Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Deze uitgebreide handleiding helpt u bij het implementeren van een volledige Secure Enterprise Browser-strategie met behulp van Microsoft Edge voor Bedrijven en Microsoft Intune op alle platforms.
Van toepassing op:
- Microsoft Edge voor Bedrijven
- Microsoft Intune Mobile Application Management (MAM)
- Microsoft Intune Mobile Apparaatbeheer (MDM)
- Platforms: Windows, macOS, iOS en Android
Doelgroep
De doelgroep voor deze inhoud is:
- Intune beheerders: deze inhoud bevat gedetailleerde richtlijnen voor het configureren en beheren van Microsoft Edge voor Bedrijven op alle platforms in Microsoft Intune.
- Beveiligingsprofessionals: Dit document biedt beveiligingsprofessionals een gestructureerde benadering van browserbeveiliging, waarin belangrijke besturingselementen, risicobeperkingsstrategieën en afstemming met beveiligingsframeworks in de branche worden beschreven.
- IT-architecten: Deze inhoud helpt architecten bij het ontwerpen van veilige browseroplossingen die beveiligingsvereisten in balans brengen met gebruikersproductiviteit op beheerde en onbeheerde apparaten.
- Besluitvormers: Deze inhoud helpt besluitvormers inzicht te hebben in de voordelen van beveiliging, productiviteit en beheerbaarheid van het implementeren van een uitgebreide, veilige bedrijfsbrowserstrategie.
Opmerking
Deze inhoud is ontworpen om u te helpen het volledige potentieel van Microsoft Edge voor Bedrijven en Microsoft Application Management te benutten op alle apparaatplatforms en beheerscenario's.
Belangrijk
Het Secure Enterprise Browser-framework verwijst naar brancherichtlijnen zoals NIST, DISA STIG en CISA best practices. Het toepassen van de aanbevelingen in deze reeks alleen biedt geen garantie voor naleving. Werk met uw compliance- en beveiligingsteams om de vereisten voor uw organisatie te valideren.
Overzicht
Deze handleiding bevat uitgebreide stapsgewijze instructies voor het implementeren van de Secure Enterprise Browser-ervaring met behulp van het framework voor gegevensbescherming:
- Microsoft Entra voorwaardelijke toegang met Microsoft Edge voor Bedrijven: maak Microsoft Entra beleid voor voorwaardelijke toegang en Intune app-beveiligingsbeleid om te bladeren op Android, iOS en Windows.
- App-beveiliging beleid voor Microsoft Edge voor Bedrijven: implementeer beveiligingsbeleid voor apps op niveau 1, niveau 2 en niveau 3 voor Windows-, Android- en iOS-platforms om veilige toegang en gebruik van bedrijfstoepassingen te garanderen.
- Mobile Threat Defense integreren: verbeter de algehele beveiligingspostuur van uw organisatie door de beveiligde bedrijfsbrowser te integreren met Windows-beveiliging Center, Microsoft Defender of MTD-partners.
- App-configuratiebeleidsregels voor Microsoft Edge voor Bedrijven: configureer app-configuratiebeleid op niveau 1, niveau 2 en niveau 3 voor Android, iOS en Windows om browsergedrag en -functies aan te passen.
- Instellingencatalogus voor Microsoft Edge voor Bedrijven: catalogusconfiguraties voor instellingen op niveau 1, niveau 2 en niveau 3 toepassen voor Windows en macOS om uitgebreide browserbesturingselementen op apparaatniveau tot stand te brengen.
- Microsoft Edge voor Bedrijven eindgebruikerservaring: inzicht in de invloed van beveiligingsmaatregelen op gebruikersinteractie voor Microsoft Edge voor Bedrijven.
- Probleemoplossing en veelgestelde vragen: problemen met beveiligingsbeleid voor apps oplossen met validatievoorbeelden en veelgestelde vragen.
Belangrijk
Richtlijnen voor beleidsselectie: wanneer u browserbeleid configureert voor ingeschreven Windows-apparaten, moet u instellingen catalogusbeleid (stap 5) of de Microsoft Edge-beveiligingsbasislijn van Endpoint Security kiezen, niet beide. Door beide te implementeren, ontstaan beleidsconflicten. De benadering Instellingencatalogus biedt meer flexibiliteit en gedetailleerde controle voor alle drie de beveiligingsniveaus. Voor uitgebreide dekking is deze handleiding gericht op de implementatie van instellingencatalogus.
Op dezelfde manier gebruikt u voor niet-ingeschreven apparaten App Configuration-beleid (stap 4). Gebruik instellingen catalogusbeleid voor ingeschreven apparaten (stap 5). Implementeer nooit zowel App Configuration beleidsregels als instellingen catalogusbeleid dat gericht is op Microsoft Edge op dezelfde client als dit beleidsconflicten veroorzaakt.
Zie Microsoft Edge voor Bedrijven: AI en beveiliging in één beveiligde bedrijfsbrowser voor meer informatie over inhoud van Microsoft Edge Security.
Beveiligingsniveaus in één oogopslag
| Niveau | Doel | Typische gebruikers | Ontwerpdoel | Impact op productiviteit | Standaarduitlijning |
|---|---|---|---|---|---|
| Niveau 1 – Basic | Brengt basishygiëne en een veilige gegevensgrens tot stand. | Algemeen personeel (≈80%). | Implementatie met lage wrijving die brede acceptatie mogelijk maakt. | Minimale onderbreking. | NIST basic besturingselementen, DISA STIG CAT III. |
| Niveau 2 : uitgebreid | Versterkt preventie van gegevensverlies (DLP) en maakt riskante oppervlakken vast. | Managers, IT, HR, Financiën (≈15%). | Verminder gegevensexfiltratie en dwing veiliger browsen af. | Gemiddeld: voegt gerichte prompts en blokken toe. | NIST gematigde besturingselementen, DISA STIG CAT II. |
| Niveau 3 – Hoog | Hiermee past u maximale isolatie en browsen met minimale bevoegdheden toe. | Leidinggevenden, SecOps, Juridische, gevoelige rollen (≈5%). | Activiteiten met een hoog risico bevatten met aantoonbare garanties. | High by design om gevoelige gegevens te beschermen. | NIST high controls, DISA STIG CAT I, CISA critical controls. |
Deze beveiligingsniveaus beschrijven de gewenste resultaten. De gekoppelde implementatiehandleidingen wijzen deze resultaten toe aan beleidshulpprogramma's, zoals app-beveiligingsbeleid, app-configuratiebeleid, catalogusprofielen voor instellingen en voorwaardelijke toegang.
Vereiste Microsoft Entra ID groepen
Maak beveiligingsgroepen voordat u beleidsregels maakt, zodat u elk niveau consistent kunt toepassen:
-
Apparaatgroepen:
SEB-Level1-Devices,SEB-Level2-Devices,SEB-Level3-Devices,SEB-Excluded-Devices. -
Gebruikersgroepen:
SEB-Level1-Users,SEB-Level2-Users,SEB-Level3-Users,SEB-Excluded-Users.
De niveauspecifieke groepen ondersteunen progressieve toewijzingen, terwijl de uitsluitingsgroepen veilige test- en noodtoegangspaden bieden.
Beleidsdekking op meerdere platforms
Gebruik de volgende matrix om te controleren welke beleidstypen van toepassing zijn op elk niveau en platform voordat u de stapsgewijze artikelen bekijkt:
| Platform en beleidstype | Niveau 1 | Niveau 2 | Niveau 3 | Hoogtepunten |
|---|---|---|---|---|
| Windows – Catalogus met instellingen | Configuratie van kernhygiëne. | Voegt SmartScreen, toepassingsgebonden versleuteling en bredere uitbreidingsbesturingselementen toe. | Introduceert Application Guard, URL-acceptatielijsten en strikt updatebeheer. | Beveiliging van primaire apparaten voor beheerde Windows-eindpunten. |
| Windows - App-beveiliging-beleid | Basisgegevensbeveiliging met minimale limieten voor delen. | Hiermee blokkeert u kopiëren/plakken en wordt de statuscontrole van het apparaat afgedwongen. | Biedt hoge zekerheid met beveiligde bedreigingsniveaus en printerblokkeringen. | Beveiligt werkgegevens op beheerde en onbeheerde Windows-apparaten. |
| Windows – App-configuratiebeleid | Hiermee stelt u startpagina's, wachtwoordbesturingselementen en downloadbeleid vast. | Breidt uit naar certificaatbeheer, WebRTC en sessieopruiming. | Hiermee worden acceptatielijsten afgeslagen, hulpprogramma's voor ontwikkelaars uitgeschakeld en downloads geblokkeerd. | Diepgaande browseraanpassing zonder apparaatbeleid te vervangen. |
| macOS – Catalogus met instellingen | Implementeert basisbeveiligingen en updatebeheer. | Voegt vergrendeling van ontwikkelaarshulpprogramma's, WebUSB/WebHID-blokken en SmartScreen DNS toe. | Hiermee dwingt u alleen browsen op de acceptatielijst af met download- en klembordbeperkingen. | De instellingencatalogus is het primaire besturingsvlak voor macOS. |
| iOS/iPadOS : App-beveiliging & configuratie | Vereist app-pincode, versleuteling en slimme standaardinstellingen. | Hiermee worden back-ups verscherpt, schermafbeeldingen geblokkeerd en worden de bestemmingen voor delen beperkt. | Dwingt biometrische sterkte, URL-acceptatielijsten en hoge DLP-instellingen af. | Behandelt persoonlijke en zakelijke apparaten met MAM + ACP. |
| Android - App-beveiliging & configuratie | Biedt basisinstellingen voor versleuteling, pincode en SmartScreen. | Hiermee worden back-upblokkeringen, integriteitscontroles voor afspelen en sociale-mediablokken toegevoegd. | Vereist biometrische gegevens van klasse 3, kioskopties en toegang op de alleen-acceptatielijst. | Spiegelt iOS-beveiligingen met android-specifieke besturingselementen. |
| Voorwaardelijke toegang (platformoverschrijdend) | Introduceert alleen browsertoegang met MFA- en APP-vereisten. | Hiermee voegt u besturingselementen voor apparaatcompatibiliteit, op risico gebaseerde toegang en sessiefrequentie toe. | Dwingt locaties met een hoog vertrouwen, continue toegangsevaluatie en goedgekeurde clients af. | Vormt een aanvulling op beleidsconfiguratie met identiteitsgestuurd afdwingen. |
Secure Enterprise Browser
De Secure Enterprise Browser-oplossing combineert Microsoft Edge voor Bedrijven met het uitgebreide beleidsframework van Microsoft Intune om een veilige, beheerbare browse-ervaring te creëren op alle platforms. Deze oplossing breidt het beproefde framework voor gegevensbeveiliging uit naast app-beveiligingsbeleid met app-configuratiebeleid en instellingencatalogusconfiguraties, waardoor een uniforme benadering wordt geboden voor het beveiligen van bedrijfsbrowserimplementaties.
Data Protection Framework voor Secure Enterprise Browser
Het gegevensbeveiligingsframework voor de Secure Enterprise Browser bouwt voort op het bestaande beveiligingsbeleidskader voor apps en breidt dit uit tot alle configuratieaspecten van Microsoft Edge voor Bedrijven. Dit framework organiseert beveiligingsconfiguraties in drie niveaus:
- Niveau 1- Basisgegevensbeveiliging onderneming: de minimaal aanbevolen configuratie voor bedrijfsapparaten. Dit niveau biedt fundamentele beveiligingscontroles terwijl de productiviteit van de gebruiker behouden blijft.
- Niveau 2 - Verbeterde gegevensbeveiliging voor ondernemingen: aanbevolen voor apparaten die toegang hebben tot gevoelige of vertrouwelijke informatie. Deze configuratie is van toepassing op de meeste gebruikers die toegang hebben tot werk- of schoolgegevens en bevat extra besturingselementen die van invloed kunnen zijn op de gebruikerservaring.
- Niveau 3 - Hoge gegevensbeveiliging voor ondernemingen: ontworpen voor organisaties met geavanceerde beveiligingsvereisten of gebruikers met een verhoogd risico. Deze configuratie biedt het hoogste beveiligingsniveau voor gevoelige gegevens.
Elk niveau is consistent van toepassing op app-beveiligingsbeleid, app-configuratiebeleid en instellingencatalogusconfiguraties, zodat u een samenhangende beveiligingsstrategie kunt implementeren die is afgestemd op de behoeften van uw organisatie.
Wat is Microsoft Edge voor Bedrijven?
Microsoft Edge voor Bedrijven is uw veilige, productiviteitsgerichte browser die is gebouwd voor modern werk. Het is ontworpen voor beheerde en onbeheerde apparaten en biedt beveiliging en besturingselementen op ondernemingsniveau, terwijl de vertrouwde Microsoft Edge-ervaring die u vertrouwt, behouden blijft.
Met automatische scheiding van werk en persoonlijk browsen maakt Microsoft Edge voor Bedrijven voor elk venster speciale vensters, compleet met hun eigen favorieten, caches en opslag. Deze scheiding betekent geen vermenging, geen onbedoelde gegevenslekken en een naadloze manier om productief te blijven zonder de privacy in gevaar te brengen.
Waarom kiezen voor Microsoft Edge voor Bedrijven?
- Standaard beveiligd : gevoelige gegevens moeiteloos beveiligen.
- Ontworpen voor productiviteit : bedrijfsfuncties die u al kent, geoptimaliseerd voor uw werk.
- Slimme scheiding : houd werk en persoonlijk browsen duidelijk gescheiden.
Is dit een nieuwe browser?
Nee, dit is geen nieuwe browser. Dit is een nieuwe, speciale Microsoft Edge-ervaring die speciaal is gebouwd voor werk. Hiermee kunnen organisaties deze configureren om de productiviteit en beveiliging te maximaliseren. Het behoudt dezelfde functionaliteit waarmee gebruikers al bekend zijn in Microsoft Edge. Daarnaast biedt het een optionele functie voor het automatisch schakelen tussen persoonlijke en zakelijke accounts, ontworpen om te voldoen aan de veranderende behoeften van gebruikers en bedrijven. Als u zich aanmeldt met een Microsoft Entra ID, wordt de Microsoft Edge voor Bedrijven-ervaring automatisch ingeschakeld.
Voordelen
Microsoft Edge voor Bedrijven biedt een groot aantal voordelen:
Gestroomlijnde IT-activiteiten: Microsoft Edge voor Bedrijven kunt de oppervlakte van cyberaanvallen aanzienlijk verminderen en de beveiligingspostuur van uw organisatie verbeteren. Dit wordt bereikt door bewerkingen te stroomlijnen naar één browser voor alle use cases, waardoor IT-beheer wordt vereenvoudigd.
Verbeterde gebruikerservaring: Voor eindgebruikers die zijn aangemeld met zowel werk- als persoonlijke profielen, biedt Microsoft Edge voor Bedrijven een superieure browse-ervaring. De functie voor automatisch schakelen verbetert niet alleen de bruikbaarheid, maar verbetert ook de beveiliging en privacy.
Werkbrowser met een visuele vernieuwing: Het Microsoft Edge voor Bedrijven-pictogram, dat het bestaande Microsoft Edge-pictogram op de taakbalk en andere snelkoppelingen vervangt, biedt een unieke en herkenbare identiteit voor de bedrijfsbrowser.
Verbeterde beveiliging: Microsoft Edge voor Bedrijven verstikken de browse-ervaring door app-beveiligingsbeleid te implementeren. Deze beleidsregels zorgen ervoor dat zakelijke gegevens veilig blijven en zorgen voor gemoedsrust voor zowel de organisatie als de gebruikers.
Gecentraliseerd beheer: Microsoft Intune biedt gecentraliseerd beleidsbeheer voor Microsoft Edge voor Bedrijven dat het proces vereenvoudigt, waardoor tijd en resources worden bespaard.
Naast de bovenstaande voordelen kunt u beveiligde Mobile Application Management-toegang tot bedrijfsgegevens op persoonlijke apparaten inschakelen. Deze mogelijkheid maakt gebruik van de volgende functionaliteit:
- Intune toepassingsconfiguratiebeleid (ACP) met Microsoft Edge voor Bedrijven. Met ACP kunt u Microsoft Edge-instellingen toepassen om een veiligere browse-ervaring mogelijk te maken.
- Intune app-beveiligingsbeleid om organisatiegegevens te beveiligen en ervoor te zorgen dat het clientapparaat in orde is.
- Mobile Threat Protection (MTP) geïntegreerd met Intune app-beveiligingsbeleid om lokale gezondheidsrisico's op persoonlijke Windows en alle mobiele apparaten te detecteren.
- Microsoft Entra voorwaardelijke toegang om ervoor te zorgen dat het apparaat is beveiligd en in orde is voordat u beveiligde services toegang verleent via Microsoft Entra.
Zero Trust methodologie
De Zero Trust beveiligingsstrategie verandert de manier waarop organisaties beveiliging benaderen. Het wordt de nieuwe standaard voor beveiligingsstrategie als reactie op het veranderende bedreigingslandschap. Traditionele best practices draaiden rond het model van 'vertrouwen maar verifiëren', maar deze benadering kan worden misbruikt door moderne aanvallen. Dit drijft de behoefte aan een verschuiving in de beveiligingsstrategie. De Zero Trust methodologie is gebaseerd op het concept "nooit vertrouwen, altijd verifiëren" en is afgestemd op drie belangrijke principes:
- Controleer expliciet: Verifieer en autoriseer altijd op basis van alle beschikbare gegevenspunten. Deze gegevenspunten omvatten gebruikersidentiteit, locatie, apparaatstatus, service/workload, gegevensclassificatie en afwijkingen.
- Gebruik Least-Privilege Access: Beperk gebruikerstoegang met just-in-time en just-enough-toegangsbeleid (JIT/JEA). Implementeer op risico gebaseerd adaptief beleid en gegevensbeveiliging om zowel gegevens als productiviteit te beveiligen.
- Ga ervan uit dat inbreuk is: Minimaliseer de straal van de ontploffing en segmenttoegang. Zorg voor end-to-end-versleuteling en gebruik analyses om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en de verdediging te verbeteren.
Microsoft Edge voor Bedrijven vormt een aanvulling op Zero Trust
Microsoft Edge voor Bedrijven, gebouwd op de robuuste en veilige basis van Chromium, is ontworpen om beveiligingsrisico's voor te blijven. Er worden snel updates en patches uitgebracht om bedreigingen zoals zero-day exploits tegen te gaan, waardoor het effect van mogelijke inbreuk wordt geminimaliseerd.
Naast de inherente beveiligingsfuncties van Chromium bevat Microsoft Edge voor Bedrijven unieke beveiligingsfuncties en ondersteunt een reeks Microsoft-technologieën:
- Microsoft Defender: biedt uitgebreide beveiligingsoplossingen.
- Microsoft Entra: biedt services voor identiteits- en toegangsbeheer.
- Microsoft Intune: biedt beheer van mobiele apparaten en toepassingen.
- Microsoft Purview: Ondersteunt gegevensgovernance in uw hybride gegevensdomein.
Bovendien sluit Microsoft Edge voor Bedrijven aan bij de Zero Trust methodologie door de volgende functies te bieden:
- Preventie van gegevensverlies (DLP) met Microsoft Purview: Helpt bij het voorkomen van gegevenslekken en onbevoegde toegang tot gegevens.
- Microsoft Defender SmartScreen: biedt op reputatie gebaseerde bescherming tegen phishing en malware.
- Verbeterde beveiligingsmodus (ESM): Biedt extra beveiligingsmaatregelen.
- Typefoutbeveiliging website: Helpt navigatie naar schadelijke sites te voorkomen vanwege typografische fouten.
- Systeemeigen ondersteuning voor Microsoft Entra voorwaardelijke toegang: zorgt ervoor dat alleen geverifieerde en geautoriseerde gebruikers toegang hebben tot uw resources.
- Wachtwoordbewaking en -generator: Helpt bij het onderhouden van sterke, unieke wachtwoorden.
- Microsoft Edge Management Service (EMS): Biedt gecentraliseerde controle over uw Microsoft Edge-implementaties.
- Ondersteuning voor onbeheerde apparaten met Microsoft Intune Mobile Application Management: hiermee staat u beveiligde toegang tot bedrijfsresources toe vanaf onbeheerde apparaten.
Wat zit er in deze oplossing?
Deze oplossing biedt uitgebreide richtlijnen voor het implementeren van de Secure Enterprise Browser-configuratie met behulp van Microsoft Edge voor Bedrijven en Microsoft Intune. De stapsgewijze aanpak omvat alle beleidstypen en platforms, ingedeeld op configuratiemethode om u te helpen een volledig beveiligingsframework te bouwen.
Ga verder met stap 1 om Microsoft Entra voorwaardelijke toegang te maken.