Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Edge for Business unterstützt Intune App Protection-Richtlinien (MAM) unter Windows, einschließlich für Benutzer, die auf Geräten arbeiten, die von einem anderen Mandanten verwaltet werden.
Diese Funktion ermöglicht es Organisationen, Datenschutzkontrollen wie Zwischenablageeinschränkungen, geschützte Downloads, Wasserzeichen und Schutz vor Lecks direkt auf Edge-Arbeitsprofile anzuwenden, ohne dass eine vollständige Geräteverwaltung erforderlich ist. Richtlinien werden durch Microsoft Intune App-Schutzrichtlinien und Microsoft Entra bedingten Zugriff erzwungen, um sicherzustellen, dass Unternehmensdaten, auf die über Edge zugegriffen wird, auch in mandantenübergreifenden Szenarien wie Auftragnehmern, Partnern oder Fusionen von Ihrem Mandanten gesteuert werden.
Bei der Konfiguration empfängt Edge nach der Benutzerregistrierung automatisch MAM-Richtlinien und erzwingt den Schutz für alle unterstützten Features konsistent, während endbenutzern eine native Browsererfahrung erhalten bleibt.
Was in diesem Artikel behandelt wird
- Wie Entra bedingten Zugriff, Intune App Protection und Edge for Business MAM-Schutz unter Windows aktivieren
- Unterstützte Szenarien und bekannte Einschränkungen für Edge MAM, einschließlich mandantenübergreifender Geräte
- Konfigurationsschritte für bedingten Zugriff, App-Schutzrichtlinien und Benutzerregistrierung
Voraussetzungen
Lizenzierung
- Microsoft Intune
- Microsoft Entra ID P1 oder P2 (für bedingten Zugriff)
Unterstützte Plattformen
- Windows 10/11
- Microsoft Edge for Business Version 147 oder höher
Wie Entra, Intune und Edge for Business Schutz bieten
Microsoft Edge verwendet Microsoft Entra bedingten Zugriff, um App-Schutz zu erfordern, wenn Benutzer auf Unternehmensressourcen zugreifen. Diese Anforderung löst Intune App Protection (MAM)-Registrierung für das Edge-Arbeitsprofil aus, ohne das Gerät zu registrieren.
Intune App-Schutzrichtlinien definieren, welche Datenschutzrichtlinien gelten, und Edge erzwingt diese Schutzmaßnahmen direkt im Browser, die nur auf Organisationsdaten ausgerichtet sind. Dies ermöglicht den sicheren Zugriff auf nicht verwalteten oder mandantenübergreifenden Windows-Geräten, während das persönliche Browsen nicht beeinträchtigt wird.
Unterstützte Szenarien und bekannte Einschränkungen
| Einschränkung | Auswirkungen |
|---|---|
| Verwaltete Geräte mit dem gleichen Mandanten | Geräte, die vom gleichen Mandanten verwaltet werden, werden mit der in diesem Artikel beschriebenen Konfiguration für bedingten Zugriff nicht unterstützt. Benutzer können in dieser Konfiguration nicht auf durch bedingten Zugriff geschützte Daten zugreifen. |
| Endpunkt-DLP auf dem Gerät aktiviert | Wenn Endpunkt-DLP auf Geräteebene aktiviert ist, können Intune App Protection-Richtlinien (MAM) nicht auf Edge-Arbeitsprofile auf diesem Gerät angewendet werden, es sei denn, eine Richtlinie wird festgelegt, um diese Einschränkung zu umgehen. Andernfalls ist kein Profilwechsel verfügbar, und das hinzugefügte Profil muss entfernt werden. |
Überprüfen, ob Endpunkt-DLP auf einem Gerät aktiviert ist
- Microsoft Edge öffnen
- Navigieren Sie zu
edge://edge-dlp-internals - Aktivieren Sie auf der Seite Featurestatus das Feld Anbietername .
Wenn der Anbieterstatus auf Verfügbar und der Anbieter Endpunkt-DLP festgelegt ist, ist Endpunkt-DLP auf Geräteebene aktiviert.
Beispiel:
| Anbietername | Anbieterstatus |
|---|---|
| Endpunkt-DLP | Verfügbar |
Der Endpunkt-DLP-Block auf Geräteebene kann mithilfe der Richtlinie MAMWithDeviceDLPEnabledumgangen werden. Diese Richtlinie muss vom Mandanten konfiguriert werden, der das Gerät verwaltet. Bei Verwendung von Edge-Version 148 oder höher kann diese Richtlinie über Intune konfiguriert werden. Bei Verwendung der Edge-Version 147 können Sie die Gruppenrichtlinie oder die Registrierung verwenden, um die Richtlinie festzulegen.
Konfigurationsschritte
Schritt 1: Richtlinie für bedingten Zugriff, die APP erfordert
Im Entra Admin Center (entra.microsoft.com):
Wechseln Sie zu Bedingter Zugriff → Neue Richtlinie erstellen.
Erstellen Sie eine Richtlinie für bedingten Zugriff, die App-Schutz für den Edgezugriff erfordert:
Einstellungsrichtlinienfeld Wert Benutzer oder Agents (Vorschau) Zielbenutzer oder -gruppen Zielressourcen Office 365 (oder andere geschützte Ressourcen) Bedingungen :> Client-Apps Browser Bedingungen:> Geräteplattformen Windows Gewähren App-Schutzrichtlinie erforderlich
Nicht unterstützt.
- "Kompatibles Gerät erforderlich" (Benutzer werden von der MAM-Registrierung blockiert)
Schritt 2: Konfigurieren einer App-Schutzrichtlinie
Im Intune Admin Center:
- Wechseln Sie zu Apps → Protection → Erstellen → Windows
- Erstellen Sie eine App-Schutzrichtlinie für Windows. Wählen Sie unter Apps die Option Microsoft Edge aus.
- Konfigurieren Von Datenschutzeinstellungen nach Bedarf finden Sie hier.
- Weisen Sie die Richtlinie derselben Benutzergruppe zu, für die die in Schritt 1 erstellte Richtlinie für bedingten Zugriff gilt.
- Überprüfen und erstellen Sie die neue Richtlinie.
Referenz:Schützen Ihrer Unternehmensdaten in Intune mit Microsoft Edge for Business
Schritt 3: Registrieren des Edge-Profils eines Benutzers bei MAM
Benutzerschritte
- Öffnen Sie Microsoft Edge auf dem verwalteten Gerät.
- Navigieren Sie zu einer Unternehmensressource (z. B. SharePoint oder interne Website).
- Versuchen Sie, sich mit Unternehmensanmeldeinformationen bei der Ressource anzumelden.
- Treffen Sie auf einen Block für bedingten Zugriff.
Folgen Sie der Aufforderung, um das Edgeprofil zu wechseln.
Schließen Sie den Anmeldeflow ab, und akzeptieren Sie alle Eingabeaufforderungen.
Wichtig:Wählen Sie in der Eingabeaufforderung ja aus.
- Nach der Anmeldung empfängt Edge automatisch MAM-Richtlinien .
In diesem Stadium sind Benutzer bei MAM registriert, und Edge for Business kann App-Schutzrichtlinien anwenden. Um zu steuern, wie Organisationsdaten im Browser behandelt werden – einschließlich Zugriff auf die Zwischenablage, Downloads und Datenfreigabe zwischen Apps – müssen Sie Datenschutzeinstellungen im Edgeverwaltungsdienst und Intune konfigurieren. Informationen zum Definieren dieser Steuerelemente finden Sie hier.