Gérer Microsoft Edge sur iOS et Android avec Intune
Edge pour iOS et Android est conçu pour permettre aux utilisateurs de parcourir le web et prend en charge les identités multiples. Les utilisateurs peuvent ajouter un compte professionnel, ainsi qu’un compte personnel, pour la navigation. Il existe une séparation complète entre les deux identités, à l’instar de ce qui est proposé dans d’autres applications mobiles Microsoft.
Cette fonctionnalité s’applique à :
- iOS/iPadOS 14.0 ou version ultérieure
- Android 8.0 ou version ultérieure pour les appareils inscrits et Android 9.0 ou version ultérieure pour les appareils non inscrits
Remarque
Edge pour iOS et Android ne consomme pas les paramètres définis par les utilisateurs pour le navigateur natif sur leurs appareils, car Edge pour iOS et Android ne peut pas accéder à ces paramètres.
Les fonctionnalités de protection les plus riches et les plus étendues pour les données Microsoft 365 sont disponibles lorsque vous vous abonnez à la suite Enterprise Mobility + Security, qui inclut des fonctionnalités Microsoft Intune et Microsoft Entra ID P1 ou P2, telles que l’accès conditionnel. Au minimum, vous souhaiterez déployer une stratégie d’accès conditionnel qui autorise uniquement la connectivité à Edge pour iOS et Android à partir d’appareils mobiles et une stratégie de protection des applications Intune qui garantit la protection de l’expérience de navigation.
Remarque
Les nouveaux clips web (applications web épinglées) sur les appareils iOS s’ouvrent dans Edge pour iOS et Android au lieu du Intune Managed Browser si nécessaire pour s’ouvrir dans un navigateur protégé. Pour les clips web iOS plus anciens, vous devez les cibler à nouveau pour vous assurer qu’ils s’ouvrent dans Edge pour iOS et Android plutôt que dans le Managed Browser.
Appliquer l’accès conditionnel
Les organisations peuvent utiliser des stratégies d’accès conditionnel Microsoft Entra pour s’assurer que les utilisateurs peuvent uniquement accéder au contenu professionnel ou scolaire à l’aide de Edge pour iOS et Android. Pour ce faire, vous avez besoin d’une stratégie d’accès conditionnel qui cible tous les utilisateurs potentiels. Ces stratégies sont décrites dans Accès conditionnel : exiger des applications clientes approuvées ou une stratégie de protection des applications.
Suivez les étapes décrites dans Exiger des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles, ce qui permet à Edge pour iOS et Android, mais empêche d’autres navigateurs web d’appareils mobiles de se connecter à Microsoft 365 points de terminaison.
Remarque
Cette stratégie garantit que les utilisateurs mobiles peuvent accéder à tous les points de terminaison Microsoft 365 à partir de Edge pour iOS et Android. Cette stratégie empêche également les utilisateurs d’utiliser InPrivate pour accéder à Microsoft 365 points de terminaison.
Avec l’accès conditionnel, vous pouvez également cibler les sites locaux que vous avez exposés à des utilisateurs externes via le proxy d’application Microsoft Entra.
Remarque
Pour recourir à des stratégies d'accès conditionnel basées sur l'application, l'application Microsoft Authenticator doit être installée sur les appareils iOS. Pour les appareils Android, l’application Portail d'entreprise Intune est obligatoire. Pour en savoir plus, consultez l'article Accès conditionnel basé sur l'application avec Intune.
Créer des stratégies de protection des applications Intune
Les stratégies de protection des applications (SPA) définissent les applications autorisées et les actions qu’elles peuvent effectuer avec les données de votre organisation. Les choix disponibles dans SPA permettent aux organisations d’adapter la protection à leurs besoins spécifiques. Pour certaines, il peut être difficile d’identifier les paramètres de stratégie nécessaires pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser le renforcement de la sécurité des points de terminaison des clients mobiles, Microsoft a introduit une taxonomie pour son framework de protection des données des stratégies de protection des applications pour la gestion des applications mobiles iOS et Android.
Le framework de protection des données des stratégies de protection des applications est organisé en trois niveaux de configuration distincts, chaque niveau s’appuyant sur le niveau précédent :
- La protection de base des données d’entreprise (niveau 1) garantit que les applications sont protégées par un code PIN et chiffrées, et effectue des opérations de réinitialisation sélective. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Il s’agit d’une configuration de niveau d’entrée qui fournit un contrôle de protection des données similaire dans les stratégies de boîte aux lettres Exchange Online et présente l’informatique ainsi que le nombre des utilisateurs aux stratégies de protection des applications.
- La protection améliorée des données d’entreprise (niveau 2) présente les mécanismes de prévention des fuites de données des stratégies de protection des applications et les exigences minimales du système d’exploitation. Il s’agit de la configuration qui s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires.
- La protection élevée des données d’entreprise (niveau 3) présente les mécanismes avancés de protection des données, une configuration de code PIN améliorée et une protection contre les menaces mobiles pour les stratégies de protection des applications. Cette configuration est souhaitable pour les utilisateurs qui accèdent à des données à risque élevé.
Pour afficher les recommandations spécifiques pour chaque niveau de configuration et les applications minimales à protéger, consultez Framework de protection des données à l’aide de stratégies de protection des applications.
Que l’appareil soit inscrit ou non dans une solution de gestion unifiée des points de terminaison (UEM), une stratégie de protection des applications Intune doit être créée pour les applications iOS et Android, en suivant les étapes décrites dans Comment créer et attribuer des stratégies de protection des applications. Ces stratégies doivent au minimum remplir les conditions suivantes :
Elles incluent toutes les applications mobiles Microsoft 365, telles que Edge, Outlook, OneDrive, Office ou Teams, car cela garantit que les utilisateurs peuvent accéder aux données professionnelles ou scolaires et les manipuler dans n’importe quelle application Microsoft de manière sécurisée.
Ils sont attribués à tous les utilisateurs. Cela garantit que tous les utilisateurs sont protégés, qu’ils utilisent Edge pour iOS ou Android.
Déterminez le niveau d’infrastructure qui répond à vos besoins. La plupart des organisations doivent implémenter les paramètres définis dans la protection améliorée des données d’entreprise (niveau 2), car cela permet de contrôler la protection des données et les exigences d’accès.
Pour plus d’informations sur les paramètres disponibles, consultez Paramètres de stratégie de protection des applications Android et Paramètres de stratégie de protection des applications iOS.
Importante
Pour appliquer les stratégies de protection des applications Intune pour les applications des appareils Android non inscrits dans Intune, l'utilisateur doit également installer le portail d'entreprise Intune.
Authentification unique pour Microsoft Entra applications web connectées dans les navigateurs protégés par une stratégie
Edge pour iOS et Android peut tirer parti de l’authentification unique (SSO) pour toutes les applications web (SaaS et locales) qui sont Microsoft Entra connectées. L’authentification unique permet aux utilisateurs d’accéder à Microsoft Entra applications web connectées via Edge pour iOS et Android, sans avoir à entrer à nouveau leurs informations d’identification.
L’authentification unique exige que votre appareil soit inscrit par l’application Microsoft Authenticator pour les appareils iOS ou par le Portail d'entreprise Intune sur Android. Lorsque les utilisateurs disposent de l’une de ces options, ils sont invités à inscrire leur appareil lorsqu’ils accèdent à une application web connectée Microsoft Entra dans un navigateur protégé par une stratégie (cela n’est vrai que si leur appareil n’a pas déjà été inscrit). Une fois l’appareil inscrit avec le compte de l’utilisateur géré par Intune, l’authentification unique est activée pour Microsoft Entra applications web connectées.
Remarque
L’inscription de l’appareil est un case activée simple avec le service Microsoft Entra. Il ne nécessite pas d’inscription complète des appareils et ne donne pas de privilèges supplémentaires au service informatique sur l’appareil.
Utiliser la configuration de l’application pour gérer l’expérience de navigation
Edge pour iOS et Android prend en charge les paramètres d’application qui permettent aux administrateurs de gérer les points de terminaison unifiés, comme Microsoft Intune, de personnaliser le comportement de l’application.
La configuration de l’application peut être fournie via le canal du système d’exploitation de gestion des appareils mobiles (GPM) sur (le canal de Configuration d’application gérée des appareils inscrits pour iOS ou le canal Android dans l’entreprise pour Android) ou via le canal GAM (Gestion des applications mobiles). Edge pour iOS et Android prend en charge les scénarios de configuration suivants :
- Autoriser uniquement les comptes professionnels ou scolaires
- Paramètres généraux de configuration d’application
- Paramètres de protection des données
- Configuration d’application supplémentaire pour les appareils gérés
Importante
Pour les scénarios de configuration qui nécessitent l’inscription d’appareils sur Android, les appareils doivent être inscrits dans Android Enterprise et Edge pour Android doit être déployé via Google Play store géré. Pour plus d’informations, consultez Configurer l’inscription des appareils de profil professionnel personnellement détenus d’Android Entreprise et Ajouter des stratégies de configuration d’application pour les appareils Android Enterprise gérés.
Chaque scénario de configuration met en évidence ses exigences spécifiques. Par exemple, si le scénario de configuration nécessite une inscription d’appareil et fonctionne donc avec n’importe quel fournisseur UEM, ou nécessite des stratégies Intune App Protection.
Importante
Les clés de configuration d’application respectent la casse. Utilisez la casse appropriée pour vous assurer que la configuration prend effet.
Remarque
Avec Microsoft Intune, la configuration de l’application fournie par le biais du canal du système d’exploitation GPM est appelée Stratégie de configuration des applications (SCA) pour les Appareils gérés. La configuration de l’application fournie via le canal GAM (Gestion des applications mobiles) est appelée Stratégie de configuration des applications pour les Applications gérées.
Autoriser uniquement les comptes professionnels ou scolaires
Le respect des stratégies de sécurité et de conformité des données de nos clients les plus grands et hautement réglementés est un pilier clé de la valeur Microsoft 365. Certaines entreprises ont besoin de capturer toutes les informations de communication au sein de leur environnement d’entreprise, ainsi que de s’assurer que les appareils sont utilisés uniquement pour les communications d’entreprise. Pour prendre en charge ces exigences, Edge pour iOS et Android sur les appareils inscrits peut être configuré pour autoriser uniquement l’approvisionnement d’un seul compte d’entreprise dans l’application.
Pour en savoir plus sur la configuration du paramètre du mode comptes autorisés de l’organisation, cliquez ici :
Ce scénario de configuration fonctionne uniquement avec les appareils inscrits. Toutefois, tout fournisseur UEM est pris en charge. Si vous n’utilisez pas Microsoft Intune, vous devez consulter votre documentation UEM pour savoir comment déployer ces clés de configuration.
Scénarios généraux de configuration des applications
Edge pour iOS et Android offre aux administrateurs la possibilité de personnaliser la configuration par défaut pour plusieurs paramètres dans l’application. Cette fonctionnalité est proposée lorsque Edge pour iOS et Android dispose d’une application gérée App Configuration stratégie appliquée au compte professionnel ou scolaire connecté à l’application.
Edge prend en charge les paramètres suivants pour la configuration :
- Expériences de la Nouvelle page d’onglet
- Expériences de signet
- Expériences de comportement d’application
- Expériences en mode plein écran
Ces paramètres peuvent être déployés sur l’application, quel que soit l’état d’inscription de l’appareil.
Nouvelle mise en page d’onglet
La disposition personnalisée est la disposition par défaut pour la nouvelle page d’onglet. Il affiche les principaux raccourcis du site et le flux d’actualités sans papier peint. Les utilisateurs peuvent modifier la disposition en fonction de leurs préférences. Les organisations peuvent également gérer les paramètres de disposition.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout | Concentré Focus est sélectionné Inspiration Inspirational est sélectionné informational (iPad/Tablette uniquement) Informational est sélectionné personnalisé (par défaut) Personnalisé est sélectionné, le bouton bascule des raccourcis principaux du site est activé, le bouton bascule du papier peint est désactivé et le bouton bascule de flux d’actualités est activé |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom | Topsites Activer les raccourcis du site supérieur Papier peint Activer le papier peint Newsfeed Activer le flux d’actualités Pour que cette stratégie prenne effet, com.microsoft.intune.mam.managedbrowser.NewTabPageLayout doit être défini sur personnalisé La valeur par défaut est topsites|newsfeed |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable | true (par défaut) Les utilisateurs peuvent modifier les paramètres de mise en page Faux Les utilisateurs ne peuvent pas modifier les paramètres de mise en page. La mise en page est déterminée par les valeurs spécifiées via la stratégie ou les valeurs par défaut seront utilisées |
Remarque
La stratégie NewTabPageLayout est destinée à définir la disposition initiale. Les utilisateurs peuvent modifier les paramètres de mise en page en fonction de leur référence. Par conséquent, la stratégie NewTabPageLayout prend effet uniquement si les utilisateurs ne modifient pas les paramètres de disposition. Vous pouvez appliquer la stratégie NewTabPageLayout en configurant UserSelectable=false.
Exemple de désactivation des flux d’actualités
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Expériences de la Nouvelle page d’onglet
Edge pour iOS et Android offre aux organisations plusieurs options pour ajuster l’expérience de la page Nouvel onglet, notamment le logo organization, la couleur de la marque, votre page d’accueil, les principaux sites et les actualités du secteur.
Logo de l’organisation et couleur de la marque
Ces paramètres vous permettent de personnaliser la Nouvelle page d’onglet d’Edge pour iOS et Android afin d’afficher le logo et la couleur de la marque de votre organisation comme arrière-plan de la page.
Pour charger le logo et la couleur de votre organisation, effectuez d’abord les étapes suivantes :
- Dans le Centre d'administration de Microsoft Intune, accédez à Personnalisation de>Administration des clients. En regard de Paramètres, cliquez sur Modifier.
- Pour définir le logo de votre marque, en regard de Afficher dans l’en-tête, choisissez « Logo de l’organisation uniquement ». Les logos en arrière-plan transparents sont recommandés.
- Pour définir la couleur d’arrière-plan de votre marque, sélectionnez une Couleur de thème. Edge pour iOS et Android applique une nuance plus claire de la couleur sur la Nouvelle page d’onglet, ce qui garantit une meilleure lisibilité de la page.
Remarque
Comme Azure Active Directory (Azure AD) Graph est déconseillé, il est entré dans sa phase de mise hors service. Consultez les détails de Vue d'ensemble de la migration de Graph Azure AD. Par conséquent, le logo de l’organisation et la couleur de la marque conservées dans le centre d’administration Intune seront inaccessibles lorsque Azure Active Directory (Azure AD) Graph sera complètement mis hors service. Par conséquent, la version v116 de Edge pour iOS et Android, le logo de l’organisation et la couleur de la marque seront récupérés à partir de Microsoft Graph. Vous devez conserver la couleur du logo et de la marque de votre organisation via des étapes. Le logo de bannière sera utilisé comme organization et la couleur d’arrière-plan de la page sera utilisée comme couleur de marque.
Ensuite, utilisez les paires clé/valeur suivantes pour tirer (pull) la personnalisation de votre organisation dans Edge pour iOS et Android :
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo | vrai affiche le logo de la marque de l’organisation faux (valeur par défaut) n’expose pas de logo |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor | vrai affiche la couleur de la marque de l’organisation faux (valeur par défaut) n’expose pas de couleur |
Raccourci de la page d’accueil
Ce paramètre vous permet de configurer un raccourci de page d’accueil pour Edge pour iOS et Android sur la Nouvelle page d’onglet. Le raccourci de page d’accueil que vous configurez apparaît en tant que première icône sous la barre de recherche lorsque l’utilisateur ouvre un nouvel onglet dans Edge pour iOS et Android. L’utilisateur ne peut pas modifier ou supprimer ce raccourci dans son contexte managé. Le raccourci de la page d’accueil affiche le nom de votre organisation pour le distinguer.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage | Spécifiez une URL valide. Les URL incorrectes sont bloquées en tant que mesure de sécurité. Par exemple : https://www.bing.com |
Raccourcis de site principaux multiples
De même que pour configurer un raccourci de la page d’accueil, vous pouvez configurer plusieurs raccourcis de site principaux sur les Nouvelles pages d’onglets dans Edge pour iOS et Android. L’utilisateur ne peut pas modifier ou supprimer ces raccourcis dans un contexte managé. Remarque : vous pouvez configurer un total de 8 raccourcis, y compris un raccourci de page d’accueil. Si vous avez configuré un raccourci de la page d’accueil, ce raccourci remplacera le premier site supérieur configuré.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | Spécifiez un ensemble d’URL de valeur. Chaque raccourci de site principal se compose d’un titre et d’une URL. Séparez le titre et l’URL par le caractère | . Par exemple : GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Actualités du secteur d’activité
Vous pouvez configurer l’expérience de Nouvelle page d’onglet dans Edge pour iOS et Android afin d’afficher les actualités du secteur d’activité pertinentes pour votre organisation. Lorsque vous activez cette fonctionnalité, Edge pour iOS et Android utilise le nom de domaine de votre organisation pour agréger les actualités du web concernant votre organisation, le secteur d’activité et les concurrents, afin que vos utilisateurs puissent trouver des actualités externes pertinentes à partir des nouvelles pages d’onglet centralisées dans Edge pour iOS et Android. Les actualités du secteur d’activité sont désactivées par défaut.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryInformation | vrai affiche les actualités du secteur d’activité sur la nouvelle page d’onglet faux (valeur par défaut) masque les actualités du secteur d’activité sur la Nouvelle page d’onglet |
Page d’accueil au lieu de l’expérience de la Nouvelle page d’onglet
Edge pour iOS et Android permet aux organisations de désactiver l’expérience de la Nouvelle page d’onglet et de lancer un site web lorsque l’utilisateur ouvre un nouvel onglet. Bien qu’il s’agit d’un scénario pris en charge, Microsoft recommande aux organisations de tirer parti de l’expérience Nouvelle page d’onglet pour fournir du contenu dynamique pertinent pour l’utilisateur.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Spécifiez une URL valide. Si aucune URL n’est spécifiée, l’application utilise l’expérience de la Nouvelle page d’onglet. Les URL incorrectes sont bloquées en tant que mesure de sécurité. Par exemple : https://www.bing.com |
Expériences de signet
Edge pour iOS et Android offre aux organisations plusieurs options de gestion des signets.
Signets gérés
Pour faciliter l’accès, vous pouvez configurer des signets que vous souhaitez que vos utilisateurs aient disponibles lorsqu’ils utilisent Edge pour iOS et Android.
- Les signets apparaissent uniquement dans le compte professionnel ou scolaire et ne sont pas exposés à des comptes personnels.
- Les signets ne peuvent pas être supprimés ou modifiés par les utilisateurs.
- Les signets apparaissent en haut de la liste. Tous les signets créés par les utilisateurs apparaissent sous ces signets.
- Si vous avez activé Proxy d'application redirection, vous pouvez ajouter Proxy d'application applications web à l’aide de leur URL interne ou externe.
- Les signets sont créés dans un dossier nommé d’après le nom du organization défini dans Microsoft Entra ID.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks | La valeur de cette configuration est une liste de signets. Chaque signet se compose du titre du signet et de l’URL du signet. Séparez le titre et l’URL par le caractère | .Par exemple : Microsoft Bing|https://www.bing.comPour configurer plusieurs signets, séparez chaque paire par le caractère double ||.Par exemple : Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Signet Mes applications
Par défaut, les utilisateurs ont configuré le signet Mes applications dans le dossier de l’organisation dans Edge pour iOS et Android.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps | vrai (valeur par défaut) affiche Mes applications dans les signets Edge pour iOS et Android false masque Mes applications dans Edge pour iOS et Android |
Expériences de comportement d’application
Edge pour iOS et Android offre aux organisations plusieurs options pour gérer le comportement de l’application.
Authentification unique par mot de passe Microsoft Entra
La fonctionnalité d’authentification unique (SSO) Microsoft Entra Password proposée par Microsoft Entra ID permet de gérer l’accès utilisateur aux applications web qui ne prennent pas en charge la fédération d’identité. Par défaut, Edge pour iOS et Android n’effectue pas d’authentification unique avec les informations d’identification Microsoft Entra. Pour plus d’informations, consultez Ajouter l’authentification unique par mot de passe à une application.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO | true Microsoft Entra l’authentification unique de mot de passe est activée false (valeur par défaut) Microsoft Entra l’authentification unique par mot de passe est désactivée |
Gestionnaire de protocole par défaut
Par défaut, Edge pour iOS et Android utilise le gestionnaire de protocole HTTPS lorsque l’utilisateur ne spécifie pas le protocole dans l’URL. En règle générale, il s’agit d’une bonne pratique, mais elle peut être désactivée.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | vrai (valeur par défaut) le gestionnaire du protocole par défaut est HTTPS faux le gestionnaire du protocole par défaut est HTTP |
Désactiver les données de diagnostic facultatives
Par défaut, les utilisateurs peuvent choisir d’envoyer des données de diagnostic facultatives à partir de Paramètres->Confidentialité et sécurité ->Données de diagnostic- paramètre des>Données de diagnostic facultatives Les organisations peuvent désactiver ce paramètre.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | Vrai Le paramètre de données de diagnostic facultatif est désactivé faux (valeur par défaut) L’option peut être activée ou désactivée par les utilisateurs |
Remarque
Le paramètre de Données de diagnostic facultatives est également présenté aux utilisateurs lors de l’expérience de première exécution (EPE). Les organisations peuvent ignorer cette étape à l’aide de la stratégie GPM EdgeDisableShareUsageData
Désactiver des fonctionnalités spécifiques
Edge pour iOS et Android permet aux organisations de désactiver certaines fonctionnalités activées par défaut. Pour désactiver ces fonctionnalités, configurez le paramètre suivant :
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | mot de passe désactive les invites qui proposent d’enregistrer des mots de passe pour l’utilisateur final inprivate désactive la navigation InPrivate Le remplissage automatique désactive la fonction « Enregistrer et remplir les adresses » et « Enregistrer et remplir les informations de paiement ». Le remplissage automatique est désactivé même pour les informations enregistrées précédemment Traducteur désactive traducteur readaloud désactive la lecture à voix haute déposer désactive le dépôt coupons désactive les coupons extensions désactivées (Edge pour Android uniquement) developertools grise les numéros de version de build pour empêcher les utilisateurs d’accéder aux options développeur (Edge pour Android uniquement) Pour désactiver plusieurs fonctionnalités, séparez les valeurs par |. Par exemple, inprivate|password désactive le stockage InPrivate et le stockage par mot de passe. |
Désactiver la fonctionnalité d’importation des mots de passe
Edge pour iOS et Android permet aux utilisateurs d’importer des mots de passe à partir du Gestionnaire de mots de passe. Pour désactiver l’importation des mots de passe, configurez le paramètre suivant :
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | Vrai Désactiver l’importation des mots de passe faux (valeur par défaut) Autoriser l’importation des mots de passe |
Remarque
Le Gestionnaire de mots de passe de Edge pour iOS comporte un bouton Ajouter . Lorsque la fonctionnalité d’importation des mots de passe est désactivée, le bouton Ajouter est également désactivé.
Mode cookie de contrôle
Vous pouvez contrôler si les sites peuvent stocker des cookies pour vos utilisateurs dans Edge pour Android. Pour ce faire, configurez le paramètre suivant :
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode | 0 (valeur par défaut) autoriser les cookies 1 Bloquer les cookies non-Microsoft 2 bloquer les cookies non-Microsoft en mode InPrivate 3 bloquer tous les cookies |
Remarque
Edge pour iOS ne prend pas en charge le contrôle des cookies.
Expériences en mode plein écran sur les appareils Android
Edge pour Android peut être activé en tant qu’application kiosque avec les paramètres suivants :
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | vrai active le mode plein écran pour Edge pour Android faux (valeur par défaut) désactive le mode plein écran |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | vrai affiche la barre d’adresse en mode plein écran faux (valeur par défaut) masque la barre d’adresses lorsque le mode plein écran est activé |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | vrai affiche la barre d’action inférieure en mode plein écran faux (valeur par défaut) masque la barre inférieure lorsque le mode plein écran est activé |
Mode d’affichage verrouillé
Edge pour iOS et Android peut être activé en mode d’affichage verrouillé avec la stratégie MDM EdgeLockedViewModeEnabled.
| Clé | Valeur |
|---|---|
| EdgeLockedViewModeEnabled | false (valeur par défaut) Le mode d’affichage verrouillé est désactivé Vrai Le mode d’affichage verrouillé est activé |
Il permet aux organisations de restreindre diverses fonctionnalités de navigateur, offrant ainsi une expérience de navigation contrôlée et ciblée.
- La barre d’adresse URL devient en lecture seule, empêchant les utilisateurs d’apporter des modifications à l’adresse web
- Les utilisateurs ne sont pas autorisés à créer des onglets
- La fonctionnalité de recherche contextuelle sur les pages web est désactivée
- Les boutons suivants sous le menu de dépassement sont désactivés
| Boutons | État |
|---|---|
| Nouvel onglet InPrivate | Désactivé |
| Envoyer aux appareils | Désactivé |
| Lettrine | Désactivé |
| Ajouter au téléphone (Android) | Désactivé |
| Page de téléchargement (Android) | Désactivé |
Le mode d’affichage verrouillé est souvent utilisé avec la stratégie GAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL ou la stratégie MDM EdgeNewTabPageCustomURL, qui permettent aux organisations de configurer une page web spécifique qui est automatiquement lancée lors de l’ouverture de Edge. Les utilisateurs sont limités à cette page web et ne peuvent pas accéder à d’autres sites web, ce qui fournit un environnement contrôlé pour des tâches spécifiques ou une consommation de contenu.
Remarque
Par défaut, les utilisateurs ne sont pas autorisés à créer des onglets en mode d’affichage verrouillé. Pour autoriser la création d’onglets, définissez la stratégie MDM EdgeLockedViewModeAllowedActions sur newtabs.
Basculer la pile réseau entre Chromium et iOS
Par défaut, Microsoft Edge pour iOS et Android utilisent la pile réseau Chromium pour Microsoft Edge communication de service, notamment les services de synchronisation, les suggestions de recherche automatique et l’envoi de commentaires. Microsoft Edge pour iOS fournit également la pile réseau iOS comme option configurable pour Microsoft Edge communication de service.
Les organisations peuvent modifier leurs préférences de pile réseau en configurant le paramètre suivant.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | 0 (valeur par défaut) utiliser la pile réseau Chromium 1 utiliser la pile réseau iOS |
Remarque
L’utilisation de la pile réseau Chromium est recommandée. Si vous rencontrez des problèmes de synchronisation ou un échec lors de l’envoi de commentaires avec la pile réseau Chromium, par exemple avec certaines solutions VPN par application, l’utilisation de la pile réseau iOS peut résoudre les problèmes.
Définir une URL de fichier .pac proxy
Les organisations peuvent spécifier une URL vers un fichier de configuration automatique de proxy (PAC) pour Microsoft Edge pour Android.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Spécifiez une URL valide pour un fichier .pac proxy. Par exemple : https://internal.site/example.pac |
Échec de la prise en charge de l’ouverture PAC
Par défaut, Microsoft Edge pour Android bloque l’accès réseau avec un script PAC non valide ou non disponible. Toutefois, les organisations peuvent modifier le comportement par défaut en cas d’échec de l’ouverture du PAC.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled | faux (valeur par défaut) Bloquer l’accès réseau Vrai Autoriser l’accès réseau |
Proxy permettant aux utilisateurs de se connecter à Edge dans Android.
Une configuration automatique de proxy (PAC) est généralement configurée dans le profil VPN. Toutefois, en raison de la limitation de la plateforme, le pac ne peut pas être reconnu par Android WebView, qui est utilisé pendant le processus de connexion à Edge. Les utilisateurs peuvent ne pas être en mesure de se connecter à Edge dans Android.
Les organisations peuvent spécifier un proxy dédié via la stratégie MDM pour permettre aux utilisateurs de se connecter à Edge dans Android.
| Clé | Valeur |
|---|---|
| EdgeOneAuthProxy | La valeur correspondante est une chaîne Exemple http://MyProxy.com:8080 |
Magasin de données du site web iOS
Le magasin de données du site web dans Edge pour iOS est essentiel pour gérer les cookies, les caches de disque et de mémoire, ainsi que différents types de données. Toutefois, il n’existe qu’un seul magasin de données de site web persistant dans Edge pour iOS. Par défaut, ce magasin de données est utilisé exclusivement par les comptes personnels, ce qui entraîne une limitation dans les cas où les comptes professionnels ou scolaires ne peuvent pas l’utiliser. Par conséquent, les données de navigation, à l’exception des cookies, sont perdues après chaque session pour les comptes professionnels ou scolaires. Pour améliorer l’expérience utilisateur, les organisations peuvent configurer le magasin de données du site web pour une utilisation par des comptes professionnels ou scolaires, ce qui garantit la persistance des données de navigation.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore | 0 Le magasin de données du site web est toujours utilisé uniquement par compte personnel 1 Le magasin de données du site web sera utilisé par le premier compte connecté 2 (Par défaut) Le magasin de données du site web sera utilisé par le compte professionnel ou scolaire, quel que soit l’ordre de connexion |
Remarque
Avec la publication d’iOS 17, plusieurs magasins persistants sont désormais pris en charge. Le travail et compte personnel ont leur propre magasin persistant désigné. Par conséquent, cette stratégie n’est plus valide à partir de la version 122.
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen est une fonctionnalité qui permet aux utilisateurs d’éviter les sites malveillants et les téléchargements. Elle est activée par défaut. Les organisations peuvent désactiver ce paramètre.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | vrai (valeur par défaut) Microsoft Defender SmartScreen est activé. faux Microsoft Defender SmartScreen est désactivé. |
Vérification du certificat
Par défaut, Microsoft Edge pour Android vérifie les certificats de serveur à l’aide du vérificateur de certificat intégré et du Microsoft Root Store comme source de confiance publique. Les organisations peuvent basculer vers le vérificateur de certificats système et les certificats racines système.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | true (par défaut) Utiliser le vérificateur de certificats intégré et le magasin racine Microsoft pour vérifier les certificats Faux Utiliser le vérificateur de certificats système et les certificats racine système comme source d’approbation publique pour vérifier les certificats |
Remarque
Un cas d’usage pour cette stratégie est que vous devez utiliser le vérificateur de certificats système et les certificats racine système lors de l’utilisation du Tunnel GAM Microsoft dans Edge pour Android.
Contrôle de page d’avertissement SSL
Par défaut, les utilisateurs peuvent cliquer sur les pages d’avertissement qui s’affichent lorsque les utilisateurs accèdent à des sites présentant des erreurs SSL. Les organisations peuvent gérer le comportement.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | true (par défaut) Autoriser les utilisateurs à cliquer sur les pages d’avertissement SSL Faux Empêcher les utilisateurs de cliquer sur les pages d’avertissement SSL |
Paramètres des fenêtres contextuelles
Par défaut, les fenêtres contextuelles sont bloquées. Les organisations peuvent gérer le comportement.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | 1 Autoriser tous les sites à afficher des fenêtres contextuelles 2 (par défaut) Ne pas autoriser les sites à afficher des fenêtres contextuelles |
Autoriser les fenêtres contextuelles sur des sites spécifiques
Si cette stratégie n’est pas configurée, la valeur de la stratégie DefaultPopupsSetting (si définie) ou de la configuration personnelle de l’utilisateur est utilisée pour tous les sites. Les organisations peuvent définir une liste de sites qui peuvent ouvrir une fenêtre contextuelle.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Bloquer les fenêtres contextuelles sur des sites spécifiques
Si cette stratégie n’est pas configurée, la valeur de la stratégie DefaultPopupsSetting (si définie) ou de la configuration personnelle de l’utilisateur est utilisée pour tous les sites. Les organisations peuvent définir une liste de sites qui ne peuvent pas ouvrir une fenêtre contextuelle.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Moteur de recherche par défaut
Par défaut, Edge utilise le moteur de recherche par défaut pour effectuer une recherche lorsque les utilisateurs entrent des textes non-URL dans la barre d’adresses. Les utilisateurs peuvent modifier la liste des moteurs de recherche. Les organisations peuvent gérer le comportement du moteur de recherche.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | Vrai Activer le moteur de recherche par défaut Faux Désactiver le moteur de recherche par défaut |
Configurer le moteur de recherche
Les organisations peuvent configurer un moteur de recherche pour les utilisateurs. Pour configurer un moteur de recherche, vous devez d’abord configurer la stratégie DefaultSearchProviderEnabled .
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | La valeur correspondante est une chaîne Exemple My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | La valeur correspondante est une chaîne Exemple https://search.my.company/search?q={searchTerms} |
Ouvrir des applications externes
Lorsqu’une page web demande à ouvrir une application externe, les utilisateurs voient une fenêtre contextuelle leur demandant d’ouvrir l’application externe ou non. Les organisations peuvent gérer le comportement.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.OpeningExternalApps | 0 (valeur par défaut) Affichez la fenêtre contextuelle permettant aux utilisateurs de choisir de rester dans Edge ou d’ouvrir par des applications externes. 1 Toujours ouvrir dans Edge sans afficher la fenêtre contextuelle. 2 Toujours ouvrir avec des applications externes sans afficher la fenêtre contextuelle. Si les applications externes ne sont pas installées, le comportement est identique à la valeur 1 |
Remarque
À compter de la version 120.2210.99, la fonctionnalité de blocage de saut d’application est supprimée. Les applications externes sont ouvertes à partir de Edge par défaut. Par conséquent, cette stratégie n’est plus valide à partir de la version 120.2210.99.
Copilote
Remarque
Copilot est également appelé Bing Chat Enterprise.
Copilot est disponible sur Microsoft Edge pour iOS et Android. Les utilisateurs peuvent démarrer Copilot en cliquant sur le bouton Copilot dans la barre inférieure.
Il existe trois paramètres dans Paramètres-Général-Copilot>> pour Copilot.
- Afficher Copilot : contrôler s’il faut afficher le bouton Bing dans la barre inférieure
- Autoriser l’accès à n’importe quelle page web ou PDF : contrôler s’il faut autoriser Copilot à accéder au contenu de la page ou au fichier PDF
- Accès rapide lors de la sélection de texte : contrôler s’il faut afficher le panneau de conversation rapide lorsque du texte sur une page web est sélectionné
Vous pouvez gérer les paramètres de Copilot.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat | true (valeur par défaut) Les utilisateurs peuvent voir le bouton Bing dans la barre inférieure. Le paramètre Afficher Copilot est activé par défaut et peut être désactivé par les utilisateurs faux Les utilisateurs ne peuvent pas voir le bouton Bing dans la barre inférieure. Le paramètre Afficher Copilot est désactivé et ne peut pas être activé par les utilisateurs |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | true (valeur par défaut) Copilot peut accéder au contenu de la page. Autoriser l’accès à n’importe quelle page web ou l’option PDF et Accès rapide sur la sélection de texte sous Les paramètres Copilot sont activés par défaut et peuvent être désactivés par les utilisateurs Faux Copilot ne peut pas accéder au contenu de la page. Autoriser l’accès à n’importe quelle page web ou PDF et l’option Accès rapide sur la sélection de texte sous les paramètres Copilot seront désactivés et ne pourront pas être activés par les utilisateurs |
Scénarios de configuration des applications de protection des données
Edge pour iOS et Android prend en charge les stratégies de configuration des applications pour les paramètres de protection des données suivants lorsque l’application est gérée par Microsoft Intune avec une stratégie d’application gérée App Configuration appliquée au compte professionnel ou scolaire connecté à l’application :
- Gérer la synchronisation de compte
- Gérer les sites web restreints
- Gérer la configuration du proxy
- Gérer les sites d’authentification unique NTLM
Ces paramètres peuvent être déployés sur l’application, quel que soit l’état d’inscription de l’appareil.
Gérer la synchronisation de compte
Par défaut, Microsoft Edge synchronisation permet aux utilisateurs d’accéder à leurs données de navigation sur tous leurs appareils connectés. Les données prises en charge par la synchronisation incluent :
- Favoris
- Mots de passe
- Adresses et plus encore (entrée du remplissage automatiquement du formulaire)
La fonctionnalité de synchronisation est activée via le consentement de l’utilisateur et les utilisateurs peuvent activer ou désactiver la synchronisation pour chacun des types de données répertoriés ci-dessus. Pour plus d’informations, consultez Synchronisation Microsoft Edge.
Les organisations ont la possibilité de désactiver la synchronisation Edge sur iOS et Android.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | vai désactive la synchronisation Edge faux (valeur par défaut) autorise la synchronisation Edge |
Gérer les sites web restreints
Les organisations peuvent définir les sites auxquels les utilisateurs peuvent accéder dans le contexte de compte professionnel ou scolaire dans Edge pour iOS et Android. Si vous utilisez une liste verte, vos utilisateurs ne peuvent accéder qu’aux sites explicitement répertoriés. Si vous utilisez une liste bloquée, les utilisateurs peuvent accéder à tous les sites, à l’exception de ceux qui sont explicitement bloqués. Vous devez uniquement imposer une liste autorisée ou bloquée, et non les deux. Si vous imposez les deux, seule la liste autorisée est respectée.
Les organisations définissent également ce qui se passe lorsqu’un utilisateur tente d’accéder à un site web restreint. Par défaut, les transitions sont autorisées. Si le organization le permet, les sites web restreints peuvent être ouverts dans le contexte compte personnel, le contexte InPrivate du compte Microsoft Entra ou si le site est entièrement bloqué. Pour plus d’informations sur les différents scénarios pris en charge, consultez Transitions de sites web restreints dans Microsoft Edgemobile . En autorisant les expériences de transition, les utilisateurs de l’organisation restent protégés, tout en préservant la sécurité des ressources de l’entreprise.
Remarque
Edge pour iOS et Android ne peut bloquer l’accès aux sites que lorsqu’ils sont directement accessibles. Il ne bloque pas l’accès lorsque les utilisateurs utilisent des services intermédiaires (tels qu’un service de traduction) pour accéder au site. Les URL qui lancent Edge, telles que Edge://*, Edge://flagset Edge://net-export, ne sont pas prises en charge dans la stratégie de configuration d’application AllowListURLs ou blockListURLs pour les applications gérées. Au lieu de cela, vous pouvez utiliser la stratégie de configuration d’application URLAllowList ou URLBlocklist pour les appareils gérés. Pour plus d’informations, consultez Stratégies mobiles Microsoft Edge.
Utilisez les paires clé/valeur suivantes pour configurer une liste de sites autorisée ou bloquée pour Edge pour iOS et Android.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez autoriser en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock | vrai (valeur par défaut) permet à Edge pour iOS et Android de migrer des sites restreints. Lorsque les comptes personnels ne sont pas désactivés, les utilisateurs sont invités à basculer vers le contexte personnel pour ouvrir le site restreint ou à ajouter un compte personnel. Si com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked a la valeur vrai, les utilisateurs peuvent ouvrir le site restreint dans le contexte InPrivate. faux empêche Edge pour iOS et Android de migrer les utilisateurs. Les utilisateurs reçoivent simplement un message indiquant que le site auquel ils tentent d’accéder est bloqué. |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked | true permet l’ouverture de sites restreints dans le contexte InPrivate du compte Microsoft Entra. Si le compte Microsoft Entra est le seul compte configuré dans Edge pour iOS et Android, le site restreint est ouvert automatiquement dans le contexte InPrivate. Si un compte personnel est configuré pour l’utilisateur, il est invité à choisir entre ouvrir InPrivate ou basculer vers le compte personnel. faux (valeur par défaut) nécessite l’ouverture du site restreint dans le compte personnel de l’utilisateur. Si les comptes personnels sont désactivés, le site est bloqué. Pour que ce paramètre prenne effet, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock doit avoir la valeur vrai. |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Entrez le nombre de secondes pendant lesquelles les utilisateurs verront la notification « L’accès à ce site est bloqué par votre organisation. Nous l’avons ouvert en mode InPrivate pour vous permettre d’accéder au site. » Par défaut, la notification de barre de collation s’affiche pendant 7 secondes. |
Les sites suivants sont toujours autorisés, quels que soient les paramètres de liste verte ou de liste rouge définis :
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
Formats d’URL pour la liste des sites autorisés et bloqués
Vous pouvez utiliser différents formats d’URL pour créer vos listes de sites autorisés/bloqués. Ces modèles autorisés sont détaillés dans le tableau suivant.
Veillez à préfixer toutes les URL avec http:// ou https:// lors de leur entrée dans la liste.
Vous pouvez utiliser le symbole générique (*) conformément aux règles de la liste des modèles autorisés suivants.
Un caractère générique ne peut correspondre qu’à une partie (par exemple,
news-contoso.com) ou à un composant entier du nom d’hôte (par exemple,host.contoso.com) ou à des parties entières du chemin d’accès lorsqu’il est séparé par des barres obliques (www.contoso.com/images).Vous pouvez spécifier des numéros de port dans l’adresse. Si vous ne spécifiez pas de numéro de port, les valeurs utilisées sont les suivantes :
- Port 80 pour http
- Port 443 pour https
L’utilisation de caractères génériques pour le numéro de port n’est pas prise en charge. Par exemple,
http://www.contoso.com:*ethttp://www.contoso.com:*/ne sont pas pris en charge.URL Détails Correspondances Ne correspond pas http://www.contoso.comCorrespond à une seule page www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.comCorrespond à une seule page contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*Correspond à toutes les URL qui commencent par www.contoso.comwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*Correspond à tous les sous-domaines sous contoso.comdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*Correspond à tous les sous-domaines se terminant par contoso.com/news-contoso.comnews-contoso.com.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/imagesCorrespond à un dossier unique www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80Correspond à une seule page, à l’aide d’un numéro de port www.contoso.com:80https://www.contoso.comCorrespond à une seule page sécurisée www.contoso.comwww.contoso.comhttp://www.contoso.com/images/*Correspond à un dossier unique et à tous les sous-dossiers www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videosVoici quelques exemples d’entrées que vous ne pouvez pas spécifier :
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- Adresses IP
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
Contrôler le comportement de la fenêtre contextuelle Site bloqué
Lorsqu’ils tentent d’accéder à des sites web bloqués, les utilisateurs sont invités à utiliser inPrivate ou compte personnel pour ouvrir les sites web bloqués, en fonction des configurations de stratégie AllowTransitionOnBlock et OpenInPrivateIfBlocked. Vous pouvez choisir des préférences entre InPrivate et compte personnel.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock | 0 : (Par défaut) Affichez toujours la fenêtre contextuelle que l’utilisateur peut choisir. 1 : basculer automatiquement vers compte personnel lorsqu’il est connecté. 2 : basculez automatiquement vers compte personnel s’il est connecté et qu’InPrivate est activé simultanément. 3 : basculez automatiquement vers InPrivate s’il est connecté et qu’InPrivate est activé simultanément. |
Remarque
La stratégie AutoTransitionModeOnBlock est actuellement disponible uniquement sur Edge pour iOS.
Contrôler le comportement de l’ouverture d’URL non managées
Cette stratégie consiste à contrôler le comportement d’ouverture d’Intune URL non managée.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitch | 0 : les URL (par défaut) sont ouvertes dans les onglets normaux avec des comptes professionnels. 1 : Microsoft Edge respecte la stratégie de protection de Intune ; le comportement est déterminé par la configuration Recevoir des données d’autres applications dans la stratégie de protection Intune. Lorsque la valeur est Toutes les applications, la définition de la valeur sur 1 revient au comportement pour la valeur de stratégie 0. Lorsque la valeur est Aucune ou Applications gérées par la stratégie et que le compte personnel est connecté, les URL sont ouvertes dans les onglets normaux avec profil personnel. Si le compte personnel n’est pas connecté, les URL sont ouvertes dans InPrivate. Si InPrivate est désactivé, les URL ne sont pas ouvertes. 2 : (Android uniquement) Microsoft Edge case activée URLAllowlist ou URLBlocklist. Les URL autorisées seront ouvertes dans les onglets normaux avec des comptes professionnels. Les URL bloquées peuvent être ouvertes dans InPrivate ou des onglets normaux avec des comptes personnels, mais la fonctionnalité dépend de la configuration d’openInPrivateIfBlocked. |
Gérer les sites web pour autoriser le chargement de fichiers
Il peut y avoir des scénarios où les utilisateurs sont uniquement autorisés à afficher des sites web, sans avoir la possibilité de charger des fichiers. Les organisations ont la possibilité de désigner les sites web qui peuvent recevoir des chargements de fichiers.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
L’exemple pour empêcher tous les sites web, y compris les sites web internes, de charger des fichiers
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Exemple permettant à des sites web spécifiques de charger des fichiers
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Remarque
Pour Edge sur iOS, l’action de collage est bloquée en plus des chargements. Les utilisateurs ne verront pas l’option Coller dans le menu Action.
Gérer la configuration du proxy
Vous pouvez utiliser Edge pour iOS et Android et Microsoft Entra proxy d’application ensemble pour permettre aux utilisateurs d’accéder à des sites intranet sur leurs appareils mobiles. Par exemple :
- Un utilisateur utilise l’application mobile Outlook, qui est protégée par Intune. Ils cliquent ensuite sur un lien vers un site intranet dans un e-mail, et Edge pour iOS et Android reconnaît que ce site intranet a été exposé à l’utilisateur via Proxy d'application. L’utilisateur est automatiquement routé via Proxy d'application, pour s’authentifier auprès de toute authentification multifacteur applicable et d’un accès conditionnel, avant d’atteindre le site intranet. L’utilisateur est désormais en mesure d’accéder aux sites internes, même sur ses appareils mobiles, et le lien dans Outlook fonctionne comme prévu.
- Un utilisateur ouvre Edge pour iOS et Android sur son appareil iOS ou Android. Si Edge pour iOS et Android est protégé avec Intune et que Proxy d'application est activé, l’utilisateur peut accéder à un site intranet à l’aide de l’URL interne à laquelle il est habitué. Edge pour iOS et Android reconnaît que ce site intranet a été exposé à l’utilisateur via Proxy d'application. L’utilisateur est automatiquement routé via Proxy d'application, pour s’authentifier avant d’atteindre le site intranet.
Avant de commencer :
- Configurez vos applications internes via Microsoft Entra proxy d’application.
- Pour configurer Proxy d'application et publier des applications, consultez la configurer la documentation.
- Vérifiez que l’utilisateur est affecté à l’application proxy d’application Microsoft Entra, même si l’application est configurée avec le type de pré-authentification passthrough.
- Une stratégie de protection d’application Intune doit être affectée à l’application Edge pour iOS et Android.
- Les applications Microsoft doivent avoir une stratégie de protection des applications où l’optionRestreindre le transfert de contenu web avec d’autres applications paramètre de transfert de données est définie sur Microsoft Edge.
Remarque
Edge pour iOS et Android met à jour les données de redirection Proxy d'application en fonction du dernier événement d’actualisation réussi. Des mises à jour sont tentées chaque fois que la dernière actualisation réussie est supérieure à une heure.
Ciblez Edge pour iOS et Android avec la paire clé/valeur suivante, pour activer Proxy d'application.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection | true active Microsoft Entra scénarios de redirection de proxy d’application false (valeur par défaut) empêche Microsoft Entra scénarios de proxy d’application |
Pour plus d’informations sur l’utilisation de Edge pour iOS et Android et Microsoft Entra proxy d’application en tandem pour un accès transparent (et protégé) aux applications web locales, consultez Better together : Intune and Microsoft Entra team up to improve user access. Ce billet de blog fait référence aux Intune Managed Browser, mais le contenu s’applique également à Edge pour iOS et Android.
Gérer les sites d’authentification unique NTLM
Les organisations peuvent demander aux utilisateurs de s’authentifier auprès de NTLM pour accéder aux sites web intranet. Par défaut, les utilisateurs sont invités à entrer des informations d’identification chaque fois qu’ils accèdent à un site web qui nécessite une authentification NTLM, car la mise en cache des informations d’identification NTLM est désactivée.
Les organisations peuvent activer la mise en cache des informations d’identification NTLM pour des sites web particuliers. Pour ces sites, une fois que l’utilisateur a entré les informations d’identification et s’est correctement authentifié, les informations d’identification sont mises en cache par défaut pendant 30 jours.
| Clé | Valeur |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez autoriser en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Pour plus d’informations sur les types de formats d’URL pris en charge, consultez Formats d’URL pour la liste de sites autorisés et bloqués. |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Nombre d’heures de mise en cache des informations d’identification, la valeur par défaut est 720 heures |
Configuration d’application supplémentaire pour les appareils gérés
Les stratégies suivantes, configurables à l’origine via la stratégie de configuration des applications gérées, sont désormais disponibles via la stratégie de configuration des applications des appareils gérés. Lors de l’utilisation de stratégies pour les applications gérées, les utilisateurs doivent se connecter à Microsoft Edge. Lorsque vous utilisez des stratégies pour les appareils gérés, les utilisateurs ne sont pas tenus de se connecter à Edge pour appliquer les stratégies.
Étant donné que les stratégies de configuration des applications pour les appareils gérés nécessitent une inscription d’appareil, toute gestion unifiée des points de terminaison (UEM) est prise en charge. Pour trouver d’autres stratégies sous le canal GPM, consultez Stratégies mobiles Microsoft Edge.
| Stratégie GAM | Stratégie GPM |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Déployer des scénarios de configuration d’application avec Microsoft Intune
Si vous utilisez Microsoft Intune comme fournisseur de gestion des applications mobiles, les étapes suivantes vous permettent de créer une stratégie de configuration des applications gérées. Une fois que la configuration est créée, vous pouvez affecter ses paramètres à des groupes d'utilisateurs.
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Applications, puis sélectionnez Stratégies de configuration d’application.
Dans le panneau Stratégies de configuration d’applications, choisissez Ajouter, puis sélectionnez Applications gérées.
Dans la section Informations de base , entrez un Nom, une Description facultative pour les paramètres de configuration de l’application.
Pour les Applications publiques, choisissez Sélectionner des applications publiques, puis, dans le panneau des Applications ciblées, choisissez Edge pour iOS et Android en sélectionnant les applications de plateforme iOS et Android. Cliquez sur Sélectionner pour enregistrer les applications publiques sélectionnées.
Cliquez sur Suivant pour terminer les paramètres de base de la stratégie de configuration de l’application.
Dans la section Paramètres, développez les Paramètres de configuration Edge.
Si vous souhaitez gérer les paramètres de protection des données, configurez les paramètres souhaités en conséquence :
Pour la Redirection du proxy d’application, choisissez parmi les options disponibles : Activer, Désactiver (par défaut).
Pour l’URL du raccourci de la page d’accueil, spécifiez une URL valide qui inclut le préfixe de http:// ou https://. Les URL incorrectes sont bloquées en tant que mesure de sécurité.
Pour les Signets gérés, spécifiez le titre et une URL valide qui inclut le préfixe de http:// ou https://.
Pour lesURL autorisées, spécifiez une URL valide (seules ces URL sont autorisées; aucun autre site n’est accessible). Pour plus d’informations sur les types de formats d’URL pris en charge, consultez Formats d’URL pour la liste de sites autorisés et bloqués.
Pour les URL bloquées, spécifiez une URL valide (seules ces URL sont bloquées). Pour plus d’informations sur les types de formats d’URL pris en charge, consultez Formats d’URL pour la liste de sites autorisés et bloqués.
Pour Rediriger les sites restreints vers le contexte personnel, choisissez parmi les options disponibles : Activer (par défaut), Désactiver.
Remarque
Lorsque les URL autorisées et les URL bloquées sont définies dans la stratégie, seule la liste autorisée est respectée.
Si vous souhaitez ajouter des paramètres de configuration d’application non exposés dans la stratégie ci-dessus, développez le nœud du Paramètres de configuration général, puis entrez les paires de valeurs clé en conséquence.
Lorsque vous avez terminé la configuration des paramètres, choisissez Suivant.
Dans la section Attributions, choisissez Sélectionner les groupes à inclure. Sélectionnez le groupe Microsoft Entra auquel vous souhaitez affecter la stratégie de configuration d’application, puis choisissez Sélectionner.
Lorsque vous avez terminé les attributions, choisissez Suivant.
Dans le panneau Créer une stratégie de configuration d’application Réviser + Créer, révisez les paramètres configurés, puis choisissez Créer.
La stratégie de configuration nouvellement créée s’affiche dans le panneau Configuration de l’application.
Utiliser Microsoft Edge pour iOS et Android pour accéder aux journaux des applications gérées
Les utilisateurs ayant Edge pour iOS et Android installés sur leur appareil iOS ou Android peuvent afficher l’état de gestion de toutes les applications publiées par Microsoft. Ils peuvent envoyer des journaux pour résoudre les problèmes liés à leurs applications iOS ou Android gérées en procédant comme suit :
Ouvrir Edge pour iOS et Android sur votre appareil.
Taper
edge://intunehelp/dans la zone d’adresse.Microsoft Edge pour iOS et Android lance le mode de dépannage.
Vous pouvez récupérer les journaux du Support Microsoft en leur donnant l’ID d’incident de l’utilisateur.
Pour obtenir la liste des paramètres stockés dans les journaux d’activité des applications, consultez Examiner les journaux de protection des applications clientes.
Journaux de diagnostic
Outre les journaux Intune de edge://intunehelp/, le Support Microsoft peut vous demander de fournir des journaux de diagnostic de Microsoft Edge pour iOS et Android. Vous pouvez télécharger les journaux sur des appareils locaux et les partager sur le Support Microsoft. Pour télécharger les journaux sur les appareils locaux :
1.Ouvrez Aide et commentaires à partir du menu de dépassement
2.Cliquez sur données de diagnostic
3. Pour Microsoft Edge pour iOS, cliquez sur l’icône Partager en haut à droite. La boîte de dialogue de partage du système d’exploitation s’affiche. Vous pouvez choisir d’enregistrer les journaux localement ou de les partager avec d’autres applications. Pour Microsoft Edge pour Android, cliquez sur le sous-menu en haut à droite pour enregistrer les journaux. Les journaux d’activité seront stockés dans le dossier Télécharger ->Edge.
Vous pouvez également cliquer sur l’icône Effacer pour effacer d’abord les journaux afin d’obtenir les journaux d’actualisation.
Remarque
L’enregistrement des journaux respecte également la stratégie de protection des applications Intune. Par conséquent, il se peut que vous ne soyez pas autorisé à enregistrer des données de diagnostic sur des appareils locaux.
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour