Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Einführung
Die geschützte Zwischenablage in Microsoft Edge for Business wurde entwickelt, um Organisationen beim Schutz vertraulicher Daten zu unterstützen, indem Sie Kopier- und Einfügeaktionen zwischen verwalteten und nicht verwalteten Webanwendungen steuern. Durch die Nutzung von Konfigurationen in Purview DLP-Richtlinien für verwaltete Cloud-Apps trägt die geschützte Zwischenablage dazu bei, dass Daten innerhalb der vom Administrator definierten vertrauenswürdigen Grenzen verbleiben, wodurch das Risiko von versehentlichen oder absichtlichen Datenlecks verringert wird, insbesondere wenn Benutzer mit modernen SaaS- und GenAI-Tools interagieren.
Die geschützte Zwischenablage in Edge for Business ermöglicht Es Organisationen, vertrauliche Daten auf Der Ebene der Zwischenablage zu schützen und dabei ein Gleichgewicht zwischen Sicherheit und Produktivität zu erzielen. Mit richtliniengesteuerter Erzwingung, unbeaufsichtigter Benutzererfahrung und flexiblen Administratorsteuerelementen ist es eine moderne Lösung für die heutigen browserbasierten Workflows.
Hinweis
Dieses Dokument konzentriert sich in erster Linie auf die Implementierung von Microsoft Purview DLP-Richtlinien für verwaltete Cloud-Apps mit Edge for Business (E5). Organisationen, die Microsoft 365 E3 mit Intune Mobile Application Management (MAM) verwenden, finden Sie im abschnitt unten, wie die geschützte Zwischenablage auf Arbeitsprofile angewendet wird.
Informationen zum Schutz Mitschreiben von Bildschirmen
Für eine stärkere, einheitliche Geschichte rund um den Schutz der Zwischenablage bietet Edge for Business auch Bildschirmschutz Mitschreiben. Dieses Feature schränkt Screenshots und Aufzeichnungen während geschützter Browsersitzungen ein, um vertrauliche Unternehmensdaten zu schützen. Wenn diese Option aktiviert ist, wird die Bildschirmaufnahme automatisch nur auf Seiten oder Websites blockiert, auf denen eine Copy:Block-Richtlinie aktiv ist. Screenshots werden als Erweiterung des Kopierschutzes behandelt, um nicht autorisierte Datenexfiltration über Bildschirmaufnahme zusammen mit Steuerelementen der Zwischenablage zu verhindern.
Wenn die Umschaltfläche Geschützte Zwischenablage im Edge-Verwaltungsdienst-Portal konfiguriert ist, wird auch die Richtlinie Screen Mitschreiben Protection standardmäßig aktiviert. Dadurch wird sichergestellt, dass sowohl Zwischenablage- als auch Bildschirmaufnahmesteuerelemente zusammenarbeiten, um Datenlecks zu verhindern. Screenshots können verwendet werden, um Einschränkungen der Zwischenablage zu umgehen, sodass die standardmäßige Aktivierung beider Richtlinien eine umfassendere Schutzebene für vertrauliche Unternehmensdaten bietet.
Hinweis
Die Screen Mitschreiben-Schutzrichtlinie gilt nur für Websites/Seiten mit einer Copy:Block Purview DLP-Richtlinie. Screenshots werden nicht global blockiert. die Erzwingung ist auf Speicherorte beschränkt, an denen der Kopierschutz aktiv ist.
Bereichszusammenfassung: Im E5 Purview-Pfad wird SCP pro Standort/pro App nur aktiviert, wenn eine Copy:Block-Regel aktiv ist. Im E3-Intune MAM-Pfad ist SCP profilweit, wird als Nebeneffekt der MAM-Zwischenablagerichtlinie aktiviert und gilt für jede Registerkarte im Edge-Arbeitsprofil.
Für Organisationen, die umfassendere Screenshoteinschränkungen wünschen, die über Purview-DLP-Richtlinien für die Durchsetzung verwalteter Cloud-Apps hinausgehen, unterstützt Microsoft Edge auch globale Steuerelemente wie disableScreenshots-Richtlinie:
Administratoren können Screenshots auf allen Websites in Edge for Business mithilfe der Microsoft Edge-Browserrichtliniendokumentation deaktivierenScreenshots | Microsoft Learn
Diese Richtlinie deaktiviert die integrierten Screenshot- und Web-Mitschreiben-Features von Edge für alle Websites, blockiert jedoch keine Tools auf Betriebssystemebene (z. B. Windows Snipping Tool).
Anforderungen
Stellen Sie sicher, dass Ihre Umgebung die folgenden Voraussetzungen erfüllt, um die geschützte Zwischenablage und den Schutz vor Mitschreiben bildschirmgeschützter Zwischenablage zu verwenden:
| Komponente | Erforderlich für |
|---|---|
| Microsoft Edge for Business (neueste Version) | Alle Szenarien |
| Microsoft 365 E5 (oder E5 Compliance/E5 Security-Add-On) | Purview-DLP- und MDA-Sitzungssteuerelemente (E5) |
| Microsoft 365 E3 mit Intune MAM | E3-Arbeitsprofil-Begrenzungspfad |
| Microsoft Defender for Cloud Apps (MDA) | In-Browser-Schutz umschalten (E5) |
| Entra-ID P1+ | Richtlinie für bedingten Zugriff (E5) |
| Zugriff auf das Edge Management Service-Portal | Geschützte Zwischenablage umschalten |
| Zugriff auf das Microsoft Purview-Portal | DLP-Richtlinienerstellung (E5) |
Definieren vertrauenswürdiger Grenzen für E5
Mit der geschützten Zwischenablage in Microsoft Edge for Business können Organisationen definieren, wie und wohin vertrauliche Daten per Kopieren und Einfügen verschoben werden können. Durch das Konfigurieren von Purview DLP-Richtlinien können Administratoren ihre vertrauenswürdige Grenze festlegen. Eine vertrauenswürdige Grenze bedeutet, dass Daten innerhalb der Grenze nicht verlassen können und nicht außerhalb eingefügt werden können. Gleichzeitig können Daten von außerhalb der Grenze eingegeben werden, sodass sie bei Bedarf eingefügt werden können.
Wir beschreiben eine vertrauenswürdige Grenze als eine Gruppe von verwalteten Web-Apps und Websites, in denen Zwischenablagedaten sicher fließen können. Versuche, Daten außerhalb dieser Grenze zu verschieben (z. B. in nicht verwaltete Apps, persönliche Browserregisterkarten oder GenAI-Tools), werden im Hintergrund blockiert, wodurch das Risiko von Datenlecks verringert wird, ohne die Produktivität der Benutzer zu beeinträchtigen.
Vertrauenswürdige Grenzen werden durch Konfigurationen festgelegt, die in Purview DLP-Richtlinien für verwaltete Cloud-Apps vorgenommen wurden. Administratoren haben die folgenden Möglichkeiten:
- Angeben verwalteter Cloud-Apps, die in die Richtliniengrenze eingeschlossen werden sollen
- Richtlinien auf bestimmte Benutzer oder Gruppen ausrichten
- Anpassen von Grenzen bei der Weiterentwicklung der Organisationsanforderungen
Wenn eine Purview-DLP-Richtlinie für verwaltete Clouds mit einer Regel, die auf die Kopieraktion angewendet wird, aktiv ist, erzwingt Edge automatisch Zwischenablagesteuerelemente basierend auf diesen Grenzen, wodurch verhindert wird, dass vertrauliche Daten außerhalb der vertrauenswürdigen Grenze eingefügt werden.
Vertrauenswürdige Grenze für E3
Die geschützte Zwischenablage ist auch für Organisationen verfügbar, die Microsoft 365 E3 mit Intune Mobile Application Management (MAM) verwenden. In diesem Szenario ist die vertrauenswürdige Grenze das Edge-Arbeitsprofil. Alle Kopier-/Einfügeaktionen sind innerhalb des verwalteten Arbeitsprofils eingeschränkt. Das heißt, Daten können nicht außerhalb des Profils eingefügt werden, sodass vertrauliche Informationen auch auf BYOD- oder nicht verwalteten Geräten geschützt bleiben. Weitere Informationen zum Konfigurieren dieses Szenarios finden Sie unter Geschützte Zwischenablage in MAM-Profilen.
- Vertrauenswürdige Grenze: Edge-Arbeitsprofil (Entra ID-Identität)
- Richtlinienerzwingung: Administratoren konfigurieren Intune MAM-Richtlinien, um das Kopieren/Einfügen innerhalb des Arbeitsprofils einzuschränken.
- Benutzererfahrung: Kopieren/Einfügen ist nur zwischen Websites und Apps innerhalb des verwalteten Profils zulässig. Versuche, außerhalb des Profils einzufügen, werden mit der Meldung blockiert: "Die Daten Ihres organization können hier nicht eingefügt werden."
Warum Modi wichtig sind
Verschiedene Organisationen und Szenarien erfordern unterschiedliche Ebenen der steuerungsgesteuerten Zwischenablage. Die geschützte Zwischenablage bietet mehrere Erzwingungsmodi, die jeweils die vertrauenswürdige Grenze auf einzigartige Weise strukturieren. Mit diesen Modi können Sie Sicherheit und Produktivität ausgleichen und so die Datenfreigabe schützen, während Benutzer in genehmigten Umgebungen effizient arbeiten können. Administratoren können diese Grenzen anpassen, wenn sich die Anforderungen der Organisation weiterentwickeln.
Geschützte Zwischenablagemodi erläutert
| Modus | Was geschieht mit Daten? (Ergebnis der vertrauenswürdigen Begrenzung) | Purview DLP-Richtlinie für verwaltete Cloud-Apps |
|---|---|---|
| Nicht konfiguriert | Daten können frei verschoben werden. Es wird keine vertrauenswürdige Grenze erzwungen. Benutzer können zwischen verwalteten Apps kopieren und einfügen. | Purview-Richtlinienregeln werden erzwungen, was das Blockieren von Kopiervorgängen umfassen kann. |
| Tab-Only | Daten verbleiben innerhalb der vertrauenswürdigen Grenze derselben Browserregisterkarte. Kopieren/Einfügen wird außerhalb dieser Registerkarte blockiert. |
Aktiviert mithilfe von Copy:Audit - oder Copy:Block-Konfigurationen . Ermöglicht es einer verwalteten App mit Audit oder Block , innerhalb derselben Registerkarte zu kopieren/einzufügen. |
| Freigegebene Grenze | Diese verwalteten Apps bilden eine freigegebene vertrauenswürdige Grenze. Zwischenablagedaten können diese Gruppe von verwalteten Apps nicht verlassen. |
Aktiviert durch Copy:Block-Konfigurationen . Nur verwaltete Apps mit Blockfreigabe-Zwischenablage. Verwaltete Apps in Überwachungsrichtlinien sind ausgeschlossen und nicht Teil der Grenze. |
| Hybridbereitstellung | Diese Standorte teilen sich eine breitere vertrauenswürdige Grenze. |
Aktiviert durch Copy:Audit - oder Copy:Block-Konfigurationen . Apps mit Audit können in Apps mit Blockieren eingefügt werden. Verwaltete Apps mit Blockieren können nicht in Apps mit Audit eingefügt werden. Verwaltete Apps mit Block sind auf das Verhalten mit der gleichen Registerkarte beschränkt. |
Alle Modi erfordern eine Regel, die diePurview-DLP-Richtlinie zum Kopieren der Konfiguration verwendet, die über Microsoft Purview eingerichtet wurde.
Auswählen eines Modus
- Beginnen Sie mit Ihren Datenschutzzielen: Möchten Sie Daten innerhalb einer einzelnen App oder in Gruppen von Apps beibehalten oder eine umfassendere Freigabe in vertrauenswürdigen Apps ermöglichen?
- Berücksichtigen Sie Benutzerworkflows: Wenn Benutzer zwischen mehreren verwalteten Apps kopieren müssen, sind freigegebene Grenzen oder Hybride möglicherweise am besten geeignet. Für eine strikte Isolation ist Tab-Only ideal.
- Überwachen und Anpassen: Verwenden Sie die Berichterstellung, um zu sehen, wie Richtlinien funktionieren, und verfeinern Sie Ihre vertrauenswürdigen Grenzen nach Bedarf.
Erste Schritte
Die geschützte Zwischenablage wurde aus Gründen der Einfachheit und nahtlosen Integration in Ihre vorhandenen Sicherheitsworkflows entwickelt. Weitere Informationen finden Sie unter Verhindern, dass Benutzer vertrauliche Informationen für Cloud-Apps in Edge for Business freigeben | Microsoft Learn für die ersten Schritte.
Das Einrichten der geschützten Zwischenablage mit Purview DLP erfordert eine Konfiguration über vier Portale in dieser Reihenfolge:
Schritt 1 – Entra: Erstellen einer Richtlinie für bedingten Zugriff
- Navigieren Sie zu
entra.microsoft.com>Bedingter Zugriff>Neue Richtlinie. - Wählen Sie unter Zuweisungen>Benutzer Ihre Pilotbenutzergruppe aus.
- Wählen Sie unter Zielressourcen>Cloud-Appsdie Option Office 365 aus. Dies ist eine Beispielkonfiguration. Sie können alle Apps auswählen, die mit Ihren Mandanten mit Entra verbunden sind. Weitere Informationen.
- Wählen Sie unter Bedingungen>Client-Apps die Option Nur Browser aus.
- Wählen Sie unter Sitzungdie Option Use Conditional Access App Control>Use custom policy (Benutzerdefinierte Richtlinie verwenden) aus.
- Aktivieren und speichern Sie die Richtlinie.
Schritt 2 – Einmalige Authentifizierung zum Registrieren von Apps bei ca App Control
Nachdem die Zertifizierungsstellenrichtlinie live ist, muss sich mindestens ein Zielbenutzer bei einer der bereichsinternen Cloud-Apps (Outlook im Web, OneDrive, SharePoint usw.) anmelden, bevor er fortfahren kann. Apps werden nur in der App Control-App-App-Liste der Zertifizierungsstelle von Defender angezeigt, nachdem sich ein Benutzer zum ersten Mal über die Zertifizierungsstellenrichtlinie authentifiziert hat. Wenn die Liste leer ist, erkennt Edge for Business die Zertifizierungsstellenrichtlinie nicht, und die Purview-DLP-Richtlinie wird nicht erzwungen.
So überprüfen Sie, ob Schritt 2 funktioniert hat: Vergewissern security.microsoft.com> Sie sich unter Systemeinstellungen>>Cloud-Apps>App-Steuerungs-Apps für bedingten Zugriff, dass mindestens eine App mit Status: Aktiviert, IDP: Entra ID-App angezeigt wird.
Schritt 3 – Defender for Cloud Apps: Aktivieren des Edge for Business-Browserschutzes
- Navigieren Sie zu
security.microsoft.com>Systemeinstellungen>Cloud-Apps>> App-Steuerung >für bedingten ZugriffEdge for Business-Schutz. - Legen Sie den Edge for Business-Browserschutz = AUF FEST.
- Legen Sie Nutzung erzwingen = Zugriff nur über Edge zulassen fest (erforderlich).
- Legen Sie Erzwingen fest, für welche Geräte = nur Alle Geräte oder nicht verwaltete Geräte.
- Legen Sie Benutzer in Nicht-Edge-Browsern = benachrichtigenauf ON fest.
- „Speichern“ aus.
Schritt 4 – Purview: Erstellen der DLP-Richtlinie mit der Kopierregel
- Navigieren Sie zu
purview.microsoft.com→ DLP-Richtlinien>>Richtlinie erstellen. - Wählen Sie unter Standortdie Option Verwaltete Cloud-Apps aus (unten in der Liste der Standorte).
- Bearbeiten Sie den Speicherort, und fügen Sie Ziel-Apps zu den gleichen Apps wie Ihre Zertifizierungsstellenrichtlinie hinzu (z. B. Exchange Online, SharePoint Online usw.).
- Regelbedingung = festlegenDas Gerät wird verwaltet oder das Gerät ist nicht verwaltet (erstellen Sie zwei Regeln, wenn Sie beide Gerätezustände als Ziel verwenden).
- Festlegen desAktivitätskopiererzwingungsblocks = = >.
- Aktivieren und speichern Sie die Richtlinie.
Wenn das Banner Richtlinie für bedingten Zugriff nicht gefunden angezeigt wird, vergewissern Sie sich, dass die Einstellungen für die Zertifizierungsstellenrichtlinie und den Edge for Business-Schutz in Schritt 2 und 3 korrigiert wurden.
Schritt 5 – Edge Management Service: Aktivieren der geschützten Zwischenablage
- Wechseln Sie zum Microsoft 365 Admin Center, und melden Sie sich an.
- Wechseln Sie in der linken Hauptnavigationsleiste zu Einstellungen > Microsoft Edge.
- Erstellen Sie eine Konfigurationsrichtlinie (Standardwerte sind in Ordnung).
- Bearbeiten Sie die Richtlinie >Anpassungseinstellungen>Sicherheitseinstellungen.
- Festlegen der geschützten Zwischenablage = AUF> Auswählen des Erzwingungsmodus (in der Regel freigegebene Grenze).
- Speichern und zuweisen.
Schritt 6 – Warten Sie auf die Weitergabe, und testen Sie dann
- Browserrichtlinien gelten in der Regel innerhalb von ca. 1 Stunde. Die vollständige Vermehrung kann bis zu einem Tag dauern
- Überprüfen Sie auf einem nicht verwalteten Gerät (unserem Hero-Szenario) oder einem Gerät, das der in der Richtlinie festgelegten Bedingung entspricht, indem Sie sich bei einem Zielbenutzerkonto anmelden, aus einer verwalteten App kopieren und bestätigen, dass das Einfügen außerhalb der Grenze blockiert ist.
- Führen Sie im Arbeitsprofil aus
edge://policy/, um zu bestätigen, dass Richtlinien für die geschützte Zwischenablage als angewendet angezeigt werden.
Hinweis
Wenn die Umschaltfläche Geschützte Zwischenablage im Edge-Verwaltungsdienst-Portal konfiguriert ist, wird auch die Richtlinie Screen Mitschreiben Protection standardmäßig aktiviert. Weitere Informationen finden Sie im obigen Abschnitt.
Häufige Setupfehler und deren Behebung
| Symptom | Ursache | Lösung |
|---|---|---|
| Banner "Richtlinie für bedingten Zugriff nicht gefunden" in Purview Oder "Edge for Business-Einstellungen nicht gefunden" in Purview. |
Die Zertifizierungsstellenrichtlinienkonfiguration und/oder edge for Business-Konfiguration fehlt oder ist falsch. | Überprüfen Sie die Richtlinienkonfigurationen ihrer Zertifizierungsstellen und Ihre Edge for Business-Konfigurationen (Schritt 2 und 3). |
| Der Speicherort "Verwaltete Cloud-Apps" ist in Purview abgeblendet | Wie oben | Gleicher Fix |
| Richtlinie erstellt, aber nicht erzwingt | Weitergabe unvollständig | Browserrichtlinien gelten in der Regel innerhalb von ca. 1 Stunde. Die vollständige Vermehrung kann bis zu einem Tag dauern |
| Unvorhersehbares Verhalten nach dem manuellen Erstellen einer Defender-Sitzungsrichtlinie | Manuelle Richtlinie in Defender → Richtlinien → bedingten Zugriff konflikte mit der automatisch ausgelösten Richtlinie | Löschen Sie die manuelle Richtlinie. Die Purview-Richtlinie löst MDA automatisch aus – manuelle Erstellung ist nicht erforderlich. |
Edgeregisterkarten, die zu *.mcas.ms URLs umgeleitet werden |
Hybridfallback aktiviert, da die Richtlinie Aktionen enthält, die Edge nicht im Browser erzwingen kann | Für nicht unterstützte Aktionen erwartet; Überprüfen sie die Richtlinie, wenn sie nicht erwünscht ist. |
| Screenshot funktioniert weiterhin auf der Seite einer verwalteten App | Copy:Blockregel ist für diese bestimmte URL/App nicht aktiv | SCP wird pro Standort/pro App im E5-Pfad verwendet. Überprüfen der App-/Bedingungsabdeckung der Purview-Regel |
Zusätzliche Anpassung (in Kürze verfügbar)
Die geschützte Zwischenablage und die zugehörigen Richtliniensteuerelemente befinden sich derzeit in der Vorschauphase. Weitere Anpassungsoptionen sind für zukünftige Releases geplant, die in enger Zusammenarbeit mit dem Microsoft Purview-Team entwickelt wurden. Diese Verbesserungen ermöglichen eine präzisere Erzwingung und Flexibilität und bieten Administratoren eine bessere Kontrolle über Datenschutzszenarien, um einzigartige Geschäftsanforderungen, Benutzergruppen und Complianceanforderungen zu erfüllen und einen stabileren und anpassbareren Sicherheitsstatus zu bieten.
Die aktuellsten Informationen zur Featureverfügbarkeit finden Sie in der Microsoft 365-Roadmap für Edge for Business .
Hinweis
Da sich diese Features in der Vorschau befinden, können sich Funktionalität und Verfügbarkeit ändern. Die neuesten Updates finden Sie in der offiziellen Microsoft-Dokumentation und in der Roadmap.
Feedback und Support
Diese Erfahrung wird von Microsoft-Support unterstützt. Sie können sich an Microsoft-Support wenden, um Probleme zu melden oder Feedback zu geben. Feedback können Sie auch in unserem TechCommunity-Forum hinterlassen.