Поделиться через


Управление Microsoft Edge в iOS и Android с помощью Intune

Microsoft Edge для iOS и Android поддерживает несколько удостоверений и предназначен для того, чтобы пользователи могли просматривать веб-страницы. Пользователи могут добавить рабочую учетную запись, а также личную учетную запись для просмотра веб-страниц. Предусмотрено полное разделение между двумя удостоверениями, аналогичное тому, что предлагается в других мобильных приложениях Майкрософт.

Данная функция применяется к:

  • iOS/iPadOS 14.0 или более поздней версии
  • Android 8.0 или более поздней версии для зарегистрированных устройств и Android 9.0 или более поздней версии для незарегистрированных устройств

Примечание.

Microsoft Edge для iOS и Android не использует параметры, установленные пользователями для собственного браузера на своих устройствах, так как Microsoft Edge для iOS и Android не может получить доступ к этим параметрам.

Самые богатые и широкие возможности защиты данных Microsoft 365 доступны при подписке на пакет Enterprise Mobility + Security, который включает функции Microsoft Intune и Microsoft Entra ID P1 или P2, такие как условный доступ. По крайней мере необходимо развернуть политику условного доступа, которая разрешает подключаться к Microsoft Edge для iOS и Android только с мобильных устройств, и политику защиты приложений Intune, обеспечивающую защиту просмотра веб-страниц.

Примечание.

Новые веб-клипы (закрепленные веб-приложения) на устройствах iOS будут открываться в Microsoft Edge для iOS и Android вместо Intune Managed Browser при необходимости открытия в защищенном браузере. Для более старых веб-клипов iOS необходимо перенацелить эти веб-клипы, чтобы они открывались в Microsoft Edge для iOS и Android, а не в Managed Browser.

Создание политик защиты приложений Intune

По мере того как организации все чаще внедряют SaaS и веб-приложения, браузеры становятся важными инструментами для бизнеса. Пользователям часто требуется доступ к этим приложениям из мобильных браузеров в пути. Обеспечение защиты данных, к которым осуществляется доступ через мобильные браузеры, от преднамеренных или непреднамеренных утечек имеет решающее значение. Например, пользователи могут непреднамеренно делиться данными организации с личными приложениями, что приводит к утечке данных или скачивать их на локальные устройства, что также создает риск.

Организации могут защитить данные от утечки, когда пользователи просматривают Microsoft Edge для мобильных устройств, настроив политики защиты приложений (APP), которые определяют, какие приложения разрешены и какие действия они могут выполнять с данными вашей организации. Доступные в APP параметры позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария. Чтобы помочь организациям расставить приоритеты в отношении защиты клиентских конечных точек, корпорация Майкрософт представила новую таксономию для платформы защиты данных с APP для управления мобильными приложениями iOS и Android.

Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.

  • Базовая защита корпоративных данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования и выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Это минимальная конфигурация, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online и предлагает ИТ-специалистам и пользователям возможности APP.
  • Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.
  • Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.

Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.

Вне зависимости от того, зарегистрировано ли устройство в решении единого управления конечными точками (UEM), политику защиты приложений Intune необходимо создать как для приложений iOS, так и для приложений Android. Для этого выполните действия, описанные в статье Как создать и назначить политики защиты приложений. Эти политики должны по крайней мере отвечать указанным ниже требованиям.

  • Они должны включать все мобильные приложения Microsoft 365, например Microsoft Edge, Outlook, OneDrive, Office или Teams. Это гарантирует, что пользователи могут безопасно получать доступ к рабочим и учебным данным, а также управлять ими в любом приложении Майкрософт.

  • Они назначаются всем пользователям. Это гарантирует защиту всех пользователей независимо от того, работают ли они в Microsoft Edge для iOS или для Android.

  • Определите, какой уровень платформы соответствует вашим требованиям. Большинству организаций следует реализовать параметры, определенные в разделе Корпоративная расширенная защита данных (уровень 2), так как это обеспечивает управление требованиями к защите данных и доступу.

Примечание.

Одним из параметров, связанных с браузерами, является ограничение передачи веб-содержимого с помощью других приложений. В расширенной защите корпоративных данных (уровень 2) значение этого параметра настроено в Microsoft Edge. Если Outlook и Microsoft Teams защищены политиками защиты приложений (APP), Microsoft Edge будет использоваться для открытия ссылок из этих приложений, обеспечивая безопасность и защиту ссылок. Дополнительные сведения о доступных параметрах см. в статьях Параметры политики защиты приложений Android и Параметры политик для защиты приложений в iOS.

Важно!

Чтобы применять политики защиты приложений с использованием Intune к приложениям на устройствах с Android, не зарегистрированных в Intune, пользователь также должен установить приложение "Корпоративный портал Intune".

Применение условного доступа

Хотя важно защитить Microsoft Edge с помощью политик защиты приложений (APP), также важно убедиться, что Microsoft Edge является обязательным браузером для открытия корпоративных приложений. В противном случае пользователи могут использовать другие незащищенные браузеры для доступа к корпоративным приложениям, что может привести к утечке данных.

Организации могут использовать политики условного доступа Microsoft Entra, чтобы гарантировать, что пользователи смогут получать доступ к рабочему или учебному контенту только с помощью Edge для iOS и Android. Для этого потребуется политика условного доступа, распространяющаяся на всех потенциальных пользователей. Эти политики описаны в разделе Условный доступ: требовать утвержденные клиентские приложения или политику защиты приложений.

Выполните действия, описанные в разделе Требовать утвержденные клиентские приложения или политику защиты приложений на мобильных устройствах, которые разрешают Microsoft Edge для iOS и Android, но блокируют подключение других веб-браузеров мобильных устройств к конечным точкам Microsoft 365.

Примечание.

Эта политика гарантирует, что мобильные пользователи могут получить доступ ко всем конечным точкам Microsoft 365 из Microsoft Edge для iOS и Android. Эта политика также запрещает пользователям использовать режим InPrivate для доступа к конечным точкам Microsoft 365.

С помощью условного доступа вы также можете настроить таргетинг на локальные сайты, которые вы открыли для внешних пользователей через прокси-сервер приложения Microsoft Entra .

Примечание.

Чтобы можно было применять политики условного доступа для приложений на устройствах с iOS, должно быть установлено приложение Microsoft Authenticator. Для устройств с Android требуется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.

Единый вход в подключенные веб-приложения Microsoft Entra в браузерах, защищенных политиками

Edge для iOS и Android может использовать преимущества единого входа (SSO) для всех веб-приложений (SaaS и локальных), подключенных к Microsoft Entra. Единый вход позволяет пользователям получать доступ к подключенным веб-приложениям Microsoft Entra через Edge для iOS и Android без необходимости повторного ввода своих учетных данных.

Единый вход требует, чтобы ваше устройство было зарегистрировано приложением Microsoft Authenticator для устройств iOS или Корпоративным порталом Intune на Android. Если у пользователей есть любой из них, им предлагается зарегистрировать свое устройство, когда они заходят в веб-приложение, подключенное к Microsoft Entra, в браузере, защищенном политикой (это верно только в том случае, если их устройство еще не зарегистрировано). После регистрации устройства с учетной записью пользователя, управляемой Intune, для этой учетной записи включен единый вход для подключенных веб-приложений Microsoft Entra.

Примечание.

Регистрация устройства — это простая регистрация в службе Microsoft Entra. Она не требует полного соглашения о регистрации устройства и не предоставляет ИТ-службам дополнительные права на устройстве.

Использование конфигурации приложения для управления просмотром веб-страниц

Microsoft Edge для iOS и Android поддерживает параметры приложений, которые позволяют администраторам единого управления конечными точками, например Microsoft Intune, настраивать поведение приложения.

Конфигурация приложений может предоставляться через канал ОС управления мобильными устройствами (MDM) на зарегистрированных устройствах (канал конфигурации управляемых приложений для iOS или канал Android в корпоративной среде для Android) или через канал управления мобильными приложениями (MAM). Microsoft Edge для iOS и Android поддерживает следующие сценарии конфигурации.

  • Разрешение только для рабочих и учебных учетных записей
  • Общие параметры конфигурации приложения
  • Параметры защиты данных
  • Дополнительная конфигурация приложений для управляемых устройств

Важно!

Для сценариев конфигурации, требующих регистрации устройств на Android, устройства должны быть зарегистрированы в Android Enterprise, а приложение Microsoft Edge для Android должно быть развернуто через корпоративный Магазин Google Play. Дополнительные сведения см. в статьях Настройка регистрации устройств с личным рабочим профилем Android Enterprise и Добавление политик конфигурации приложений для управляемых устройств Android Enterprise.

Каждый сценарий конфигурации подчеркивает свои конкретные требования. Например, что требуется сценарием конфигурации: регистрация устройства (а значит обеспечивается возможность работы с любым поставщиком UEM) или политики защиты приложений Intune.

Важно!

Ключи конфигурации приложений чувствительны к регистру. Используйте правильный регистр, чтобы конфигурация вступила в силу.

Примечание.

В Microsoft Intune конфигурация приложений, предоставляемая через канал ОС MDM, называется политикой конфигурации приложений (ACP) Управляемые устройства. Конфигурация приложений, предоставляемая через канал управления мобильными приложениями (MAM), называется политикой конфигурации приложений Управляемые приложения.

Разрешение только для рабочих и учебных учетных записей

Соблюдение политик безопасности данных и соответствия требованиям наших крупнейших и строго регулируемых клиентов является ключевым элементом ценности Microsoft 365. Некоторые компании должны записывать всю информацию о коммуникациях в своей корпоративной среде, а также гарантировать, что устройства используются только для корпоративных коммуникаций. Для поддержки этих требований можно настроить Microsoft Edge для iOS и Android на зарегистрированных устройствах на разрешение подготовки только одной корпоративной учетной записи в приложении.

Дополнительные сведения о настройке режима разрешенных учетных записей организации см. здесь:

Этот сценарий конфигурации работает только с зарегистрированными устройствами. Однако поддерживается любой поставщик UEM. Если вы не используете Microsoft Intune, обратитесь к документации по UEM о развертывании этих ключей конфигурации.

Общие сценарии конфигурации приложений

Microsoft Edge для iOS и Android предоставляет администраторам возможность настраивать стандартную конфигурацию для нескольких параметров в приложении. Эта возможность предоставляется, если в Microsoft Edge для iOS и Android есть политика конфигурации управляемых приложений, примененная к рабочей или учебной учетной записи, вошедшей в приложение.

Microsoft Edge поддерживает следующие параметры конфигурации.

  • Страница новой вкладки
  • Интерфейс закладок
  • Функции поведения приложений
  • Режим киоска

Эти параметры можно развернуть в приложении независимо от состояния регистрации устройства.

Макет страницы новой вкладки

Вдохновляющий макет является макетом по умолчанию для новой страницы вкладки. Здесь показаны основные ярлыки сайта, обои и новостная лента. Пользователи могут изменить макет в соответствии со своими предпочтениями. Организации также могут управлять настройками макета.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout сфокусированный Выбран параметр "Фокус"
выбрано вдохновляющее (по умолчанию) Inspirational
информационный Выбрано информационное
обычай Выбран пользовательский, переключатель ярлыков верхнего сайта включен, переключатель обои включен, а переключатель новостей ленты новостей включен
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom топ-сайты Включение сочетаний клавиш для лучших сайтов
обои Включить обои
лента новостей Включить ленту новостей
Чтобы эта политика вступила в силу, для com.microsoft.intune.mam.managedbrowser.NewTabPageLayout должно быть установлено значение пользовательский

Значение по умолчанию – topsites|wallpaper|newsfeed|.
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable true (по умолчанию) Пользователи могут изменять параметры макета страницы.
false Пользователи не могут изменять параметры макета страницы. Макет страницы определяется значениями, указанными в политике, или будут использоваться значения по умолчанию.

Важно!

Политика NewTabPageLayout предназначена для установки исходного макета. Пользователи могут изменять параметры макета страницы на основе своей ссылки. Таким образом, политика NewTabPageLayout вступает в силу только в том случае, если пользователи не меняют параметры макета. Вы можете применить политику NewTabPageLayout , настроив UserSelectable =false.

Примечание.

Начиная с версии 129.0.2792.84 макет страницы по умолчанию изменен на вдохновляющий.

Пример отключения ленты новостей

  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout= пользовательский
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom= топ-сайты
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable= false

Страница новой вкладки

Edge для iOS и Android предлагает организациям несколько вариантов настройки страницы новой вкладки, включая логотип организации, цвет бренда, домашнюю страницу, популярные сайты и новости отрасли.

Логотип организации и фирменные цвета

Параметры логотипа организации и цвета фирменной символики позволяют настроить страницу новой вкладки для Edge на устройствах iOS и Android. Логотип баннера используется в качестве логотипа вашей организации, а цвет фона страницы — в качестве цвета фирменной символики вашей организации. Дополнительные сведения см. в разделе Настройка фирменной символики компании.

Затем используйте следующие пары "ключ-значение", чтобы извлечь фирменную символику вашей организации в Microsoft Edge для iOS и Android.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo Значение true отображает логотип организации
Значение false (по умолчанию) не демонстрирует логотип
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor Значение true отображает фирменные цвета организации
Значение false (по умолчанию) не демонстрирует цвет

Ярлык домашней страницы

Этот параметр позволяет настроить ярлык домашней страницы Microsoft Edge для iOS и Android на странице новой вкладки. Настроенный ярлык домашней страницы отображается в качестве первого значка под панелью поиска, когда пользователь открывает новую вкладку в Microsoft Edge для iOS и Android. Пользователь не может изменить или удалить этот ярлык в управляемом контексте. Ярлык домашней страницы отображает имя вашей организации, чтобы выделить его.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.homepage

Это имя политики было заменено пользовательским интерфейсом URL-адреса ярлыка домашней страницы в разделе Параметры конфигурации Edge.
Укажите действительный URL-адрес. Неправильные URL-адреса блокируются в качестве меры безопасности.
Пример: https://www.bing.com

Несколько ярлыков основных сайтов

Вы можете настроить несколько ярлыков основных сайтов на страницах новых вкладок в Microsoft Edge для iOS и Android (аналогично настройке ярлыка домашней страницы). Пользователь не может изменять или удалять эти ярлыки в управляемом контексте. Примечание. Вы можете настроить в общей сложности 8 ярлыков, включая ярлык домашней страницы. Если вы настроили ярлык домашней страницы, он переопределит первый настроенный основной сайт.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.managedTopSites Укажите набор URL-адресов значений. Каждый ярлык основного сайта состоит из названия и URL-адреса. Разделите название и URL-адрес символом |.
Пример: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com

Новости отрасли

Вы можете настроить страницу новой вкладки в Microsoft Edge для iOS и Android на отображение отраслевых новостей для своей организации. Если вы включите эту функцию, Microsoft Edge для iOS и Android использует доменное имя вашей организации для агрегирования из Интернета новостей о вашей организации, отрасли организации и конкурентах. Это позволяет пользователям находить важные внешние новости на централизованных страницах новых вкладок в Microsoft Edge для iOS и Android. Отраслевые новости по умолчанию отключены.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews Значение true отображает отраслевые новости на странице новой вкладки
Значение false (по умолчанию) скрывает отраслевые новости на странице новой вкладки

Домашняя страница вместо страницы новой вкладки

Microsoft Edge для iOS и Android позволяет организациям отключить интерфейс страницы новой вкладки и вместо него запускать веб-сайт, когда пользователь открывает новую вкладку. Хотя это поддерживаемый сценарий, корпорация Майкрософт рекомендует организациям применять интерфейс страницы новой вкладки, чтобы предоставлять динамическое содержимое, релевантное для пользователя.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL Укажите действительный URL-адрес. Если URL-адрес не указан, приложение использует интерфейс страницы новой вкладки. Неправильные URL-адреса блокируются в качестве меры безопасности.
Пример: https://www.bing.com

Интерфейс закладок

Microsoft Edge для iOS и Android предлагает организациям несколько вариантов управления закладками.

Управляемые закладки

Чтобы упростить доступ, вы можете настроить закладки, которые должны быть доступны пользователям, когда они применяют Microsoft Edge для iOS и Android.

  • Закладки отображаются только в рабочей или учебной учетной записи и не демонстрируются в личных учетных записях.
  • Пользователи не могут удалить или изменить закладки.
  • Закладки отображаются в верхней части списка. Все закладки, создаваемые пользователями, отображаются под этими закладками.
  • Если вы включили перенаправление прокси приложения, вы можете добавить веб-приложения прокси приложения, используя их внутренний или внешний URL-адрес.
  • Закладки создаются в папке, названной в честь названия организации, определенного в Microsoft Entra ID.
Ключ Значение
com.microsoft.intune.mam.managedbrowser.bookmarks

Это имя политики заменено пользовательским интерфейсом управляемых закладок в разделе Параметры конфигурации Edge.
Значением для этой конфигурации является список закладок. Каждая закладка состоит из названия закладки и URL-адреса закладки. Разделите название и URL-адрес символом |.
Пример: Microsoft Bing|https://www.bing.com

Чтобы настроить несколько закладок, разделите каждую пару двойным символом ||.
Пример: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com

Закладка "Мои приложения"

По умолчанию для пользователей настроена закладка "Мои приложения" в папке организации в Microsoft Edge для iOS и Android.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.MyApps Значение true (по умолчанию) отображает "Мои приложения" в закладках Microsoft Edge для iOS и Android
Значение false скрывает "Мои приложения" в Microsoft Edge для iOS и Android

Функции поведения приложений

Microsoft Edge для iOS и Android предлагает организациям несколько вариантов управления поведением приложения.

Единый вход с паролем Microsoft Entra

Функция единого входа (SSO) Microsoft Entra Password, предлагаемая Microsoft Entra ID, обеспечивает управление доступом пользователей к веб-приложениям, которые не поддерживают федерацию удостоверений. По умолчанию Edge для iOS и Android не выполняет единый вход с учетными данными Microsoft Entra. Дополнительные сведения см. в статье Добавление единого входа на основе пароля в приложение.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.PasswordSSO true Единый вход с паролем Microsoft включен.
false (по умолчанию) Единый вход с паролем Microsoft отключен.

Обработчик протокола по умолчанию

По умолчанию Microsoft Edge для iOS и Android использует обработчик протокола HTTPS, если пользователь не указывает протокол в URL-адресе. Обычно это считается лучшей методикой, но этот вариант можно отключить.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.defaultHTTPS Значение true (по умолчанию) — обработчиком протокола по умолчанию является HTTPS
Значение false — обработчиком протокола по умолчанию является HTTP

Отключение необязательных диагностических данных

По умолчанию пользователи могут выбрать отправление необязательных диагностических данных в разделе Параметры->Конфиденциальность и защита->Диагностические данные->параметр Необязательные диагностические данные. Организации могут отключить этот параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.disableShareUsageData Значение true — параметр "Необязательные диагностические данные" отключен
Значение false (по умолчанию) — пользователи могут включать и отключать параметр

Примечание.

Параметр Необязательные диагностические данные также запрашивается у пользователей во время первого запуска (FRE). Организации могут пропустить этот шаг с помощью политики MDM EdgeDisableShareUsageData

Отключение определенных функций

Microsoft Edge для iOS и Android позволяет организациям отключать определенные функции, которые включены по умолчанию. Чтобы отключить эти функции, настройте следующий параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.disabledFeatures password отключает запросы, предлагающие сохранить пароли для конечного пользователя
inprivate отключает режим просмотра InPrivate
autofill отключает параметры "Сохранить и заполнять адреса" и "Сохранять и заполнять сведения об оплате". Автозаполнение будет отключено даже для ранее сохраненных сведений
translator отключает переводчик
readaloud отключает чтение вслух
drop отключает удаление
купоны отключенные купоны
extensions отключает расширения (только Для Android Edge)
developertools затеняет номера версий сборки, чтобы запретить пользователям доступ к параметрам разработчика (только в Microsoft Edge для Android)
UIRAlert подавляет всплывающие окна повторной проверки учетной записи на экране новой вкладки
общий доступ отключает общий доступ в меню
sendtodevices отключает отправку на устройства в меню
погода отключает погоду в NTP (страница новой вкладки)

Чтобы отключить несколько функций, разделяйте значения с помощью |. Например, inprivate|password отключает режим InPrivate и хранилище паролей.

Отключение функции импорта паролей

Microsoft Edge для iOS и Android позволяет пользователям импортировать пароли из диспетчера паролей. Чтобы отключить импорт паролей, настройте следующий параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.disableImportPasswords Значение true — отключить импорт паролей
Значение false (по умолчанию) — разрешить импорт паролей

Примечание.

В диспетчере паролей Microsoft Edge для iOS есть кнопка Добавить. Если функция импорта паролей отключена, кнопка Добавить также будет отключена.

Вы можете управлять тем, могут ли сайты сохранять файлы cookie для ваших пользователей в Microsoft Edge для Android. Для этого настройте следующий параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.cookieControlsMode 0 (по умолчанию) — разрешить файлы cookie
1 — блокировать сторонние файлы cookie (не Майкрософт)
2 — блокировать сторонние файлы cookie (не Майкрософт) в режиме InPrivate
3 — блокировать все файлы cookie

Примечание.

Microsoft Edge для iOS не поддерживает управление файлами cookie.

Режим киоска на устройствах Android

Microsoft Edge для Android можно включить как приложение киоска с помощью следующих параметров.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.enableKioskMode Значение true включает режим киоска в Microsoft Edge для Android
Значение false (по умолчанию) отключает режим киоска
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode Значение true отображает адресную строку в режиме киоска
Значение false (по умолчанию) скрывает адресную строку при включении режима киоска
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode Значение true показывает нижнюю панель действий в режиме киоска
Значение false (по умолчанию) скрывает нижнюю панель при включении режима киоска

Примечание.

Режим киоска не поддерживается на устройствах iOS. Однако вы можете использовать режим заблокированного представления (только политика MDM) для обеспечения аналогичного взаимодействия с пользователем, когда пользователи не могут переходить на другие веб-сайты, так как строка URL-адресов становится доступной только для чтения в режиме заблокированного просмотра.

Заблокированный режим просмотра

Edge для iOS и Android можно включить как режим заблокированного представления с политикой MDM EdgeLockedViewModeEnabled.

Ключ Значение
EdgeLockedViewModeEnabled false (по умолчанию) Режим заблокированного просмотра отключен.
true Режим заблокированного просмотра включен.

Это позволяет организациям ограничивать различные функции браузера, обеспечивая контролируемый и целенаправленный просмотр.

  • Адресная строка URL-адреса становится доступной только для чтения, что не позволяет пользователям вносить изменения в веб-адрес.
  • Пользователям не разрешено создавать новые вкладки
  • Функция контекстного поиска на веб-страницах отключена
  • Следующие кнопки в дополнительном меню отключены
Кнопки Состояние
Новая вкладка InPrivate Отключено
Отправить на устройства Отключено
Буквица Отключено
Добавить в телефон (Android) Отключено
Страница загрузки (Android) Отключено

Режим заблокированного просмотра часто используется вместе с политикой MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL или политикой MDM EdgeNewTabPageCustomURL , которые позволяют организациям настраивать определенную веб-страницу. который автоматически запускается при открытии Edge. Пользователи ограничены доступом к этой веб-странице и не могут переходить на другие веб-сайты, обеспечивая контролируемую среду для выполнения определенных задач или потребления контента.

Примечание.

По умолчанию пользователям не разрешено создавать новые вкладки в режиме заблокированного просмотра. Чтобы разрешить создание вкладок, установите для политики MDM EdgeLockedViewModeAllowedActions значение newtabs .

Переключение сетевого стека между Chromium и iOS

По умолчанию Microsoft Edge для iOS и Android использует сетевой стек Chromium для обмена данными со службами Microsoft Edge, включая службы синхронизации, автоматические варианты поиска и отправку отзывов. Microsoft Edge для iOS также предоставляет сетевой стек iOS в качестве настраиваемого варианта для взаимодействия со службой Microsoft Edge.

Организации могут изменить предпочитаемый сетевой стек, настроив следующий параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NetworkStackPref 0 (по умолчанию) — использовать сетевой стек Chromium
1 — использовать сетевой стек iOS

Примечание.

Рекомендуется использовать сетевой стек Chromium. Если при отправке отзывов с помощью сетевого стека Chromium у вас возникают проблемы или сбои синхронизации, например с определенными решениями VPN для приложения, эти проблемы могут быть устранены при использовании сетевого стека iOS.

Настройка URL-адреса PAC-файла прокси-сервера

Организации могут указать URL-адрес файла автоматической настройки прокси-сервера (PAC) для Microsoft Edge для iOS и Android.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.proxyPacUrl Укажите действительный URL-адрес PAC-файла прокси-сервера.
Пример: https://internal.site/example.pac

Поддержка в случае сбоя открытия PAC

По умолчанию Microsoft Edge для iOS и Android блокирует доступ к сети с недопустимым или недоступным сценарием PAC. Однако организации могут изменить поведение по умолчанию для поддержки в случае сбоя открытия PAC.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled Значение false (по умолчанию) — блокировка доступа к сети
Значение true — разрешить доступ к сети

Настройка сетевых реле

Edge для iOS теперь поддерживает сетевые ретрансляции на iOS 17. Это особый тип прокси-сервера, который можно использовать для удаленного доступа и обеспечения конфиденциальности. Они поддерживают безопасное и прозрачное туннелирование трафика, выступая современной альтернативой VPN при доступе к внутренним ресурсам. Дополнительную информацию о сетевых ретрансляторах см. в разделе Использование сетевых ретрансляторов на устройствах Apple .

Организации могут настроить URL-адреса прокси-сервера ретрансляции для маршрутизации трафика на основе сопоставленных и исключенных доменов.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl Укажите действительный URL-адрес JSON-файла конфигурации реле.
Пример: https://yourserver/relay_config.json

Пример файла JSON для сетевых реле
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"порт": "3128",
«failover_allowed»: 0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}

Прокси-сервер для входа пользователей в Edge на Android

Автоматическая настройка прокси-сервера (PAC) обычно настраивается в профиле VPN. Однако из-за ограничений платформы PAC не может распознаваться Android WebView, который используется во время входа в Edge. Пользователи могут не иметь возможности войти в Edge на Android.

Организации могут указать выделенный прокси-сервер через политику MDM, чтобы пользователи могли входить в Edge на Android.

Ключ Значение
EdgeOneAuthProxy Соответствующее значение представляет собой строку
Пример http://MyProxy.com:8080

Хранилище данных веб-сайтов iOS

Хранилище данных веб-сайта в Edge для iOS необходимо для управления файлами cookie, кэшами диска и памяти, а также различными типами данных. Однако в Edge для iOS есть только одно постоянное хранилище данных веб-сайта. По умолчанию это хранилище данных используется исключительно личными учетными записями, что приводит к ограничению, когда рабочие или учебные учетные записи не могут его использовать. Следовательно, данные просмотра, за исключением файлов cookie, теряются после каждого сеанса для рабочих или учебных учетных записей. Чтобы улучшить взаимодействие с пользователем, организации могут настроить хранилище данных веб-сайта для использования рабочими или учебными учетными записями, гарантируя постоянство данных просмотра.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore 0 Хранилище данных сайта всегда используется только личным кабинетом
1 — хранилище данных веб-сайтов будет использоваться первой вошедшей учетной записью
2 (по умолчанию) Хранилище данных веб-сайта будет использоваться рабочей или учебной учетной записью независимо от порядка входа.

Примечание.

С выпуском iOS 17 теперь поддерживаются несколько постоянных хранилищ. Рабочая и личная учетная запись имеют собственное постоянное хранилище. Таким образом, эта политика больше не действительна, начиная с версии 122.

Фильтр SmartScreen в Microsoft Defender

Фильтр SmartScreen в Microsoft Defender — это функция, которая помогает пользователям избежать вредоносных сайтов и скачиваний. Это приложение включено по умолчанию. Организации могут отключить этот параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled Значение true (по умолчанию) — фильтр SmartScreen в Microsoft Defender включен.
Значение false — фильтр SmartScreen в Microsoft Defender отключен.

Проверка сертификата

По умолчанию Microsoft Edge для Android проверяет сертификаты сервера, используя встроенное средство проверки сертификатов и Microsoft Root Store в качестве источника общего доверия. Организации могут переключиться на средство проверки системных сертификатов и корневые сертификаты системы.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled true (по умолчанию) Использовать встроенный механизм проверки сертификатов и корневое хранилище Майкрософт для проверки сертификатов.
false Использовать средство проверки системных сертификатов и корневые сертификаты системы в качестве источника общедоступного доверия для проверки сертификатов.

Примечание.

Вариант использования этой политики: при использовании туннеля Microsoft MAM в Microsoft Edge для Android необходимо применять средство проверки системных сертификатов и корневые сертификаты системы.

Управление страницей предупреждений SSL

По умолчанию пользователи могут просматривать страницы с предупреждениями, которые появляются, когда пользователи переходят на сайты с ошибками SSL. Организации могут управлять поведением.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed true (по умолчанию) Разрешить пользователям переходить по страницам с предупреждениями SSL
false Запретить пользователям переходить по страницам с предупреждениями SSL

Параметры всплывающих окон

По умолчанию всплывающие окна заблокированы. Организации могут управлять поведением.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting 1 Разрешить всем сайтам показывать всплывающие окна
2 (по умолчанию) Запретить показ всплывающих окон любому сайту

Разрешить всплывающие окна на определенных сайтах

Если эта политика не настроена, для всех сайтов используется значение из политики DefaultPopupsSetting (если она установлена) или личная конфигурация пользователя. Организации могут определить список сайтов, на которых можно открывать всплывающие окна.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно заблокировать, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Дополнительную информацию о формате URL-адресов см. в разделе Формат шаблона URL-адресов политики предприятия .

Блокировать всплывающие окна на определенных сайтах

Если эта политика не настроена, для всех сайтов используется значение из политики DefaultPopupsSetting (если она установлена) или личная конфигурация пользователя. Организации могут определить список сайтов, которым запрещено открывать всплывающие окна.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно заблокировать, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Дополнительную информацию о формате URL-адресов см. в разделе Формат шаблона URL-адресов политики предприятия .

Поставщик поиска по умолчанию

По умолчанию Edge использует поставщика поиска по умолчанию для выполнения поиска, когда пользователи вводят в адресную строку текст, не относящийся к URL-адресу. Пользователи могут изменить список поставщиков услуг поиска. Организации могут управлять поведением поставщика услуг поиска.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled true Включить поставщика поиска по умолчанию
false Отключить поставщика поиска по умолчанию

Настройка поставщика поиска

Организации могут настроить поставщика поиска для пользователей. Чтобы настроить поставщика поиска, необходимо сначала настроить политику DefaultSearchProviderEnabled .

Ключ Значение
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName Соответствующее значение представляет собой строку
Пример My Intranet Search
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL Соответствующее значение представляет собой строку
Пример https://search.my.company/search?q={searchTerms}

Copilot

Примечание.

Начиная с версии 128, copilot для рабочих или учебных учетных записей устарел. Таким образом, следующие политики больше не будут действительными в версии 128. Если вы хотите заблокировать доступ к веб-версии Copilot, copilot.microsoft.com, можно использовать политику AllowListURLs или BlockListURLs.

Copilot доступен в Microsoft Edge для iOS и Android. Пользователи могут запустить Copilot, нажав кнопку Copilot на нижней панели.

В Настройки  – > Общие  – > Copilot есть три настройки .

  • Показать Copilot  – укажите, будет ли отображаться кнопка Bing на нижней панели
  • Разрешить доступ к любой веб-странице или PDF-файлу  – указать, разрешить ли Copilot доступ к содержимому страницы или PDF-файлу
  • Быстрый доступ при выборе текста  – укажите, будет ли отображаться панель быстрого чата при выборе текста на веб-странице

Вы можете управлять настройками Copilot.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.Chat true (по умолчанию) Пользователи могут видеть кнопку Copilot на нижней панели. Настройка Показать Copilot включена по умолчанию и может быть отключена пользователями
false Пользователи не видят кнопку Copilot на нижней панели. Настройка Показать Copilot отключена и не может быть включена пользователями
com.microsoft.intune.mam.managedbrowser.ChatPageContext true (по умолчанию) Разрешить доступ к любой веб-странице или PDF-файлу и Быстрый доступ при выделении текста могут быть включены пользователями
false Разрешить доступ к любой веб-странице или PDF-файлу и Быстрый доступ при выделении текста будет отключен и не сможет быть включен пользователями

Сценарии конфигурации приложений для защиты данных

Microsoft Edge для iOS и Android поддерживает политики конфигурации приложений для следующих параметров защиты данных, когда приложение управляется Microsoft Intune с помощью политики конфигурации управляемых приложений, примененной к рабочей или учебной учетной записи, вошедшей в приложение:

  • Управление синхронизацией учетных записей
  • Управление веб-сайтами с ограниченным доступом
  • Управление конфигурацией прокси-сервера
  • Управление сайтами единого входа NTLM

Эти параметры можно развернуть в приложении независимо от состояния регистрации устройства.

Управление синхронизацией учетных записей

По умолчанию синхронизация Microsoft Edge позволяет пользователям получать доступ к данным браузера на всех устройствах, где выполнен вход. Данные, поддерживаемые синхронизацией, включают:

  • Избранное
  • Пароли
  • Адреса и многое другое (автозаполнение записей формы)

Функция синхронизации включается с согласия пользователя, и пользователи могут включать или отключать синхронизацию для каждого из перечисленных выше типов данных. Дополнительные сведения см. в статье Синхронизация Microsoft Edge.

Организации могут отключить синхронизацию Microsoft Edge в iOS и Android.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.account.syncDisabled Значение true отключает синхронизацию Microsoft Edge
Значение false (по умолчанию) разрешает синхронизацию Microsoft Edge

Управление веб-сайтами с ограниченным доступом

Организации могут определять, к каким сайтам у пользователей есть доступ в контексте рабочей или учебной учетной записи в Microsoft Edge для iOS и Android. Если вы используете список разрешений, пользователи могут получить доступ только к явно перечисленным сайтам. Если вы используете список блокировок, пользователи могут получить доступ ко всем сайтам, кроме явно заблокированных. Следует назначить только список разрешений или блокировок, но не оба. Если вы назначите оба списка, будет соблюдаться только список разрешений.

Организации также определяют, что происходит, когда пользователь пытается перейти на веб-сайт с ограниченным доступом. По умолчанию переходы разрешены. Если организация это разрешает, веб-сайты с ограниченным доступом можно открывать в контексте личной учетной записи, в контексте учетной записи Microsoft Entra InPrivate или в случае полной блокировки сайта. Дополнительные сведения о поддерживаемых сценариях см. в статье Переходы на веб-сайты с ограниченным доступом в мобильной версии Microsoft Edge. При разрешении возможностей перехода пользователи организации остаются защищенными и сохраняется безопасность корпоративных ресурсов.

Чтобы улучшить процесс переключения профилей за счет уменьшения необходимости вручную переключаться на личные профили или в режиме InPrivate для открытия заблокированных URL-адресов, мы ввели две новые политики:

  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork

Так как эти политики приносят различные результаты в зависимости от их конфигураций и сочетаний, мы рекомендуем попробовать приведенные ниже рекомендации по политике для быстрой оценки, чтобы убедиться, что процесс переключения профилей хорошо соответствует потребностям вашей организации, прежде чем изучать подробную документацию. Рекомендуемые параметры конфигурации для переключения профиля включают следующие значения:

  • com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
  • com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2

Примечание.

Microsoft Edge для iOS и Android может блокировать доступ к сайтам только при прямом доступе. Он не блокирует доступ, когда пользователи применяют промежуточные службы (например, службу перевода) для доступа к сайту. URL-адреса, начинающиеся с Edge, такие как Edge://*, Edge://flagsи Edge://net-export, не поддерживаются в политике конфигурации приложений AllowListURLs или BlockListURLs для управляемых приложений. Эти URL-адреса можно отключить с помощью com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.

Если устройства управляются, вы также можете использовать URL-адрес политики конфигурации приложенийAllowList или URLBlocklist для управляемых устройств. Дополнительную информацию см. в разделе Политики Microsoft Edge для мобильных устройств .

Используйте следующие пары "ключ-значение", чтобы настроить список разрешенных или заблокированных сайтов в Microsoft Edge для iOS и Android.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.AllowListURLs

Это имя политики было заменено пользовательским интерфейсом разрешенных URL-адресов в разделе Параметры конфигурации Edge.
Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно разрешить, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.BlockListURLs

Это имя политики было заменено пользовательским интерфейсом заблокированных URL-адресов в разделе Параметры конфигурации Edge.
Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно заблокировать, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock Значение true (по умолчанию) позволяет Microsoft Edge для iOS и Android переход на сайты с ограниченным доступом. Если личные учетные записи не отключены, пользователям предлагается либо переключиться на личный контекст, чтобы открыть сайт с ограниченным доступом, либо добавить личную учетную запись. Если для com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked настроено значение true, пользователи могут открыть сайт с ограниченным доступом в контексте InPrivate.
Значение false запрещает переход пользователей в Microsoft Edge для iOS и Android. Пользователям просто отображается сообщение о том, что сайт, к которому они пытаются получить доступ, заблокирован.
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked

Это имя политики было заменено пользовательским интерфейсом перенаправления ограниченных сайтов в личный контекст в разделе Параметры конфигурации Edge.
true позволяет открывать сайты с ограниченным доступом в контексте InPrivate учетной записи Microsoft Entra. Если учетная запись Microsoft Entra — единственная учетная запись, настроенная в Edge для iOS и Android, сайт с ограниченным доступом открывается автоматически в контексте InPrivate. Если у пользователя настроена личная учетная запись, ему предлагается выбрать между открытием режима InPrivate или переключением на личную учетную запись.
Значение false (по умолчанию) требует открытия сайта с ограниченным доступом в личной учетной записи пользователя. Если личные учетные записи отключены, сайт блокируется.
Чтобы этот параметр действовал, для com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock необходимо установить значение true.
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar Введите количество секунд, в течение которых пользователи будут видеть уведомление "Доступ к этому сайту заблокирован вашей организацией. Мы открыли его в режиме InPrivate для доступа к сайту". По умолчанию уведомление отображается в течение 7 секунд.

Следующие сайты, кроме copilot.microsoft.com, всегда разрешены независимо от определенных параметров списка разрешений или списка блокировок:

  • https://*.microsoft.com/*
  • http://*.microsoft.com/*
  • https://microsoft.com/*
  • http://microsoft.com/*
  • https://*.windowsazure.com/*
  • https://*.microsoftonline.com/*
  • https://*.microsoftonline-p.com/*

Управляйте поведением всплывающего окна "Сайт заблокирован".

При попытке доступа к заблокированным веб-сайтам пользователям будет предложено либо переключиться на InPrivate, либо использовать личную учетную запись, чтобы открыть заблокированные веб-сайты. Вы можете выбрать предпочтения между InPrivate и личным аккаунтом.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock 0 : (по умолчанию) Всегда показывать всплывающее окно, которое пользователь может выбрать.
1 : Автоматическое переключение на личную учетную запись при входе в личную учетную запись. Если вход в личную учетную запись не выполнен, поведение изменится на значение 2.
2 : Автоматически переключаться на InPrivate, если переключение InPrivate разрешено com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true.

Управление поведением при переключении личного профиля на рабочий профиль

Если Edge находится в личном профиле и пользователи пытаются открыть ссылку из Outlook или Microsoft Teams, которые находятся в рабочем профиле, по умолчанию Intune будет использовать рабочий профиль Edge, чтобы открыть ссылку, так как edge, Outlook и Microsoft Teams управляются Intune. Однако при блокировке ссылки пользователь переключится на личный профиль. Это приводит к возникновению трудностей для пользователей

Вы можете настроить политику для улучшения взаимодействия пользователей. Эту политику рекомендуется использовать вместе с AutoTransitionModeOnBlock, так как она может переключить пользователей на личный профиль в соответствии с настроенным значением политики.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork 1. (по умолчанию) Переключитесь на рабочий профиль, даже если URL-адрес заблокирован политикой Edge.
2. Заблокированные URL-адреса будут открываться в личном профиле, если личный профиль выполнен. Если личный профиль не выполнен, заблокированный URL-адрес откроется в режиме InPrivate.

Форматы URL-адресов для списка разрешенных и заблокированных сайтов

Для создания списков разрешенных или заблокированных сайтов можно использовать различные форматы URL-адресов. Эти допустимые шаблоны подробно описаны в следующей таблице.

  • При вводе любых URL-адресов в списке добавляйте префиксы http:// или https://.

  • Вы можете использовать подстановочный знак (*) в соответствии с правилами в следующем списке разрешенных шаблонов.

  • Подстановочный знак может совпадать только с частью (например, news-contoso.com) или всем компонентом имени узла (например, host.contoso.com) либо с целыми частями пути, если они разделены косой чертой (www.contoso.com/images).

  • В адресе можно указать номера портов. Если номер порта не указан, используются следующие значения.

    • Порт 80 для http
    • Порт 443 для https
  • Использование подстановочных знаков для номера порта не поддерживается. Например, имена меток http://www.contoso.com:* и http://www.contoso.com:*/ не поддерживаются.

    URL-адрес Подробно Совпадения Не соответствует
    http://www.contoso.com Соответствует одной странице www.contoso.com host.contoso.com
    www.contoso.com/images
    contoso.com/
    http://contoso.com Соответствует одной странице contoso.com/ host.contoso.com
    www.contoso.com/images
    www.contoso.com
    http://www.contoso.com/* Соответствует всем URL-адресам, которые начинаются с www.contoso.com www.contoso.com
    www.contoso.com/images
    www.contoso.com/videos/tvshows
    host.contoso.com
    host.contoso.com/images
    http://*.contoso.com/* Соответствует всем поддоменам в домене contoso.com developer.contoso.com/resources
    news.contoso.com/images
    news.contoso.com/videos
    contoso.host.com
    news-contoso.com
    http://*contoso.com/* Соответствует всем поддоменам, заканчивающимися на contoso.com/ news-contoso.com
    news-contoso.com/daily
    news-contoso.host.com
    news.contoso.com
    http://www.contoso.com/images Соответствует одной папке www.contoso.com/images www.contoso.com/images/dogs
    http://www.contoso.com:80 Соответствует одной странице с использованием номера порта www.contoso.com:80
    https://www.contoso.com Соответствует одной безопасной странице www.contoso.com www.contoso.com/images
    http://www.contoso.com/images/* Соответствует одной папке и всем вложенным папкам www.contoso.com/images/dogs
    www.contoso.com/images/cats
    www.contoso.com/videos
  • Ниже приведены примеры некоторых входных данных, которые нельзя указать:

    • *.com
    • *.contoso/*
    • www.contoso.com/*images
    • www.contoso.com/*images*pigs
    • www.contoso.com/page*
    • IP-адреса
    • https://*
    • http://*
    • http://www.contoso.com:*
    • http://www.contoso.com: /*

Отключение внутренних страниц Edge

Вы можете отключить внутренние страницы Edge, такие как Edge://flags и Edge://net-export. Дополнительные страницы можно найти на странице Edge://about

Ключ Значение
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList Соответствующее значение ключа — это список имен страниц. Внутренние страницы, которые нужно заблокировать, можно ввести в виде одного значения, разделенного символом канала | .

Примеры.
flags|net-export

Управляйте веб-сайтами, чтобы разрешить загрузку файлов

Могут быть сценарии, когда пользователям разрешено только просматривать веб-сайты без возможности загружать файлы. Организации имеют возможность указать, какие веб-сайты могут получать загрузку файлов.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно заблокировать, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно заблокировать, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com

Пример блокировки загрузки файлов для всех веб-сайтов, включая внутренние веб-сайты.

  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls= *

Пример разрешения определенным веб-сайтам загружать файлы

  • com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls= https://[*.]contoso.com/|[*.]sharepoint.com/
  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls= *

Дополнительную информацию о формате URL-адресов см. в разделе Формат шаблона URL-адресов политики предприятия .

Примечание.

Для Edge на iOS помимо загрузки будет заблокировано действие вставки. Пользователи не увидят опцию вставки в меню действий.

Управление конфигурацией прокси-сервера

Вы можете использовать Edge для iOS и Android и прокси-сервер приложения Microsoft Entra вместе, чтобы предоставить пользователям доступ к сайтам интрасети на их мобильных устройствах. Например:

  • Пользователь применяет мобильное приложение Outlook, которое защищено Intune. Затем он нажимает ссылку на сайт интрасети в сообщении электронной почты, и Microsoft Edge для iOS и Android распознает, что этот сайт интрасети был предоставлен пользователю через прокси приложения. Пользователь автоматически направляется через прокси приложения для проверки подлинности с помощью любой применимой многофакторной проверки подлинности и условного доступа, прежде чем перейти на сайт интрасети. Теперь пользователь может получить доступ к внутренним сайтам даже на своих мобильных устройствах, и ссылка в Outlook работает должным образом.
  • Пользователь открывает Microsoft Edge для iOS и Android на своем устройстве iOS или Android. Если Microsoft Edge для iOS и Android защищен с помощью Intune, а прокси приложения включен, пользователь может перейти на сайт интрасети, используя знакомый ему внутренний URL-адрес. Microsoft Edge для iOS и Android распознает, что этот сайт интрасети был предоставлен пользователю через прокси приложения. Пользователь автоматически направляется через прокси приложения для проверки подлинности, прежде чем перейти на сайт интрасети.

Перед началом работы:

  • Настройте свои внутренние приложения через прокси-сервер приложений Microsoft Entra.
    • Сведения о настройке прокси приложения и публикации приложений см. в документации по настройке.
    • Убедитесь, что пользователь назначен прокси-приложению приложения Microsoft Entra, даже если приложение настроено с использованием типа сквозной предварительной аутентификации.
  • Приложению Microsoft Edge для iOS и Android должна быть назначена политика защиты приложений Intune.
  • В приложениях Майкрософт должна быть политика защиты приложений, в которой параметру Ограничить обмен веб-содержимым с другими приложениями настроено значение Microsoft Edge.

Примечание.

Microsoft Edge для iOS и Android обновляет данные перенаправления прокси приложения на основе последнего успешного события обновления. Попытка обновления выполняется, когда последнее успешное событие обновления произошло более часа назад.

Target Edge для iOS и Android со следующей парой ключ/значение, чтобы включить прокси приложения.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection

Это имя политики было заменено пользовательским интерфейсом перенаправления прокси приложения в разделе Параметры конфигурации Edge.
true включает сценарии перенаправления прокси-сервера приложения Microsoft Entra
false (по умолчанию) предотвращает сценарии прокси-сервера приложения Microsoft Entra

Дополнительные сведения о том, как использовать Edge для iOS и Android и прокси-сервер приложения Microsoft Entra в тандеме для беспрепятственного (и защищенного) доступа к локальным веб-приложениям, см. в разделе Лучше вместе: Intune и Microsoft Entra объединяются для улучшения доступа пользователей . В этой записи блога указывается Intune Managed Browser, но содержимое также применяется к Microsoft Edge для iOS и Android.

Управление сайтами единого входа NTLM

Организации могут требовать, чтобы пользователи проходили проверку подлинности с помощью NTLM для доступа к веб-сайтам интрасети. По умолчанию пользователям предлагается вводить учетные данные при каждом доступе к веб-сайту, требующему проверки подлинности NTLM, так как кэширование учетных данных NTLM отключено.

Организации могут включить кэширование учетных данных NTLM для определенных веб-сайтов. Для этих сайтов после ввода учетных данных пользователем и успешной проверки подлинности учетные данные кэшируются по умолчанию на 30 дней.

Примечание.

Если вы используете прокси-сервер, убедитесь, что он настроен с помощью политики NTLMSSOURLs, где вы специально указываете https и http в качестве части значения ключа.

В настоящее время схемы https и http должны быть указаны в значении ключа NTLMSSOURLs. Например, необходимо настроить и https://your-proxy-server:8080http://your-proxy-server:8080. В настоящее время недостаточно указать формат host:port (например your-proxy-server:8080, ).

Кроме того, подстановочный знак (*) не поддерживается при настройке прокси-серверов в политике NTLMSSOURLs.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно разрешить, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2
http://app.contoso.com/|https://expenses.contoso.com

Дополнительные сведения о поддерживаемых форматах URL-адресов см. в разделе Форматы URL-адресов для списка разрешенных и заблокированных сайтов.
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO Количество часов кэширования учетных данных. По умолчанию — 720 часов

Дополнительная конфигурация приложений для управляемых устройств

Следующие политики, изначально настраиваемые с помощью политики конфигурации управляемых приложений, теперь доступны с помощью политики конфигурации приложений для управляемых устройств. При использовании политик для управляемых приложений пользователи должны войти в Microsoft Edge. При использовании политик для управляемых устройств пользователям не требуется входить в Microsoft Edge для применения политик.

Так как политикам конфигурации приложений для управляемых устройств требуется регистрация устройств, поддерживается любое единое управление конечными точками (UEM). Дополнительные политики в канале MDM см. в статье Политики Microsoft Edge Mobile.

Политика MAM Политика MDM
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL EdgeNewTabPageCustomURL
com.microsoft.intune.mam.managedbrowser.MyApps EdgeMyApps
com.microsoft.intune.mam.managedbrowser.defaultHTTPS EdgeDefaultHTTPS
com.microsoft.intune.mam.managedbrowser.disableShareUsageData EdgeDisableShareUsageData
com.microsoft.intune.mam.managedbrowser.disabledFeatures EdgeDisabledFeatures
com.microsoft.intune.mam.managedbrowser.disableImportPasswords EdgeImportPasswordsDisabled
com.microsoft.intune.mam.managedbrowser.enableKioskMode EdgeEnableKioskMode
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode EdgeShowAddressBarInKioskMode
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode EdgeShowBottomBarInKioskMode
com.microsoft.intune.mam.managedbrowser.account.syncDisabled EdgeSyncDisabled
com.microsoft.intune.mam.managedbrowser.NetworkStackPref EdgeNetworkStackPref
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled SmartScreenEnabled
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled MicrosoftRootStoreEnabled
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed SSLErrorOverrideAllowed
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting DefaultPopupsSetting
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls PopupsAllowedForUrls
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls PopupsBlockedForUrls
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled DefaultSearchProviderEnabled
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName DefaultSearchProviderName
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL DefaultSearchProviderSearchURL
com.microsoft.intune.mam.managedbrowser.Chat EdgeCopilotEnabled
com.microsoft.intune.mam.managedbrowser.ChatPageContext EdgeChatPageContext

Развертывание сценариев конфигурации приложений с помощью Microsoft Intune

Если вы используете Microsoft Intune в качестве поставщика управления мобильными приложениями, следующие действия позволяют создать политику конфигурации управляемых приложений. После создания конфигурации вы сможете назначать соответствующие параметры группам пользователей.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Приложения и нажмите Политики конфигурации приложений.

  3. В колонке Политики конфигурации приложений выберите Добавить и нажмите Управляемые приложения.

  4. В разделе Основные сведения укажите значения в полях Имя и Описание (необязательно) для параметров конфигурации приложений.

  5. В разделе Общедоступные приложения нажмите Выбрать общедоступные приложения, а затем в колонке Целевые приложения выберите Edge для iOS и Android, указав платформы приложений iOS и Android. Нажмите Выбрать, чтобы сохранить выбранные общедоступные приложения.

  6. Нажмите Далее, чтобы завершить основную настройку политики конфигурации приложений.

  7. В разделе Параметры разверните Параметры конфигурации Edge.

  8. Если вы хотите управлять параметрами защиты данных, настройте нужные параметры соответствующим образом:

    • Для параметра Перенаправление прокси приложения выберите один из доступных вариантов: Включить или Отключить (по умолчанию).

    • Для параметра URL-адрес ярлыка домашней страницы укажите действительный URL-адрес, включающий префикс http:// или https://. Неправильные URL-адреса блокируются в качестве меры безопасности.

    • Для параметра Управляемые закладки укажите название и действительный URL-адрес, включающий префикс http:// или https://.

    • Для параметра Разрешенные URL-адреса укажите действительный URL-адрес (разрешены только эти URL-адреса; доступ к другим сайтам отсутствует). Дополнительные сведения о поддерживаемых форматах URL-адресов см. в разделе Форматы URL-адресов для списка разрешенных и заблокированных сайтов.

    • Для параметра Заблокированные URL-адреса укажите действительный URL-адрес (блокируются только эти URL-адреса). Дополнительные сведения о поддерживаемых форматах URL-адресов см. в разделе Форматы URL-адресов для списка разрешенных и заблокированных сайтов.

    • Для параметра Перенаправлять сайты с ограниченным доступом в личный контекст выберите один из доступных вариантов: Включить (по умолчанию) или Отключить.

    Примечание.

    Если в политике определены как разрешенные, так и заблокированные URL-адреса, учитывается только список разрешенных.

  9. Если вы хотите, чтобы дополнительные параметры конфигурации приложений не демонстрировались в приведенной выше политике, разверните узел Общие параметры конфигурации и введите соответствующие настройки в пары "ключ-значение".

  10. Завершив настройку параметров, нажмите Далее.

  11. В разделе Назначения нажмите Выберите группы для включения. Выберите группу Microsoft Entra, которой вы хотите назначить политику конфигурации приложения, и нажмите Выбрать .

  12. Завершив назначение, нажмите Далее.

  13. В колонке Создание политики конфигурации приложений — Проверка и создание просмотрите настроенные параметры и нажмите Создать.

Созданная политика конфигурации появится в колонке Конфигурация приложения.

Использование Microsoft Edge для iOS и Android для доступа к журналам управляемых приложений

Пользователи с приложением Microsoft Edge для iOS и Android, установленным на устройствах с iOS или Android, могут просматривать состояние управления всеми опубликованными приложениями Майкрософт. Они могут отправлять журналы для устранения неполадок в управляемых приложениях iOS или Android. Для этого нужно выполнить следующие действия.

  1. Откройте Microsoft Edge для iOS и Android на своем устройстве.

  2. Введите edge://intunehelp/ в поле адреса.

  3. Microsoft Edge для iOS и Android запускается в режиме устранения неполадок.

Вы можете получить журналы от службы поддержки Майкрософт, предоставив идентификатор инцидента пользователя.

Список параметров, хранимый в журналах приложений, см. в статье Просмотр журналов защиты клиентских приложений.

Журналы диагностики

Кроме журналов Intune из edge://intunehelp/, служба поддержки Майкрософт может попросить вас предоставить журналы диагностики Microsoft Edge для iOS и Android. Вы можете скачать журналы на локальные устройства и отправить их в службу поддержки Майкрософт. Чтобы скачать журналы на локальные устройства, выполните следующие действия.

1. Откройте Справка и отзывы из меню переполнения

2. Нажмите диагностические данные

3. В Microsoft Edge для iOS нажмите значок Поделиться в правом верхнем углу. Откроется диалоговое окно ОС для предоставления общего доступа. Вы можете сохранить журналы локально или поделиться ими с другими приложениями. В Microsoft Edge для Android нажмите подменю в правом верхнем углу, чтобы сохранить журналы. Журналы будут сохранены в папке Загрузки ->Edge.

Вы также можете нажать значок Очистить, чтобы сначала очистить журналы для получения обновленных журналов.

Примечание.

Сохранение журналов также соответствует политике защиты приложений Intune. Поэтому вам может быть запрещено сохранять диагностические данные на локальных устройствах.

Дальнейшие действия