, die von mehreren Richtlinien bereitgestellt werden, einschließlich mindestens einer Richtlinie, die von Microsoft Edge for Business nicht unterstützt wird, werden ihre Sitzungen immer vom Reverseproxy bereitgestellt. Richtlinien, die im Microsoft Entra ID-Portal definiert sind, werden ebenfalls immer vom Reverseproxy bereitgestellt. *Vertrauliche Dateien, die durch die integrierte DLP-Überprüfung identifiziert werden, werden für den Microsoft Edge-In-Browser-Schutz nicht unterstützt. |
| Unterstützte Purview-DLP-Richtlinien | Weitere Informationen finden Sie unter Aktivitäten, die Sie im Browser überwachen und ergreifen können. Purview-Richtlinien werden immer durch browserinternen Schutz bereitgestellt. |
Alle anderen Szenarien werden automatisch mit der Standardmäßigen Reverseproxytechnologie bereitgestellt, einschließlich Benutzersitzungen von Browsern, die keinen In-Browser-Schutz unterstützen, oder für Richtlinien, die nicht vom In-Browser-Schutz unterstützt werden.
Für instance werden diese Szenarien vom Reverseproxy bereitgestellt:
- Google Chrome-Benutzer.
- Microsoft Edge-Benutzer, die auf eine Sitzungsrichtlinie zum Schützen von Dateidownloads ausgerichtet sind.
- Microsoft Edge-Benutzer auf Android-Geräten.
- Benutzer in Apps, die die OKTA-Authentifizierungsmethode verwenden.
- Microsoft Edge-Benutzer im InPrivate-Modus.
- Microsoft Edge-Benutzer mit älteren Browserversionen.
- B2B-Gastbenutzer.
- Die Sitzung ist auf eine Richtlinie für bedingten Zugriff festgelegt, die in Microsoft Entra ID Portal definiert ist.
Benutzererfahrung mit In-Browser-Schutz
Um zu bestätigen, dass der In-Browser-Schutz aktiv ist, müssen Benutzer das Symbol "Sperren" in der Adressleiste des Browsers auswählen und nach dem "Koffer"-Symbol im angezeigten Formular suchen. Das Symbol gibt an, dass die Sitzung durch Defender for Cloud Apps geschützt ist. Zum Beispiel:
Außerdem wird das .mcas.ms Suffix nicht in der Adressleiste des Browsers mit In-Browser-Schutz angezeigt, wie es bei der standardmäßigen App-Steuerung für bedingten Zugriff der Fall ist, und Entwicklertools sind mit browserinternem Schutz deaktiviert.
Erzwingung von Arbeitsprofilen für browserinternen Schutz
Um auf eine Arbeitsressource in contoso.com mit Browserschutz zuzugreifen, müssen Sie sich mit Ihrem username@contoso.com Profil anmelden. Wenn Sie versuchen, von außerhalb des Arbeitsprofils auf die Arbeitsressource zuzugreifen, werden Sie aufgefordert, zum Arbeitsprofil zu wechseln oder eins zu erstellen, falls es nicht vorhanden ist. Wenn der Zugriff über das Microsoft Edge-Arbeitsprofil nicht erzwungen wird, können Sie auch mit Ihrem aktuellen Profil fortfahren. In diesem Fall werden Sie von der Reverseproxyarchitektur bedient.
Wenn Sie ein neues Arbeitsprofil erstellen möchten, wird eine Eingabeaufforderung mit der Option Meinem organization erlauben, mein Gerät zu verwalten angezeigt. In solchen Fällen müssen Sie diese Option nicht auswählen, um das Arbeitsprofil zu erstellen oder vom In-Browser-Schutz zu profitieren.
Weitere Informationen finden Sie unter Microsoft Edge for Business und Hinzufügen neuer Profile zu Microsoft Edge.
Konfigurieren von In-Browser-Schutzeinstellungen
Der Browserschutz mit Microsoft Edge for Business ist standardmäßig aktiviert, wobei Nicht erzwingen ausgewählt ist. Sie können die Integration deaktivieren und aktivieren, Einstellungen ändern, um die Verwendung von Microsoft Edge for Business zu erzwingen, und eine Aufforderung für Nicht-Microsoft Edge-Benutzer konfigurieren, zu Microsoft Edge zu wechseln, um die Leistung und Sicherheit zu verbessern.
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzum Abschnitt >Systemeinstellungen>>Cloud-Apps>Bedingter Zugriff App-SteuerungEdge for Business-Schutz. Oder verwenden Sie https://security.microsoft.com/cloudapps/settings?tabid=edgeIntegration, um direkt zur Edge for Business-Schutzseite zu wechseln.
Konfigurieren Sie auf der Seite Edge for Business-Schutz die folgenden Einstellungen nach Bedarf:
Edge for Business-Browserschutz aktivieren: Der Standardwert hierfür ist Ein, Aber Sie können die Einstellung auf Aus umschalten.
Benutzer in Nicht-Edge-Browsern benachrichtigen, Microsoft Edge for Business für bessere Leistung und Sicherheit zu verwenden: Wenn Sie das Kontrollkästchen aktivieren, aktivieren Sie einen der folgenden Angezeigten Werte:
- Standardmeldung verwenden (Standard)
- Nachricht anpassen: Geben Sie den benutzerdefinierten Text in das angezeigte Feld ein.
Verwenden Sie den Link Vorschau , um die Benachrichtigung anzuzeigen.
Wenn Sie auf der Seite Schutz für Edge for Business fertig sind, wählen Sie Speichern aus.
Arbeiten mit Microsoft Purview Endpoint: Verhinderung von Datenverlust
Endpunkt-DLP-Richtlinien werden priorisiert und angewendet, wenn derselbe Kontext und dieselbe Aktion für die Endpunktrichtlinie und entweder eine Defender for Cloud Apps Sitzungsrichtlinie oder eine Purview-DLP-Richtlinie für Cloud-Apps konfiguriert sind.
Beispielsweise verfügen Sie über eine Endpunkt-DLP-Richtlinie, die einen Dateiupload in Salesforce blockiert, und Sie verfügen auch über eine Defender for Cloud Apps Sitzungsrichtlinie, die Dateiuploads in Salesforce überwacht. In diesem Szenario wird die Endpunkt-DLP-Richtlinie angewendet.
Weitere Informationen finden Sie unter Informationen zur Verhinderung von Datenverlust bei Endpunkten.
Erzwingen des Microsoft Edge-Browserschutzes beim Zugriff auf Geschäfts-Apps
Administratoren, die die Leistungsfähigkeit des Microsoft Edge-Browserschutzes verstehen, können verlangen, dass Benutzer Microsoft Edge verwenden, wenn sie auf Unternehmensressourcen zugreifen. Ein Hauptgrund ist die Sicherheit, da die Barriere für die Umgehung von Sitzungssteuerungen mit Microsoft Edge viel höher ist als bei Reverseproxytechnologie. Für Purview-DLP-Richtlinien müssen diese Einstellungen aktiviert sein und den Zugriff nur von Microsoft Edge für Geschäftsanwendungen aus erzwingen, wenn Richtlinien verwendet werden, die verhindern, dass Benutzer vertrauliche Informationen mit Cloud-Apps in Edge for Business freigeben.
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzum Abschnitt >Systemeinstellungen>>Cloud-Apps>Bedingter Zugriff App-SteuerungEdge for Business-Schutz. Oder verwenden Sie https://security.microsoft.com/cloudapps/settings?tabid=edgeIntegration, um direkt zur Edge for Business-Schutzseite zu wechseln.
Solange edge for Business-Browserschutz aktivieren aktiviert ist, ist auf der Seite Edge for Business-Schutzerzwingen mit den folgenden Werten verfügbar:
Nicht erzwingen (Standard)
Zugriff nur über Edge zulassen: Der Zugriff auf die Geschäftsanwendung (im Rahmen von Sitzungsrichtlinien) ist nur über den Microsoft Edge-Browser verfügbar.
Zugriff von Edge erzwingen, wenn möglich: Benutzer sollten Microsoft Edge verwenden, um auf die Anwendung zuzugreifen, wenn ihr Kontext dies zulässt. Andernfalls wird möglicherweise ein anderer Browser verwendet, um auf die geschützte Anwendung zuzugreifen.
Beispielsweise unterliegt ein Benutzer einer Richtlinie, die nicht mit den In-Browser-Schutzfunktionen übereinstimmt (z. B. Datei beim Herunterladen schützen), ODER das Betriebssystem ist inkompatibel (für instance Android).
Da der Benutzer in diesem Szenario keine Kontrolle über den Kontext hat, kann er sich für die Verwendung eines anderen Browsers entscheiden.
Wenn die entsprechenden Richtlinien dies zulassen und das Betriebssystem kompatibel ist (Windows 10, 11, macOS), muss der Benutzer Microsoft Edge verwenden.
Wenn Sie Zugriff nur von Microsoft Edge zulassen oder Zugriff von Microsoft Edge erzwingen auswählen, wenn möglich, ist die Einstellung Für welche Geräte erzwingen? mit den folgenden Werten verfügbar:
- Alle Geräte (Standard)
- Nur nicht verwaltete Geräte
Wenn Sie auf der Seite Schutz für Edge for Business fertig sind, wählen Sie Speichern aus.
Verwandte Inhalte
Weitere Informationen finden Sie unter Microsoft Defender for Cloud Apps App-Steuerung für bedingten Zugriff.