Verwalten von Microsoft Edge unter iOS und Android mit Intune
Edge für iOS und Android wurde entwickelt, um Benutzern das Surfen im Web zu ermöglichen und unterstützt mehrere Identitäten. Benutzer können sowohl ein Geschäftskonto als auch ein persönliches Konto zum Durchsuchen hinzufügen. Es gibt eine vollständige Trennung zwischen den beiden Identitäten, die dem entspricht, was in anderen mobilen Microsoft-Apps angeboten wird.
Diese Funktion gilt für:
- iOS/iPadOS 14.0 oder höher
- Android 8.0 oder höher für registrierte Geräte und Android 9.0 oder höher für nicht registrierte Geräte
Hinweis
Edge für iOS und Android nutzt keine Einstellungen, die Benutzer für den nativen Browser auf ihren Geräten festlegen, da Edge für iOS und Android nicht auf diese Einstellungen zugreifen kann.
Die umfassendsten Schutzfunktionen für Microsoft 365-Daten sind verfügbar, wenn Sie ein Abonnement für die Enterprise Mobility + Security-Suite abschließen, das Microsoft Intune und Microsoft Entra ID P1- oder P2 -Features, z. B. bedingten Zugriff, umfasst. Sie sollten mindestens eine Richtlinie für bedingten Zugriff, die nur Konnektivität mit Edge für iOS und Android von mobilen Geräten aus zulässt, sowie eine Richtlinie für Intune-Schutz für Apps bereitstellen, durch die der Schutz der Browserumgebung sichergestellt wird.
Hinweis
Neue Webclips (angeheftete Web-Apps) auf iOS-Geräten werden in Edge für iOS und Android anstelle der Intune Managed Browser geöffnet, wenn das Öffnen in einem geschützten Browser erforderlich ist. Bei älteren iOS-Webclips müssen Sie diese Webclips erneut als Ziel verwenden, um sicherzustellen, dass sie in Edge für iOS und Android statt in Managed Browser geöffnet werden.
Intune-App-Schutzrichtlinien erstellen
Da Organisationen zunehmend SaaS- und Webanwendungen einführen, sind Browser zu wichtigen Tools für Unternehmen geworden. Benutzer müssen häufig von mobilen Browsern aus auf diese Anwendungen zugreifen, während sie unterwegs sind. Es ist wichtig, sicherzustellen, dass Daten, auf die über mobile Browser zugegriffen wird, vor absichtlichen oder unbeabsichtigten Lecks geschützt sind. Für instance können Benutzer versehentlich Daten von Organisationen mit persönlichen Apps teilen, was zu Datenlecks führt, oder sie auf lokale Geräte herunterladen, was ebenfalls ein Risiko darstellt.
Organisationen können Daten vor Datenlecks schützen, wenn Benutzer mit Microsoft Edge für Mobilgeräte surfen, indem sie App-Schutzrichtlinien (App Protection Policies, APP) konfigurieren, die definieren, welche Apps zulässig sind und welche Aktionen sie mit den Daten Ihrer Organisation ausführen können. Die in APP verfügbaren Optionen ermöglichen Organisationen, den Schutz an ihre speziellen Anforderungen anzupassen. Für einige Organisationen ist es jedoch möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen genau erforderlich sind, um ein vollständiges Szenario zu implementieren. Um Unternehmen bei der Priorisierung der Absicherung mobiler Clientendpunkte zu unterstützen, hat Microsoft für die Verwaltung mobiler iOS- und Android-Apps eine Taxonomie für sein Datenschutzframework für App-Schutzrichtlinien eingeführt.
Dieses Datenschutzframework ist in drei Konfigurationsebenen unterteilt, wobei jede Ebene auf der vorherigen Ebene aufbaut:
- Einfacher Datenschutz für Unternehmen (Ebene 1): Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und dient zum Durchführen selektiver Löschvorgänge. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Dabei handelt es sich um eine Konfiguration auf Einstiegsebene, die ähnliche Datenschutzkontrolle in Exchange Online-Postfachrichtlinien bereitstellt und der IT sowie dem Benutzerstamm eine Einführung in App-Schutzrichtlinien bietet.
- Erweiterter Datenschutz für Unternehmen (Ebene 2): Diese Ebene führt Mechanismen für App-Schutzrichtlinien zur Verhinderung von Datenlecks sowie die mindestens zu erfüllenden Betriebssystemanforderungen ein. Dies ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.
- Hoher Datenschutz für Unternehmen (Ebene 3): Auf dieser Ebene werden Mechanismen zum erweiterten Datenschutz, eine verbesserte PIN-Konfiguration sowie Mobile Threat Defense für App-Schutzrichtlinien eingeführt. Diese Konfiguration ist für Benutzer vorgesehen, die auf Hochrisikodaten zugreifen.
Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.
Unabhängig davon, ob das Gerät in einer UEM-Lösung (Unified Endpoint Management) registriert ist, muss eine Intune-App-Schutzrichtlinie für iOS- und Android-Apps erstellt werden. Führen Sie dazu die Schritte in Erstellen und Zuweisen von App-Schutzrichtlinienaus. Diese Richtlinien müssen mindestens die folgenden Bedingungen erfüllen:
Sie umfassen alle mobilen Anwendungen von Microsoft 365, wie Edge, Outlook, OneDrive, Office oder Teams, da so sichergestellt wird, dass die Nutzer in jeder Microsoft-App sicher auf Arbeits- oder Schuldaten zugreifen und diese bearbeiten können.
Sie sind allen Benutzern zugewiesen. Dadurch wird sichergestellt, dass alle Benutzer geschützt sind, unabhängig davon, ob sie Edge für iOS und Android verwenden.
Bestimmen Sie, welche Framework-Ebene Ihre Anforderungen erfüllt. Die meisten Organisationen sollten die Einstellungen implementieren, die unter Erweiterter Datenschutz für Unternehmen (Stufe 2) definiert sind, da dies die Steuerung von Datenschutz und Zugriffsanforderungen ermöglicht.
Hinweis
Eine der Einstellungen im Zusammenhang mit Browsern ist "Webinhaltsübertragung mit anderen Apps einschränken". In Enterprise Enhanced Data Protection (Ebene 2) wird der Wert dieser Einstellung auf Microsoft Edge konfiguriert. Wenn Outlook und Microsoft Teams durch App-Schutzrichtlinien (APP) geschützt sind, wird Microsoft Edge verwendet, um Links aus diesen Apps zu öffnen, um sicherzustellen, dass die Links sicher und geschützt sind. Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Einstellungen für App-Schutzrichtlinien für Android und Einstellungen für App-Schutzrichtlinien für iOS.
Wichtig
Um Intune-App-Schutzrichtlinien für Apps auf Android-Geräten anzuwenden, die nicht in Intune registriert sind, muss der Benutzer auch das Intune-Unternehmensportal installieren.
Bedingten Zugriff anwenden
Es ist zwar wichtig, Microsoft Edge mit App-Schutzrichtlinien (App Protection Policies, APP) zu schützen, aber es ist auch wichtig, sicherzustellen, dass Microsoft Edge der obligatorische Browser zum Öffnen von Unternehmensanwendungen ist. Benutzer könnten andernfalls andere ungeschützte Browser verwenden, um auf Unternehmensanwendungen zuzugreifen, was zu Datenlecks führen kann.
Organisationen können Microsoft Entra-Richtlinien für bedingten Zugriff verwenden, um sicherzustellen, dass Benutzer nur mit Edge für iOS und Android auf Geschäfts-, Schul- oder Uniinhalte zugreifen können. Dazu benötigen Sie eine Richtlinie für bedingten Zugriff, die für alle potenziellen Benutzer gilt. Diese Richtlinien werden unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich beschrieben.
Führen Sie die Schritte unter Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie für mobile Geräte aus. Dies ermöglicht Edge für iOS und Android, verhindert jedoch, dass andere Webbrowser mobiler Geräte eine Verbindung mit Microsoft 365-Endpunkten herstellen.
Hinweis
Diese Richtlinie stellt sicher, dass mobile Benutzer aus Edge für iOS und Android auf alle Microsoft 365-Endpunkte zugreifen können. Diese Richtlinie verhindert auch, dass Benutzer InPrivate verwenden, um auf Microsoft 365-Endpunkte zuzugreifen.
Mit dem bedingten Zugriff können Sie auch lokale Sites als Ziel verwenden, die Sie über den Microsoft Entra-Anwendungsproxy für externe Benutzer verfügbar gemacht haben.
Hinweis
Um die App-basierten Richtlinien für bedingten Zugriff zu verwenden, muss die Microsoft Authenticator-App auf iOS-Geräten installiert werden. Für Android-Geräte ist die App für das Intune-Unternehmensportal erforderlich. Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.
Einmaliges Anmelden bei mit Microsoft Entra verbundenen Web-Apps in richtliniengeschützten Browsern
In Edge für iOS und Android kann das einmalige Anmelden (Single Sign-On, SSO) für alle Web-Apps (SaaS und lokal) genutzt werden, die mit Microsoft Entra verbunden sind. SSO ermöglicht Benutzern den Zugriff auf mit Microsoft Entra verbundene Web-Apps über Edge für iOS und Android, ohne ihre Anmeldeinformationen erneut eingeben zu müssen.
SSO erfordert, dass Ihr Gerät entweder über die Microsoft Authenticator-App für iOS-Geräte oder das Intune-Unternehmensportal unter Android registriert wird. Wenn auf einen Benutzer eine dieser Optionen zutrifft, wird er aufgefordert, sein Gerät zu registrieren, wenn er in einem richtliniengeschützten Browser zu einer mit Microsoft Entra verbundenen Web-App wechselt (dies gilt nur, wenn das Gerät noch nicht registriert wurde). Nachdem das Gerät mit dem über Intune verwalteten Benutzerkonto registriert wurde, ist SSO für mit Microsoft Entra verbundene Web-Apps für dieses Konto aktiviert.
Hinweis
Die Geräteregistrierung ist ein einfacher Check-in beim Microsoft Entra-Dienst. Sie erfordert keine vollständige Geräteregistrierung und gibt den IT-Verantwortlichen keine zusätzlichen Berechtigungen auf dem Gerät.
Verwenden der App-Konfiguration zum Verwalten der Browsererfahrung
Edge für iOS und Android unterstützt App-Einstellungen, die es Administratoren mit einheitlicher Endpunktverwaltung wie Microsoft Intune ermöglichen, das Verhalten der App anzupassen.
Die App-Konfiguration kann entweder über den MDM-Betriebssystemkanal (Mobile Device Management) auf registrierten Geräten (Managed App Configuration Channel für iOS oder Android im Enterprise-Kanal für Android) oder über den MAM-Kanal (Mobile Application Management) bereitgestellt werden. Edge für iOS und Android unterstützt die folgenden Konfigurationsszenarien:
- Nur Geschäfts-, Schul- oder Unikonten zulassen
- Allgemeine App-Konfigurationseinstellungen
- Datenschutzeinstellungen
- Zusätzliche App-Konfiguration für verwaltete Geräte
Wichtig
Für Konfigurationsszenarien, die eine Geräteregistrierung unter Android erfordern, müssen die Geräte in Android Enterprise registriert werden, und Edge für Android muss über den verwalteten Google Play Store bereitgestellt werden. Weitere Informationen finden Sie unter Einrichten der Registrierung von persönlichen Android Enterprise-Arbeitsprofilgeräten und Hinzufügen von App-Konfigurationsrichtlinienfür verwaltete Android Enterprise-Geräte.
Jedes Konfigurationsszenario hebt seine spezifischen Anforderungen hervor. Gibt beispielsweise an, ob das Konfigurationsszenario eine Geräteregistrierung erfordert und somit mit jedem UEM-Anbieter funktioniert, oder ob Intune-App-Schutzrichtlinien erforderlich sind.
Wichtig
Bei App-Konfigurationsschlüsseln wird die Groß-/Kleinschreibung beachtet. Verwenden Sie die richtige Groß-/Kleinschreibung, um sicherzustellen, dass die Konfiguration wirksam wird.
Hinweis
Mit Microsoft Intune wird die App-Konfiguration, die über den MDM-Betriebssystemkanal bereitgestellt wird, als verwaltete Geräte App Configuration Policy (ACP) bezeichnet. App-Konfiguration, die über den MAM-Kanal (Mobile Application Management) bereitgestellt wird, wird als verwaltete Apps-App Configuration-Richtlinie bezeichnet.
Nur Geschäfts-, Schul- oder Unikonten zulassen
Die Einhaltung der Datensicherheits- und Compliance-Richtlinien unserer größten und streng regulierten Kunden ist eine wichtige Säule des Microsoft 365-Werts. Einige Unternehmen müssen alle Kommunikationsinformationen in ihrer Unternehmensumgebung erfassen und sicherstellen, dass die Geräte nur für die Unternehmenskommunikation verwendet werden. Zur Unterstützung dieser Anforderungen kann Edge für iOS und Android auf registrierten Geräten so konfiguriert werden, dass nur ein einzelnes Unternehmenskonto innerhalb der App bereitgestellt werden kann.
Weitere Informationen zum Konfigurieren der Einstellung für den Organisationsmodus für zulässige Konten finden Sie hier:
Dieses Konfigurationsszenario funktioniert nur mit registrierten Geräten. Es wird jedoch jeder UEM-Anbieter unterstützt. Wenn Sie Microsoft Intune nicht verwenden, müssen Sie sich mit Ihrer UEM-Dokumentation über die Bereitstellung dieser Konfigurationsschlüssel informieren.
Allgemeine App-Konfigurationsszenarien
Edge für iOS und Android bietet Administratoren die Möglichkeit, die Standardkonfiguration für mehrere In-App-Einstellungen anzupassen. Diese Funktion wird angeboten, wenn Edge für iOS und Android über eine App-Konfigurationsrichtlinie für verwaltete Apps verfügt, die auf das Arbeits- oder Schulkonto angewendet wird, das bei der App angemeldet ist.
Edge unterstützt die folgenden Einstellungen für die Konfiguration:
- Neue Benutzeroberfläche für Registerkartenseiten
- Lesezeichenerfahrungen
- App-Verhaltenserfahrungen
- Kioskmodus-Optionen
Diese Einstellungen können unabhängig vom Registrierungsstatus des Geräts für die App bereitgestellt werden.
Layout der „Neuer Tab“-Seite
Das inspirierende Layout ist das Standardlayout für die neue Registerkartenseite. Es zeigt Die wichtigsten Website-Tastenkombinationen, Hintergrundbilder und Newsfeed. Die Benutzer können das Layout entsprechend ihren Vorlieben ändern. Organisationen können auch die Layouteinstellungen verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
focused: „focused“ ist ausgewählt inspirational (Standard) Inspirational ist ausgewählt mitteilsam Information ist ausgewählt Gewohnheit Benutzerdefiniert ist ausgewählt, der Umschalter für die oberen Websiteverknüpfungen ist aktiviert, die Hintergrundbild-Umschaltfläche ist aktiviert, und der Newsfeed-Umschalter ist aktiviert. |
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
topsites: Aktiviert Verknüpfungen zu Top-Websites. wallpaper: Aktiviert Hintergrundbilder. newsfeed: Aktiviert Newsfeeds. Damit diese Richtlinie wirksam wird, muss „com.microsoft.intune.mam.managedbrowser.NewTabPageLayout“ auf custom festgelegt werden. Der Standardwert lautet topsites|wallpaper|newsfeed| . |
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
true (Standard): Die Benutzer können die Seitenlayouteinstellungen ändern. false: Die Benutzer können die Seitenlayouteinstellungen nicht ändern. Das Seitenlayout wird durch die über die Richtlinie angegebenen Werte bestimmt, andernfalls werden die Standardwerte verwendet. |
Wichtig
Über die NewTabPageLayout-Richtlinie wird das anfängliche Layout festgelegt. Die Benutzer können die Seitenlayouteinstellungen entsprechend ihren Vorlieben ändern. Daher wird die NewTabPageLayout-Richtlinie nur wirksam, wenn Benutzer die Layouteinstellungen nicht ändern. Sie können die NewTabPageLayout-Richtlinie erzwingen, indem Sie UserSelectable=false festlegen.
Hinweis
Ab Version 129.0.2792.84 wurde das Standardseitenlayout in inspirierend geändert.
Beispiel für das Deaktivieren von Newsfeeds:
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Neue Benutzeroberfläche für Registerkartenseiten
Edge für iOS und Android bietet Organisationen mehrere Optionen zum Anpassen der „Neuer Tab“-Seite, einschließlich Organisationslogo, Markenfarbe, Startseite, Top-Websites und Branchennews.
Organisationslogo und Markenfarbe
Mit den Einstellungen für organization Logo und Markenfarbe können Sie die Neue Registerkartenseite für Edge auf iOS- und Android-Geräten anpassen. Das Bannerlogo wird als Logo Ihres organization und die Seitenhintergrundfarbe als Markenfarbe Ihres organization verwendet. Weitere Informationen finden Sie unter Konfigurieren des Unternehmensbrandings.
Verwenden Sie als Nächstes die folgenden Schlüssel-Wert-Paare, um das Branding Ihrer Organisation in Edge für iOS und Android zu übertragen:
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true zeigt das Markenlogo der Organisation an. False (Standard) macht kein Logo verfügbar |
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true zeigt die Markenfarbe der Organisation false (Standard) macht keine Farbe verfügbar. |
Verknüpfung "Startseite"
Mit dieser Einstellung können Sie eine Startseitenverknüpfung für Edge für iOS und Android auf der Neuen Registerkartenseite konfigurieren. Die von Ihnen konfigurierte Startseitenverknüpfung wird als erstes Symbol unter der Suchleiste angezeigt, wenn der Benutzer eine neue Registerkarte in Edge für iOS und Android öffnet. Der Benutzer kann diese Verknüpfung in ihrem verwalteten Kontext nicht bearbeiten oder löschen. Die Startseitenverknüpfung zeigt den Namen Ihrer Organisation an, um ihn zu unterscheiden.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.homepage Dieser Richtlinienname wurde durch die Benutzeroberfläche der Url der Startseitenverknüpfung unter Edgekonfigurationseinstellungen ersetzt. |
Geben Sie eine gültige URL an. Falsche URLs werden als Sicherheitsmaßnahme blockiert. Beispiel: https://www.bing.com |
Mehrere Verknüpfungen zu Top-Websites
Ähnlich wie beim Konfigurieren einer Startseitenverknüpfung können Sie unter Neue Registerkartenseiten in Edge für iOS und Android mehrere Verknüpfungen für die obersten Websites konfigurieren. Der Benutzer kann diese Verknüpfungen in einem verwalteten Kontext nicht bearbeiten oder löschen. Hinweis: Sie können insgesamt 8 Tastenkombinationen konfigurieren, einschließlich einer Startseitenverknüpfung. Wenn Sie eine Homepage-Verknüpfung konfiguriert haben, überschreibt diese Verknüpfung die erste konfigurierte oberste Website.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.managedTopSites | Geben Sie einen Satz von Wert-URLs an. Jede Verknüpfung zu einer Top-Website besteht aus einem Titel und einer URL. Trennen Sie den Titel und die URL durch das | Zeichen. Beispiel: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Branchennews
Sie können die Neue Registerkartenseite in Edge für iOS und Android so konfigurieren, dass Branchennachrichten angezeigt werden, die für Ihre Organisation relevant sind. Wenn Sie dieses Feature aktivieren, verwendet Edge für iOS und Android den Domänennamen Ihrer Organisation, um Nachrichten aus dem Web über Ihre Organisation, die Branche der Organisation und Wettbewerber zu aggregieren, sodass Ihre Benutzer relevante externe Nachrichten auf den zentralen neuen Registerkartenseiten in Edge für iOS und Android finden können. Branchennachrichten sind standardmäßig deaktiviert.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true zeigt Branchennachrichten auf der Neuen Registerkartenseite an false (Standard) blendet Branchennachrichten auf der Neuen Registerkartenseite aus |
Startseite anstelle neuer Registerkartenseite
Mit Edge für iOS und Android können Organisationen die „Neuer Tab“-Seitenfunktion deaktivieren und stattdessen festlegen, dass eine Website geöffnet wird, wenn der Benutzer einen neuen Tab öffnet. Obwohl dies ein unterstütztes Szenario ist, empfiehlt Microsoft Organisationen, die „Neuer Tab“-Seitenfunktion zu nutzen, um dynamische Inhalte bereitzustellen, die für den Benutzer relevant sind.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Geben Sie eine gültige URL an. Wenn keine URL angegeben ist, verwendet die App die „Neuer Tab“-Seitenfunktion. Falsche URLs werden als Sicherheitsmaßnahme blockiert. Beispiel: https://www.bing.com |
Lesezeichenerfahrungen
Edge für iOS und Android bietet Organisationen mehrere Optionen zum Verwalten von Lesezeichen.
Verwaltete Lesezeichen
Zur Vereinfachung des Zugriffs können Sie Lesezeichen konfigurieren, die Ihren Benutzern zur Verfügung stehen sollen, wenn sie Edge für iOS und Android verwenden.
- Lesezeichen werden nur im Arbeits- oder Schulkonto angezeigt und nicht für persönliche Konten verfügbar gemacht.
- Lesezeichen können nicht von Benutzern gelöscht oder geändert werden.
- Lesezeichen werden oben in der Liste angezeigt. Alle Lesezeichen, die Benutzer erstellen, werden unterhalb dieser Lesezeichen angezeigt.
- Wenn Sie die Anwendungsproxyumleitung aktiviert haben, können Sie Anwendungsproxy-Web-Apps mithilfe ihrer internen oder externen URL hinzufügen.
- Lesezeichen werden in einem Ordner erstellt, der nach dem Namen der Organisation benannt ist, der in Microsoft Entra ID definiert ist.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.bookmarks Dieser Richtlinienname wurde durch die Benutzeroberfläche der verwalteten Lesezeichen unter Edgekonfigurationseinstellungen ersetzt. |
Der Wert für diese Konfiguration ist eine Liste von Lesezeichen. Jedes Lesezeichen besteht aus dem Lesezeichentitel und der Lesezeichen-URL. Trennen Sie den Titel und die URL durch das | Zeichen.Beispiel: Microsoft Bing|https://www.bing.com Um mehrere Lesezeichen zu konfigurieren, trennen Sie jedes Paar durch das doppelte Zeichen || .Beispiel: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Meine Apps Lesezeichen
Standardmäßig ist für Benutzer das „Meine Apps“-Lesezeichen im Ordner „Organisation“ in Edge für iOS und Android konfiguriert.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.MyApps |
true (Standard) zeigt „Meine Apps“ in den Edge für iOS- und Android-Lesezeichen an. false blendet „Meine Apps“ in Edge für iOS und Android aus. |
App-Verhaltenserfahrungen
Edge für iOS und Android bietet Organisationen mehrere Optionen zum Verwalten des App-Verhaltens.
Einmaliges Anmelden mit Microsoft Entra-Kennwort
Die Microsoft Entra Password-Funktion für einmaliges Anmelden (Single Sign-On, SSO) von Microsoft Entra ID ermöglicht die Benutzerzugriffsverwaltung für Webanwendungen, die keinen Identitätsverbund unterstützen. Standardmäßig führt Edge für iOS und Android kein einmaliges Anmelden mit den Microsoft Entra-Anmeldeinformationen aus. Weitere Informationen finden Sie unter Hinzufügen des kennwortbasierten einmaligen Anmeldens zu einer Anwendung.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true: Einmaliges Anmelden mit Microsoft Entra-Kennwort ist aktiviert. false (Standard): Einmaliges Anmelden mit Microsoft Entra-Kennwort ist deaktiviert. |
Standardmäßiger Protokollhandler
Standardmäßig verwendet Edge für iOS und Android den HTTPS-Protokollhandler, wenn der Benutzer das Protokoll nicht in der URL angibt. Im Allgemeinen gilt dies als bewährte Methode, kann aber deaktiviert werden.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (Standard): Standardprotokollhandler ist HTTPS. False-Standardprotokollhandler ist HTTP |
Deaktivieren optionaler Diagnosedaten
Standardmäßig können Benutzer optionale Diagnosedaten unter Einstellungen->Datenschutz und Sicherheit->Diagnosedaten->Optionale Diagnosedaten senden. Organisationen können diese Einstellung deaktivieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true: Einstellung "Optionale Diagnosedaten" ist deaktiviert. false (Standard) Die Option kann von Benutzern aktiviert oder deaktiviert werden |
Hinweis
Die optionale Einstellung für Diagnosedaten wird benutzern auch während der Ersten Ausführung (First Run Experience, FRE) angezeigt. Organisationen können diesen Schritt mithilfe der MDM-Richtlinie EdgeDisableShareUsageData überspringen
Deaktivieren bestimmter Features
Mit Edge für iOS und Android können Organisationen bestimmte Features deaktivieren, die standardmäßig aktiviert sind. Um diese Features zu deaktivieren, konfigurieren Sie die folgende Einstellung:
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password deaktiviert Meldungen zum Speichern von Kennwörtern für den Endbenutzer. inprivate deaktiviert InPrivate-Browsen autofill deaktiviert „Adressen speichern und ausfüllen“ und „Zahlungsinformationen speichern und ausfüllen“. Automatisches Ausfüllen wird auch für zuvor gespeicherte Informationen deaktiviert translator deaktiviert „Übersetzer“. readaloud deaktiviert laut vorlesen drop deaktiviert das Löschen. coupons deaktiviert Coupons. erweiterungen deaktiviert Erweiterungen (nur Edge für Android) developertools graut die Buildversionsnummern aus, um zu verhindern, dass Benutzer auf Entwickleroptionen zugreifen (nur Edge für Android). UIRAlert : Erneutes Überprüfen von Konto-Popups auf dem Bildschirm der neuen Registerkartenseite unterdrücken Freigabe deaktiviert Freigabe im Menü sendtodevices deaktiviert Senden an Geräte im Menü Wetter deaktiviert Wetter in NTP (Neue Registerkartenseite) Um mehrere Features zu deaktivieren, trennen Sie Werte mit | . Beispielsweise inprivate|password deaktiviert sowohl InPrivate- als auch Kennwortspeicher. |
Funktion zum Importieren von Kennwörtern deaktivieren
Edge für iOS und Android ermöglicht Benutzern das Importieren von Kennwörtern aus dem Kennwort-Manager. Um das Importieren von Kennwörtern zu deaktivieren, konfigurieren Sie die folgende Einstellung:
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true deaktiviert den Kennwort-Import. false (Standard) Importkennwörter zulassen |
Hinweis
Im Kennwort-Manager von Edge für iOS gibt es die Schaltfläche Hinzufügen. Wenn das Feature zum Importieren von Kennwörtern deaktiviert ist, wird auch die Schaltfläche Hinzufügen deaktiviert.
Cookiemodus steuern
Sie können steuern, ob Websites Cookies für Ihre Benutzer in Edge für Android speichern können. Um dies zu tun, konfigurieren Sie die folgende Einstellung:
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (Standard) Cookies zulassen 1 Blockieren von Nicht-Microsoft-Cookies 2 Blockieren von Nicht-Microsoft-Cookies im InPrivate-Modus 3 Alle Cookies blockieren |
Hinweis
Edge für iOS unterstützt keine Steuerung von Cookies.
Funktionen im Kioskmodus auf Android-Geräten
Edge für Android kann als Kiosk-App mit den folgenden Einstellungen aktiviert werden:
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true aktiviert den Kioskmodus für Edge für Android. false (Standard) deaktiviert den Kioskmodus. |
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true zeigt die Adressleiste im Kioskmodus an. false (Standard) blendet die Adressleiste aus, wenn der Kioskmodus aktiviert ist. |
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true zeigt die untere Aktionsleiste im Kioskmodus an. false (Standard) blendet die untere Leiste aus, wenn der Kioskmodus aktiviert ist. |
Hinweis
Der Kioskmodus wird auf iOS-Geräten nicht unterstützt. Möglicherweise möchten Sie jedoch den Gesperrten Ansichtsmodus (nur MDM-Richtlinie) verwenden, um eine ähnliche Benutzeroberfläche zu erreichen, bei der Benutzer nicht zu anderen Websites navigieren können, da die URL-Adressleiste im Gesperrten Ansichtsmodus schreibgeschützt wird.
Gesperrter Ansichtsmodus
Edge für iOS und Android kann als Gesperrter Ansichtsmodus mit der MDM-Richtlinie EdgeLockedViewModeEnabled aktiviert werden.
Schlüssel | Wert |
---|---|
EdgeLockedViewModeEnabled |
false (Standard): Gesperrter Ansichtsmodus ist deaktiviert. true: Gesperrter Ansichtsmodus ist aktiviert. |
Diese Option ermöglicht es Organisationen, verschiedene Browserfunktionen einzuschränken, wodurch eine kontrollierte und fokussierte Browsernutzung gewährleistet wird.
- Die URL-Adressleiste ist schreibgeschützt, d. h. die Benutzer können keine Änderungen an der Webadresse vornehmen.
- Die Benutzer dürfen keine neuen Tabs erstellen.
- Das Feature für die kontextbezogene Suche auf Webseiten ist deaktiviert.
- Die unten aufgeführten Schaltflächen unter dem Überlaufmenü sind deaktiviert.
Schaltflächen | State |
---|---|
Neuer InPrivate-Tab | Deaktiviert |
An Geräte senden | Deaktiviert |
Drop | Deaktiviert |
Zu Telefon hinzufügen (Android) | Deaktiviert |
Seite herunterladen (Android) | Deaktiviert |
Der gesperrte Ansichtsmodus wird häufig zusammen mit der MAM-Richtlinie com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL oder der MDM-Richtlinie EdgeNewTabPageCustomURL verwendet, mit denen Organisationen eine bestimmte Webseite festlegen können, die beim Öffnen von Edge automatisch geladen wird. Die Benutzer sind auf diese Webseite beschränkt und können nicht zu anderen Websites navigieren, wodurch eine kontrollierte Umgebung für bestimmte Aufgaben oder die Nutzung von Inhalten bereitgestellt wird.
Hinweis
Standardmäßig dürfen die Benutzer im gesperrten Ansichtsmodus keine neuen Tabs erstellen. Legen Sie zum Zulassen der Taberstellung die MDM-Richtlinie EdgeLockedViewModeAllowedActions auf newtabs fest.
Wechseln des Netzwerkstapels zwischen Chromium und iOS
Microsoft Edge für iOS und Android verwendet standardmäßig den Chromium Netzwerkstapel für die Microsoft Edge-Dienstkommunikation, einschließlich Synchronisierungsdienste, Vorschläge zur automatischen Suche und Senden von Feedback. Microsoft Edge für iOS bietet auch den iOS-Netzwerkstapel als konfigurierbare Option für die Microsoft Edge-Dienstkommunikation.
Organisationen können ihre Netzwerkstapelpräferenz ändern, indem sie die folgende Einstellung konfigurieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (Standard): Verwendung des Chromium-Netzwerkstapels 1 : Verwenden des iOS-Netzwerkstapels |
Hinweis
Die Verwendung des Chromium Netzwerkstapels wird empfohlen. Wenn beim Senden von Feedback mit dem Chromium Netzwerkstapel Synchronisierungsprobleme oder Fehler auftreten, z. B. bei bestimmten Pro-App-VPN-Lösungen, kann die Verwendung des iOS-Netzwerkstapels die Probleme beheben.
Eine Proxy.pac-Datei-URL festlegen
Organisationen können eine URL zu einer PAC-Datei (Proxy Auto-Config) für Microsoft Edge für iOS und Android angeben.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Geben Sie eine gültige URL zu einer PAC-Proxydatei an. Beispiel: https://internal.site/example.pac |
Unterstützung von Öffnen bei PAC-Fehlern
Standardmäßig blockiert Microsoft Edge für iOS und Android den Netzwerkzugriff bei einem ungültigen oder nicht verfügbaren PAC-Skript. Organisationen können das Standardverhalten jedoch in Öffnen bei PAC-Fehlern ändern.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (Standard) Netzwerkzugriff blockieren true: Netzwerkzugriff zulassen. |
Konfigurieren von Netzwerkrelays
Edge für iOS unterstützt jetzt Netzwerkrelays unter iOS 17. Hierbei handelt es sich um einen speziellen Proxytyp, der für Remotezugriffs- und Datenschutzlösungen verwendet werden kann. Sie unterstützen ein sicheres und transparentes Tunneling des Datenverkehrs und dienen beim Zugriff auf interne Ressourcen als moderne Alternative zu VPNs. Weitere Informationen zu Netzwerkrelays finden Sie unter Verwenden von Netzwerkrelays auf Apple-Geräten.
Organisationen können Relayproxy-URLs konfigurieren, um Datenverkehr basierend auf übereinstimmenden und ausgeschlossenen Domänen weiterzuleiten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | Geben Sie eine gültige URL zu einer JSON-Datei für die Relaykonfiguration an. Beispiel: https://yourserver/relay_config.json |
Ein JSON-Dateibeispiel für Netzwerkrelays
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
Proxy für Benutzer zur Anmeldung bei Edge in Android
Eine Datei für die automatische Proxykonfiguration (Proxy Auto-Configuration, PAC) wird in der Regel im VPN-Profil konfiguriert. Aufgrund einer Plattformeinschränkung kann die PAC-Datei jedoch nicht von Android WebView erkannt werden, das während des Edge-Anmeldevorgangs verwendet wird. Die Benutzer können sich unter Android möglicherweise nicht bei Edge anmelden.
Organisationen können über eine MDM-Richtlinie einen dedizierten Proxy angeben, damit sich Benutzer unter Android bei Edge anmelden können.
Schlüssel | Wert |
---|---|
EdgeOneAuthProxy | Der entsprechende Wert ist eine Zeichenfolge. Beispiel http://MyProxy.com:8080 : |
iOS-Websitedatenspeicher
Der Websitedatenspeicher in Edge für iOS ist für die Verwaltung von Cookies, Datenträger- und Speichercaches sowie verschiedenen Datentypen unerlässlich. Es gibt jedoch nur einen persistenten Websitedatenspeicher in Edge für iOS. Standardmäßig wird dieser Datenspeicher ausschließlich von persönlichen Konten genutzt, was zu einer Einschränkung führt, wenn Geschäfts-, Schul- oder Unikonten ihn nicht verwenden können. Folglich gehen Browserdaten, ausgenommen Cookies, nach jeder Sitzung für Geschäfts-, Schul- oder Unikonten verloren. Um das Benutzererlebnis zu verbessern, können Organisationen den Websitedatenspeicher für die Verwendung durch Geschäfts-, Schul- oder Unikonten konfigurieren und so die Beibehaltung der Browserdaten sicherstellen.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0: Der Websitedatenspeicher wird immer nur von persönlichen Konten genutzt. 1: Der Websitedatenspeicher wird vom ersten angemeldeten Konto genutzt. 2 (Standard): Der Websitedatenspeicher wird unabhängig von der Anmeldereihenfolge von Geschäfts-, Schul- oder Unikonten verwendet. |
Hinweis
Seit der Veröffentlichung von iOS 17 werden jetzt mehrere persistente Speicher unterstützt. Geschäftliche und persönliche Konten verfügen über einen eigenen festgelegten persistenten Speicher. Daher ist diese Richtlinie ab Version 122 nicht mehr gültig.
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen ist ein Feature, mit dem Benutzer schädliche Websites und Downloads vermeiden können. Diese Anwendung ist standardmäßig aktiviert. Organisationen können diese Einstellung deaktivieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (Standard) Microsoft Defender SmartScreen ist aktiviert. false: Microsoft Defender SmartScreen ist deaktiviert. |
Zertifikatüberprüfung
Standardmäßig überprüft Microsoft Edge für Android Serverzertifikate mithilfe der integrierten Zertifikatüberprüfung und des Microsoft Root Store als Quelle der öffentlichen Vertrauenswürdigkeit. Organisationen können zu Systemzertifikatüberprüfungs- und Systemstammzertifikaten wechseln.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
true (Standard): Die integrierte Zertifikatüberprüfung und den Microsoft Root Store verwenden, um Zertifikate zu überprüfen false: Die Systemzertifikatüberprüfung und Systemstammzertifikate als Quelle der öffentlichen Vertrauensstellung verwenden, um Zertifikate zu überprüfen |
Hinweis
Ein Anwendungsfall für diese Richtlinie ist, dass Sie die Systemzertifikatüberprüfung sowie Systemstammzertifikate verwenden müssen, wenn Sie Microsoft MAM Tunnel in Edge für Android verwenden.
Steuerungsoptionen für SSL-Warnseiten
Standardmäßig können Benutzer Warnseiten wegklicken, die angezeigt werden, wenn sie zu Websites navigieren, die SSL-Fehler aufweisen. Organisationen können das Verhalten verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
true (Standard): Benutzern das Wegklicken von SSL-Warnseiten erlauben false: Verhindern, dass Benutzer SSL-Warnseiten wegklicken |
Popupeinstellungen
Popups werden standardmäßig blockiert. Organisationen können das Verhalten verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1: Allen Websites das Anzeigen von Popups erlauben 2 (Standard): Keiner Website das Anzeigen von Popups erlauben |
Popup auf bestimmten Websites zulassen
Wenn diese Richtlinie nicht konfiguriert wird, wird der Wert aus der DefaultPopupsSetting-Richtlinie (sofern festgelegt) oder die persönliche Konfiguration des Benutzers für alle Websites verwendet. Organisationen können eine Liste von Websites definieren, die Popups öffnen dürfen.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie blockieren möchten, als einzelnen Wert ein, getrennt durch ein Pipe-Zeichen (| ). Beispiele: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Weitere Informationen zum URL-Format finden Sie unter URL-Musterformat für Unternehmensrichtlinien.
Popupfenster auf bestimmten Websites blockieren
Wenn diese Richtlinie nicht konfiguriert wird, wird der Wert aus der DefaultPopupsSetting-Richtlinie (sofern festgelegt) oder die persönliche Konfiguration des Benutzers für alle Websites verwendet. Organisationen können eine Liste von Websites definieren, die am Öffnen von Popups gehindert werden sollen.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie blockieren möchten, als einzelnen Wert ein, getrennt durch ein Pipe-Zeichen (| ). Beispiele: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Weitere Informationen zum URL-Format finden Sie unter URL-Musterformat für Unternehmensrichtlinien.
Standardmäßiger Suchdienstanbieter
Standardmäßig verwendet Edge den standardmäßigen Suchdienstanbieter für Suchvorgänge, wenn Benutzer Text in die Adressleiste eingeben, der keine URL ist. Die Benutzer können die Liste der Suchdienstanbieter ändern. Organisationen können das Suchdienstanbieterverhalten verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
true aktiviert den standardmäßigen Suchdienstanbieter. false deaktiviert den standardmäßigen Suchdienstanbieter. |
Konfigurieren des Suchdienstanbieters
Organisationen können einen Suchdienstanbieter für Benutzer konfigurieren. Zum Festlegen eines Suchdienstanbieters muss zuerst die Richtlinie DefaultSearchProviderEnabled konfiguriert werden.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | Der entsprechende Wert ist eine Zeichenfolge. Beispiel My Intranet Search : |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | Der entsprechende Wert ist eine Zeichenfolge. Beispiel https://search.my.company/search?q={searchTerms} : |
Copilot
Hinweis
Ab Version 128 ist Copilot für Geschäfts-, Schul- oder Unikonten veraltet. Daher sind die folgenden Richtlinien in Version 128 nicht mehr gültig. Wenn Sie den Zugriff auf die Webversion von Copilot, copilot.microsoft.com blockieren möchten, können Sie die Richtlinie AllowListURLs oder BlockListURLs verwenden.
Copilot ist in Microsoft Edge für iOS und Android verfügbar. Die Benutzer können Copilot starten, indem sie in der unteren Leiste auf die Copilot-Schaltfläche klicken.
Es gibt drei Einstellungen unter Einstellungen–>Allgemein–>Copilot.
- Copilot anzeigen: Steuern Sie, ob die Bing-Schaltfläche auf der unteren Leiste angezeigt werden soll.
- Zugriff auf beliebige Webseiten oder PDF-Dateien zulassen: Steuern Sie, ob Copilot auf Seiteninhalte oder PDF-Dateien zugreifen darf.
- Schnellzugriff bei Textauswahl: Steuern Sie, ob der Schnellchatbereich angezeigt werden soll, wenn Text auf einer Webseite ausgewählt ist.
Sie können die Einstellungen für Copilot verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.Chat |
true (Standard): Die Copilot-Schaltfläche wird den Benutzern in der unteren Leiste angezeigt. Die Einstellung Copilot anzeigen ist standardmäßig aktiviert und kann von den Benutzern deaktiviert werden. false: Die Copilot-Schaltfläche wird den Benutzern in der unteren Leiste nicht angezeigt. Die Einstellung Copilot anzeigen ist deaktiviert und kann von den Benutzern nicht aktiviert werden. |
com.microsoft.intune.mam.managedbrowser.ChatPageContext |
true (Standard): Die Optionen Zugriff auf beliebige Webseiten oder PDF-Dateien zulassen und Schnellzugriff bei Textauswahl können von den Benutzern aktiviert werden. false: Die Optionen Zugriff auf beliebige Webseiten oder PDF-Dateien zulassen und Schnellzugriff bei Textauswahl sind deaktiviert und können von den Benutzern nicht aktiviert werden. |
App-Konfigurationsszenarien für den Datenschutz
Edge für iOS und Android unterstützt App-Konfigurationsrichtlinien für die folgenden Datenschutzeinstellungen, wenn die betreffende App über Microsoft Intune verwaltet wird, wobei eine App-Konfigurationsrichtlinie für verwaltete Apps auf das Arbeits-, Uni- oder Schulkonto angewendet wird, das bei der App angemeldet ist:
- Verwalten der Kontosynchronisierung
- Verwalten eingeschränkter Websites
- Verwalten der Proxykonfiguration
- Verwalten von NTLM-Websites für einmaliges Anmelden
Diese Einstellungen können unabhängig vom Registrierungsstatus des Geräts für die App bereitgestellt werden.
Verwalten der Kontosynchronisierung
Standardmäßig ermöglicht die Microsoft Edge-Synchronisierung Benutzern den Zugriff auf ihre Browserdaten auf allen angemeldeten Geräten. Zu den von der Synchronisierung unterstützten Daten gehören:
- Favoriten
- Kennwörter
- Adressen und mehr (Formulareintrag für automatisches Ausfüllen)
Die Synchronisierungsfunktion wird über die Zustimmung des Benutzers aktiviert, und Benutzer können die Synchronisierung für jeden der oben aufgeführten Datentypen aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Microsoft Edge-Synchronisierung.
Organisationen haben die Möglichkeit, die Edge-Synchronisierung unter iOS und Android zu deaktivieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true deaktiviert die Edge-Synchronisierung false (Standard) ermöglicht die Edge-Synchronisierung |
Verwalten eingeschränkter Websites
Organisationen können definieren, auf welche Websites Benutzer innerhalb des Arbeits-, Uni- oder Schulkontokontexts in Edge für iOS und Android zugreifen können. Wenn Sie eine Zulassungsliste verwenden, können Ihre Benutzer nur auf die explizit aufgeführten Websites zugreifen. Wenn Sie eine blockierte Liste verwenden, können Benutzer auf alle Websites mit Ausnahme der Websites zugreifen, die explizit blockiert wurden. Sie sollten nur eine zulässige oder eine blockierte Liste auferlegen, nicht beides. Wenn Sie beides erzwingen, wird nur die zulässige Liste berücksichtigt.
Organisationen definieren auch, was passiert, wenn ein Benutzer versucht, zu einer eingeschränkten Website zu navigieren. Standardmäßig sind Wechsel zulässig. Wenn die Organisation dies zulässt, können eingeschränkte Websites im Kontext des persönlichen Kontos bzw. im InPrivate-Kontext des Microsoft Entra-Kontos geöffnet werden oder, wenn die Website vollständig blockiert ist, überhaupt nicht geöffnet werden. Weitere Informationen zu den verschiedenen unterstützten Szenarien finden Sie unter Wechsel zu eingeschränkten Websites in Microsoft Edge Mobile. Durch das Zulassen von Übergangserfahrungen bleiben die Benutzer der Organisation geschützt, während Unternehmensressourcen geschützt bleiben.
Wir haben zwei neue Richtlinien eingeführt, um den Profilwechsel zu verbessern, indem Benutzer nicht mehr manuell in persönliche Profile oder im InPrivate-Modus wechseln müssen, um blockierte URLs zu öffnen:
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
Da diese Richtlinien basierend auf ihren Konfigurationen und Kombinationen unterschiedliche Ergebnisse liefern, empfehlen wir Ihnen, unsere nachstehenden Richtlinienvorschläge zu testen, um eine schnelle Auswertung zu erhalten, um festzustellen, ob die Profilwechselerfahrung den Anforderungen Ihrer organization entspricht, bevor Sie sich mit der detaillierten Dokumentation vertraut machen. Die vorgeschlagenen Konfigurationseinstellungen für den Profilwechsel umfassen die folgenden Werte:
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
Hinweis
Edge für iOS und Android kann den Zugriff auf Websites nur blockieren, wenn direkt darauf zugegriffen wird. Der Zugriff wird nicht blockiert, wenn Benutzer Zwischendienste (z. B. einen Übersetzungsdienst) für den Zugriff auf die Website verwenden. URLs, die mit Edge beginnen, z Edge://*
. B. , Edge://flags
und Edge://net-export
, werden in der App-Konfigurationsrichtlinie AllowListURLs oder BlockListURLs für verwaltete Apps nicht unterstützt. Sie können diese URLs mit com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList deaktivieren.
Wenn Ihre Geräte verwaltet werden, können Sie auch die App-Konfigurationsrichtlinie URLAllowList oder URLBlocklist für verwaltete Geräte verwenden. Weitere Informationen finden Sie unter Microsoft Edge-Richtlinien für Mobilgeräte.
Verwenden Sie die folgenden Schlüssel-Wert-Paare, um entweder eine Liste zulässiger oder blockierter Websites für Edge für iOS und Android zu konfigurieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.AllowListURLs Dieser Richtlinienname wurde durch die Benutzeroberfläche der zulässigen URLs unter Edgekonfigurationseinstellungen ersetzt. |
Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie zulassen möchten, als einzelnen Wert ein, getrennt durch ein Pipe-Zeichen | . Beispiele: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
com.microsoft.intune.mam.managedbrowser.BlockListURLs Dieser Richtlinienname wurde durch die Benutzeroberfläche blockierter URLs unter Edgekonfigurationseinstellungen ersetzt. |
Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie blockieren möchten, als einzelnen Wert ein, getrennt durch ein Pipe-Zeichen (| ). Beispiele: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock |
true (Standard) ermöglicht es Edge für iOS und Android, eingeschränkte Websites zu übertragen. Wenn persönliche Konten nicht deaktiviert sind, werden Benutzer aufgefordert, entweder zum persönlichen Kontext zu wechseln, um die eingeschränkte Website zu öffnen, oder eine persönliches Konto hinzuzufügen. Wenn com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked auf true festgelegt ist, haben Benutzer die Möglichkeit, die eingeschränkte Website im InPrivate-Kontext zu öffnen. false verhindert, dass Edge für iOS und Android Benutzer übergehen kann. Benutzern wird einfach eine Meldung angezeigt, die besagt, dass die Website, auf die sie zugreifen möchten, blockiert ist. |
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked Dieser Richtlinienname wurde durch die Benutzeroberfläche von Eingeschränkte Websites in den persönlichen Kontext umleiten unter Edgekonfigurationseinstellungen ersetzt. |
true ermöglicht das Öffnen eingeschränkter Websites im InPrivate-Kontext des Microsoft Entra-Kontos. Wenn das Microsoft Entra-Konto das einzige in Edge für iOS und Android konfigurierte Konto ist, wird die eingeschränkte Website automatisch im InPrivate-Kontext geöffnet. Wenn für den Benutzer eine persönliches Konto konfiguriert wurde, wird er aufgefordert, zwischen dem Öffnen im InPrivate-Kontext oder dem Wechsel zum persönliches Konto auszuwählen. false (Standard) erfordert, dass die eingeschränkte Website im persönliches Konto des Benutzers geöffnet wird. Wenn persönliche Konten deaktiviert sind, wird die Website blockiert. Damit diese Einstellung wirksam wird, muss com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock auf true festgelegt werden. |
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Geben Sie die Anzahl der Sekunden ein, die Benutzern die Benachrichtigung "Der Zugriff auf diese Website wird von Ihrer Organisation blockiert. Wir haben es im InPrivate-Modus geöffnet, damit Sie auf die Website zugreifen können." Standardmäßig wird die Snackbar-Benachrichtigung 7 Sekunden lang angezeigt. |
Die folgenden Websites mit Ausnahme von copilot.microsoft.com sind unabhängig von den definierten Einstellungen für zulassungs- oder sperrliste immer zulässig:
https://*.microsoft.com/*
http://*.microsoft.com/*
https://microsoft.com/*
http://microsoft.com/*
https://*.windowsazure.com/*
https://*.microsoftonline.com/*
https://*.microsoftonline-p.com/*
Steuern des Verhaltens des Popupfensters "Website blockiert"
Beim Versuch, auf blockierte Websites zuzugreifen, werden die Benutzer aufgefordert, zum Öffnen der blockierten Websites entweder zum InPrivate-Konto oder zum persönlichen Konto zu wechseln. Sie können die Einstellungen für InPrivate-Konto und persönlichem Konto auswählen.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0 (Standard): Popupfenster mit Auswahlmöglichkeiten für den Benutzer immer anzeigen 1: Automatisch zum persönlichen Konto wechseln, wenn das persönliche Konto angemeldet ist. Wenn das persönliche Konto nicht angemeldet ist, wird das Verhalten in den Wert 2 geändert. 2: Automatisch zum InPrivate-Konto wechseln, wenn der InPrivate-Wechsel von „com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true“ zugelassen wird. |
Steuern des Verhaltens beim Wechseln des persönlichen Profils zum Arbeitsprofil
Wenn Sich Edge unter dem persönlichen Profil befindet und Benutzer versuchen, einen Link aus Outlook oder Microsoft Teams zu öffnen, die sich unter dem Arbeitsprofil befinden, verwenden Intune standardmäßig das Edge-Arbeitsprofil, um den Link zu öffnen, da sowohl Edge als auch Outlook und Microsoft Teams von Intune verwaltet werden. Wenn der Link jedoch blockiert wird, wird der Benutzer auf das persönliche Profil umgestellt. Dies führt zu einer Reibungserfahrung für Benutzer
Sie können eine Richtlinie konfigurieren, um die Benutzerfreundlichkeit zu verbessern. Diese Richtlinie wird empfohlen, zusammen mit AutoTransitionModeOnBlock verwendet zu werden, da benutzer entsprechend dem von Ihnen konfigurierten Richtlinienwert zum persönlichen Profil wechseln können.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (Standard) Wechseln Sie zum Arbeitsprofil, auch wenn die URL durch die Edge-Richtlinie blockiert ist. 2: Die blockierten URLs werden unter persönlichem Profil geöffnet, wenn das persönliche Profil angemeldet ist. Wenn das persönliche Profil nicht angemeldet ist, wird die blockierte URL im InPrivate-Modus geöffnet. |
URL-Formate für die Liste zulässiger und blockierter Websites
Sie können verschiedene URL-Formate verwenden, um Listen mit zulässigen/blockierten Websites zu erstellen. Diese zulässigen Muster werden in der folgenden Tabelle ausführlich erläutert.
Stellen Sie sicher, dass Sie allen URLs http:// oder https:// voran stellen, wenn Sie sie in die Liste eingeben.
Sie können das Platzhaltersymbol (*) gemäß den Regeln in der folgenden Liste zulässiger Muster verwenden.
Ein Wildcard kann nur mit einem Teil (z. B.
news-contoso.com
) oder einer gesamten Komponente des Hostnamens (z. B.host.contoso.com
) oder ganzen Teilen des Pfads übereinstimmen, wenn sie durch Schrägstriche (www.contoso.com/images
) getrennt sind.Sie können Portnummern in der Adresse angeben. Wenn Sie keine Portnummer angeben, werden folgende Werte verwendet:
- Port 80 für HTTP
- Port 443 für https
Die Verwendung von Platzhaltern für die Portnummer wird nicht unterstützt.
http://www.contoso.com:*
undhttp://www.contoso.com:*/
werden beispielsweise nicht unterstützt.URL Details Übereinstimmungen Stimmt nicht überein http://www.contoso.com
Entspricht einer einzelnen Seite www.contoso.com
host.contoso.com
www.contoso.com/images
contoso.com/
http://contoso.com
Entspricht einer einzelnen Seite contoso.com/
host.contoso.com
www.contoso.com/images
www.contoso.com
http://www.contoso.com/*
Entspricht allen URLs, die mit www.contoso.com
beginnenwww.contoso.com
www.contoso.com/images
www.contoso.com/videos/tvshows
host.contoso.com
host.contoso.com/images
http://*.contoso.com/*
Entspricht allen Unterdomänen unter contoso.com
developer.contoso.com/resources
news.contoso.com/images
news.contoso.com/videos
contoso.host.com
news-contoso.com
http://*contoso.com/*
Entspricht allen Unterdomänen, die mit contoso.com/
endennews-contoso.com
news-contoso.com/daily
news-contoso.host.com
news.contoso.com
http://www.contoso.com/images
Entspricht einem einzelnen Ordner www.contoso.com/images
www.contoso.com/images/dogs
http://www.contoso.com:80
Übereinstimmung mit einer einzelnen Seite mithilfe einer Portnummer www.contoso.com:80
https://www.contoso.com
Entspricht einer einzelnen sicheren Seite www.contoso.com
www.contoso.com/images
http://www.contoso.com/images/*
Entspricht einem einzelnen Ordner und allen Unterordnern www.contoso.com/images/dogs
www.contoso.com/images/cats
www.contoso.com/videos
Im Folgenden finden Sie Beispiele für einige der Eingaben, die Sie nicht angeben können:
*.com
*.contoso/*
www.contoso.com/*images
www.contoso.com/*images*pigs
www.contoso.com/page*
- IP-Adressen
https://*
http://*
http://www.contoso.com:*
http://www.contoso.com: /*
Interne Edge-Seiten deaktivieren
Sie können interne Edge-Seiten wie Edge://flags
und Edge://net-export
deaktivieren. Weitere Seiten finden Sie unter Edge://about
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | Der entsprechende Wert für den Schlüssel ist eine Liste von Seitennamen. Sie können die internen Seiten, die Sie blockieren möchten, als einzelnen Wert eingeben, getrennt durch ein Pipezeichen | . Beispiele: flags|net-export |
Verwalten von Websites zum Zulassen von Dateiuploads
Es kann Szenarien geben, in denen Benutzer Websites nur anzeigen dürfen, jedoch keine Dateien hochladen können. Organisationen können festlegen, auf welchen Websites Dateiuploads erlaubt sind.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie blockieren möchten, als einzelnen Wert ein, getrennt durch ein Pipe-Zeichen (| ). Beispiele: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie blockieren möchten, als einzelnen Wert ein, getrennt durch ein Pipe-Zeichen (| ). Beispiele: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
Beispiel zum Blockieren des Dateiuploads auf allen Websites, einschließlich interner Sites:
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Beispiel zum Gestatten des Dateiuploads auf bestimmten Websites:
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Weitere Informationen zum URL-Format finden Sie unter URL-Musterformat für Unternehmensrichtlinien.
Hinweis
Für Edge unter iOS wird zusätzlich zu Uploads auch die Einfügefunktion blockiert. Den Benutzern wird die Einfügeoption im Aktionsmenü nicht angezeigt.
Verwalten der Proxykonfiguration
Sie können Edge für iOS und Android und den Microsoft Entra-Anwendungsproxy zusammen verwenden, um Benutzern Zugriff auf Intranetsites auf ihren Mobilgeräten zu gewähren. Zum Beispiel:
- Ein Benutzer verwendet die mobile Outlook-App, die durch Intune geschützt ist. Anschließend klicken sie in einer E-Mail auf einen Link zu einer Intranet-Website, und Edge für iOS und Android erkennt, dass diese Intranet-Website für den Benutzer über Anwendungsproxy verfügbar gemacht wurde. Der Benutzer wird automatisch über Anwendungsproxy weitergeleitet, um sich mit jeder anwendbaren mehrstufigen Authentifizierung und bedingtem Zugriff zu authentifizieren, bevor er die Intranet-Website erreicht. Der Benutzer kann jetzt auf interne Websites zugreifen, auch auf seinen mobilen Geräten, und der Link in Outlook funktioniert wie erwartet.
- Ein Benutzer öffnet Edge für iOS und Android auf dem iOS- oder Android-Gerät. Wenn Edge für iOS und Android mit Intune geschützt ist und Anwendungsproxy aktiviert ist, kann der Benutzer über die interne URL, für die er verwendet wird, zu einer Intranet-Website wechseln. Edge für iOS und Android erkennt, dass diese Intranet-Website für den Benutzer über Anwendungsproxy verfügbar gemacht wurde. Der Benutzer wird automatisch über den Anwendungsproxy weitergeleitet, um sich zu authentifizieren, bevor er zur Intranetsite gelangt.
Bevor Sie beginnen:
- Richten Sie Ihre internen Anwendungen über den Microsoft Entra-Anwendungsproxy ein.
- Informationen zum Konfigurieren des Anwendungsproxys und Veröffentlichen von Anwendungen finden Sie in der Setupdokumentation.
- Stellen Sie sicher, dass der betreffende Benutzer der Microsoft Entra-Anwendungsproxy-App zugewiesen ist, auch wenn die App mit dem Passthrough-Vorauthentifizierungstyp konfiguriert ist.
- Der Edge für iOS- und Android-App muss eine Intune-App-Schutzrichtlinie zugewiesen sein.
- Microsoft-Apps müssen über eine App-Schutzrichtlinie verfügen, für die die Einstellung Datenübertragung von Webinhalten mit anderen Apps einschränken auf Microsoft Edge festgelegt ist.
Hinweis
Edge für iOS und Android aktualisiert die Anwendungsproxy Umleitungsdaten basierend auf dem letzten erfolgreichen Aktualisierungsereignis. Aktualisierungen werden immer dann versucht, wenn das letzte erfolgreiche Aktualisierungsereignis eine Stunde überschreitet.
Zielen Sie mit dem folgenden Schlüssel-Wert-Paar auf Edge für iOS und Android ab, um den Anwendungsproxy zu aktivieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Dieser Richtlinienname wurde durch die Benutzeroberfläche der Anwendungsproxyumleitung unter Edgekonfigurationseinstellungen ersetzt. |
true ermöglicht Szenarien zur Umleitung über den Microsoft Entra-Anwendungsproxy. false (Standard) verhindert Microsoft Entra-Anwendungsproxyszenarien. |
Weitere Informationen zur Verwendung von Edge für iOS und Android sowie des Microsoft Entra-Anwendungsproxys für den nahtlosen (und geschützten) Zugriff auf lokale Web-Apps finden Sie unter Besser zusammen: Intune und Microsoft Entra verbessern zusammen den Benutzerzugriff. Dieser Blogbeitrag bezieht sich zwar auf den Intune Managed Browser, aber der Inhalt gilt auch für Edge für iOS und Android.
Verwalten von NTLM-Websites für einmaliges Anmelden
In einigen Organisationen müssen sich Benutzer möglicherweise bei NTLM authentifizieren, um auf Intranetsites zuzugreifen. Standardmäßig werden Benutzer bei jedem Zugriff auf eine Website, für die eine NTLM-Authentifizierung erforderlich ist, zur Eingabe von Anmeldeinformationen aufgefordert, da das Zwischenspeichern von NTLM-Anmeldeinformationen deaktiviert ist.
Organisationen können das Zwischenspeichern von NTLM-Anmeldeinformationen für bestimmte Websites aktivieren. Für diese Websites werden die Anmeldeinformationen standardmäßig 30 Tage lang zwischengespeichert, nachdem der Benutzer Anmeldeinformationen eingegeben und sich erfolgreich authentifiziert hat.
Hinweis
Wenn Sie einen Proxyserver verwenden, stellen Sie sicher, dass dieser mit der NTLMSSOURLs-Richtlinie konfiguriert ist, in der Sie sowohl https als auch HTTP als Teil des Schlüsselwerts angeben.
Derzeit müssen sowohl https - als auch http-Schemas im Schlüsselwert NTLMSSOURLs angegeben werden. Beispielsweise müssen Sie sowohl als http://your-proxy-server:8080
auch https://your-proxy-server:8080
konfigurieren. Derzeit ist die Angabe des Formats als host:port (z your-proxy-server:8080
. B. ) nicht ausreichend.
Darüber hinaus wird das Platzhaltersymbol (*) beim Konfigurieren von Proxyservern in der NTLMSSOURLs-Richtlinie nicht unterstützt.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie zulassen möchten, als einzelnen Wert ein, getrennt durch ein Pipe-Zeichen | . Beispiele: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Weitere Informationen zu den unterstützten URL-Formattypen finden Sie unter URL-Formate für zugelassene und blockierte Websitelisten. |
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Anzahl der Stunden zum Zwischenspeichern von Anmeldeinformationen; Standardwert: 720 Stunden |
Zusätzliche App-Konfiguration für verwaltete Geräte
Die folgenden Richtlinien, die ursprünglich über die App-Konfigurationsrichtlinie für verwaltete Apps konfiguriert werden konnten, sind jetzt über die App-Konfigurationsrichtlinie für verwaltete Geräte verfügbar. Wenn Sie Richtlinien für verwaltete Apps verwenden, müssen sich Benutzer bei Microsoft Edge anmelden. Wenn Sie Richtlinien für verwaltete Geräte verwenden, müssen sich Benutzer nicht bei Edge anmelden, um die Richtlinien anzuwenden.
Da App-Konfigurationsrichtlinien für verwaltete Geräte eine Geräteregistrierung benötigen, wird jede einheitliche Endpunktverwaltung (Unified Endpoint Management, UEM) unterstützt. Weitere Richtlinien im MDM-Kanal finden Sie unter Microsoft Edge Mobile-Richtlinien.
MAM-Richtlinie | MDM-Richtlinie |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Bereitstellen von App-Konfigurationsszenarien mit Microsoft Intune
Wenn Sie Microsoft Intune als Verwaltungsanbieter für mobile Apps verwenden, können Sie mit den folgenden Schritten eine App-Konfigurationsrichtlinie für verwaltete Apps erstellen. Nachdem die Konfiguration erstellt wurde, können Sie die Einstellungen Benutzergruppen zuweisen.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Apps und dann App-Konfigurationsrichtlinien aus.
Wählen Sie auf dem Blatt App-Konfigurationsrichtlinien die Option Hinzufügen und dann Verwaltete Apps aus.
Geben Sie im Abschnitt Grundlagen einen Namen und optional eine Beschreibung für die Konfigurationseinstellungen der App ein.
Wählen Sie für Öffentliche Apps die OptionÖffentliche Apps auswählen und dann auf dem Blatt Gezielte Apps die Option Edge für iOS und Android aus, indem Sie sowohl die iOS- als auch die Android-Plattform-Apps auswählen. Klicken Sie auf Auswählen, um die ausgewählten öffentlichen Apps zu speichern.
Klicken Sie auf Weiter, um die grundlegenden Einstellungen der App-Konfigurationsrichtlinie abzuschließen.
Erweitern Sie im Abschnitt Einstellungen die Edge-Konfigurationseinstellungen.
Wenn Sie die Datenschutzeinstellungen verwalten möchten, konfigurieren Sie die gewünschten Einstellungen entsprechend:
Wählen Sie für Anwendungsproxyumleitung eine der verfügbaren Optionen aus: Aktivieren, Deaktivieren (Standard).
Geben Sie für Startseitenverknüpfungs-URL eine gültige URL an, die entweder das Präfix http:// oder https:// enthält. Falsche URLs werden als Sicherheitsmaßnahme blockiert.
Geben Sie für Verwaltete Lesezeichen den Titel und eine gültige URL an, die das Präfix http:// oder https:// enthält.
Geben Sie für Zulässige URLs eine gültige URL an (nur diese URLs sind zulässig; auf andere Websites kann nicht zugegriffen werden). Weitere Informationen zu den unterstützten URL-Formattypen finden Sie unter URL-Formate für zugelassene und blockierte Websitelisten.
Geben Sie für Blockierte URLs eine gültige URL an (nur diese URLs sind blockiert). Weitere Informationen zu den unterstützten URL-Formattypen finden Sie unter URL-Formate für zugelassene und blockierte Websitelisten.
Wählen Sie für Eingeschränkte Websites in den persönlichen Kontext umleiten eine der verfügbaren Optionen aus: Aktivieren (Standard), Deaktivieren.
Hinweis
Wenn sowohl zulässige URLs als auch blockierte URLs in der Richtlinie definiert sind, wird nur die Liste der zulässigen URLs berücksichtigt.
Wenn Sie zusätzliche App-Konfigurationseinstellungen nicht in der obigen Richtlinie verfügbar machen möchten, erweitern Sie den Knoten Allgemeine Konfigurationseinstellungen, und geben Sie die Schlüssel-Wert-Paare entsprechend ein.
Wenn Sie die Konfiguration der Einstellungen abgeschlossen haben, wählen Sie Weiter aus.
Wählen Sie im Abschnitt Zuweisungen die Option Einzuschließende Gruppen auswählen aus. Wählen Sie die Microsoft Entra-Gruppe aus, der Sie die App-Konfigurationsrichtlinie zuweisen möchten, und wählen Sie dann Auswählen aus.
Wenn Sie mit den Zuweisungen fertig sind, wählen Sie Weiter aus.
Überprüfen Sie auf dem Blatt App-Konfigurationsrichtlinie erstellen Überprüfen + erstellen die konfigurierten Einstellungen, und wählen Sie Erstellen aus.
Die neu erstellte Konfigurationsrichtlinie wird auf dem Blatt App-Konfigurationsrichtlinien angezeigt.
Verwenden von Microsoft Edge für iOS und Android für den Zugriff auf Protokolle von verwalteten Apps
Benutzer, die Edge für iOS und Android auf ihren iOS- oder Android-Geräten installiert haben, können den Verwaltungsstatus aller von Microsoft veröffentlichten Apps anzeigen. Sie können Protokolle zur Problembehandlung für ihre verwalteten iOS- oder Android-Apps senden, indem sie die folgenden Schritte ausführen:
Öffnen Sie Edge für iOS und Android auf Ihrem Gerät.
Geben Sie
edge://intunehelp/
in das Adressfeld ein.Edge für iOS und Android wird im Fehlerbehebungsmodus gestartet.
Sie können Protokolle vom Microsoft-Support anfordern, indem Sie die Vorfalls-ID des Benutzers mitteilen.
Eine Liste der in den App-Protokollen gespeicherten Einstellungen finden Sie unter Überprüfen von Client-App-Schutzprotokollen.
Diagnoseprotokolle
Neben Intune-Protokollen von edge://intunehelp/
werden Sie möglicherweise vom Microsoft-Support aufgefordert, Diagnoseprotokolle von Microsoft Edge für iOS und Android bereitzustellen. Sie können die Protokolle auf lokale Geräte herunterladen und für Microsoft-Support freigeben. So laden Sie die Protokolle auf lokale Geräte herunter:
1.Hilfe und Feedback über das Überlaufmenü öffnen
2.Klicken Sie auf Diagnosedaten
3.Klicken Sie für Microsoft Edge für iOS oben rechts auf das Symbol Freigeben. Das Dialogfeld für die Betriebssystemfreigabe wird angezeigt. Sie können die Protokolle lokal speichern oder für andere Apps freigeben. Klicken Sie für Microsoft Edge für Android in der oberen rechten Ecke auf das Untermenü, um Protokolle zu speichern. Die Protokolle werden im Ordner Download ->Edge gespeichert.
Sie können auch auf das Symbol zum Löschen klicken, um zuerst Protokolle zu löschen und dann aktualisierte Protokolle abzurufen.
Hinweis
Beim Speichern von Protokollen wird auch die Intune-App-Schutzrichtlinie berücksichtigt. Daher ist es Ihnen u. U. nicht gestattet, Diagnosedaten auf lokalen Geräten zu speichern.