Verwalten von Microsoft Edge unter iOS und Android mit Intune
Edge für iOS und Android wurde entwickelt, um Benutzern das Surfen im Web zu ermöglichen und unterstützt mehrere Identitäten. Benutzer können sowohl ein Geschäftskonto als auch ein persönliches Konto zum Durchsuchen hinzufügen. Es gibt eine vollständige Trennung zwischen den beiden Identitäten, die dem entspricht, was in anderen mobilen Microsoft-Apps angeboten wird.
Diese Funktion gilt für:
- iOS/iPadOS 14.0 oder höher
- Android 8.0 oder höher für registrierte Geräte und Android 9.0 oder höher für nicht registrierte Geräte
Hinweis
Edge für iOS und Android nutzt keine Einstellungen, die Benutzer für den nativen Browser auf ihren Geräten festlegen, da Edge für iOS und Android nicht auf diese Einstellungen zugreifen kann.
Die umfassendsten und umfassendsten Schutzfunktionen für Microsoft 365-Daten sind verfügbar, wenn Sie die Enterprise Mobility + Security Suite abonnieren, die Microsoft Intune und Microsoft Entra ID P1- oder P2-Features wie bedingten Zugriff umfasst. Sie sollten mindestens eine Richtlinie für bedingten Zugriff bereitstellen, die nur die Konnektivität mit Edge für iOS und Android von mobilen Geräten aus zulässt, sowie eine Intune App-Schutzrichtlinie, die sicherstellt, dass die Browsererfahrung geschützt ist.
Hinweis
Neue Webclips (angeheftete Web-Apps) auf iOS-Geräten werden in Edge für iOS und Android anstelle der Intune Managed Browser geöffnet, wenn das Öffnen in einem geschützten Browser erforderlich ist. Bei älteren iOS-Webclips müssen Sie diese Webclips erneut als Ziel verwenden, um sicherzustellen, dass sie in Edge für iOS und Android statt in Managed Browser geöffnet werden.
Anwenden des bedingten Zugriffs
Organisationen können Microsoft Entra Richtlinien für bedingten Zugriff verwenden, um sicherzustellen, dass Benutzer nur mit Edge für iOS und Android auf Geschäfts-, Schul- oder Uniinhalte zugreifen können. Dazu benötigen Sie eine Richtlinie für bedingten Zugriff, die auf alle potenziellen Benutzer abzielt. Diese Richtlinien werden unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich beschrieben.
Führen Sie die Schritte unter Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie für mobile Geräte aus. Dies ermöglicht Edge für iOS und Android, verhindert jedoch, dass andere Webbrowser mobiler Geräte eine Verbindung mit Microsoft 365-Endpunkten herstellen.
Hinweis
Diese Richtlinie stellt sicher, dass mobile Benutzer aus Edge für iOS und Android auf alle Microsoft 365-Endpunkte zugreifen können. Diese Richtlinie verhindert auch, dass Benutzer InPrivate verwenden, um auf Microsoft 365-Endpunkte zuzugreifen.
Mit dem bedingten Zugriff können Sie auch lokale Standorte als Ziel verwenden, die Sie über den Microsoft Entra Anwendungsproxy für externe Benutzer verfügbar gemacht haben.
Hinweis
Um die App-basierten Richtlinien für bedingten Zugriff zu verwenden, muss die Microsoft Authenticator-App auf iOS-Geräten installiert werden. Für Android-Geräte ist die Intune-Unternehmensportal-App erforderlich. Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.
Erstellen von Intune App-Schutzrichtlinien
App-Schutzrichtlinien (APP) definieren, welche Apps zulässig sind und welche Aktionen sie mit den Daten Ihrer organization ausführen können. Die in APP verfügbaren Optionen ermöglichen Es Organisationen, den Schutz an ihre spezifischen Anforderungen anzupassen. Für einige Organisationen ist es jedoch möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen genau erforderlich sind, um ein vollständiges Szenario zu implementieren. Um Unternehmen bei der Priorisierung der Absicherung mobiler Clientendpunkte zu unterstützen, hat Microsoft für die Verwaltung mobiler iOS- und Android-Apps eine Taxonomie für sein Datenschutzframework für App-Schutzrichtlinien eingeführt.
Dieses Datenschutzframework ist in drei Konfigurationsebenen unterteilt, wobei jede Ebene auf der vorherigen Ebene aufbaut:
- Einfacher Datenschutz für Unternehmen (Ebene 1): Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und dient zum Durchführen selektiver Löschvorgänge. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Dabei handelt es sich um eine Konfiguration auf Einstiegsebene, die ähnliche Datenschutzkontrolle in Exchange Online-Postfachrichtlinien bereitstellt und der IT sowie dem Benutzerstamm eine Einführung in App-Schutzrichtlinien bietet.
- Erweiterter Datenschutz für Unternehmen (Ebene 2): Diese Ebene führt Mechanismen für App-Schutzrichtlinien zur Verhinderung von Datenlecks sowie die mindestens zu erfüllenden Betriebssystemanforderungen ein. Dies ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.
- Hoher Datenschutz für Unternehmen (Ebene 3): Auf dieser Ebene werden Mechanismen zum erweiterten Datenschutz, eine verbesserte PIN-Konfiguration sowie Mobile Threat Defense für App-Schutzrichtlinien eingeführt. Diese Konfiguration ist für Benutzer vorgesehen, die auf Hochrisikodaten zugreifen.
Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.
Unabhängig davon, ob das Gerät in einer Lösung für die einheitliche Endpunktverwaltung (Unified Endpoint Management, UEM) registriert ist, muss eine Intune App-Schutzrichtlinie für iOS- und Android-Apps erstellt werden, wobei die Schritte unter Erstellen und Zuweisen von App-Schutzrichtlinien ausgeführt werden. Diese Richtlinien müssen mindestens die folgenden Bedingungen erfüllen:
Sie umfassen alle mobilen Microsoft 365-Anwendungen wie Edge, Outlook, OneDrive, Office oder Teams, da dies sicherstellt, dass Benutzer auf sichere Weise auf Geschäfts-, Schul- oder Unidaten in jeder Microsoft-App zugreifen und diese bearbeiten können.
Sie sind allen Benutzern zugewiesen. Dadurch wird sichergestellt, dass alle Benutzer geschützt sind, unabhängig davon, ob sie Edge für iOS oder Android verwenden.
Bestimmen Sie, welche Frameworkebene Ihre Anforderungen erfüllt. Die meisten Organisationen sollten die einstellungen implementieren, die unter Erweiterter Datenschutz für Unternehmen (Stufe 2) definiert sind, da dies die Steuerung von Datenschutz und Zugriffsanforderungen ermöglicht.
Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien und Einstellungen für iOS-App-Schutzrichtlinien.
Wichtig
Um Intune-App-Schutzrichtlinien für Apps auf Android-Geräten anzuwenden, die nicht in Intune registriert sind, muss der Benutzer auch das Intune-Unternehmensportal installieren.
Einmaliges Anmelden bei Microsoft Entra verbundenen Web-Apps in richtliniengeschützten Browsern
Edge für iOS und Android kann das einmalige Anmelden (Single Sign-On, SSO) für alle Web-Apps (SaaS und lokal) nutzen, die Microsoft Entra verbunden sind. SSO ermöglicht Benutzern den Zugriff auf Microsoft Entra verbundenen Web-Apps über Edge für iOS und Android, ohne ihre Anmeldeinformationen erneut eingeben zu müssen.
SSO erfordert, dass Ihr Gerät entweder von der Microsoft Authenticator-App für iOS-Geräte oder dem Intune-Unternehmensportal unter Android registriert wird. Wenn Benutzer über eine dieser Beiden verfügen, werden sie aufgefordert, ihr Gerät zu registrieren, wenn sie in einem richtliniengeschützten Browser zu einer Microsoft Entra verbundenen Web-App wechseln (dies gilt nur, wenn ihr Gerät noch nicht registriert wurde). Nachdem das Gerät mit dem von Intune verwalteten Benutzerkonto registriert wurde, ist SSO für Microsoft Entra verbundene Web-Apps aktiviert.
Hinweis
Die Geräteregistrierung ist ein einfacher Check-in beim Microsoft Entra-Dienst. Es erfordert keine vollständige Geräteregistrierung und gibt der IT keine zusätzlichen Berechtigungen auf dem Gerät.
Verwenden der App-Konfiguration zum Verwalten der Browsererfahrung
Edge für iOS und Android unterstützt App-Einstellungen, die es Administratoren mit einheitlicher Endpunktverwaltung wie Microsoft Intune ermöglichen, das Verhalten der App anzupassen.
Die App-Konfiguration kann entweder über den MDM-Betriebssystemkanal (Mobile Device Management) auf registrierten Geräten (Managed App Configuration Channel für iOS oder Android im Enterprise-Kanal für Android) oder über den MAM-Kanal (Mobile Application Management) bereitgestellt werden. Edge für iOS und Android unterstützt die folgenden Konfigurationsszenarien:
- Nur Geschäfts-, Schul- oder Unikonten zulassen
- Allgemeine App-Konfigurationseinstellungen
- Datenschutzeinstellungen
- Zusätzliche App-Konfiguration für verwaltete Geräte
Wichtig
Für Konfigurationsszenarien, die eine Geräteregistrierung unter Android erfordern, müssen die Geräte in Android Enterprise registriert werden, und Edge für Android muss über den verwalteten Google Play Store bereitgestellt werden. Weitere Informationen finden Sie unter Einrichten der Registrierung von persönlichen Android Enterprise-Arbeitsprofilgeräten und Hinzufügen von App-Konfigurationsrichtlinienfür verwaltete Android Enterprise-Geräte.
Jedes Konfigurationsszenario hebt seine spezifischen Anforderungen hervor. Gibt beispielsweise an, ob das Konfigurationsszenario eine Geräteregistrierung erfordert und somit mit jedem UEM-Anbieter funktioniert, oder ob Intune App-Schutzrichtlinien erforderlich sind.
Wichtig
Bei App-Konfigurationsschlüsseln wird die Groß-/Kleinschreibung beachtet. Verwenden Sie die richtige Groß-/Kleinschreibung, um sicherzustellen, dass die Konfiguration wirksam wird.
Hinweis
Mit Microsoft Intune wird die app-Konfiguration, die über den MDM-Betriebssystemkanal bereitgestellt wird, als verwaltete Geräte App Configuration Policy (ACP) bezeichnet. App-Konfiguration, die über den MAM-Kanal (Mobile Application Management) bereitgestellt wird, wird als verwaltete Apps-App Configuration-Richtlinie bezeichnet.
Nur Geschäfts-, Schul- oder Unikonten zulassen
Die Einhaltung der Datensicherheits- und Compliancerichtlinien unserer größten und streng regulierten Kunden ist eine wichtige Säule des Microsoft 365-Werts. Einige Unternehmen müssen alle Kommunikationsinformationen in ihrer Unternehmensumgebung erfassen und sicherstellen, dass die Geräte nur für die Unternehmenskommunikation verwendet werden. Zur Unterstützung dieser Anforderungen kann Edge für iOS und Android auf registrierten Geräten so konfiguriert werden, dass nur ein einzelnes Unternehmenskonto innerhalb der App bereitgestellt werden kann.
Weitere Informationen zum Konfigurieren der Einstellung für den Organisationsmodus für zulässige Konten finden Sie hier:
Dieses Konfigurationsszenario funktioniert nur mit registrierten Geräten. Es wird jedoch jeder UEM-Anbieter unterstützt. Wenn Sie Microsoft Intune nicht verwenden, müssen Sie sich mit Ihrer UEM-Dokumentation über die Bereitstellung dieser Konfigurationsschlüssel informieren.
Allgemeine App-Konfigurationsszenarien
Edge für iOS und Android bietet Administratoren die Möglichkeit, die Standardkonfiguration für mehrere In-App-Einstellungen anzupassen. Diese Funktion wird angeboten, wenn Für Edge für iOS und Android eine verwaltete App App Configuration Richtlinie auf das Bei der App angemeldete Geschäfts-, Schul- oder Unikonto angewendet wird.
Edge unterstützt die folgenden Einstellungen für die Konfiguration:
- Neue Benutzeroberfläche für Registerkartenseiten
- Lesezeichenerfahrungen
- App-Verhaltenserfahrungen
- Funktionen im Kioskmodus
Diese Einstellungen können unabhängig vom Registrierungsstatus des Geräts für die App bereitgestellt werden.
Neues Layout der Registerkartenseite
Das benutzerdefinierte Layout ist das Standardlayout für die neue Registerkartenseite. Es zeigt die wichtigsten Website-Tastenkombinationen und Newsfeeds ohne Hintergrundbild. Benutzer können das Layout entsprechend ihren Vorlieben ändern. Organisationen können auch die Layouteinstellungen verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout | Konzentriert "Relevant" ist ausgewählt Inspirierende Inspirational ist ausgewählt Information (nur iPad/Tablet) Informational ist ausgewählt benutzerdefiniert (Standard) Benutzerdefiniert ist ausgewählt, der Umschalter für die oberste Website ist aktiviert, der Hintergrundbild-Umschalter ist deaktiviert, und der Newsfeed-Umschalter ist aktiviert. |
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom | Topsites Aktivieren von Tastenkombinationen für websites am häufigsten Wallpaper Hintergrundbild aktivieren Newsfeed Aktivieren des Newsfeeds Damit diese Richtlinie wirksam wird, muss com.microsoft.intune.mam.managedbrowser.NewTabPageLayout auf custom festgelegt werden. Der Standardwert ist topsites|newsfeed |
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable | true (Standard) Benutzer können die Seitenlayouteinstellungen ändern FALSE Benutzer können die Seitenlayouteinstellungen nicht ändern. Das Seitenlayout wird durch die über die Richtlinie angegebenen Werte bestimmt, oder Standardwerte werden verwendet. |
Hinweis
Die NewTabPageLayout-Richtlinie soll das anfängliche Layout festlegen. Benutzer können Seitenlayouteinstellungen basierend auf ihrem Verweis ändern. Daher wird die NewTabPageLayout-Richtlinie nur wirksam, wenn Benutzer die Layouteinstellungen nicht ändern. Sie können die NewTabPageLayout-Richtlinie erzwingen, indem Sie UserSelectable=false konfigurieren.
Beispiel für das Deaktivieren der Newsfeeds
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Neue Benutzeroberfläche für Registerkartenseiten
Edge für iOS und Android bietet Organisationen mehrere Optionen zum Anpassen der Neuen Registerkartenseite, einschließlich organization Logo, Markenfarbe, Ihrer Startseite, Top-Websites und Branchennachrichten.
Organisationslogo und Markenfarbe
Mit diesen Einstellungen können Sie die Neue Registerkartenseite für Edge für iOS und Android so anpassen, dass das Logo und die Markenfarbe Ihres organization als Seitenhintergrund angezeigt werden.
Führen Sie zunächst die folgenden Schritte aus, um das Logo und die Farbe Ihres organization hochzuladen:
- Navigieren Sie Microsoft Intune Admin Center zuAnpassung der Mandantenverwaltung>. Klicken Sie neben Einstellungen auf Bearbeiten.
- Um das Logo Ihrer Marke festzulegen, wählen Sie neben In Kopfzeile anzeigen die Option "Nur Organisationslogo" aus. Transparente Hintergrundlogos werden empfohlen.
- Um die Hintergrundfarbe Ihrer Marke festzulegen, wählen Sie eine Designfarbe aus. Edge für iOS und Android wendet einen helleren Farbton auf der Neuen Registerkartenseite an, wodurch sichergestellt wird, dass die Seite eine hohe Lesbarkeit aufweist.
Hinweis
Da Azure Active Directory Graph (Azure AD) veraltet ist, hat es seine Einstellungsphase erreicht. Weitere Informationen finden Sie unter Migrieren von Azure AD Graph – Übersicht. Daher kann nicht auf organization Logo und die Markenfarbe in Intune Admin Center zugegriffen werden, wenn Azure Active Directory Graph (Azure AD) vollständig eingestellt wird. Daher werden ab Version 116 von Edge für iOS und Android organization Logo und Markenfarbe aus Microsoft Graph abgerufen. Sie müssen Ihr organization Logo und die Markenfarbe schrittweise beibehalten. Bannerlogo wird als organization und Seitenhintergrundfarbe als Markenfarbe verwendet.
Verwenden Sie als Nächstes die folgenden Schlüssel-Wert-Paare, um das Branding Ihrer organization in Edge für iOS und Android zu übertragen:
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo | true zeigt das Markenlogo von organization an. False (Standard) macht kein Logo verfügbar |
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor | true zeigt die Markenfarbe organization an false (Standard) macht keine Farbe verfügbar. |
Verknüpfung "Startseite"
Mit dieser Einstellung können Sie eine Startseitenverknüpfung für Edge für iOS und Android auf der Neuen Registerkartenseite konfigurieren. Die von Ihnen konfigurierte Startseitenverknüpfung wird als erstes Symbol unter der Suchleiste angezeigt, wenn der Benutzer eine neue Registerkarte in Edge für iOS und Android öffnet. Der Benutzer kann diese Verknüpfung in ihrem verwalteten Kontext nicht bearbeiten oder löschen. Die Startseitenverknüpfung zeigt den Namen Ihrer organization an, um ihn zu unterscheiden.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.homepage | Geben Sie eine gültige URL an. Falsche URLs werden als Sicherheitsmaßnahme blockiert. Beispiel: https://www.bing.com |
Mehrere Tastenkombinationen für die oberste Website
Ähnlich wie beim Konfigurieren einer Startseitenverknüpfung können Sie unter Neue Registerkartenseiten in Edge für iOS und Android mehrere Verknüpfungen für die obersten Websites konfigurieren. Der Benutzer kann diese Verknüpfungen in einem verwalteten Kontext nicht bearbeiten oder löschen. Hinweis: Sie können insgesamt 8 Tastenkombinationen konfigurieren, einschließlich einer Startseitenverknüpfung. Wenn Sie eine Homepageverknüpfung konfiguriert haben, überschreibt diese Verknüpfung die erste konfigurierte oberste Website.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.managedTopSites | Geben Sie einen Satz von Wert-URLs an. Jede Verknüpfung der obersten Website besteht aus einem Titel und einer URL. Trennen Sie den Titel und die URL durch das | Zeichen. Beispiel: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Branchennachrichten
Sie können die Neue Registerkartenseite in Edge für iOS und Android so konfigurieren, dass Branchennachrichten angezeigt werden, die für Ihre organization relevant sind. Wenn Sie dieses Feature aktivieren, verwendet Edge für iOS und Android den Domänennamen Ihres organization, um Nachrichten aus dem Web über Ihre organization, die Branche organization und Wettbewerber zu aggregieren, sodass Ihre Benutzer relevante externe Nachrichten auf den zentralen neuen Registerkartenseiten in Edge für iOS und Android finden können. Branchennachrichten sind standardmäßig deaktiviert.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews | true zeigt Branchennachrichten auf der Neuen Registerkartenseite an false (Standard) blendet Branchennachrichten auf der Neuen Registerkartenseite aus |
Startseite anstelle neuer Registerkartenseite
Mit Edge für iOS und Android können Organisationen die Neue Registerkartenseite deaktivieren und stattdessen eine Website starten, wenn der Benutzer eine neue Registerkarte öffnet. Obwohl dies ein unterstütztes Szenario ist, empfiehlt Microsoft Organisationen, die Neue Registerkartenseite zu nutzen, um dynamische Inhalte bereitzustellen, die für den Benutzer relevant sind.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Geben Sie eine gültige URL an. Wenn keine URL angegeben ist, verwendet die App die Neue Registerkartenseite. Falsche URLs werden als Sicherheitsmaßnahme blockiert. Beispiel: https://www.bing.com |
Lesezeichenerfahrungen
Edge für iOS und Android bietet Organisationen mehrere Optionen zum Verwalten von Lesezeichen.
Verwaltete Lesezeichen
Zur Vereinfachung des Zugriffs können Sie Lesezeichen konfigurieren, die Ihren Benutzern zur Verfügung stehen sollen, wenn sie Edge für iOS und Android verwenden.
- Lesezeichen werden nur im Geschäfts-, Schul- oder Unikonto angezeigt und nicht für persönliche Konten verfügbar gemacht.
- Lesezeichen können nicht von Benutzern gelöscht oder geändert werden.
- Lesezeichen werden oben in der Liste angezeigt. Alle Lesezeichen, die Benutzer erstellen, werden unterhalb dieser Lesezeichen angezeigt.
- Wenn Sie Anwendungsproxy Umleitung aktiviert haben, können Sie Anwendungsproxy Web-Apps mithilfe ihrer internen oder externen URL hinzufügen.
- Lesezeichen werden in einem Ordner erstellt, der nach dem Namen des organization benannt ist, der in Microsoft Entra ID definiert ist.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.bookmarks | Der Wert für diese Konfiguration ist eine Liste von Lesezeichen. Jedes Lesezeichen besteht aus dem Lesezeichentitel und der Lesezeichen-URL. Trennen Sie den Titel und die URL durch das | Zeichen.Beispiel: Microsoft Bing|https://www.bing.com Um mehrere Lesezeichen zu konfigurieren, trennen Sie jedes Paar durch das doppelte Zeichen || .Beispiel: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Meine Apps Lesezeichen
Standardmäßig haben Benutzer das Meine Apps Lesezeichen im Ordner organization in Edge für iOS und Android konfiguriert.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.MyApps | true (Standard) zeigt Meine Apps in den Edge für iOS- und Android-Lesezeichen an. false blendet Meine Apps in Edge für iOS und Android aus. |
App-Verhaltenserfahrungen
Edge für iOS und Android bietet Organisationen mehrere Optionen zum Verwalten des App-Verhaltens.
einmaliges Anmelden mit Microsoft Entra Kennwort
Die von Microsoft Entra ID angebotene Microsoft Entra SSO-Funktionalität (Single Sign-On, Einmaliges Anmelden) für Kennwort ermöglicht die Benutzerzugriffsverwaltung für Webanwendungen, die keinen Identitätsverbund unterstützen. Standardmäßig führt Edge für iOS und Android kein einmaliges Anmelden mit den Microsoft Entra Anmeldeinformationen aus. Weitere Informationen finden Sie unter Hinzufügen des kennwortbasierten einmaligen Anmeldens zu einer Anwendung.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.PasswordSSO | true Microsoft Entra Kennwort-SSO aktiviert ist false (Standard) Microsoft Entra Kennwort-SSO deaktiviert ist |
Standardprotokollhandler
Standardmäßig verwendet Edge für iOS und Android den HTTPS-Protokollhandler, wenn der Benutzer das Protokoll nicht in der URL angibt. Im Allgemeinen gilt dies als bewährte Methode, kann aber deaktiviert werden.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.defaultHTTPS | True (Standard)-Protokollhandler ist HTTPS False-Standardprotokollhandler ist HTTP |
Deaktivieren optionaler Diagnosedaten
Standardmäßig können Benutzer optionale Diagnosedaten unter Einstellungen-Datenschutz>und Sicherheit-Diagnosedaten-Optionale>>Diagnosedaten senden. Organisationen können diese Einstellung deaktivieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.disableShareUsageData | STIMMT Optionale Diagnosedateneinstellung ist deaktiviert false (Standard) Die Option kann von Benutzern aktiviert oder deaktiviert werden. |
Hinweis
Die optionale Einstellung für Diagnosedaten wird benutzern auch während der Ersten Ausführung (First Run Experience, FRE) angezeigt. Organisationen können diesen Schritt mithilfe der MDM-Richtlinie EdgeDisableShareUsageData überspringen.
Deaktivieren bestimmter Features
Mit Edge für iOS und Android können Organisationen bestimmte Features deaktivieren, die standardmäßig aktiviert sind. Um diese Features zu deaktivieren, konfigurieren Sie die folgende Einstellung:
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.disabledFeatures | password deaktiviert Aufforderungen, die anbieten, Kennwörter für den Endbenutzer zu speichern Inprivate deaktiviert InPrivate-Browsen AutoAusfüllen deaktiviert "Adressen speichern und ausfüllen" und "Zahlungsinformationen speichern und ausfüllen". Automatisches Ausfüllen wird auch für zuvor gespeicherte Informationen deaktiviert. Translator deaktiviert Übersetzer Laut vorlesen deaktiviert laut vorlesen drop deaktiviert drop Coupons deaktiviert Coupons Erweiterungen deaktiviert (nur Edge für Android) developertools graut die Buildversionsnummern aus, um zu verhindern, dass Benutzer auf Entwickleroptionen zugreifen (nur Edge für Android) Um mehrere Features zu deaktivieren, trennen Sie Werte mit | . Beispielsweise inprivate|password deaktiviert sowohl InPrivate- als auch Kennwortspeicher. |
Funktion zum Importieren von Kennwörtern deaktivieren
Edge für iOS und Android ermöglicht Benutzern das Importieren von Kennwörtern aus dem Kennwort-Manager. Um den Import von Kennwörtern zu deaktivieren, konfigurieren Sie die folgende Einstellung:
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.disableImportPasswords | STIMMT Deaktivieren des Imports von Kennwörtern false (Standard) Importkennwörter zulassen |
Hinweis
Im Kennwort-Manager von Edge für iOS gibt es die Schaltfläche Hinzufügen . Wenn das Feature zum Importieren von Kennwörtern deaktiviert ist, wird auch die Schaltfläche Hinzufügen deaktiviert.
Cookiemodus steuern
Sie können steuern, ob Websites Cookies für Ihre Benutzer in Edge für Android speichern können. Konfigurieren Sie hierzu die folgende Einstellung:
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.cookieControlsMode | 0 (Standard) Cookies zulassen 1 Blockieren von Nicht-Microsoft-Cookies 2 Blockieren von Nicht-Microsoft-Cookies im InPrivate-Modus 3 Alle Cookies blockieren |
Hinweis
Edge für iOS unterstützt keine Steuerung von Cookies.
Funktionen im Kioskmodus auf Android-Geräten
Edge für Android kann als Kiosk-App mit den folgenden Einstellungen aktiviert werden:
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.enableKioskMode | True aktiviert den Kioskmodus für Edge für Android. false (Standard) deaktiviert den Kioskmodus. |
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | true zeigt die Adressleiste im Kioskmodus an. false (Standard) blendet die Adressleiste aus, wenn der Kioskmodus aktiviert ist. |
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | true zeigt die untere Aktionsleiste im Kioskmodus an. false (Standard) blendet die untere Leiste aus, wenn der Kioskmodus aktiviert ist. |
Gesperrter Ansichtsmodus
Edge für iOS und Android kann als Gesperrter Ansichtsmodus mit der MDM-Richtlinie EdgeLockedViewModeEnabled aktiviert werden.
Schlüssel | Wert |
---|---|
EdgeLockedViewModeEnabled | false (Standard) Gesperrter Ansichtsmodus ist deaktiviert STIMMT Gesperrter Ansichtsmodus ist aktiviert |
Es ermöglicht Organisationen, verschiedene Browserfunktionen einzuschränken, wodurch eine kontrollierte und fokussierte Browsererfahrung bereitgestellt wird.
- Die URL-Adressleiste wird schreibgeschützt, sodass Benutzer keine Änderungen an der Webadresse vornehmen können.
- Benutzer dürfen keine neuen Registerkarten erstellen.
- Das Feature für die kontextbezogene Suche auf Webseiten ist deaktiviert.
- Die folgenden Schaltflächen unter dem Überlaufmenü sind deaktiviert.
Schaltflächen | State |
---|---|
Neue Registerkarte "InPrivate" | Deaktiviert |
An Geräte senden | Deaktiviert |
Drop | Deaktiviert |
Zu Telefon hinzufügen (Android) | Deaktiviert |
Downloadseite (Android) | Deaktiviert |
Der Gesperrte Ansichtsmodus wird häufig zusammen mit der MAM-Richtlinie com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL oder der MDM-Richtlinie EdgeNewTabPageCustomURL verwendet, mit der Organisationen eine bestimmte Webseite konfigurieren können, die beim Öffnen von Edge automatisch gestartet wird. Benutzer sind auf diese Webseite beschränkt und können nicht zu anderen Websites navigieren, wodurch eine kontrollierte Umgebung für bestimmte Aufgaben oder die Nutzung von Inhalten bereitgestellt wird.
Hinweis
Standardmäßig dürfen Benutzer keine neuen Registerkarten im gesperrten Ansichtsmodus erstellen. Legen Sie zum Zulassen der Registerkartenerstellung die MDM-Richtlinie EdgeLockedViewModeAllowedActions auf newtabs fest.
Wechseln des Netzwerkstapels zwischen Chromium und iOS
Microsoft Edge für iOS und Android verwendet standardmäßig den Chromium Netzwerkstapel für die Microsoft Edge-Dienstkommunikation, einschließlich Synchronisierungsdienste, Vorschläge zur automatischen Suche und Senden von Feedback. Microsoft Edge für iOS bietet auch den iOS-Netzwerkstapel als konfigurierbare Option für die Microsoft Edge-Dienstkommunikation.
Organisationen können ihre Netzwerkstapelpräferenz ändern, indem sie die folgende Einstellung konfigurieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NetworkStackPref | 0 (Standard) verwenden Sie den Chromium Netzwerkstapel. 1 : Verwenden des iOS-Netzwerkstapels |
Hinweis
Die Verwendung des Chromium Netzwerkstapels wird empfohlen. Wenn beim Senden von Feedback mit dem Chromium Netzwerkstapel Synchronisierungsprobleme oder Fehler auftreten, z. B. bei bestimmten PRO-App-VPN-Lösungen, kann die Verwendung des iOS-Netzwerkstapels die Probleme beheben.
Festlegen einer PROXY-PAC-Datei-URL
Organisationen können eine URL zu einer PAC-Datei (Proxy Auto-Config) für Microsoft Edge für Android angeben.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Geben Sie eine gültige URL zu einer PAC-Proxydatei an. Beispiel: https://internal.site/example.pac |
Unterstützung für pac-Fehler beim Öffnen
Standardmäßig blockiert Microsoft Edge für Android den Netzwerkzugriff mit einem ungültigen oder nicht verfügbaren PAC-Skript. Organisationen können jedoch das Standardverhalten in PAC failed open ändern.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled | false (Standard) Netzwerkzugriff blockieren STIMMT Netzwerkzugriff zulassen |
Proxy für Benutzer zur Anmeldung bei Edge in Android.
Eine automatische Proxykonfiguration (Proxy Auto-Configuration, PAC) wird in der Regel im VPN-Profil konfiguriert. Aufgrund einer Plattformeinschränkung kann die PAC jedoch nicht von Android WebView erkannt werden, das während des Edge-Anmeldevorgangs verwendet wird. Benutzer können sich unter Android möglicherweise nicht bei Edge anmelden.
Organisationen können einen dedizierten Proxy über eine MDM-Richtlinie angeben, damit sich Benutzer in Android bei Edge anmelden können.
Schlüssel | Wert |
---|---|
EdgeOneAuthProxy | Der entsprechende Wert ist eine Zeichenfolge. Beispiel http://MyProxy.com:8080 |
iOS-Websitedatenspeicher
Der Websitedatenspeicher in Edge für iOS ist für die Verwaltung von Cookies, Datenträger- und Speichercaches sowie verschiedenen Datentypen unerlässlich. Es gibt jedoch nur einen persistenten Websitedatenspeicher in Edge für iOS. Standardmäßig wird dieser Datenspeicher ausschließlich von persönlichen Konten verwendet, was zu einer Einschränkung führt, wenn Geschäfts-, Schul- oder Unikonten ihn nicht verwenden können. Folglich gehen Browserdaten, ausgenommen Cookies, nach jeder Sitzung für Geschäfts-, Schul- oder Unikonten verloren. Um die Benutzererfahrung zu verbessern, können Organisationen den Websitedatenspeicher für die Verwendung durch Geschäfts-, Schul- oder Unikonten konfigurieren und so die Persistenz der Browserdaten sicherstellen.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore | 0 Der Websitedatenspeicher wird immer nur von persönliches Konto 1 Der Websitedatenspeicher wird vom ersten angemeldeten Konto verwendet. 2 (Standard) Der Websitedatenspeicher wird unabhängig von der Anmeldereihenfolge vom Geschäfts-, Schul- oder Unikonto verwendet. |
Hinweis
Mit der Veröffentlichung von iOS 17 werden jetzt mehrere persistente Speicher unterstützt. Arbeits- und persönliches Konto verfügen über einen eigenen festgelegten persistenten Speicher. Daher ist diese Richtlinie ab Version 122 nicht mehr gültig.
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen ist ein Feature, mit dem Benutzer schädliche Websites und Downloads vermeiden können. Diese Anwendung ist standardmäßig aktiviert. Organisationen können diese Einstellung deaktivieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | true (Standard) Microsoft Defender SmartScreen aktiviert ist. false Microsoft Defender SmartScreen deaktiviert ist. |
Zertifikatüberprüfung
Standardmäßig überprüft Microsoft Edge für Android Serverzertifikate mithilfe der integrierten Zertifikatüberprüfung und des Microsoft Root Store als Quelle der öffentlichen Vertrauenswürdigkeit. Organisationen können zu Systemzertifikatüberprüfungs- und Systemstammzertifikaten wechseln.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | true (Standard) Verwenden Sie die integrierte Zertifikatüberprüfung und den Microsoft Root Store, um Zertifikate zu überprüfen. FALSE Verwenden Sie die Systemzertifikatüberprüfung und Systemstammzertifikate als Quelle der öffentlichen Vertrauensstellung, um Zertifikate zu überprüfen. |
Hinweis
Ein Anwendungsfall für diese Richtlinie ist, dass Sie Systemzertifikatüberprüfungs- und Systemstammzertifikate verwenden müssen, wenn Sie Microsoft MAM Tunnel in Edge für Android verwenden.
SSL-Warnseitensteuerelement
Standardmäßig können Benutzer durch Warnseiten klicken, die angezeigt werden, wenn Benutzer zu Websites navigieren, die SSL-Fehler aufweisen. Organisationen können das Verhalten verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | true (Standard) Benutzern das Klicken auf SSL-Warnseiten erlauben FALSE Verhindern, dass Benutzer durch SSL-Warnseiten klicken |
Popupeinstellungen
Standardmäßig sind Popups blockiert. Organisationen können das Verhalten verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | 1 Allen Websites das Anzeigen von Popups erlauben 2 (Standard) Keine Website zum Anzeigen von Popups zulassen |
Popup auf bestimmten Websites zulassen
Wenn diese Richtlinie nicht konfiguriert ist, wird der Wert aus der DefaultPopupsSetting-Richtlinie (sofern festgelegt) oder der persönlichen Konfiguration des Benutzers für alle Websites verwendet. Organisationen können eine Liste von Websites definieren, die ein Popup öffnen können.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie blockieren möchten, als einzelnen Wert ein, getrennt durch ein Pipezeichen | . Beispiele: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Popupfenster auf bestimmten Websites blockieren
Wenn diese Richtlinie nicht konfiguriert ist, wird der Wert aus der DefaultPopupsSetting-Richtlinie (sofern festgelegt) oder der persönlichen Konfiguration des Benutzers für alle Websites verwendet. Organisationen können eine Liste von Websites definieren, für die das Öffnen des Popups blockiert ist.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie blockieren möchten, als einzelnen Wert ein, getrennt durch ein Pipezeichen | . Beispiele: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Standardsuchanbieter
Standardmäßig verwendet Edge den Standardsuchanbieter, um eine Suche durchzuführen, wenn Benutzer Nicht-URL-Texte in die Adressleiste eingeben. Benutzer können die Suchanbieterliste ändern. Organisationen können das Suchanbieterverhalten verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | STIMMT Aktivieren des Standardsuchanbieters FALSE Deaktivieren des Standardsuchanbieters |
Konfigurieren des Suchanbieters
Organisationen können einen Suchanbieter für Benutzer konfigurieren. Zum Konfigurieren eines Suchanbieters muss zuerst die Richtlinie DefaultSearchProviderEnabled konfiguriert werden.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | Der entsprechende Wert ist eine Zeichenfolge. Beispiel My Intranet Search |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | Der entsprechende Wert ist eine Zeichenfolge. Beispiel https://search.my.company/search?q={searchTerms} |
Externe Apps öffnen
Wenn eine Webseite das Öffnen einer externen App anfordert, wird benutzern ein Popup angezeigt, in dem sie aufgefordert werden, die externe App zu öffnen oder nicht. Organisationen können das Verhalten verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.OpeningExternalApps | 0 (Standard) Zeigen Sie das Popupfenster an, in dem Benutzer auswählen können, ob sie in Edge bleiben oder von externen Apps öffnen können. 1 Öffnen Sie immer innerhalb von Edge, ohne das Popupfenster anzuzeigen. 2 Öffnen Sie immer mit externen Apps, ohne das Popupfenster anzuzeigen. Wenn externe Apps nicht installiert sind, entspricht das Verhalten dem Wert 1. |
Hinweis
Ab Version 120.2210.99 wurde das App-Sprungblockerfeature entfernt. Externe Apps werden standardmäßig über Edge geöffnet. Daher ist diese Richtlinie ab Version 120.2210.99 nicht mehr gültig.
Copilot
Hinweis
Copilot wird auch als Bing Chat Enterprise bezeichnet.
Copilot ist in Microsoft Edge für iOS und Android verfügbar. Benutzer können Copilot starten, indem sie in der unteren Leiste auf die Schaltfläche Copilot klicken.
Es gibt drei Einstellungen in Settings-General-Copilot>> for Copilot.
- Copilot anzeigen – Steuern, ob die Bing-Schaltfläche auf der unteren Leiste angezeigt werden soll
- Zugriff auf eine beliebige Webseite oder PDF zulassen – Steuern, ob Copilot den Zugriff auf Seiteninhalte oder PDF-Dateien erlauben soll
- Schnellzugriff bei der Textauswahl – Steuern, ob der Bereich "Schnellchat" angezeigt werden soll, wenn Text auf einer Webseite ausgewählt ist
Sie können die Einstellungen für Copilot verwalten.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.Chat | true (Standard) Benutzer können die Bing-Schaltfläche in der unteren Leiste sehen. Einstellung Copilot anzeigen ist standardmäßig aktiviert und kann von Benutzern deaktiviert werden FALSE Benutzer können die Bing-Schaltfläche in der unteren Leiste nicht sehen. Einstellung Copilot anzeigen ist deaktiviert und kann von Benutzern nicht aktiviert werden |
com.microsoft.intune.mam.managedbrowser.ChatPageContext | true (Standard) Copilot kann auf Seiteninhalte zugreifen. Zugriff auf beliebige Webseiten oder PDF-Dateien zulassen und die Option "Schnellzugriff bei Textauswahl " in den Copilot-Einstellungen sind standardmäßig aktiviert und können von Benutzern deaktiviert werden. FALSE Copilot kann nicht auf Seiteninhalte zugreifen. Zugriff auf webseiten- oder PDF-Dateien zulassen und die Option "Schnellzugriff bei Textauswahl " in den Copilot-Einstellungen werden deaktiviert und können von Benutzern nicht aktiviert werden. |
Konfigurationsszenarien für Datenschutz-Apps
Edge für iOS und Android unterstützt App-Konfigurationsrichtlinien für die folgenden Datenschutzeinstellungen, wenn die App von Microsoft Intune verwaltet wird, wobei eine verwaltete App App Configuration Richtlinie auf das Geschäfts-, Schul- oder Unikonto angewendet wird, das bei der App angemeldet ist:
- Verwalten der Kontosynchronisierung
- Verwalten eingeschränkter Websites
- Verwalten der Proxykonfiguration
- Verwalten von NTLM-Websites für einmaliges Anmelden
Diese Einstellungen können unabhängig vom Registrierungsstatus des Geräts für die App bereitgestellt werden.
Verwalten der Kontosynchronisierung
Standardmäßig ermöglicht die Microsoft Edge-Synchronisierung Benutzern den Zugriff auf ihre Browserdaten auf allen angemeldeten Geräten. Zu den von der Synchronisierung unterstützten Daten gehören:
- Favoriten
- Kennwörter
- Adressen und mehr (Formulareintrag für automatisches Ausfüllen)
Die Synchronisierungsfunktion wird über die Zustimmung des Benutzers aktiviert, und Benutzer können die Synchronisierung für jeden der oben aufgeführten Datentypen aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Microsoft Edge Sync.
Organisationen haben die Möglichkeit, die Edge-Synchronisierung unter iOS und Android zu deaktivieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.account.syncDisabled | True deaktiviert die Edge-Synchronisierung. false (Standard) ermöglicht die Edge-Synchronisierung. |
Verwalten eingeschränkter Websites
Organisationen können definieren, auf welche Websites Benutzer innerhalb des Geschäfts-, Schul- oder Unikontokontexts in Edge für iOS und Android zugreifen können. Wenn Sie eine Zulassungsliste verwenden, können Ihre Benutzer nur auf die explizit aufgeführten Websites zugreifen. Wenn Sie eine blockierte Liste verwenden, können Benutzer auf alle Websites mit Ausnahme der websites zugreifen, die explizit blockiert wurden. Sie sollten nur eine zulässige oder eine blockierte Liste auferlegen, nicht beides. Wenn Sie beides erzwingen, wird nur die Zulässige Liste berücksichtigt.
Organisationen definieren auch, was passiert, wenn ein Benutzer versucht, zu einer eingeschränkten Website zu navigieren. Standardmäßig sind Übergänge zulässig. Wenn der organization dies zulässt, können eingeschränkte Websites im persönliches Konto Kontext, im InPrivate-Kontext des Microsoft Entra-Kontos oder ob die Website vollständig blockiert ist geöffnet werden. Weitere Informationen zu den verschiedenen unterstützten Szenarien finden Sie unter Eingeschränkte Websiteübergänge in Microsoft Edge Mobile. Durch das Zulassen von Übergangserfahrungen bleiben die Benutzer der organization geschützt, während Unternehmensressourcen geschützt bleiben.
Hinweis
Edge für iOS und Android kann den Zugriff auf Websites nur blockieren, wenn direkt darauf zugegriffen wird. Der Zugriff wird nicht blockiert, wenn Benutzer Zwischendienste (z. B. einen Übersetzungsdienst) für den Zugriff auf die Website verwenden. URLs, die Edge starten, z Edge://*
. B. , Edge://flags
und Edge://net-export
, werden in der App-Konfigurationsrichtlinie AllowListURLs oder BlockListURLs für verwaltete Apps nicht unterstützt. Stattdessen können Sie die App-Konfigurationsrichtlinie URLAllowList oder URLBlocklist für verwaltete Geräte verwenden. Weitere Informationen finden Sie unter Microsoft Edge mobile Richtlinien.
Verwenden Sie die folgenden Schlüssel-Wert-Paare, um entweder eine Liste zulässiger oder blockierter Websites für Edge für iOS und Android zu konfigurieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.AllowListURLs | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie zulassen möchten, als einzelnen Wert ein, getrennt durch ein Pipe-Zeichen | . Beispiele: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
com.microsoft.intune.mam.managedbrowser.BlockListURLs | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie blockieren möchten, als einzelnen Wert ein, getrennt durch ein Pipezeichen | . Beispiele: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock | True (Standard) ermöglicht Es Edge für iOS und Android, eingeschränkte Websites zu übertragen. Wenn persönliche Konten nicht deaktiviert sind, werden Benutzer aufgefordert, entweder zum persönlichen Kontext zu wechseln, um die eingeschränkte Website zu öffnen, oder eine persönliches Konto hinzuzufügen. Wenn com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked auf true festgelegt ist, haben Benutzer die Möglichkeit, die eingeschränkte Website im InPrivate-Kontext zu öffnen. false verhindert, dass Edge für iOS und Android Benutzer übergehen kann. Benutzern wird einfach eine Meldung angezeigt, die besagt, dass die Website, auf die sie zugreifen möchten, blockiert ist. |
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked | True ermöglicht das Öffnen eingeschränkter Websites im InPrivate-Kontext des Microsoft Entra Kontos. Wenn das Microsoft Entra Konto das einzige in Edge für iOS und Android konfigurierte Konto ist, wird die eingeschränkte Website automatisch im InPrivate-Kontext geöffnet. Wenn der Benutzer eine persönliches Konto konfiguriert hat, wird er aufgefordert, zwischen dem Öffnen von InPrivate oder dem Wechseln zum persönliches Konto auszuwählen. False (Standard) erfordert, dass die eingeschränkte Website im persönliches Konto des Benutzers geöffnet wird. Wenn persönliche Konten deaktiviert sind, wird die Website blockiert. Damit diese Einstellung wirksam wird, muss com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock auf true festgelegt werden. |
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Geben Sie die Anzahl der Sekunden ein, die Benutzern die Benachrichtigung "Der Zugriff auf diese Website wird von Ihrem organization blockiert. Wir haben es im InPrivate-Modus geöffnet, damit Sie auf die Website zugreifen können." Standardmäßig wird die Snackbar-Benachrichtigung 7 Sekunden lang angezeigt. |
Die folgenden Websites sind unabhängig von den definierten Einstellungen für zulassungs- oder sperrliste immer zulässig:
https://*.microsoft.com/*
http://*.microsoft.com/*
https://microsoft.com/*
http://microsoft.com/*
https://*.windowsazure.com/*
https://*.microsoftonline.com/*
https://*.microsoftonline-p.com/*
URL-Formate für die Liste zulässiger und blockierter Websites
Sie können verschiedene URL-Formate verwenden, um Listen mit zulässigen/blockierten Websites zu erstellen. Diese zulässigen Muster werden in der folgenden Tabelle ausführlich beschrieben.
Stellen Sie sicher, dass Sie allen URLs http:// oder https:// voran stellen, wenn Sie sie in die Liste eingeben.
Sie können das Platzhaltersymbol (*) gemäß den Regeln in der folgenden Liste zulässiger Muster verwenden.
Ein Wildcard kann nur mit einem Teil (z. B.
news-contoso.com
) oder einer gesamten Komponente des Hostnamens (z. B. ) oder ganzen Teilen des Pfads übereinstimmen,host.contoso.com
wenn sie durch Schrägstriche (www.contoso.com/images
) getrennt sind.Sie können Portnummern in der Adresse angeben. Wenn Sie keine Portnummer angeben, werden folgende Werte verwendet:
- Port 80 für HTTP
- Port 443 für https
Die Verwendung von Platzhaltern für die Portnummer wird nicht unterstützt.
http://www.contoso.com:*
undhttp://www.contoso.com:*/
werden beispielsweise nicht unterstützt.URL Details Übereinstimmungen Stimmt nicht überein http://www.contoso.com
Entspricht einer einzelnen Seite www.contoso.com
host.contoso.com
www.contoso.com/images
contoso.com/
http://contoso.com
Entspricht einer einzelnen Seite contoso.com/
host.contoso.com
www.contoso.com/images
www.contoso.com
http://www.contoso.com/*
Entspricht allen URLs, die mit beginnen www.contoso.com
www.contoso.com
www.contoso.com/images
www.contoso.com/videos/tvshows
host.contoso.com
host.contoso.com/images
http://*.contoso.com/*
Entspricht allen Unterdomänen unter contoso.com
developer.contoso.com/resources
news.contoso.com/images
news.contoso.com/videos
contoso.host.com
news-contoso.com
http://*contoso.com/*
Entspricht allen Unterdomänen, die mit enden contoso.com/
news-contoso.com
news-contoso.com.com/daily
news-contoso.host.com
news.contoso.com
http://www.contoso.com/images
Entspricht einem einzelnen Ordner www.contoso.com/images
www.contoso.com/images/dogs
http://www.contoso.com:80
Übereinstimmung mit einer einzelnen Seite mithilfe einer Portnummer www.contoso.com:80
https://www.contoso.com
Entspricht einer einzelnen sicheren Seite www.contoso.com
www.contoso.com
http://www.contoso.com/images/*
Entspricht einem einzelnen Ordner und allen Unterordnern. www.contoso.com/images/dogs
www.contoso.com/images/cats
www.contoso.com/videos
Im Folgenden finden Sie Beispiele für einige der Eingaben, die Sie nicht angeben können:
*.com
*.contoso/*
www.contoso.com/*images
www.contoso.com/*images*pigs
www.contoso.com/page*
- IP-Adressen
https://*
http://*
http://www.contoso.com:*
http://www.contoso.com: /*
Steuern des Verhaltens des Popupfensters "Website blockiert"
Beim Versuch, auf blockierte Websites zuzugreifen, werden Benutzer abhängig von den Richtlinienkonfigurationen AllowTransitionOnBlock und OpenInPrivateIfBlocked aufgefordert, entweder den Wechsel zu InPrivate oder persönliches Konto zu verwenden, um die blockierten Websites zu öffnen. Sie können einstellungen zwischen InPrivate und persönliches Konto auswählen.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock | 0: (Standard) Zeigt immer das Popupfenster an, das der Benutzer auswählen kann. 1: Wechseln Sie automatisch zu persönliches Konto, wenn sie angemeldet ist. 2: Wechseln Sie automatisch zu persönliches Konto, wenn sie angemeldet ist und InPrivate gleichzeitig aktiviert ist. 3:Wechseln Sie automatisch zu InPrivate, wenn es angemeldet ist und InPrivate gleichzeitig aktiviert ist. |
Hinweis
Die AutoTransitionModeOnBlock-Richtlinie ist derzeit nur für Edge für iOS verfügbar.
Steuern des Verhaltens beim Öffnen nicht verwalteter URLs
Diese Richtlinie soll das Verhalten des Öffnens Intune nicht verwalteten URL steuern.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitch | 0: (Standard) URLs werden in normalen Registerkarten mit Arbeitskonten geöffnet. 1: Microsoft Edge hält sich an die Schutzrichtlinie Intune. Das Verhalten wird durch die Konfiguration Daten von anderen Apps empfangen innerhalb der Intune-Schutzrichtlinie bestimmt. Wenn der Wert Alle Apps ist, wird beim Festlegen des Werts auf 1 auf das Verhalten für den Richtlinienwert 0 zurückversetzen. Wenn der Wert Keine oder von Richtlinien verwaltete Apps ist und die persönliches Konto angemeldet ist, werden URLs auf normalen Registerkarten mit persönlichem Profil geöffnet. Wenn die persönliches Konto nicht angemeldet ist, werden URLs in InPrivate geöffnet. Wenn InPrivate deaktiviert ist, werden die URLs nicht geöffnet. 2: (nur Android) Microsoft Edge überprüft URLAllowlist oder URLBlocklist. Die zulässigen URLs werden in normalen Registerkarten mit Arbeitskonten geöffnet. Die blockierten URLs können in InPrivate- oder normalen Registerkarten mit persönlichen Konten geöffnet werden. Die Funktionalität hängt jedoch davon ab, wie openInPrivateIfBlocked konfiguriert ist. |
Verwalten von Websites zum Zulassen des Hochladens von Dateien
Es kann Szenarien geben, in denen Benutzer nur Websites anzeigen dürfen, ohne Dateien hochladen zu können. Organisationen haben die Möglichkeit, festzulegen, welche Websites Dateiuploads empfangen können.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie blockieren möchten, als einzelnen Wert ein, getrennt durch ein Pipezeichen | . Beispiele: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie blockieren möchten, als einzelnen Wert ein, getrennt durch ein Pipezeichen | . Beispiele: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
Das Beispiel zum Blockieren des Hochladens von Dateien durch alle Websites, einschließlich interner Websites
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Ein Beispiel, um bestimmten Websites das Hochladen von Dateien zu gestatten
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Hinweis
Für Edge unter iOS wird die Einfügeaktion zusätzlich zu Uploads blockiert. Benutzern wird die Einfügeoption im Aktionsmenü nicht angezeigt.
Verwalten der Proxykonfiguration
Sie können Edge für iOS und Android und Microsoft Entra Anwendungsproxy zusammen verwenden, um Benutzern Zugriff auf Intranetwebsites auf ihren mobilen Geräten zu gewähren. Zum Beispiel:
- Ein Benutzer verwendet die mobile Outlook-App, die durch Intune geschützt ist. Anschließend klicken sie in einer E-Mail auf einen Link zu einer Intranetwebsite, und Edge für iOS und Android erkennt, dass diese Intranetwebsite für den Benutzer über Anwendungsproxy verfügbar gemacht wurde. Der Benutzer wird automatisch über Anwendungsproxy weitergeleitet, um sich mit jeder anwendbaren mehrstufigen Authentifizierung und bedingtem Zugriff zu authentifizieren, bevor er die Intranetwebsite erreicht. Der Benutzer kann jetzt auf interne Websites zugreifen, auch auf seinen mobilen Geräten, und der Link in Outlook funktioniert wie erwartet.
- Ein Benutzer öffnet Edge für iOS und Android auf dem iOS- oder Android-Gerät. Wenn Edge für iOS und Android mit Intune geschützt ist und Anwendungsproxy aktiviert ist, kann der Benutzer über die interne URL, für die er verwendet wird, zu einer Intranetwebsite wechseln. Edge für iOS und Android erkennt, dass diese Intranetwebsite für den Benutzer über Anwendungsproxy verfügbar gemacht wurde. Der Benutzer wird automatisch über Anwendungsproxy weitergeleitet, um sich zu authentifizieren, bevor er die Intranetwebsite erreicht.
Bevor Sie beginnen:
- Richten Sie Ihre internen Anwendungen über Microsoft Entra Anwendungsproxy ein.
- Informationen zum Konfigurieren Anwendungsproxy und Veröffentlichen von Anwendungen finden Sie in der Setupdokumentation.
- Stellen Sie sicher, dass der Benutzer der Microsoft Entra Anwendungsproxy-App zugewiesen ist, auch wenn die App mit dem Passthrough-Vorauthentifizierungstyp konfiguriert ist.
- Der Edge für iOS- und Android-App muss eine Intune App-Schutzrichtlinie zugewiesen sein.
- Microsoft-Apps müssen über eine App-Schutzrichtlinie verfügen, für die die Einstellung Datenübertragung von Webinhalten mit anderen Apps einschränken auf Microsoft Edge festgelegt ist.
Hinweis
Edge für iOS und Android aktualisiert die Anwendungsproxy Umleitungsdaten basierend auf dem letzten erfolgreichen Aktualisierungsereignis. Updates werden immer dann versucht, wenn das letzte erfolgreiche Aktualisierungsereignis größer als eine Stunde ist.
Verwenden Sie edge für iOS und Android mit dem folgenden Schlüssel-Wert-Paar, um Anwendungsproxy zu aktivieren.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection | true aktiviert szenarien für Microsoft Entra Anwendungsproxyumleitung false (Standard) verhindert Microsoft Entra Anwendungsproxyszenarien |
Weitere Informationen zur Verwendung von Edge für iOS und Android sowie zum Microsoft Entra Anwendungsproxys für den nahtlosen (und geschützten) Zugriff auf lokale Web-Apps finden Sie unter Besser zusammen: Intune und Microsoft Entra, um den Benutzerzugriff zu verbessern. Dieser Blogbeitrag verweist auf die Intune Managed Browser, aber der Inhalt gilt auch für Edge für iOS und Android.
Verwalten von NTLM-Websites für einmaliges Anmelden
Organisationen erfordern möglicherweise, dass Benutzer sich bei NTLM authentifizieren müssen, um auf Intranetwebsites zuzugreifen. Standardmäßig werden Benutzer bei jedem Zugriff auf eine Website, für die eine NTLM-Authentifizierung erforderlich ist, zur Eingabe von Anmeldeinformationen aufgefordert, da das Zwischenspeichern von NTLM-Anmeldeinformationen deaktiviert ist.
Organisationen können das Zwischenspeichern von NTLM-Anmeldeinformationen für bestimmte Websites aktivieren. Für diese Websites werden die Anmeldeinformationen standardmäßig 30 Tage lang zwischengespeichert, nachdem der Benutzer Anmeldeinformationen eingegeben und sich erfolgreich authentifiziert hat.
Schlüssel | Wert |
---|---|
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | Der entsprechende Wert für den Schlüssel ist eine Liste von URLs. Sie geben alle URLs, die Sie zulassen möchten, als einzelnen Wert ein, getrennt durch ein Pipe-Zeichen | . Beispiele: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Weitere Informationen zu den unterstützten URL-Formattypen finden Sie unter URL-Formate für zugelassene und blockierte Websitelisten. |
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Anzahl der Stunden zum Zwischenspeichern von Anmeldeinformationen, Standardwert 720 Stunden |
Zusätzliche App-Konfiguration für verwaltete Geräte
Die folgenden Richtlinien, die ursprünglich über die App-Konfigurationsrichtlinie für verwaltete Apps konfiguriert wurden, sind jetzt über die App-Konfigurationsrichtlinie für verwaltete Geräte verfügbar. Wenn Sie Richtlinien für verwaltete Apps verwenden, müssen sich Benutzer bei Microsoft Edge anmelden. Wenn Sie Richtlinien für verwaltete Geräte verwenden, müssen sich Benutzer nicht bei Edge anmelden, um die Richtlinien anzuwenden.
Da App-Konfigurationsrichtlinien für verwaltete Geräte eine Geräteregistrierung benötigen, wird jede einheitliche Endpunktverwaltung (Unified Endpoint Management, UEM) unterstützt. Weitere Richtlinien im MDM-Kanal finden Sie unter Microsoft Edge Mobile-Richtlinien.
MAM-Richtlinie | MDM-Richtlinie |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Bereitstellen von App-Konfigurationsszenarien mit Microsoft Intune
Wenn Sie Microsoft Intune als Verwaltungsanbieter für mobile Apps verwenden, können Sie mit den folgenden Schritten eine App-Konfigurationsrichtlinie für verwaltete Apps erstellen. Nachdem die Konfiguration erstellt wurde, können Sie die Einstellungen Benutzergruppen zuweisen.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Apps und dann App-Konfigurationsrichtlinien aus.
Wählen Sie auf dem Blatt App Configuration Richtlinien die Option Hinzufügen und dann Verwaltete Apps aus.
Geben Sie im Abschnitt Grundlagen einen Namen und optional eine Beschreibung für die App-Konfigurationseinstellungen ein.
Wählen Sie für Öffentliche Appsdie Option Öffentliche Apps auswählen und dann auf dem Blatt Gezielte Appsdie Option Edge für iOS und Android aus, indem Sie sowohl die iOS- als auch die Android-Plattform-Apps auswählen. Klicken Sie auf Auswählen , um die ausgewählten öffentlichen Apps zu speichern.
Klicken Sie auf Weiter , um die grundlegenden Einstellungen der App-Konfigurationsrichtlinie abzuschließen.
Erweitern Sie im Abschnitt Einstellungen die Edge-Konfigurationseinstellungen.
Wenn Sie die Datenschutzeinstellungen verwalten möchten, konfigurieren Sie die gewünschten Einstellungen entsprechend:
Wählen Sie für Anwendungsproxyumleitung eine der verfügbaren Optionen aus: Aktivieren, Deaktivieren (Standard).
Geben Sie unter Url-Verknüpfungs-URL eine gültige URL an, die das Präfix http:// oder https:// enthält. Falsche URLs werden als Sicherheitsmaßnahme blockiert.
Geben Sie für verwaltete Lesezeichen den Titel und eine gültige URL an, die das Präfix http:// oder https:// enthält.
Geben Sie für Zulässige URLs eine gültige URL an (nur diese URLs sind zulässig; auf andere Websites kann nicht zugegriffen werden). Weitere Informationen zu den unterstützten URL-Formattypen finden Sie unter URL-Formate für zugelassene und blockierte Websitelisten.
Geben Sie für blockierte URLs eine gültige URL an (nur diese URLs sind blockiert). Weitere Informationen zu den unterstützten URL-Formattypen finden Sie unter URL-Formate für zugelassene und blockierte Websitelisten.
Wählen Sie für Umleiten eingeschränkter Websites in den persönlichen Kontext eine der verfügbaren Optionen aus: Aktivieren (Standard), Deaktivieren.
Hinweis
Wenn sowohl zulässige URLs als auch blockierte URLs in der Richtlinie definiert sind, wird nur die Liste der zulässigen UrLs berücksichtigt.
Wenn Sie zusätzliche App-Konfigurationseinstellungen nicht in der obigen Richtlinie verfügbar machen möchten, erweitern Sie den Knoten Allgemeine Konfigurationseinstellungen , und geben Sie die Schlüssel-Wert-Paare entsprechend ein.
Wenn Sie die Konfiguration der Einstellungen abgeschlossen haben, wählen Sie Weiter aus.
Wählen Sie im Abschnitt Zuweisungen die Option Einzuschließende Gruppen auswählen aus. Wählen Sie die Microsoft Entra Gruppe aus, der Sie die App-Konfigurationsrichtlinie zuweisen möchten, und wählen Sie dann Auswählen aus.
Wenn Sie mit den Zuweisungen fertig sind, wählen Sie Weiter aus.
Überprüfen Sie auf dem Blatt App-Konfigurationsrichtlinie erstellen Überprüfen + erstellen die konfigurierten Einstellungen, und wählen Sie Erstellen aus.
Die neu erstellte Konfigurationsrichtlinie wird auf dem Blatt App-Konfiguration angezeigt.
Verwenden von Microsoft Edge für iOS und Android für den Zugriff auf Protokolle von verwalteten Apps
Benutzer, die Edge für iOS und Android auf ihrem iOS- oder Android-Gerät installiert haben, können die Verwaltungs-status aller von Microsoft veröffentlichten Apps anzeigen. Sie können Protokolle zur Problembehandlung für ihre verwalteten iOS- oder Android-Apps senden, indem sie die folgenden Schritte ausführen:
Öffnen Sie Edge für iOS und Android auf Ihrem Gerät.
Geben Sie
edge://intunehelp/
in das Adressfeld ein.Edge für iOS und Android startet den Problembehandlungsmodus.
Sie können Protokolle aus Microsoft-Support abrufen, indem Sie ihnen die Incident-ID des Benutzers zuweisen.
Eine Liste der in den App-Protokollen gespeicherten Einstellungen finden Sie unter Überprüfen von Client-App-Schutzprotokollen.
Diagnoseprotokolle
Neben Intune Protokollen von edge://intunehelp/
werden Sie möglicherweise von Microsoft-Support aufgefordert, Diagnoseprotokolle von Microsoft Edge für iOS und Android bereitzustellen. Sie können die Protokolle auf lokale Geräte herunterladen und für Microsoft-Support freigeben. So laden Sie die Protokolle auf lokale Geräte herunter:
1.Hilfe und Feedback über das Überlaufmenü öffnen
2.Klicken Sie auf Diagnosedaten
3.Klicken Sie für Microsoft Edge für iOS oben rechts auf das Symbol Freigeben . Das Dialogfeld für die Betriebssystemfreigabe wird angezeigt. Sie können die Protokolle lokal speichern oder für andere Apps freigeben. Klicken Sie für Microsoft Edge für Android in der oberen rechten Ecke auf das Untermenü, um Protokolle zu speichern. Die Protokolle werden im Ordner Download ->Edge gespeichert.
Sie können auch auf das Symbol Löschen klicken, um zuerst Protokolle zu löschen, um Aktualisierungsprotokolle abzurufen.
Hinweis
Das Speichern von Protokollen berücksichtigt auch die Intune App-Schutzrichtlinie. Daher ist es ihnen möglicherweise nicht gestattet, Diagnosedaten auf lokalen Geräten zu speichern.
Nächste Schritte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für