Verwalten des Internetzugriffs mittels Richtlinien für verwaltete Browser mit Configuration Manager
Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
Einstieg in System Center 2012 Configuration Manager SP2 können Sie Intune Managed Browser, eine Webbrowser-Anwendung, bereitstellen und der Anwendung eine Richtlinie für verwaltete Browser zuordnen. Die Richtlinie für verwaltete Browser konfiguriert die Liste "Zulassen" oder "Blockieren", um die Websites einzuschränken, die Benutzer des verwalteten Browsers besuchen können.
Da diese App eine verwaltete App ist, können Sie darauf auch Verwaltungsrichtlinien für mobile Anwendungen anwenden. Hierzu zählt beispielsweise, die Verwendung der Funktionen zum Ausschneiden, Kopieren und Einfügen zu steuern, Bildschirmaufnahmen zu verhindern und sicherzustellen, dass Links zu Inhalten, auf die Benutzer klicken, in anderen verwalteten Apps geöffnet werden. Details finden Sie unter Steuern von Apps mithilfe von Verwaltungsrichtlinien für mobile Anwendungen in Configuration Manager.
Wichtig |
---|
Wenn Benutzer den verwalteten Browser selbst installieren, wird er durch keine von Ihnen angegebenen Richtlinien verwaltet. Um sicherzustellen, dass der Browser von Configuration Manager verwaltet wird, muss die App deinstalliert werden, bevor Sie sie als verwaltete Anwendung bereitstellen können. |
Sie können Richtlinien für verwaltete Browser für die folgenden Gerätetypen erstellen:
Geräte unter Android 4 und höher
Geräte unter iOS 7 und höher
Hinweis |
---|
Weitere Informationen zur Intune Managed Browser-App finden Sie unter iTunes für iOS und Google Play für Android. |
Erstellen einer Richtlinie für verwaltete Browser
-
Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.
-
Erweitern Sie im Arbeitsbereich Softwarebibliothek den Knoten Anwendungsverwaltung, und klicken Sie dann auf Anwendungsverwaltungsrichtlinien.
-
Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Anwendungsverwaltungsrichtlinie erstellen.
-
Geben Sie auf der Seite Allgemein den Namen und die Beschreibung für die Richtlinie ein, und klicken Sie dann auf Weiter.
-
Wählen Sie auf der Seite Richtlinientyp die Plattform aus, wählen Sie Verwalteter Browser als Richtlinientyp aus, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Verwalteter Browser eine der folgenden Optionen aus:
- **Der verwaltete Browser kann nur die unten aufgeführten URLs öffnen** – Geben Sie eine Liste mit URLs an, die der verwaltete Browser öffnen kann. - **Der verwaltete Browser kann die unten aufgeführten URLs nicht öffnen** – Geben Sie eine Liste mit URLs an, die der verwaltete Browser nicht öffnen kann.
Hinweis Eine Richtlinie für verwaltete Browser kann nicht sowohl zulässige als auch blockierte URLs enthalten.
Weitere Informationen zu den festlegbaren URL-Formaten finden Sie in diesem Thema unter URL-Format für zulässige und blockierte URLs.
Hinweis Mit dem Richtlinientyp Allgemein können Sie die Funktionalität von bereitgestellten Apps ändern, um sie an die Konformitäts- und Sicherheitsrichtlinien Ihres Unternehmens anzupassen. Sie können z. B. Ausschneide-, Kopier- und Einfügevorgänge innerhalb einer eingeschränkten App einschränken. Weitere Informationen zum Richtlinientyp "Allgemein" finden Sie unter Steuern von Apps mithilfe von Verwaltungsrichtlinien für mobile Anwendungen in Configuration Manager.
-
Schließen Sie den Assistenten ab.
Die neue Richtlinie wird im Knoten Anwendungsverwaltungsrichtlinien des Arbeitsbereichs Softwarebibliothek angezeigt.
Erstellen einer Softwarebereitstellung für die Managed Browser-App
Nachdem Sie die Richtlinie für verwaltete Browser erstellt haben, können Sie einen Softwarebereitstellungstyp für die Managed Browser-App erstellen. Sie müssen der Managed Browser-App eine Richtlinie "Allgemein" und eine Richtlinie "Verwalteter Browser" zuordnen.
Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Anwendungen für mobile Geräte in Configuration Manager.
Sicherheit und Datenschutz für den verwalteten Browser
Auf iOS-Geräten können von Benutzern besuchte Websites, deren Zertifikat abgelaufen oder nicht vertrauenswürdig ist, nicht geöffnet werden.
Einstellungen, die Benutzer für den integrierten Browser auf ihren Geräten vornehmen, werden nicht vom verwalteten Browser verwendet. Dies liegt daran, da der verwaltete Browser keinen Zugriff auf diese Einstellungen hat.
Wenn Sie die Option Einfache PIN für Zugriff anfordern oder Unternehmensanmeldeinformationen für Zugriff anfordern in einer Richtlinie für die Verwaltung mobiler Anwendung konfigurieren, die mit dem verwalteten Browser verknüpft ist, und ein Benutzer auf der Authentifizierungsseite auf den Hilfe-Link klickt, kann er beliebige Websites auch dann durchsuchen, wenn diese in der Richtlinie für verwaltete Browser einer Sperrliste hinzugefügt wurden.
Der verwaltete Browser kann nur den Zugriff auf Websites blockieren, wenn darauf direkt zugegriffen wird. Der Zugriff auf die Website kann nicht blockiert werden, wenn dafür Zwischendienste (z. B. ein Übersetzungsdienst) verwendet werden.
Referenzinformationen
URL-Format für zulässige und blockierte URLs
Nachfolgend wird erläutert, welche Formate und Platzhalter Sie zum Festlegen von URLs in den Zulassungs- und Sperrlisten verwenden können.
Sie können das Platzhaltersymbol '*" gemäß den Regeln in der nachfolgenden Liste mit zugelassenen Mustern verwenden.
Stellen Sie sicher, dass Sie bei der Eingabe in die Liste allen URLs http oder https voranstellen.
Sie können Portnummern in der Adresse angeben. Wenn Sie keine Portnummer angeben, werden folgende Werte verwendet:
Port 80 für http
Port 443 für https
Das Verwenden von Platzhaltern für die Portnummer wird nicht unterstützt: Beispiele: https://www.contoso.com :* und https://www.contoso.com: / *
In der folgenden Tabelle sind die zugelassenen Muster aufgeführt, die Sie zum Festlegen von URLs verwenden können:
URL
Beschreibung
Treffer
Stimmt nicht überein mit
https://www.contoso.com
Entspricht einer einzelnen Seite
www.contoso.com
host.contoso.com
www.contoso.com/images
contoso.com/
https://contoso.com
Entspricht einer einzelnen Seite
contoso.com/
host.contoso.com
www.contoso.com/images
www.contoso.com
https://www.contoso.com/*
Entspricht allen URLs, die mit www.contoso.com beginnen
www.contoso.com
www.contoso.com/images
www.contoso.com/videos/tvshows
host.contoso.com
host.contoso.com/images
http://*.contoso.com/*
Entspricht allen Unterdomänen unter "contoso.com"
developer.contoso.com/resources
news.contoso.com/images
news.contoso.com/videos
contoso.host.com
https://www.contoso.com/images
Entspricht einem einzelnen Ordner
www.contoso.com/images
www.contoso.com/images/dogs
https://www.contoso.com:80
Entspricht einer einzelnen Seite mit einer Portnummer
https://www.contoso.com:80
https://www.contoso.com
Entspricht einer einzelnen, sicheren Seite
https://www.contoso.com
https://www.contoso.com
https://www.contoso.com/images/*
Entspricht einem einzelnen Ordner und allen Unterordnern
www.contoso.com/images/dogs
www.contoso.com/images/cats
www.contoso.com/videos
Es folgen Beispiele für einige der Eingaben, die Sie nicht festlegen können:
*.com
*.contoso/*
IP-Adressen
https://*
http://*
Hinweis |
---|
*. microsoft.com ist immer zulässig – es wird immer als zulässig behandelt. |
Lösen von Konflikten zwischen der Zulassungs- und Sperrliste
Wenn mehrere Richtlinien für verwaltete Browser für ein Gerät bereitgestellt werden und Einstellungen in Konflikt stehen, werden sowohl der Modus (zulassen oder blockieren) als auch die URL-Listen ausgewertet. Bei einem Konflikt gilt folgendes Verhalten:
Wenn die Modi in jeder Richtlinie identisch sind, aber die URL-Listen voneinander abweichen, werden die URLs auf dem Gerät nicht erzwungen.
Wenn die Modi in jeder Richtlinie voneinander abweichen, aber die URL-Listen identisch sind , werden die URLs auf dem Gerät nicht erzwungen.
Wenn ein Gerät erstmals Richtlinien für verwaltete Browser empfängt und zwei Richtlinien in Konflikt stehen, werden die URLs auf dem Gerät nicht erzwungen. Sie können die Konflikte über den Knoten Richtlinienkonflikte des Arbeitsbereichs Richtlinie anzeigen.
Wenn ein Gerät bereits ein Richtlinie für verwaltete Browser erhalten hat und eine zweite Richtlinie mit in Konflikt stehenden Einstellungen bereitgestellt wird, bleiben die ursprünglichen Einstellungen auf dem Gerät bestehen. Sie können die Konflikte über den Knoten Richtlinienkonflikte des Arbeitsbereichs Richtlinie anzeigen.