Sdílet prostřednictvím


Správa Microsoft Edge v iOSu a Androidu pomocí Intune

Edge pro iOS a Android je navržený tak, aby uživatelům umožňoval procházení webu a podporuje více identit. Uživatelé můžou přidat pracovní i osobní účet pro procházení webu. Tyto dvě identity jsou naprosto oddělené, což je podobné tomu, co se nabízí v jiných mobilních aplikacích Microsoftu.

Tato funkce platí pro:

  • iOS/iPadOS 14.0 nebo novější
  • Android 8.0 nebo novější pro zaregistrovaná zařízení a Android 9.0 nebo novější pro nezaregistrovaná zařízení

Poznámka

Edge pro iOS a Android nevyužívá nastavení, která si uživatelé na svých zařízeních nastavili pro nativní prohlížeč, protože Edge pro iOS a Android k těmto nastavením nemá přístup.

Pokud si předplatíte sadu Enterprise Mobility + Security, která zahrnuje funkce Microsoft Intune a Microsoft Entra ID P1 nebo P2, jako je podmíněný přístup, jsou k dispozici ty nejrozsáhlejší a nejrozsáhlejší možnosti ochrany dat Microsoft 365. Minimálně budete chtít nasadit zásadu podmíněného přístupu, která povolí připojení k Edgi pro iOS a Android jenom z mobilních zařízení, a zásady ochrany aplikací Intune, které zajistí ochranu prostředí procházení.

Poznámka

Nové webové klipy (připnuté webové aplikace) na zařízeních s iOSem se otevřou v Edgi pro iOS a Android místo Intune Managed Browser, pokud bude potřeba je otevřít v chráněném prohlížeči. U starších webových klipů pro iOS je nutné tyto webové klipy znovu zacílit, aby se otevíraly v Edgi pro iOS a Android a ne ve spravovaném prohlížeči.

Vytvoření zásad ochrany aplikací Intune

V souvislosti s tím, jak organizace stále častěji zavádějí SaaS a webové aplikace, se prohlížeče staly nezbytnými nástroji pro firmy. Uživatelé často potřebují přístup k těmto aplikacím z mobilních prohlížečů za pochodu. Zásadní je zajistit, aby data přístupná prostřednictvím mobilních prohlížečů byla chráněna před úmyslným nebo neúmyslným únikem. Uživatelé mohou například neúmyslně sdílet data organizací s osobními aplikacemi, což vede k úniku dat, nebo si je stáhnout do místních zařízení, což také představuje riziko.

Organizace můžou chránit data před únikem informací, když uživatelé procházejí v Microsoft Edgi pro mobilní zařízení, a to konfigurací zásad ochrany aplikací (APP), jež definují, které aplikace jsou povolené a jaké akce můžou s daty vaší organizace provádět. Možnosti dostupné v aplikaci APP umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře. Microsoft zavedl taxonomii pro svoji architekturu ochrany dat APP pro správu mobilních aplikací pro správu mobilních aplikací pro iOS a Android, aby organizacím pomohl prioritizovat posílení zabezpečení koncových bodů mobilních klientů.

Architektura ochrany dat APP je uspořádaná do tří různých úrovní konfigurace, přičemž každá úroveň vychází z předchozí úrovně:

  • Základní ochrana podnikových dat (úroveň 1) zajišťuje, že aplikace jsou chráněné kódem PIN a šifrované, a provádí operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Jedná se o konfiguraci základní úrovně, která poskytuje podobné řízení ochrany dat v zásadách poštovních schránek Exchange Online a zavádí IT a populaci uživatelů do APP.
  • Rozšířená ochrana podnikových dat (úroveň 2) zavádí mechanismy ochrany dat APP a minimální požadavky na operační systém. Toto je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
  • Vysoká ochrana podnikových dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami pro APP. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.

Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.

Bez ohledu na to, jestli je zařízení zaregistrované v řešení sjednocené správy koncových bodů (UEM), je potřeba vytvořit zásady ochrany aplikací Intune pro aplikace pro iOS i Android pomocí kroků v tématu Vytvoření a přiřazení zásad ochrany aplikací. Tyto zásady musí splňovat minimálně následující podmínky:

  • Zahrnují všechny mobilní aplikace Microsoft 365, jako je Edge, Outlook, OneDrive, Office nebo Teams, protože to zajišťuje, aby uživatelé mohli bezpečně přistupovat k pracovním nebo školním datům v libovolné aplikaci Microsoftu a manipulovat s nimi.

  • Jsou přiřazené všem uživatelům. Tím se zajistí, že všichni uživatelé budou chráněni bez ohledu na to, jestli používají Edge pro iOS nebo Android.

  • Určete, která úroveň architektury splňuje vaše požadavky. Většina organizací by měla implementovat nastavení definovaná v části Rozšířená ochrana podnikových dat (úroveň 2), která umožňují řízení požadavků na ochranu dat a přístup.

Poznámka

Jedním z nastavení souvisejících s prohlížeči je „Omezit přenos webového obsahu jinými aplikacemi“. V rozšířené ochraně podnikových dat (úroveň 2) je hodnota tohoto nastavení nakonfigurovaná na Microsoft Edge. Když jsou Outlook a Microsoft Teams chráněné zásadami ochrany aplikací (APP), Microsoft Edge se bude používat k otevírání odkazů z těchto aplikací, aby se zajistilo, že jsou odkazy zabezpečené a chráněné. Další informace o dostupných nastaveních najdete v tématu Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS.

Důležité

Pokud chce uživatel použít zásady ochrany aplikací Intune u aplikací na zařízeních s Androidem, která nejsou zaregistrovaná v Intune, musí také nainstalovat Portál společnosti Intune.

Použít podmíněný přístup

I když je důležité chránit Microsoft Edge pomocí zásad ochrany aplikací (APP), je také důležité zajistit, aby byl Microsoft Edge povinným prohlížečem pro otevírání podnikových aplikací. Uživatelé by jinak mohli pro přístup k podnikovým aplikacím používat jiné nechráněné prohlížeče, což může vést k úniku dat.

Organizace můžou pomocí zásad podmíněného přístupu Microsoft Entra zajistit, aby uživatelé měli prostřednictvím Edge pro iOS a Android přístup jenom k pracovnímu nebo školnímu obsahu. K tomu budete potřebovat zásady podmíněného přístupu, které cílí na všechny potenciální uživatele. Tyto zásady jsou popsané v tématu Podmíněný přístup: Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací.

Postupujte podle kroků v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací u mobilních zařízení, které povolují Edge pro iOS a Android, ale blokují připojení jiných webových prohlížečů mobilních zařízení ke koncovým bodům Microsoft 365.

Poznámka

Tato zásada zajišťuje, aby mobilní uživatelé mohli přistupovat ke všem koncovým bodům Microsoft 365 z Edge pro iOS a Android. Tato zásada také zabraňuje uživatelům používat anonymní režim pro přístup ke koncovým bodům Microsoft 365.

Pomocí podmíněného přístupu můžete také cílit na místní weby, které jste prostřednictvím proxy aplikací Microsoft Entra zpřístupnili externím uživatelům.

Poznámka

Pokud chcete využívat zásady podmíněného přístupu na základě aplikací, musí být na zařízeních s iOSem nainstalovaná aplikace Microsoft Authenticator. U zařízení s Androidem se vyžaduje aplikace Portál společnosti Intune. Další informace najdete v tématu Podmíněný přístup založený na aplikacích pro Intune.

Jednotné přihlašování k webovým aplikacím připojeným k Microsoft Entra v prohlížečích chráněných zásadami

Edge pro iOS a Android může využívat jednotné přihlašování (SSO) ke všem webovým aplikacím (SaaS i místním), které jsou připojené k Microsoft Entra. Jednotné přihlašování umožňuje uživatelům přistupovat k webovým aplikacím připojeným k Microsoft Entra přes Edge pro iOS a Android, aniž by museli znovu zadávat svoje přihlašovací údaje.

Jednotné přihlašování vyžaduje, aby vaše zařízení zaregistrovala aplikace Microsoft Authenticator pro zařízení s iOSem nebo Portál společnosti Intune na Androidu. Jestliže uživatelé využijí jednu z těchto možností, zobrazí se jim výzva k registraci zařízení, když přejdou do webové aplikace připojené k Microsoft Entra v prohlížeči chráněném zásadami (to platí jenom v případě, že jejich zařízení ještě není zaregistrované). Po registraci zařízení pomocí účtu uživatele spravovaného službou Intune má tento účet povolené jednotné přihlašování pro webové aplikace připojené k Microsoft Entra.

Poznámka

Registrace zařízení je jednoduchá kontrola ve službě Microsoft Entra. Nevyžaduje úplnou registraci zařízení a neposkytuje IT na zařízení žádná další oprávnění.

Použití konfigurace aplikace ke správě prostředí procházení

Edge pro iOS a Android podporuje nastavení aplikací, která umožňují jednotné správě koncových bodů, jako jsou správci Microsoft Intune, přizpůsobit chování aplikace.

Konfiguraci aplikace je možné provádět buď prostřednictvím kanálu správy mobilních zařízení (MDM) operačního systému na zaregistrovaných zařízeních (Konfigurace spravovaných aplikací kanál pro iOS nebo Android v kanálu Enterprise pro Android), nebo prostřednictvím kanálu MAM (Správa mobilních aplikací). Edge pro iOS a Android podporuje následující scénáře konfigurace:

  • Povolit jenom pracovní nebo školní účty
  • Obecná nastavení konfigurace aplikací
  • Nastavení ochrany dat
  • Další konfigurace aplikací pro spravovaná zařízení

Důležité

V případě konfiguračních scénářů, které vyžadují registraci zařízení v Androidu, musí být zařízení zaregistrovaná v Androidu Enterprise a Edge pro Android musí být nasazený prostřednictvím spravovaného obchodu Google Play. Další informace najdete v tématech Nastavení registrace zařízení s pracovním profilem Android Enterprise v osobním vlastnictví a Přidání zásad konfigurace aplikací pro spravovaná zařízení s Androidem Enterprise.

Každý scénář konfigurace zvýrazňuje své specifické požadavky. Například zda scénář konfigurace vyžaduje registraci zařízení, a proto funguje s jakýmkoli poskytovatelem UEM, nebo zda vyžaduje zásady Intune App Protection.

Důležité

U konfiguračních klíčů aplikací se rozlišují velká a malá písmena. Aby se konfigurace projevila, použijte správně velká a malá písmena.

Poznámka

V Microsoft Intune se konfigurace aplikací doručovaná prostřednictvím kanálu MDM OS označuje jako Zásady konfigurace aplikací (ACP) pro spravovaná zařízení. Konfigurace aplikací doručovaná prostřednictvím kanálu MAM (Správa mobilních aplikací) se označuje jako Zásady konfigurace aplikací prospravované aplikace.

Povolit jenom pracovní nebo školní účty

Klíčovým pilířem hodnoty Microsoft 365 je dodržování zásad zabezpečení dat a dodržování předpisů našich největších a vysoce regulovaných zákazníků. Některé společnosti mají požadavek na zachytávání všech komunikačních informací ve svém podnikovém prostředí a také potřebují zajistit, aby se zařízení používala jenom pro firemní komunikaci. Aby bylo možné tyto požadavky splnit, je možné Edge pro iOS a Android na zaregistrovaných zařízeních nakonfigurovat tak, aby v aplikaci bylo možné zřizovat jenom jeden podnikový účet.

Další informace o konfiguraci nastavení režimu povolených účtů organizace najdete tady:

Tento scénář konfigurace funguje jenom s zaregistrovanými zařízeními. Podporuje se ale jakýkoli poskytovatel UEM. Pokud nepoužíváte Microsoft Intune, musíte si prohlédnout dokumentaci k UEM, jak tyto konfigurační klíče nasadit.

Obecné scénáře konfigurace aplikací

Edge pro iOS a Android nabízí správcům možnost přizpůsobit výchozí konfiguraci pro několik nastavení v aplikaci. Tato možnost je nabízena, pokud má Edge pro iOS a Android u pracovního nebo školního účtu, který je přihlášen do aplikace, uplatněnou politiku konfigurace spravovaných aplikací.

Edge podporuje následující nastavení konfigurace:

  • Prostředí stránky Nová karta
  • Možnosti záložek
  • Chování aplikací
  • Prostředí celoobrazovkového režimu

Tato nastavení je možné nasadit do aplikace bez ohledu na stav registrace zařízení.

Rozložení stránky Nová karta

Inspirační rozložení je výchozím rozložením pro stránku nové karty. Zobrazuje zástupce nejlepších webů, tapetu a informační kanál. Uživatelé můžou změnit rozložení podle svých preferencí. Organizace můžou také spravovat nastavení rozložení.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout prioritní Je vybraná možnost Prioritní
Je vybraná možnost inspirační (výchozí) Inspirační
informační Je vybraná možnost Informační.
zvyk Je vybraná možnost Vlastní, zapnutý přepínač zástupci horního webu, zapnutý přepínač tapety a přepínač informačního kanálu je zapnutý.
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom přední weby Zapnout možnost zástupců předních webů
tapeta Zapnout tapetu
informační kanál Zapnout informační kanál
Aby se tyto zásady projevily, musí být hodnota com.microsoft.intune.mam.managedbrowser.NewTabPageLayout nastavená na hodnotu vlastní

Výchozí hodnota je topsites|wallpaper|newsfeed|
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable true (výchozí) Uživatelé můžou změnit nastavení rozložení stránky.
false Uživatelé nemůžou změnit nastavení rozložení stránky. Rozložení stránky je určeno hodnotami zadanými prostřednictvím zásad nebo se použijí výchozí hodnoty.

Důležité

Zásada NewTabPageLayout slouží k nastavení počátečního rozložení. Uživatelé můžou změnit nastavení rozložení stránky na základě svých referencí. Proto se zásady NewTabPageLayout projeví pouze v případě, že uživatelé nezmění nastavení rozložení. Zásady NewTabPageLayout můžete vynutit konfigurací UserSelectable=false.

Poznámka

Od verze 129.0.2792.84 se výchozí rozložení stránky změnilo na inspirující.

Příklad vypnutí informačních kanálů

  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false

Prostředí stránky Nová karta

Edge pro iOS a Android nabízí organizacím několik možností pro úpravu prostředí stránky Nová karta, včetně loga organizace, barvy značky, domovské stránky, předních webů a novinek z oboru.

Logo organizace a barva značky

Nastavení loga organizace a barvy značky umožňuje přizpůsobit stránku Nová karta pro Edge na zařízeních s iOS a Androidem. Logo banneru se použije jako logo vaší organizace a barva pozadí stránky se použije jako barva značky vaší organizace. Další informace najdete v tématu Konfigurace firemního brandingu.

Potom pomocí následujících párů klíč/hodnota přetáhněte branding vaší organizace do Edge pro iOS a Android:

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo true zobrazuje logo značky organizace
false (výchozí) nezpřístupňuje logo
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor true zobrazuje barvu značky organizace
false (výchozí) nezobrazí barvu

Zástupce domovské stránky

Toto nastavení umožňuje nakonfigurovat zástupce domovské stránky pro Edge pro iOS a Android na stránce Nová karta. Zástupce domovské stránky, kterého nakonfigurujete, se zobrazí jako první ikona pod panelem hledání, když uživatel otevře novou kartu v Edgi pro iOS a Android. Uživatel nemůže tohoto zástupce ve svém spravovaném kontextu upravit ani odstranit. Zástupce domovské stránky zobrazí název vaší organizace, aby se odlišil.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.homepage

Tento název zásady byl nahrazen uživatelským rozhraním adresy URL zástupce domovské stránky v nastavení konfigurace edge.
Zadejte platnou adresu URL. Nesprávné adresy URL se blokují z bezpečnostních důvodů.
Například: https://www.bing.com

Více zástupců webu na nejvyšší úrovni

Podobně jako když konfigurujete zástupce domovské stránky, můžete v Edgi pro iOS a Android nakonfigurovat několik hlavních zástupců webů na stránce Nové karty. Uživatel nemůže tyto zástupce ve spravovaném kontextu upravovat ani odstraňovat. Poznámka: Můžete nakonfigurovat celkem 8 zástupců, včetně zástupce domovské stránky. Pokud jste nakonfigurovali zástupce domovské stránky, přepíše tento zástupce první nakonfigurovaný horní web.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.managedTopSites Zadejte sadu adres URL hodnot. Každý zástupce horního webu se skládá z názvu a adresy URL. Název a adresu URL oddělte znakem |.
Například: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com

Novinky z oboru

V Edgi pro iOS a Android můžete nakonfigurovat prostředí stránky Nová karta tak, aby zobrazovalo novinky z odvětví, které jsou relevantní pro vaši organizaci. Když tuto funkci povolíte, Edge pro iOS a Android použije název domény vaší organizace k agregaci zpráv z webu o vaší organizaci, oboru a konkurentech organizace, aby vaši uživatelé mohli najít relevantní externí zprávy na všech stránkách centralizovaných nových karet v Edgi pro iOS a Android. Industry News je ve výchozím nastavení vypnuté.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews true zobrazí Zprávy z oboru na stránce Nová karta
false (výchozí) skryje Zprávy z oboru na stránce Nová karta

Domovská stránka místo prostředí Nová karta

Edge pro iOS a Android umožňuje organizacím zakázat prostředí stránky Nová karta a místo toho nechat web spustit, když uživatel otevře novou kartu. I když se jedná o podporovaný scénář, Microsoft doporučuje organizacím, aby k poskytování dynamického obsahu, který je pro uživatele relevantní, využily možnosti stránky Nová karta.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL Zadejte platnou adresu URL. Pokud není zadaná žádná adresa URL, aplikace použije prostředí stránky Nová karta. Nesprávné adresy URL se blokují z bezpečnostních důvodů.
Například: https://www.bing.com

Možnosti záložek

Edge pro iOS a Android nabízí organizacím několik možností správy záložek.

Spravované záložky

Pro usnadnění přístupu můžete nakonfigurovat záložky, které mají mít uživatelé při používání Edge pro iOS a Android k dispozici.

  • Záložky se zobrazují jenom v pracovním nebo školním účtu a nejsou přístupné pro osobní účty.
  • Záložky nemůžou uživatelé odstranit ani upravit.
  • Záložky se zobrazí v horní části seznamu. Všechny záložky, které uživatelé vytvoří, se zobrazí pod těmito záložkami.
  • Pokud jste povolili přesměrování proxy aplikací, můžete přidat proxy aplikací webové aplikace pomocí jejich interní nebo externí adresy URL.
  • Záložky se vytvářejí ve složce pojmenované podle názvu organizace, který je definován v Microsoft Entra ID.
Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.bookmarks

Tento název zásady byl nahrazen uživatelským rozhraním spravovaných záložek v nastavení konfigurace Edge.
Hodnota této konfigurace je seznam záložek. Každá záložka se skládá z názvu záložky a adresy URL záložky. Název a adresu URL oddělte znakem |.
Například: Microsoft Bing|https://www.bing.com

Pokud chcete nakonfigurovat více záložek, oddělte každý pár dvojitým znakem ||.
Například: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com

Záložka Moje aplikace

Ve výchozím nastavení mají uživatelé záložku Moje aplikace nakonfigurovanou ve složce organizace v Edgi pro iOS a Android.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.MyApps true (výchozí) zobrazuje Moje aplikace v záložkách Edge pro iOS a Android.
false skrývá Moje aplikace v Edgi pro iOS a Android

Chování aplikací

Edge pro iOS a Android nabízí organizacím několik možností pro správu chování aplikace.

Jednotné přihlašování pomocí hesla Microsoft Entra

Funkce jednotného přihlašování (SSO) pomocí hesla Microsoft Entra, kterou nabízí Microsoft Entra ID, přenáší správu přístupu uživatelů do webových aplikací, které nepodporují federaci identit. Edge pro iOS a Android ve výchozím nastavení neprovádí jednotné přihlašování s přihlašovacími údaji Microsoft Entra. Další informace najdete v tématu Přidání jednotného přihlašování založeného na heslech do aplikace.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.PasswordSSO true znamená, že jednotné přihlašování pomocí hesla Microsoft Entra je povolené
false (výchozí) znamená, že jednotné přihlašování pomocí hesla Microsoft Entra je zakázané

Výchozí obslužná rutina protokolu

Edge pro iOS a Android ve výchozím nastavení používá obslužnou rutinu protokolu HTTPS, když uživatel nezadá protokol v adrese URL. Obecně se to považuje za osvědčený postup, ale dá se zakázat.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.defaultHTTPS true (výchozí) výchozí obslužná rutina protokolu je HTTPS
false výchozí obslužná rutina protokolu je HTTP

Zakázání volitelných diagnostických dat

Ve výchozím nastavení můžou uživatelé odesílat volitelná diagnostická data takto: Nastavení->Ochrana osobních údajů a zabezpečení->Diagnostická data->Nepovinná diagnostická data. Organizace můžou toto nastavení zakázat.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.disableShareUsageData true Volitelné nastavení diagnostických dat je zakázané
false (výchozí) Uživatelé můžou tuto možnost zapnout nebo vypnout

Poznámka

Nastavení nepovinných diagnostických dat se uživatelům zobrazí také při prvním spuštění (FRE). Organizace můžou tento krok přeskočit pomocí zásad MDM EdgeDisableShareUsageData.

Zakázání konkrétních funkcí

Edge pro iOS a Android umožňuje organizacím zakázat určité funkce, které jsou ve výchozím nastavení povolené. Pokud chcete tyto funkce zakázat, nakonfigurujte následující nastavení:

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.disabledFeatures password zakáže výzvy, které nabízejí ukládání hesel pro koncového uživatele
Inprivate zakáže anonymní procházení InPrivate
autofill zakáže "Uložit a vyplnit adresy" a "Uložit a vyplnit platební údaje". Automatické vyplňování bude zakázané i pro dříve uložené informace
translator zakáže překladač
readaloud zakáže čtení nahlas
drop zakáže zahození
kupóny zakazuje kupóny
rozšíření zakazuje rozšíření (jenom Edge pro Android)
developertools zobrazí čísla verzí buildu šedě, aby uživatelé nemohli získat přístup k možnostem pro vývojáře (jenom Edge pro Android).
UIRAlert potlačit překryvná okna pro opětovné ověření účtu na stránce nová karta
sdílení zakáže sdílení v nabídce
sendtodevices deaktivuje funkci Odeslat do zařízení v nabídce
weather disables weather in NTP (New Tab Page)

Pokud chcete zakázat více funkcí, oddělte hodnoty pomocí |. Například zakáže jak inPrivate, inprivate|password tak úložiště hesel.

Zakázání funkce importu hesel

Edge pro iOS a Android umožňuje uživatelům importovat hesla ze Správce hesel. Pokud chcete zakázat import hesel, nakonfigurujte následující nastavení:

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.disableImportPasswords true Zákaz importu hesel
false (výchozí) Povolit import hesel

Poznámka

Ve Správci hesel Edge pro iOS je tlačítko Přidat. Pokud je funkce importu hesel zakázaná, zakáže se také tlačítko Přidat.

Můžete určit, jestli můžou weby ukládat soubory cookie pro vaše uživatele v Edgi pro Android. Chcete-li to provést, nakonfigurujte následující nastavení:

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.cookieControlsMode 0 (výchozí) povolit soubory cookie
1 blokování souborů cookie jiných společností než Microsoft
2 blokování souborů cookie jiných společností než Microsoft v režimu InPrivate
3 blokovat všechny soubory cookie

Poznámka

Edge pro iOS nepodporuje řízení souborů cookie.

Prostředí celoobrazovkového režimu na zařízeních s Androidem

Edge pro Android je možné povolit jako celoobrazovkovou aplikaci s následujícím nastavením:

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.enableKioskMode true povoluje celoobrazovkový režim pro Edge pro Android
false (výchozí) zakáže celoobrazovkový režim
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode true zobrazuje panel Adresa v celoobrazovkovém režimu
false (výchozí) skryje panel Adresa, když je povolený celoobrazovkový režim.
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode true zobrazuje dolní panel akcí v celoobrazovkovém režimu
false (výchozí) skryje dolní panel, když je povolený celoobrazovkový režim.

Poznámka

Celoobrazovkový režim není na zařízeních s iOSem podporovaný. Můžete ale použít režim uzamčeného zobrazení (pouze zásady MDM), abyste dosáhli podobného uživatelského prostředí, kdy uživatelé nebudou moct přejít na jiné weby, protože panel Adresa adresy URL se v režimu uzamčeného zobrazení změní na jen pro čtení.

Režim uzamčeného zobrazení

Edge pro iOS a Android je možné povolit jako režim uzamčeného zobrazení se zásadami MDM EdgeLockedViewModeEnabled.

Klíč Hodnota
EdgeLockedViewModeEnabled false (výchozí): Režim uzamčeného zobrazení je zakázaný.
true: Režim uzamčeného zobrazení je povolený.

Umožňuje organizacím omezit různé funkce prohlížeče a poskytovat tak řízené a cílené procházení.

  • Panel adresy URL je jen pro čtení, což uživatelům znemožňuje provádět změny webové adresy.
  • Uživatelé nemůžou vytvářet nové karty.
  • Funkce kontextového vyhledávání na webových stránkách je zakázaná.
  • Následující tlačítka v nabídce přetečení jsou zakázaná.
Tlačítka Stav
Nová karta InPrivate Zakázáno
Odeslat do zařízení Zakázáno
Pustit Zakázáno
Přidat do telefonu (Android) Zakázáno
Stáhnout stránku (Android) Zakázáno

Režim uzamčeného zobrazení se často používá společně se zásadami MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL nebo zásadami MDM EdgeNewTabPageCustomURL, které organizacím umožňují nakonfigurovat konkrétní webovou stránku, která se automaticky spustí při otevření Edge. Uživatelé jsou omezeni na tuto webovou stránku a nemohou přejít na jiné weby, takže mají k dispozici řízené prostředí pro konkrétní úlohy nebo spotřebu obsahu.

Poznámka

Ve výchozím nastavení uživatelé nemůžou vytvářet nové karty v režimu uzamčeného zobrazení. Pokud chcete povolit vytváření karet, nastavte zásadu MDM EdgeLockedViewModeAllowedActions na newtabs.

Přepínání zásobníku sítě mezi Chromium a iOSem

Microsoft Edge pro iOS i Android ve výchozím nastavení používá zásobník Chromium sítě pro komunikaci služby Microsoft Edge, včetně synchronizačních služeb, návrhů automatického vyhledávání a odesílání zpětné vazby. Microsoft Edge pro iOS také poskytuje síťový zásobník iOS jako konfigurovatelnou možnost pro komunikaci služby Microsoft Edge.

Organizace můžou upravit předvolby zásobníku sítě konfigurací následujícího nastavení.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.NetworkStackPref 0 (výchozí) použití zásobníku sítě Chromium
1 Použití zásobníku sítě pro iOS

Poznámka

Doporučuje se použít zásobník sítě Chromium. Pokud při odesílání zpětné vazby se zásobníkem sítě Chromium dochází k problémům se synchronizací nebo selhání, například u některých řešení VPN pro jednotlivé aplikace, může se problémy vyřešit použitím zásobníku sítě iOS.

Nastavení adresy URL proxy souboru .pac

Organizace můžou zadat adresu URL souboru PAC (Automatická konfigurace proxy serveru) pro Microsoft Edge pro iOS a Android.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.proxyPacUrl Zadejte platnou adresu URL proxy souboru .pac.
Například: https://internal.site/example.pac

Podpora neúspěšného otevření PAC

Microsoft Edge pro iOS a Android ve výchozím nastavení blokuje síťový přístup pomocí neplatného nebo nedostupného skriptu PAC. Organizace ale můžou upravit výchozí chování tak, aby se nepodařilo otevřít pac.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled false (výchozí) Blokování přístupu k síti
true Povolení síťového přístupu

Konfigurace síťových přenosů

Edge pro iOS teď podporuje síťová relé v iOSu 17. Jedná se o speciální typ proxy serveru, který je možné použít pro řešení vzdáleného přístupu a ochrany osobních údajů. Podporují zabezpečené a transparentní tunelování provozu a slouží jako moderní alternativa k sítím VPN při přístupu k interním prostředkům. Další informace o síťových přenosech najdete v tématu Použití síťových přenosů na zařízeních Apple.

Organizace můžou nakonfigurovat adresy URL relay proxy tak, aby směrovaly provoz na základě odpovídajících a vyloučených domén.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl Zadejte platnou adresu URL konfiguračního souboru JSON přenosu.
Například: https://yourserver/relay_config.json

Příklad souboru JSON pro síťové přenosy
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}

Proxy, aby se uživatelé mohli přihlásit do Edge z Androidu

Automatická konfigurace proxy serveru (PAC) se obvykle konfiguruje v profilu sítě VPN. Kvůli omezení platformy nástroj Android WebView, který se používá během procesu přihlašování do Edge, nedokáže PAC rozpoznat. Uživatelé se z Androidu možná nebudou moct přihlásit do Edge.

Organizace můžou určit vyhrazený proxy server prostřednictvím zásad MDM, aby se uživatelé mohli přihlásit do Edge z Androidu.

Klíč Hodnota
EdgeOneAuthProxy Odpovídající hodnota je řetězec.
Příkladhttp://MyProxy.com:8080

Úložiště dat webu iOS

Webové úložiště dat v Edgi pro iOS je nezbytné pro správu souborů cookie, diskových a paměťových mezipamětí a různých typů dat. V Edgi pro iOS je ale jenom jedno trvalé úložiště dat webu. Ve výchozím nastavení je toto úložiště dat používáno výhradně osobními účty, což vede k omezení, kdy ho pracovní nebo školní účty nemohou využívat. V důsledku toho jsou údaje o procházení, s výjimkou souborů cookie, ztraceny po každé relaci pro pracovní nebo školní účty. Aby organizace zlepšily uživatelské prostředí, můžou nakonfigurovat úložiště dat webu pro použití pracovními nebo školními účty a zajistit tak trvalost údajů o procházení.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore 0 Webové úložiště dat je vždy staticky používáno pouze osobním účtem.
1 Úložiště dat webu bude používat první přihlášený účet.
2 (Výchozí) Webové úložiště dat bude nejprve použito pracovním nebo školním účtem bez ohledu na pořadí přihlášení.

Poznámka

Ve verzi iOS 17 se teď podporuje několik trvalých úložišť. Pracovní a osobní účet mají vlastní vyhrazené trvalé úložiště. Proto tato zásada už není platná od verze 122.

Filtr SmartScreen v programu Microsoft Defender

Microsoft Defender SmartScreen je funkce, která uživatelům pomáhá vyhnout se škodlivým webům a souborům ke stažení. Moderní ověřování je ve výchozím nastavení povoleno. Organizace můžou toto nastavení zakázat.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled true (výchozí) filtr Microsoft Defender SmartScreen je povolený.
false filtr Microsoft Defender SmartScreen je zakázaný.

Ověření certifikátu

Microsoft Edge pro Android ve výchozím nastavení ověřuje certifikáty serveru pomocí integrovaného ověřovatele certifikátů a kořenového úložiště Microsoftu jako zdroje veřejného vztahu důvěryhodnosti. Organizace můžou přepnout na ověřovatele systémových certifikátů a kořenové certifikáty systému.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled true (výchozí) K ověření certifikátů použijte integrovaný ověřovatel certifikátů a Microsoft Root Store.
false Jako zdroj veřejného vztahu důvěryhodnosti k ověření certifikátů použijte ověřovatel systémových certifikátů a kořenové systémové certifikáty.

Poznámka

Případem použití této zásady je, že při použití tunelu Microsoft MAM v Edgi pro Android potřebujete použít nástroj pro ověření systémového certifikátu a kořenové certifikáty systému.

Řízení stránky s varováním SSL

Ve výchozím nastavení můžou uživatelé prokliknout stránky s varováním, které se zobrazí, když uživatelé přejdou na weby s chybami SSL. Organizace můžou spravovat její chování.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed true (výchozí) Umožňuje uživatelům prokliknout stránky s varováním SSL.
false Zabrání uživatelům prokliknout stránky s varováním SSL.

Nastavení automaticky otevíraných oken

Ve výchozím nastavení jsou automaticky otevíraná okna blokovaná. Organizace můžou spravovat její chování.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting 1 Povolit všem webům zobrazovat automaticky otevíraná okna
2 (výchozí) Nepovolit žádnému webu zobrazovat automaticky otevíraná okna

Povolit automaticky otevírané okno na konkrétních webech

Pokud tato zásada není nakonfigurovaná, použije se pro všechny weby hodnota ze zásady DefaultPopupsSetting (pokud je nastavená) nebo osobní konfigurace uživatele. Organizace můžou definovat seznam webů, které můžou otevřít automaticky otevírané okno.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.

              Příklady:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Další informace o formátu adres URL najdete v tématu Formát vzoru adresy URL zásad podniku.

Blokovat automaticky otevírané okno na konkrétních webech

Pokud tato zásada není nakonfigurovaná, použije se pro všechny weby hodnota ze zásady DefaultPopupsSetting (pokud je nastavená) nebo osobní konfigurace uživatele. Organizace můžou definovat seznam webů, u kterých je zablokované otevírání automaticky otevíraných oken.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.

              Příklady:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Další informace o formátu adres URL najdete v tématu Formát vzoru adresy URL zásad podniku.

Výchozí poskytovatel vyhledávání

Ve výchozím nastavení používá Edge výchozího poskytovatele vyhledávání k vyhledávání, když uživatelé zadají do adresního řádku texty, které nejsou adresami URL. Uživatelé můžou změnit seznam poskytovatelů vyhledávání. Organizace můžou spravovat chování poskytovatele vyhledávání.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled true Povolení výchozího poskytovatele vyhledávání
false Zakázání výchozího poskytovatele vyhledávání

Konfigurace poskytovatele vyhledávání

Organizace můžou nakonfigurovat poskytovatele vyhledávání pro uživatele. Pokud chcete nakonfigurovat poskytovatele vyhledávání, musíte nejprve nakonfigurovat zásadu DefaultSearchProviderEnabled.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName Odpovídající hodnota je řetězec.
PříkladMy Intranet Search
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL Odpovídající hodnota je řetězec.
Příkladhttps://search.my.company/search?q={searchTerms}

Copilot

Poznámka

Od verze 128 je funkce Copilot pro pracovní nebo školní účty zastaralá. Proto následující zásady už nebudou ve verzi 128 platné. Pokud chcete blokovat přístup k webové verzi Copilotu, copilot.microsoft.com, můžete použít zásady AllowListURLs nebo BlockListURLs.

Copilot je k dispozici v prohlížeči Microsoft Edge pro iOS a Android. Uživatelé můžou spustit Copilot kliknutím na tlačítko Copilot v dolním panelu.

V Nastavení–>Obecné–>Copilot jsou k dispozici tři nastavení.

  • Zobrazit Copilot – Určuje, jestli se má na dolním panelu zobrazit tlačítko Bingu.
  • Povolit přístup k libovolné webové stránce nebo PDF – Určete, jestli se má mít Copilot povolen přístup k obsahu stránky nebo PDF.
  • Rychlý přístup při výběru textu – Určuje, jestli se má zobrazit panel rychlého chatu, když je vybrán text na webové stránce.

Můžete spravovat nastavení pro Copilot.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.Chat true (výchozí) Uživatelé uvidí tlačítko Copilot na dolním panelu. Nastavení Zobrazit Copilota je ve výchozím nastavení zapnuté a uživatelé ho můžou vypnout.
false Uživatelé nevidí tlačítko Copilot na dolním panelu. Nastavení Zobrazit Copilota je zakázané a uživatelé ho nemůžou zapnout.
com.microsoft.intune.mam.managedbrowser.ChatPageContext true (výchozí) Uživatelé můžou zapnout přístup k libovolné webové stránce nebo souboru PDF a Rychlý přístup při výběru textu.
falseMožnost Povolit přístup k libovolné webové stránce nebo souboru PDF a Rychlý přístup při výběru textu se zakáže a uživatelé ji nebudou moct zapnout.

Scénáře konfigurace aplikací pro ochranu dat

Edge pro iOS a Android podporuje zásady konfigurace aplikací pro následující nastavení ochrany dat, pokud je aplikace spravována nástrojem Microsoft Intune se zásadami konfigurace spravovaných aplikací aplikovanými na pracovní nebo školní účet, který je do aplikace přihlášen:

  • Správa synchronizace účtů
  • Správa webů s omezeným přístupem
  • Správa konfigurace proxy serveru
  • Správa webů jednotného přihlašování NTLM

Tato nastavení je možné nasadit do aplikace bez ohledu na stav registrace zařízení.

Správa synchronizace účtů

Synchronizace Microsoft Edge ve výchozím nastavení umožňuje uživatelům přístup k údajům o procházení na všech přihlášených zařízeních. Mezi data podporovaná synchronizací patří:

  • Oblíbené
  • Hesla
  • Adresy a další (položka formuláře automatického vyplňování)

Funkce synchronizace je povolená na základě souhlasu uživatele a uživatelé můžou synchronizaci zapnout nebo vypnout pro každý z výše uvedených datových typů. Další informace najdete v tématu Synchronizace Microsoft Edge.

Organizace mají možnost zakázat synchronizaci Edge v iOSu a Androidu.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.account.syncDisabled true zakáže synchronizaci Edge
false (výchozí) umožňuje synchronizaci Edge

Správa webů s omezeným přístupem

Organizace můžou definovat, ke kterým webům budou mít uživatelé přístup v kontextu pracovního nebo školního účtu v Edgi pro iOS a Android. Pokud použijete seznam povolených, budou mít uživatelé přístup jenom k webům, které jsou explicitně uvedené. Pokud použijete seznam blokovaných položek, budou mít uživatelé přístup ke všem webům s výjimkou těch, které jsou explicitně zablokované. Měli byste uložit buď seznam povolených, nebo blokovaných, ne oba. Pokud uložíte obojí, bude se dodržovat jenom seznam povolených položek.

Organizace také definují, co se stane, když se uživatel pokusí přejít na web s omezeným přístupem. Ve výchozím nastavení jsou přechody povolené. Pokud to organizace povolí, je možné weby s omezeným přístupem otevírat v kontextu osobního účtu nebo v kontextu InPrivate účtu Microsoft Entra, případně přístup na dané weby zcela blokovat. Další informace o různých podporovaných scénářích najdete v tématu Omezené přechody webů v Microsoft Edge Mobile. Když povolíte prostředí pro přechod, uživatelé organizace zůstanou chráněni a zároveň budou mít firemní prostředky v bezpečí.

Abychom zlepšili prostředí pro přepínání profilů tím, že uživatelé nemusí ručně přecházet na osobní profily nebo v režimu InPrivate otevírat blokované adresy URL, zavedli jsme dvě nové zásady:

  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork

Vzhledem k tomu, že tyto zásady přinášejí různé výsledky v závislosti na jejich konfiguracích a kombinacích, doporučujeme před prozkoumáním podrobné dokumentace vyzkoušet naše níže uvedené návrhy zásad, abyste zjistili, jestli přepínání profilů odpovídá potřebám vaší organizace. Navrhovaná nastavení konfigurace přepínání profilů zahrnují následující hodnoty:

  • com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
  • com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2

Poznámka

Edge pro iOS a Android může blokovat přístup k webům jenom v případě, že k nim přistupujete přímo. Neblokuje přístup, když uživatelé pro přístup k webu používají zprostředkující služby (například překladatelské služby). Adresy URL, které spouští Edge, jako jsou , a Edge://*, nejsou podporované v zásadách konfigurace aplikací Edge://flagsAllowListURLsEdge://net-export ani BlockListURLs pro spravované aplikace. Tyto adresy URL můžete zakázat pomocí com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.

Pokud jsou vaše zařízení spravovaná, můžete pro spravovaná zařízení použít také zásadu konfigurace aplikací adresu URLAllowList nebo URLBlocklist. Související informace najdete v tématu Zásady Microsoft Edge pro mobilní zařízení.

Pomocí následujících párů klíč/hodnota nakonfigurujte seznam povolených nebo blokovaných webů pro Edge pro iOS a Android.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.AllowListURLs

Tento název zásady byl nahrazen uživatelským rozhraním povolených adres URL v nastavení konfigurace Edge.
Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete povolit, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.

              Příklady:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.BlockListURLs

Tento název zásady byl nahrazen uživatelským rozhraním blokovaných adres URL v nastavení konfigurace Edge.
Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.

              Příklady:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock true (výchozí) umožňuje Edgi pro iOS a Android přechod na weby s omezeným přístupem. Pokud osobní účty nejsou zakázané, zobrazí se uživatelům výzva, aby buď přepnuli na osobní kontext a otevřeli web s omezeným přístupem, nebo aby přidali osobní účet. Pokud je hodnota com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked nastavená na hodnotu true, uživatelé mají možnost otevřít web s omezeným přístupem v kontextu InPrivate.
false zabraňuje Edgi pro iOS a Android v přechodu uživatelů. Uživatelům se jednoduše zobrazí zpráva, že web, ke kterému se pokouší získat přístup, je zablokovaný.
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked

Tento název zásady byl nahrazen uživatelským rozhraním přesměrování webů s omezeným přístupem do osobního kontextu v nastavení konfigurace Edge.
true umožňuje otevírat weby s omezeným přístupem v kontextu InPrivate účtu Microsoft Entra. Pokud je účet Microsoft Entra jediným účtem nakonfigurovaným v Edgi pro iOS a Android, web s omezeným přístupem se otevře automaticky v kontextu InPrivate. Pokud má uživatel nakonfigurovaný osobní účet, zobrazí se mu výzva k výběru mezi otevřením InPrivate nebo přepnutím na osobní účet.
false (výchozí) vyžaduje, aby byl web s omezeným přístupem otevřen v osobním účtu uživatele. Pokud jsou osobní účty zakázané, web se zablokuje.
Aby se toto nastavení projevilo, musí být hodnota com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock nastavená na hodnotu true.
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar Zadejte počet sekund, po které se uživatelům zobrazí oznámení "Přístup k tomuto webu blokuje vaše organizace. Otevřeli jsme ho v režimu InPrivate pro přístup k webu." Ve výchozím nastavení se oznámení zobrazuje po dobu 7 sekund.

Následující weby s výjimkou copilot.microsoft.com jsou vždy povolené bez ohledu na definovaný seznam povolených nebo blokovaných nastavení:

  • https://*.microsoft.com/*
  • http://*.microsoft.com/*
  • https://microsoft.com/*
  • http://microsoft.com/*
  • https://*.windowsazure.com/*
  • https://*.microsoftonline.com/*
  • https://*.microsoftonline-p.com/*

Řízení chování automaticky otevíraného okna Blokovaný web

Při pokusu o přístup k blokovaným webovým stránkám budou uživatelé vyzváni, aby k otevření blokovaných webových stránek použili buď přepnutí na InPrivate, nebo osobní účet. Můžete zvolit předvolby mezi InPrivate a osobním účtem.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock 0: (Výchozí) Vždy zobrazit automaticky otevírané okno, které si uživatel může vybrat.
1: Automaticky přepnout na osobní účet, když je přihlášený osobní účet. Pokud osobní účet přihlášený není, chování se změní na hodnotu 2.
2: Automaticky přepnout na InPrivate, pokud je přepnutí na InPrivate povoleno pomocí com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true.

Řízení chování přepnutí osobního profilu na pracovní profil

Pokud je Edge pod osobním profilem a uživatelé se pokoušejí otevřít odkaz z Outlooku nebo Microsoft Teams, které jsou pod pracovním profilem, Intune ve výchozím nastavení použije k otevření odkazu pracovní profil Edge, protože Edge, Outlook i Microsoft Teams spravuje Intune. Pokud je ale odkaz zablokovaný, uživatel se přepne na osobní profil. To uživatelům způsobí třecí prostředí.

Zásadu můžete nakonfigurovat tak, aby se zlepšilo uživatelské prostředí. Tuto zásadu doporučujeme používat společně s funkcí AutoTransitionModeOnBlock, protože může přepnout uživatele na osobní profil podle hodnoty zásady, kterou jste nakonfigurovali.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork 1: (Výchozí) Přepněte na pracovní profil i v případě, že je adresa URL blokovaná zásadami Edge.
2: Blokované adresy URL se otevřou pod osobním profilem, pokud je osobní profil přihlášený. Pokud osobní profil není přihlášený, blokovaná adresa URL se otevře v režimu InPrivate.

Formáty adres URL pro seznam povolených a blokovaných webů

Seznamy povolených/blokovaných webů můžete vytvořit pomocí různých formátů adres URL. Tyto povolené vzory jsou podrobně popsány v následující tabulce.

  • Při zadávání do seznamu nezapomeňte před všechny adresy URL zadat předponu http:// nebo https://.

  • Zástupný symbol (*) můžete použít podle pravidel v následujícím seznamu povolených vzorů.

  • Zástupný znak může odpovídat pouze části (např. news-contoso.com) nebo celé součásti názvu hostitele (např. ) nebo celých částí cesty, host.contoso.compokud jsou oddělené lomítky (www.contoso.com/images).

  • V adrese můžete zadat čísla portů. Pokud nezadáte číslo portu, použijí se následující hodnoty:

    • Port 80 pro http
    • Port 443 pro https
  • Použití zástupných znaků pro číslo portu se nepodporuje. Například http://www.contoso.com:* a http://www.contoso.com:*/ se nepodporují.

    URL Podrobnosti Odpovídá Neodpovídá
    http://www.contoso.com Odpovídá jedné stránce www.contoso.com host.contoso.com
    www.contoso.com/images
    contoso.com/
    http://contoso.com Odpovídá jedné stránce contoso.com/ host.contoso.com
    www.contoso.com/images
    www.contoso.com
    http://www.contoso.com/* Odpovídá všem adresám URL, které začínají na www.contoso.com www.contoso.com
    www.contoso.com/images
    www.contoso.com/videos/tvshows
    host.contoso.com
    host.contoso.com/images
    http://*.contoso.com/* Odpovídá všem subdoménám v části contoso.com developer.contoso.com/resources
    news.contoso.com/images
    news.contoso.com/videos
    contoso.host.com
    news-contoso.com
    http://*contoso.com/* Odpovídá všem subdoménám končícím na contoso.com/ news-contoso.com
    news-contoso.com/daily
    news-contoso.host.com
    news.contoso.com
    http://www.contoso.com/images Odpovídá jedné složce www.contoso.com/images www.contoso.com/images/dogs
    http://www.contoso.com:80 Odpovídá jedné stránce - s využitím čísla portu www.contoso.com:80
    https://www.contoso.com Odpovídá jedné zabezpečené stránce www.contoso.com www.contoso.com/images
    http://www.contoso.com/images/* Odpovídá jedné složce a všem podsložkám www.contoso.com/images/dogs
    www.contoso.com/images/cats
    www.contoso.com/videos
  • Tady jsou příklady některých vstupů, které nemůžete zadat:

    • *.com
    • *.contoso/*
    • www.contoso.com/*images
    • www.contoso.com/*images*pigs
    • www.contoso.com/page*
    • IP adresy
    • https://*
    • http://*
    • http://www.contoso.com:*
    • http://www.contoso.com: /*

Zakázání interních stránek Edge

Interní stránky Edge, jako jsou Edge://flags a Edge://net-export, můžete zakázat. Další stránky najdete na Edge://about

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList Odpovídající hodnota klíče je seznam názvů stránek. Všechny interní stránky, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.

              Příklady:
flags|net-export

Správa webů pro povolení nahrávání souborů

Můžou nastat situace, kdy uživatelé můžou zobrazovat jenom weby, aniž by mohli nahrávat soubory. Organizace mají možnost určit, na které weby lze soubory nahrávat.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.

              Příklady:
URL1|URL2|URL3
https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.

              Příklady:
URL1|URL2|URL3
https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com

Příklad blokování nahrávání souborů na všechny weby, včetně interních webů

  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Příklad povolení konkrétním webům nahrávat soubory

  • com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=https://[*.]contoso.com/|[*.]sharepoint.com/
  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Další informace o formátu adres URL najdete v tématu Formát vzoru adresy URL zásad podniku.

Poznámka

V prohlížeči Edge na iOSu se kromě nahrávání zablokuje i akce vložení. Uživatelům se v nabídce akcí nezobrazí možnost vložení.

Správa konfigurace proxy serveru

Pomocí Edge pro iOS a Android a proxy aplikací Microsoft Entra můžete uživatelům udělit přístup k intranetových webům na mobilních zařízeních. Příklady:

  • Uživatel používá mobilní aplikaci Outlook, která je chráněná službou Intune. Potom kliknou na odkaz na intranetový web v e-mailu a Edge pro iOS a Android rozpozná, že tento intranetový web byl uživateli zpřístupněn prostřednictvím proxy aplikací. Uživatel se před přístupem na intranetový web automaticky přesměruje přes proxy aplikací, aby se ověřil pomocí příslušného vícefaktorového ověřování a podmíněného přístupu. Uživatel teď má přístup k interním webům, a to i na mobilních zařízeních, a odkaz v Outlooku funguje podle očekávání.
  • Uživatel otevře Edge pro iOS a Android na svém zařízení s iOSem nebo Androidem. Pokud je Edge pro iOS a Android chráněný službou Intune a je povolená proxy aplikace, může uživatel přejít na intranetový web pomocí interní adresy URL, na kterou je zvyklý. Edge pro iOS a Android rozpozná, že tento intranetový web byl uživateli zpřístupněn prostřednictvím proxy aplikací. Uživatel je automaticky směrován přes proxy aplikací, aby se ověřil před dosažením intranetového webu.

Než začnete:

  • Nastavte interní aplikace prostřednictvím proxy aplikací Microsoft Entra.
    • Informace o konfiguraci proxy aplikací a publikování aplikací najdete v dokumentaci k instalaci.
    • Ujistěte se, že je uživatel přiřazený k aplikaci proxy aplikací Microsoft Entra, i když je aplikace nakonfigurovaná s typem předběžného předávacího ověřování.
  • Aplikace Edge pro iOS a Android musí mít přiřazenou zásadu ochrany aplikací Intune.
  • Aplikace Microsoftu musí mít zásady ochrany aplikací, které mají nastavení Omezit přenos webového obsahu s jinými aplikacemi nastavené na Microsoft Edge.

Poznámka

Edge pro iOS a Android aktualizuje data přesměrování proxy aplikací na základě poslední úspěšné události aktualizace. Aktualizace se pokusí spustit pokaždé, když je poslední úspěšná událost obnovení delší než jedna hodina.

Pokud chcete povolit proxy aplikaci, zacilte Edge pro iOS a Android s následujícím párem klíč/hodnota.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection

Tento název zásady byl nahrazen uživatelským rozhraním přesměrování proxy aplikací v nastavení konfigurace Edge.
True povolí scénáře přesměrování proxy aplikací Microsoft Entra.
False (výchozí) brání scénářům proxy aplikací Microsoft Entra.

Další informace o tom, jak používat Edge pro iOS a Android a proxy aplikací Microsoft Entra společně za účelem bezproblémového (a chráněného) přístupu k místním webovým aplikacím, najdete v článku Společně lépe: Intune a Microsoft Entra se spojily a zlepšily uživatelský přístup. Tento blogový příspěvek odkazuje na Intune Managed Browser, ale obsah platí i pro Edge pro iOS a Android.

Správa webů jednotného přihlašování NTLM

Organizace mohou vyžadovat, aby se uživatelé pro přístup k intranetovým webům ověřili pomocí protokolu NTLM. Ve výchozím nastavení jsou uživatelé vyzváni k zadání přihlašovacích údajů při každém přístupu k webu, který vyžaduje ověřování NTLM, protože ukládání přihlašovacích údajů NTLM do mezipaměti je zakázáno.

Organizace můžou povolit ukládání přihlašovacích údajů NTLM do mezipaměti pro konkrétní weby. U těchto webů se po zadání přihlašovacích údajů uživatelem a úspěšném ověření přihlašovacích údajů ve výchozím nastavení ukládají do mezipaměti po dobu 30 dnů.

Poznámka

Pokud používáte proxy server, ujistěte se, že je nakonfigurovaný pomocí zásady NTLMSSOURLs, kde jako součást hodnoty klíče výslovně zadáte jak https , tak http .

V současné době je potřeba v hodnotě klíče NTLMSSOURLs zadat schémata https i http . Potřebujete například nakonfigurovat i https://your-proxy-server:8080http://your-proxy-server:8080. V současné době není nastavení formátu hostitel:port (například your-proxy-server:8080) dostatečné.

Zástupný symbol (*) navíc není podporován při konfiguraci proxy serverů v zásadách NTLMSSOURLs.

Klíč Hodnota
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete povolit, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.

              Příklady:
URL1|URL2
http://app.contoso.com/|https://expenses.contoso.com

Další informace o podporovaných typech formátů adres URL najdete v tématu Formáty adres URL pro seznam povolených a blokovaných webů.
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO Počet hodin ukládání přihlašovacích údajů do mezipaměti, výchozí hodnota je 720 hodin.

Další konfigurace aplikací pro spravovaná zařízení

Následující zásady, původně konfigurovatelné prostřednictvím zásad konfigurace aplikací spravovaných aplikací, jsou nyní dostupné prostřednictvím zásad konfigurace aplikací spravovaných zařízení. Při používání zásad pro spravované aplikace se uživatelé musí přihlásit k Microsoft Edgi. Při použití zásad pro spravovaná zařízení se uživatelé nemusí přihlašovat k Edgi, aby je mohli použít.

Vzhledem k tomu, že zásady konfigurace aplikací pro spravovaná zařízení vyžadují registraci zařízení, podporuje se jakákoli sjednocená správa koncových bodů (UEM). Další zásady v kanálu MDM najdete v tématu Zásady Microsoft Edge Mobile.

Zásady MAM Zásady MDM
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL EdgeNewTabPageCustomURL
com.microsoft.intune.mam.managedbrowser.MyApps EdgeMyApps
com.microsoft.intune.mam.managedbrowser.defaultHTTPS EdgeDefaultHTTPS
com.microsoft.intune.mam.managedbrowser.disableShareUsageData EdgeDisableShareUsageData
com.microsoft.intune.mam.managedbrowser.disabledFeatures EdgeDisabledFeatures
com.microsoft.intune.mam.managedbrowser.disableImportPasswords EdgeImportPasswordsDisabled
com.microsoft.intune.mam.managedbrowser.enableKioskMode EdgeEnableKioskMode
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode EdgeShowAddressBarInKioskMode
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode EdgeShowBottomBarInKioskMode
com.microsoft.intune.mam.managedbrowser.account.syncDisabled EdgeSyncDisabled
com.microsoft.intune.mam.managedbrowser.NetworkStackPref EdgeNetworkStackPref
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled SmartScreenEnabled
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled MicrosoftRootStoreEnabled
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed SSLErrorOverrideAllowed
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting DefaultPopupsSetting
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls PopupsAllowedForUrls
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls PopupsBlockedForUrls
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled DefaultSearchProviderEnabled
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName DefaultSearchProviderName
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL DefaultSearchProviderSearchURL
com.microsoft.intune.mam.managedbrowser.Chat EdgeCopilotEnabled
com.microsoft.intune.mam.managedbrowser.ChatPageContext EdgeChatPageContext

Nasazení scénářů konfigurace aplikací pomocí Microsoft Intune

Pokud jako poskytovatele správy mobilních aplikací používáte Microsoft Intune, následující kroky vám umožní vytvořit zásady konfigurace aplikací spravovaných aplikací. Po vytvoření konfigurace můžete přiřadit její nastavení skupinám uživatelů.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Aplikace a pak vyberte Zásady konfigurace aplikací.

  3. V okně Zásady konfigurace aplikací zvolte Přidat a vyberte Spravované aplikace.

  4. V části Základy zadejte Název a volitelně Popis nastavení konfigurace aplikace.

  5. V části Veřejné aplikace zvolte Vybrat veřejné aplikace a pak v okně Cílové aplikace vyberte Edge pro iOS a Android výběrem aplikací platformy pro iOS i Android. Kliknutím na Vybrat vybrané veřejné aplikace uložte.

  6. Kliknutím na Další dokončete základní nastavení zásad konfigurace aplikace.

  7. V části Nastavení rozbalte nastavení konfigurace Edge.

  8. Pokud chcete spravovat nastavení ochrany dat, nakonfigurujte požadovaná nastavení odpovídajícím způsobem:

    • V části Přesměrování proxy aplikací zvolte některou z dostupných možností: Povolit, Zakázat (výchozí).

    • Jako Adresa URL zástupce domovské stránky zadejte platnou adresu URL, která obsahuje předponu http:// nebo https://. Nesprávné adresy URL se blokují z bezpečnostních důvodů.

    • V části Spravované záložky zadejte název a platnou adresu URL, která obsahuje předponu http:// nebo https://.

    • V části Povolené adresy URL zadejte platnou adresu URL (jsou povoleny pouze tyto adresy URL, žádné jiné weby nejsou přístupné). Další informace o podporovaných typech formátů adres URL najdete v tématu Formáty adres URL pro seznam povolených a blokovaných webů.

    • V části Blokované adresy URL zadejte platnou adresu URL (pouze tyto adresy URL jsou blokované). Další informace o podporovaných typech formátů adres URL najdete v tématu Formáty adres URL pro seznam povolených a blokovaných webů.

    • V části Přesměrovat weby s omezeným přístupem do osobního kontextu zvolte některou z dostupných možností: Povolit (výchozí), Zakázat.

    Poznámka

    Pokud jsou v zásadách definované povolené i blokované adresy URL, bude se dodržovat jenom seznam povolených adres.

  9. Pokud chcete provést další nastavení konfigurace aplikací, která nejsou zpřístupněna ve výše uvedených zásadách, rozbalte uzel Obecné nastavení konfigurace a zadejte odpovídající páry hodnot klíčů.

  10. Po dokončení konfigurace nastavení zvolte Další.

  11. V části Přiřazení zvolte Vybrat skupiny, které chcete zahrnout. Vyberte skupinu Microsoft Entra, ke které chcete přiřadit zásady konfigurace aplikace, a pak zvolte Vybrat.

  12. Po dokončení zadání zvolte Další.

  13. V okně Vytvořit zásadu konfigurace aplikace Zkontrolovat a vytvořit zkontrolujte nakonfigurovaná nastavení a zvolte Vytvořit.

Nově vytvořené zásady konfigurace se zobrazí v okně Konfigurace aplikace.

Přístup k protokolům spravovaných aplikací pomocí Microsoft Edge pro iOS a Android

Uživatelé, kteří mají Edge pro iOS a Android nainstalovaný na svém zařízení s iOSem nebo Androidem, můžou zobrazit stav správy všech publikovaných aplikací Microsoftu. Pomocí následujícího postupu můžou odesílat protokoly pro řešení potíží se spravovanými aplikacemi pro iOS nebo Android:

  1. Na zařízení otevřete Edge pro iOS a Android.

  2. Zadejte edge://intunehelp/ do pole adresa.

  3. Edge pro iOS a Android spustí režim řešení potíží.

Protokoly z podpora Microsoftu můžete načíst tak, že jim poskytnete ID incidentu uživatele.

Seznam nastavení uložených v protokolech aplikací najdete v tématu Kontrola protokolů ochrany klientských aplikací.

Diagnostické protokoly

Kromě protokolů Intune z edge://intunehelp/vás může Podpora Microsoftu požádat o diagnostické protokoly Microsoft Edge pro iOS a Android. Protokoly si můžete stáhnout do místních zařízení a sdílet je s podporou Microsoftu. Stažení protokolů do místních zařízení:

1. Otevřete nabídku Nápověda a zpětná vazba z nabídky přetečení

2. Klikněte na diagnostická data

3. V Microsoft Edgi pro iOS klikněte na ikonu Sdílet v pravém horním rohu. Zobrazí se dialogové okno sdílení operačního systému. Protokoly můžete uložit do místního prostředí nebo je sdílet s jinými aplikacemi. V prohlížeči Microsoft Edge pro Android klikněte na podnabídku v pravém horním rohu a uložte protokoly. Protokoly se uloží do složky Stažené soubory ->Edge.

Můžete také kliknout na ikonu Vymazat a nejprve vymazat protokoly, abyste získali protokoly aktualizace.

Poznámka

Ukládání protokolů také respektuje zásady ochrany aplikací Intune. Proto nemusíte mít povolenou možnost ukládat diagnostická data do místních zařízení.

Další kroky