Administración de Microsoft Edge en iOS y Android con Intune
Edge para iOS y Android está diseñado para permitir que los usuarios naveguen por la Web y admite varias identidades. Los usuarios pueden agregar una cuenta profesional, así como una cuenta personal, para la exploración. Hay una separación completa entre las dos identidades, que es similar a lo que se ofrece en otras aplicaciones móviles de Microsoft.
Esta característica se aplica a:
- iOS/iPadOS 14.0 o posterior
- Android 8.0 o posterior para dispositivos inscritos y Android 9.0 o posterior para dispositivos no inscritos
Nota:
Edge para iOS y Android no consume la configuración que los usuarios establecen para el explorador nativo en sus dispositivos, ya que Edge para iOS y Android no puede acceder a esta configuración.
Las funcionalidades de protección más completas y amplias para los datos de Microsoft 365 están disponibles cuando se suscribe al conjunto de Enterprise Mobility + Security, que incluye Microsoft Intune y las características P1 o P2 de Microsoft Entra ID, como el acceso condicional. Como mínimo, querrá implementar una directiva de acceso condicional que solo permita la conectividad a Edge para iOS y Android desde dispositivos móviles y una directiva de protección de aplicaciones de Intune que garantice la protección de la experiencia de exploración.
Nota:
Los nuevos clips web (aplicaciones web ancladas) en dispositivos iOS se abrirán en Edge para iOS y Android en lugar de Intune Managed Browser cuando sea necesario para abrirlos en un explorador protegido. En el caso de los clips web de iOS anteriores, debe volver a dirigir estos clips web para asegurarse de que se abren en Edge para iOS y Android en lugar de en Managed Browser.
Crear directivas de protección de aplicaciones de Intune
A medida que las organizaciones adoptan cada vez más aplicaciones web y SaaS, los exploradores se han convertido en herramientas esenciales para las empresas. Los usuarios suelen tener que acceder a estas aplicaciones desde exploradores móviles mientras están en viaje. Es fundamental asegurarse de que los datos a los que se accede a través de exploradores móviles están protegidos contra fugas intencionadas o involuntarias. Por ejemplo, los usuarios pueden compartir involuntariamente los datos de las organizaciones con aplicaciones personales, lo que conduce a la pérdida de datos o descargarlos en dispositivos locales, lo que también supone un riesgo.
Las organizaciones pueden proteger los datos de que se filtren cuando los usuarios navegan con Microsoft Edge para dispositivos móviles mediante la configuración de directivas de protección de aplicaciones (APP), que definen qué aplicaciones se permiten y las acciones que pueden realizar con los datos de las organizaciones. Las opciones disponibles en las APP permiten a las organizaciones adaptar la protección a sus necesidades concretas. Para algunas de ellas, puede que no sea obvio qué configuración de directivas es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar la protección del punto de conexión del cliente móvil, Microsoft ha introducido la taxonomía para su marco de protección de datos de APP para la administración de aplicaciones móviles de iOS y Android.
El marco de protección de datos de APP se organiza en tres niveles de configuración distintos, cada uno de ellos basado en el nivel anterior:
- La protección de datos empresariales básica (nivel 1) garantiza que las aplicaciones estén protegidas con un PIN y cifradas, y realiza operaciones de borrado selectivo. En el caso de los dispositivos Android, este nivel valida la certificación de dispositivos Android. Se trata de una configuración de nivel de entrada que proporciona un control de protección de datos similar en las directivas de buzón de Exchange Online y que introduce tecnologías informáticas y el rellenado de usuarios en APP.
- La protección de datos empresariales mejorada (nivel 2) incorpora mecanismos para la prevención de la pérdida de datos de APP y requisitos mínimos para el sistema operativo. Esta es la configuración aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos.
- La protección de datos empresariales alta (nivel 3) incorpora mecanismos avanzados para la protección de datos, configuración de PIN mejorada y defensa contra amenazas móviles de APP. Esta configuración es conveniente para los usuarios que acceden a datos de alto riesgo.
A fin de ver las recomendaciones específicas para cada nivel de configuración y las aplicaciones mínimas que se deben proteger, revise Marco de protección de datos mediante directivas de protección de aplicaciones.
Independientemente de si el dispositivo está inscrito en una solución de administración unificada de puntos de conexión (UEM), es necesario crear una directiva de protección de aplicaciones de Intune para las aplicaciones iOS y Android siguiendo los pasos descritos en Cómo crear y asignar directivas de protección de aplicaciones. Estas directivas, como mínimo, deben cumplir las siguientes condiciones:
Incluyen todas las aplicaciones móviles de Microsoft 365, como Edge, Outlook, OneDrive, Office o Teams, ya que esto garantiza que los usuarios puedan acceder y manipular datos profesionales o educativos dentro de cualquier aplicación de Microsoft de forma segura.
Se asignan a todos los usuarios. Esto garantiza que todos los usuarios estén protegidos, independientemente de si usan Edge para iOS o Android.
Determine qué nivel de marco cumple sus requisitos. La mayoría de las organizaciones deben implementar la configuración definida en Protección de datos mejorada para la empresa (nivel 2), ya que permite controles de requisitos de acceso y protección de datos.
Nota:
Una de las opciones relacionadas con los exploradores es "Restringir la transferencia de contenido web con otras aplicaciones". En Protección de datos mejorada de empresa (nivel 2), el valor de esta configuración está configurado en Microsoft Edge. Cuando Outlook y Microsoft Teams están protegidos por directivas de protección de aplicaciones (APP), Microsoft Edge se usará para abrir vínculos desde estas aplicaciones, lo que garantiza que los vínculos sean seguros y protegidos. Para obtener más información sobre la configuración disponible, consulte Configuración de directivas de protección de aplicaciones Android y Configuración de directivas de protección de aplicaciones iOS.
Importante
Para aplicar directivas de protección de aplicaciones Intune en aplicaciones en dispositivos Android que no están inscritos en Intune, el usuario también debe instalar el Portal de empresa de Intune.
Aplicar el acceso condicional
Aunque es importante proteger Microsoft Edge con directivas de protección de aplicaciones (APP), también es fundamental asegurarse de que Microsoft Edge es el explorador obligatorio para abrir aplicaciones corporativas. De lo contrario, los usuarios podrían usar otros exploradores no protegidos para acceder a las aplicaciones corporativas, lo que podría provocar pérdidas de datos.
Las organizaciones pueden usar directivas de acceso condicional de Microsoft Entra para asegurarse de que los usuarios solo puedan acceder al contenido profesional o educativo mediante Edge para iOS y Android. Para ello, necesitará una directiva de acceso condicional destinada a todos los posibles usuarios. Estas directivas se describen en Acceso condicional: requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones.
Siga los pasos descritos en Requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones con dispositivos móviles, que permite Edge para iOS y Android, pero impide que otros exploradores web de dispositivos móviles se conecten a los puntos de conexión de Microsoft 365.
Nota:
Esta directiva garantiza que los usuarios móviles puedan acceder a todos los puntos de conexión de Microsoft 365 desde Edge para iOS y Android. Esta directiva también impide que los usuarios usen InPrivate para acceder a los puntos de conexión de Microsoft 365.
Con el acceso condicional, también puede dirigirse a sitios locales que haya expuesto a usuarios externos a través del proxy de aplicación Microsoft Entra.
Nota:
Para aprovechar las directivas de acceso condicional basadas en aplicaciones, la aplicación Microsoft Authenticator debe instalarse en los dispositivos iOS. En el caso de los dispositivos Android, se requiere la aplicación Portal de empresa de Intune. Para obtener más información, consulte Acceso condicional basado en aplicaciones con Intune.
Inicio de sesión único en aplicaciones web conectadas a Microsoft Entra en exploradores protegidos por directivas
Edge para iOS y Android puede aprovechar el inicio de sesión único (SSO) para todas las aplicaciones web (SaaS y locales) que están conectadas a Microsoft Entra. El SSO permite a los usuarios acceder a aplicaciones web conectadas a Microsoft Entra a través de Edge para iOS y Android, sin tener que volver a escribir sus credenciales.
El SSO requiere que el dispositivo esté registrado por la aplicación Microsoft Authenticator para dispositivos iOS o por el Portal de empresa de Intune en Android. Cuando los usuarios tienen cualquiera de estos, se les pide que registren su dispositivo cuando vayan a una aplicación web conectada a Microsoft Entra en un explorador protegido por directivas (esto solo es cierto si su dispositivo aún no se ha registrado). Una vez que el dispositivo se registra con la cuenta del usuario administrada por Intune, esa cuenta tiene habilitado el inicio de sesión único para las aplicaciones web conectadas a Microsoft Entra.
Nota:
El registro de dispositivos es una simple comprobación con el servicio de Microsoft Entra. No requiere la inscripción completa del dispositivo y no proporciona a los responsables de TI privilegios adicionales en el dispositivo.
Usar la configuración de la aplicación para administrar la experiencia de exploración
Edge para iOS y Android admite la configuración de la aplicación que permite a los administradores de la administración unificada de puntos de conexión, como Microsoft Intune, personalizar el comportamiento de la aplicación.
La configuración de aplicaciones se puede entregar a través del canal del sistema operativo de administración de dispositivos móviles (MDM) en dispositivos inscritos (canal de Configuración de aplicaciones administradas para iOS o Android en el canal Enterprise para Android) o a través del canal MAM (administración de aplicaciones móviles). Edge para iOS y Android admite los siguientes escenarios de configuración:
- Permitir solo cuentas profesionales o educativas
- Opciones de configuración general de la aplicación
- Configuración de protección de datos
- Configuración adicional de aplicaciones para dispositivos administrados
Importante
Para escenarios de configuración que requieren la inscripción de dispositivos en Android, los dispositivos deben estar inscritos en Android Enterprise y Edge para Android debe implementarse a través de Google Play Store administrado. Para obtener más información, consulte Configurar la inscripción de dispositivos de perfil de trabajo de propiedad personal de Android Enterprise y Agregar directivas de configuración de aplicaciones para dispositivos de Android Enterprise administrados.
Cada escenario de configuración resalta sus requisitos específicos. Por ejemplo, si el escenario de configuración requiere la inscripción de dispositivos y, por tanto, funciona con cualquier proveedor de UEM, o si requiere directivas de protección de aplicaciones de Intune.
Importante
Las claves de configuración de la aplicación distinguen mayúsculas de minúsculas. Use las mayúsculas y minúsculas de manera adecuada para asegurarse de que la configuración surte efecto.
Nota:
Con Microsoft Intune, la configuración de aplicaciones que se entrega a través del canal del sistema operativo MDM se conoce como una directiva de configuración de dispositivos (ACP) de dispositivos administrados; la configuración de aplicaciones que se entrega a través del canal MAM (administración de aplicaciones móviles) se conoce como una directiva de configuración de aplicaciones de aplicaciones administradas.
Permitir solo cuentas profesionales o educativas
Respetar las directivas de seguridad y el cumplimiento de los datos de nuestros clientes más grandes y altamente regulados es un pilar clave para el valor de Microsoft 365. Algunas empresas tienen un requisito para capturar toda la información de comunicaciones dentro de su entorno corporativo, así como asegurarse de que los dispositivos solo se usan para las comunicaciones corporativas. Para admitir estos requisitos, Edge para iOS y Android en dispositivos inscritos se puede configurar para permitir que solo se aprovisione una sola cuenta corporativa dentro de la aplicación.
Puede obtener más información sobre cómo configurar el valor de modo de cuentas permitidas de la organización aquí:
Este escenario de configuración solo funciona con dispositivos inscritos. Sin embargo, se admite cualquier proveedor de UEM. Si no usa Microsoft Intune, debe consultar la documentación de UEM sobre cómo implementar estas claves de configuración.
Escenarios generales de configuración de la aplicación
Edge para iOS y Android ofrece a los administradores la capacidad de personalizar la configuración predeterminada para varias opciones en la aplicación. Esta funcionalidad se ofrece cuando Edge para iOS y Android tiene una directiva de configuración de aplicaciones de aplicaciones administradas aplicada a la cuenta profesional o educativa que ha iniciado sesión en la aplicación.
Edge admite las siguientes opciones de configuración:
- Experiencias de Página de nueva pestaña
- Experiencias de Marcadores
- Experiencias de comportamiento de aplicaciones
- Experiencias de modo de quiosco
Esta configuración se puede implementar en la aplicación independientemente del estado de inscripción del dispositivo.
Diseño de página de nueva pestaña
El diseño inspirador es el predeterminado para la nueva página de tabulación. Muestra los accesos directos del sitio superior, fondo de pantalla y fuente de noticias. Los usuarios pueden cambiar el diseño según sus preferencias. Las organizaciones también pueden administrar la configuración de diseño.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
prioritario Prioritario está seleccionado inspirador (predeterminado) La inspiración está seleccionada informativo Se selecciona Informativo costumbre Está seleccionada la opción Personalizada, el botón de alternancia de accesos directos del sitio superior está activado, el botón de alternancia del fondo de pantalla está activado y el botón de alternancia de la fuente de noticias está activado |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
sitios principales Activar accesos directos a sitios principales fondo de pantalla Activar el fondo de pantalla fuente de noticias Activar la fuente de noticias Para que esta directiva surta efecto, com.microsoft.intune.mam.managedbrowser.NewTabPageLayout debe establecerse en personalizado El valor predeterminado es topsites|wallpaper|newsfeed| |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
true (valor predeterminado) Los usuarios pueden cambiar la configuración de diseño de página false Los usuarios no pueden cambiar la configuración del diseño de página. El diseño de página viene determinado por los valores especificados a través de la directiva o se usarán los valores predeterminados. |
Importante
La directiva NewTabPageLayout está pensada para establecer el diseño inicial. Los usuarios pueden cambiar la configuración del diseño de página en función de su referencia. Por lo tanto, la directiva NewTabPageLayout solo surte efecto si los usuarios no cambian la configuración del diseño. Puede aplicar la directiva NewTabPageLayout configurando UserSelectable=false.
Nota:
A partir de la versión 129.0.2792.84, el diseño de página predeterminado se cambia a inspirador.
Un ejemplo de desactivación de las fuentes de noticias
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Experiencias de Página de nueva pestaña
Edge para iOS y Android ofrece a las organizaciones varias opciones para ajustar la experiencia de página de nueva pestaña, incluido el logotipo de la organización, el color de la marca, la página principal, los sitios principales y las noticias del sector.
Logotipo y color de marca de la organización
El logotipo de la organización y la configuración de color de marca le permiten personalizar la nueva página de pestañas para Edge en dispositivos iOS y Android. El logotipo de Banner se usa como logotipo de su organización y el color de fondo de la página se usa como color de marca de su organización. Para obtener más información, consulte Configuración de la personalización de marca de la empresa.
A continuación, use los siguientes pares clave-valor para extraer la personalización de marca de su organización en Edge para iOS y Android:
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true muestra el logotipo de marca de su organización false (valor predeterminado) no expondrá un logotipo |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true muestra el color de marca de su organización false (valor predeterminado) no expondrá un color |
Acceso directo a la página principal
Este valor le permite configurar un acceso directo a la página principal de Edge para iOS y Android en la Página de nueva pestaña. El acceso directo a la página principal que configure aparecerá como el primer icono debajo de la barra de búsqueda cuando el usuario abra una nueva pestaña en Edge para iOS y Android. El usuario no puede editar ni eliminar este acceso directo en su contexto administrado. El acceso directo a la página principal muestra el nombre de su organización para distinguirla.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage Este nombre de directiva se ha reemplazado por la interfaz de usuario de la dirección URL del acceso directo de la página principal en Configuración perimetral |
Especifique una dirección URL válida. Las direcciones URL incorrectas se bloquean como medida de seguridad. Por ejemplo: https://www.bing.com |
Varios accesos directos a sitios principales
De forma similar a la configuración de un acceso directo a la página principal, puede configurar varios accesos directos a sitios principales en las Páginas de nueva pestaña en Edge para iOS y Android. El usuario no puede editar ni eliminar estos accesos directos en un contexto administrado. Nota: Puede configurar un total de 8 accesos directos, incluido un acceso directo a la página principal. Si ha configurado un acceso directo a la página principal, ese acceso directo invalidará el primer sitio principal configurado.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | Especifique el conjunto de direcciones URL de valor. Cada acceso directo a un sitio principal consta de un título y una dirección URL. Separe el título y la dirección URL con el carácter |. Por ejemplo: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Noticias del sector
Puede configurar la experiencia de Página de nueva pestaña en Edge para iOS y Android para mostrar las noticias del sector que son relevantes para su organización. Al habilitar esta característica, Edge para iOS y Android usa el nombre de dominio de su organización para agregar noticias de la web sobre su organización, el sector de la organización y la competencia, para que los usuarios puedan encontrar noticias externas relevantes desde las páginas de nueva pestaña centralizadas dentro de Edge para iOS y Android. Noticias del sector está desactivado de manera predeterminada.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true muestra las Noticias del sector en la Página de nueva pestaña false (valor predeterminado) oculta las Noticias del sector de la Página de nueva pestaña |
Página principal en lugar de la experiencia de Página de nueva pestaña
Edge para iOS y Android permite a las organizaciones deshabilitar la experiencia de Página de nueva pestaña y, en su lugar, hacer que se inicie un sitio web cuando el usuario abre una nueva pestaña. Aunque se trata de un escenario admitido, Microsoft recomienda que las organizaciones aprovechen la experiencia de Página de nueva pestaña para proporcionar contenido dinámico que sea relevante para el usuario.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Especifique una dirección URL válida. Si no se especifica ninguna dirección URL, la aplicación usa la experiencia de Página de nueva pestaña. Las direcciones URL incorrectas se bloquean como medida de seguridad. Por ejemplo: https://www.bing.com |
Experiencias de Marcadores
Edge para iOS y Android ofrece a las organizaciones varias opciones para administrar marcadores.
Marcadores administrados
Para facilitar el acceso, puede configurar marcadores que le gustaría que los usuarios tuvieran disponibles cuando usen Edge para iOS y Android.
- Los marcadores solo aparecen en una cuenta profesional o educativa y no se exponen a cuentas personales.
- Los usuarios no pueden eliminar ni modificar los marcadores.
- Los marcadores aparecen en la parte superior de la lista. Los marcadores que crean los usuarios aparecen debajo de estos marcadores.
- Si ha habilitado el redireccionamiento de Application Proxy, puede agregar aplicaciones web de Application Proxy mediante su dirección URL interna o externa.
- Los marcadores se crean en una carpeta denominada después del nombre de la organización que se define en el identificador de Microsoft Entra.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks Este nombre de directiva se ha reemplazado por la interfaz de usuario de marcadores administrados en Configuración perimetral |
El valor de esta configuración es una lista de marcadores. Cada marcador consta del título del marcador y la dirección URL del marcador. Separe el título y la dirección URL con el carácter |.Por ejemplo: Microsoft Bing|https://www.bing.comPara configurar varios marcadores, separe cada par con el carácter doble ||.Por ejemplo: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Marcador Mis aplicaciones
De manera predeterminada, los usuarios tienen el marcador Mis aplicaciones configurado dentro de la carpeta de la organización dentro de Edge para iOS y Android.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps |
true (valor predeterminado) muestra Mis aplicaciones dentro de los marcadores de Edge para iOS y Android false oculta Mis aplicaciones en Edge para iOS y Android |
Experiencias de comportamiento de aplicaciones
Edge para iOS y Android ofrece a las organizaciones varias opciones para administrar el comportamiento de la aplicación.
Inicio de sesión único con contraseña de Microsoft Entra
La funcionalidad de inicio de sesión único (SSO) de Microsoft Entra Password que ofrece Microsoft Entra ID lleva la administración del acceso de los usuarios a las aplicaciones web que no admiten la federación de identidades. De forma predeterminada, Edge para iOS y Android no realiza el inicio de sesión único con las credenciales de Microsoft Entra. Para obtener más información, consulte Agregar inicio de sesión único basado en contraseña a una aplicación.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true el inicio de sesión único con contraseña de Microsoft Entra está habilitado false (valor predeterminado) El inicio de sesión único con contraseña de Microsoft Entra está deshabilitado |
Controlador de protocolo predeterminado
De manera predeterminada, Edge para iOS y Android usa el controlador de protocolo HTTPS cuando el usuario no especifica el protocolo en la dirección URL. Por lo general, esto se considera un procedimiento recomendado, pero se puede deshabilitar.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (predeterminado) El controlador de protocolo predeterminado es HTTPS false El controlador de protocolo predeterminado es HTTP |
Deshabilitar los datos de diagnóstico opcionales
De manera predeterminada, los usuarios pueden elegir enviar datos de diagnóstico opcionales desde el valor Configuración->Privacidad y seguridad->Datos de diagnóstico->Datos de diagnóstico opcionales. Las organizaciones pueden deshabilitar este valor.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true El valor de datos de diagnóstico opcionales está deshabilitado false (valor predeterminado) Los usuarios pueden activar o desactivar la opción |
Nota:
El valor Datos de diagnóstico opcionales también se solicita a los usuarios durante la experiencia de primera ejecución (FRE). Las organizaciones pueden omitir este paso mediante la directiva de MDM EdgeDisableShareUsageData
Deshabilitar características específicas
Edge para iOS y Android permite a las organizaciones deshabilitar determinadas características que están habilitadas de manera predeterminada. Para deshabilitar estas características, configure el siguiente valor:
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password deshabilita las solicitudes que ofrecen guardar contraseñas para el usuario final inprivate deshabilita la exploración de InPrivate autofill deshabilita "Guardar y rellenar direcciones" y "Guardar y rellenar información de pago". Autorrellenar se deshabilitará incluso para la información guardada anteriormente translator deshabilita el Traductor readaloud deshabilita la Lectura en voz alta drop deshabilita la anulación cupones deshabilita los cupones extensiones deshabilita las extensiones (solo Edge para Android) developertools atenúa los números de versión de compilación para impedir que los usuarios accedan a las opciones de desarrollador (solo Edge para Android) UIRAlert suppress re-verify account popups in new tab page screen share deshabilita El recurso compartido en el menú sendtodevices deshabilita Enviar a dispositivos en el menú weather deshabilita el tiempo en NTP (página nueva pestaña) Para deshabilitar varias características, separe los valores con |. Por ejemplo, inprivate|password deshabilita InPrivate y el almacenamiento de contraseñas. |
Deshabilitar la característica de importación de contraseñas
Edge para iOS y Android permite a los usuarios importar contraseñas desde el Administrador de contraseñas. Para deshabilitar la importación de contraseñas, configure el siguiente valor:
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true Deshabilitar la importación de contraseñas false (valor predeterminado) Permitir la importación de contraseñas |
Nota:
En el Administrador de contraseñas de Edge para iOS, hay un botón Agregar. Cuando la característica para importar contraseñas está deshabilitada, también se deshabilitará el botón Agregar.
Controlar el modo de cookies
Puede controlar si los sitios pueden almacenar cookies para los usuarios en Edge para Android. Para ello, configure el siguiente valor:
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (valor predeterminado) permitir cookies 1 bloquear cookies que no son de Microsoft 2 bloquear cookies que no son de Microsoft en modo InPrivate 3 Bloquear todas las cookies |
Nota:
Edge para iOS no admite el control de cookies.
Experiencias de modo de quiosco en dispositivos Android
Edge para Android se puede habilitar como una aplicación de quiosco con la siguiente configuración:
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true habilita el modo de quiosco para Edge para Android false (valor predeterminado) deshabilita el modo de quiosco |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true muestra la barra de direcciones en el modo de quiosco false (valor predeterminado) oculta la barra de direcciones cuando el modo de quiosco está habilitado |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true muestra la barra de acción inferior en el modo de quiosco false (valor predeterminado) oculta la barra inferior cuando el modo de quiosco está habilitado |
Nota:
El modo de pantalla completa no se admite en dispositivos iOS. Sin embargo, es posible que quiera usar el modo de vista bloqueada (solo directiva MDM) para lograr una experiencia de usuario similar, donde los usuarios no pueden navegar a otros sitios web, ya que la barra de direcciones URL se convierte en de solo lectura en el modo de vista bloqueada.
Modo de vista bloqueado
Edge para iOS y Android se puede habilitar como modo de vista bloqueada con la directiva MDM EdgeLockedViewModeEnabled.
| Clave | Valor |
|---|---|
| EdgeLockedViewModeEnabled |
false (valor predeterminado) El modo de vista bloqueada está deshabilitado true El modo de vista bloqueada está habilitado |
Permite a las organizaciones restringir diversas funcionalidades del explorador, lo que proporciona una experiencia de exploración controlada y centrada.
- La barra de direcciones URL pasa a ser de solo lectura, lo cual impide que los usuarios realicen cambios en la dirección web.
- No se permite a los usuarios crear nuevas pestañas
- La característica de búsqueda contextual en páginas web está deshabilitada
- Los siguientes botones del menú de desbordamiento están deshabilitados
| Botones | Estado |
|---|---|
| Nueva pestaña de InPrivate | Deshabilitada |
| Enviar a dispositivos | Deshabilitada |
| Drop | Deshabilitada |
| Agregar al teléfono (Android) | Deshabilitada |
| Página de descarga (Android) | Deshabilitada |
El modo de vista bloqueada se suele usar junto con la directiva MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL o la directiva MDM EdgeNewTabPageCustomURL, que permite a las organizaciones configurar una página web específica que se inicia automáticamente cuando se abre Edge. Los usuarios están restringidos a esta página web y no pueden navegar a otros sitios web, lo que proporciona un entorno controlado para tareas específicas o consumo de contenido.
Nota:
De forma predeterminada, los usuarios no pueden crear nuevas pestañas en modo de vista bloqueada. Para permitir la creación de pestañas, establezca la directiva MDM EdgeLockedViewModeAllowedActions en newtabs.
Cambiar la pila de red entre Chromium e iOS
De manera predeterminada, Microsoft Edge para iOS y Android usa la pila de red de Chromium para la comunicación del servicio de Microsoft Edge, incluidos los servicios de sincronización, las sugerencias de búsqueda automática y el envío de comentarios. Microsoft Edge para iOS también proporciona la pila de red de iOS como una opción configurable para la comunicación del servicio de Microsoft Edge.
Las organizaciones pueden modificar su preferencia de pila de red mediante la configuración del siguiente valor.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (valor predeterminado) usar la pila de red de Chromium 1 usar la pila de red de iOS |
Nota:
Se recomienda usar la pila de red de Chromium. Si experimenta problemas de sincronización o errores al enviar comentarios con la pila de red de Chromium, por ejemplo, con determinadas soluciones de VPN por aplicación, el uso de la pila de red de iOS puede resolver los problemas.
Establecer una dirección URL de archivo .pac de proxy
Las organizaciones pueden especificar una dirección URL a un archivo de configuración automática de proxy (PAC) para Microsoft Edge para iOS y Android.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Especifique una dirección URL válida para un archivo .pac de proxy. Por ejemplo: https://internal.site/example.pac |
Compatibilidad con error al abrir el archivo PAC
De forma predeterminada, Microsoft Edge para iOS y Android bloqueará el acceso a la red con un script PAC no válido o no disponible. Sin embargo, las organizaciones pueden modificar el comportamiento predeterminado para que el archivo PAC no se abra.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (valor predeterminado) Bloquear acceso a la red true Permitir acceso a la red |
Configuración de retransmisiones de red
Edge para iOS ahora admite retransmisiones de red en iOS 17. Se trata de un tipo especial de proxy que se puede usar para soluciones de acceso remoto y privacidad. Admiten la tunelización segura y transparente del tráfico, que actúa como alternativa moderna a las VPN al acceder a los recursos internos. Para obtener más información sobre las retransmisiones de red, consulte Usar retransmisiones de red en dispositivos Apple.
Las organizaciones pueden configurar direcciones URL de proxy de retransmisión para enrutar el tráfico en función de los dominios coincidentes y excluidos.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | Especifique una dirección URL válida para un archivo json de configuración de retransmisión. Por ejemplo: https://yourserver/relay_config.json |
Un ejemplo de archivo json para retransmisiones de red
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
Proxy para que los usuarios inicien sesión en Edge en Android
Una configuración automática de proxy (PAC) se configura normalmente en el perfil de VPN. Sin embargo, debido a la limitación de la plataforma, Android WebView no puede reconocer el PAC, que se usa durante el proceso de inicio de sesión de Edge. Es posible que los usuarios no puedan iniciar sesión en Edge en Android.
Las organizaciones pueden especificar un proxy dedicado a través de la directiva MDM para que los usuarios inicien sesión en Edge en Android.
| Clave | Valor |
|---|---|
| EdgeOneAuthProxy | El valor correspondiente es una cadena Ejemplo http://MyProxy.com:8080 |
Almacén de datos del sitio web de iOS
El almacén de datos del sitio web en Edge para iOS es esencial para administrar cookies, memorias caché de disco y memoria, y varios tipos de datos. Sin embargo, solo hay un almacén de datos de sitio web persistente en Edge para iOS. De forma predeterminada, este almacén de datos lo usan exclusivamente las cuentas personales, lo que da lugar a una limitación en la que las cuentas profesionales o educativas no pueden usarlo. Por lo tanto, los datos de navegación, excluyendo las cookies, se pierden después de cada sesión para cuentas profesionales o educativas. Para mejorar la experiencia del usuario, las organizaciones pueden configurar el almacén de datos del sitio web para que lo usen las cuentas profesionales o educativas, lo que garantiza la persistencia de los datos de exploración.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 La cuenta personal siempre usa el almacén de datos del sitio web 1 La primera cuenta que haya iniciado sesión usará el almacén de datos del sitio web 2 (valor predeterminado) La cuenta profesional o educativa usará el almacén de datos del sitio web independientemente del orden de inicio de sesión. |
Nota:
Con el lanzamiento de iOS 17, ahora se admiten varios almacenes persistentes. La cuenta profesional y personal tiene su propio almacén persistente designado. Por lo tanto, esta directiva ya no es válida desde la versión 122.
SmartScreen de Microsoft Defender
SmartScreen de Microsoft Defender es una característica que ayuda a los usuarios a evitar descargas y sitios malintencionados. Está habilitada de forma predeterminada. Las organizaciones pueden deshabilitar este valor.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (valor predeterminado) SmartScreen de Microsoft Defender está activado. false SmartScreen de Microsoft Defender está deshabilitado. |
Comprobación de certificado
De manera predeterminada, Microsoft Edge para Android comprueba los certificados de servidor mediante el comprobador de certificados integrado y Microsoft Root Store como origen de confianza pública. Las organizaciones pueden cambiar al comprobador de certificados del sistema y a los certificados raíz del sistema.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
true (valor predeterminado) Use el comprobador de certificados integrado y Microsoft Root Store para comprobar los certificados false Use el comprobador de certificados del sistema y los certificados raíz del sistema como origen de confianza pública para comprobar los certificados |
Nota:
Un caso de uso para esta directiva es que debe usar el comprobador de certificados del sistema y los certificados raíz del sistema al usar Microsoft Tunnel para MAM en Edge para Android.
Control de página de advertencia de SSL
De forma predeterminada, los usuarios pueden hacer clic en las páginas de advertencia que se muestran cuando los usuarios navegan a sitios que tienen errores SSL. Las organizaciones pueden administrar el comportamiento.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
true (valor predeterminado) Permitir a los usuarios hacer clic en las páginas de advertencia de SSL false Impedir que los usuarios haga clic en las páginas de advertencia de SSL |
Configuración de elementos emergentes
De forma predeterminada, los elementos emergentes están bloqueados. Las organizaciones pueden administrar el comportamiento.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 Permitir que todos los sitios muestren elementos emergentes 2 (valor predeterminado) No permitir que ningún sitio muestre elementos emergentes |
Permitir elementos emergentes en sitios específicos
Si esta directiva no está configurada, el valor de la directiva de DefaultPopupsSetting (si se establece) o la configuración personal del usuario se usa para todos los sitios. Las organizaciones pueden definir una lista de sitios que pueden abrir elementos emergentes.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea bloquear como un solo valor, separadas por un carácter de barra vertical |. Ejemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Para obtener más información sobre el formato de direcciones URL, vea formato de patrón de dirección URL de directiva de empresa.
Bloquear elementos emergentes en sitios específicos
Si esta directiva no está configurada, el valor de la directiva de DefaultPopupsSetting (si se establece) o la configuración personal del usuario se usa para todos los sitios. Las organizaciones pueden definir una lista de sitios a los que se les impide abrir elementos emergentes.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea bloquear como un solo valor, separadas por un carácter de barra vertical |. Ejemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Para obtener más información sobre el formato de direcciones URL, vea formato de patrón de dirección URL de directiva de empresa.
Proveedor de búsquedas predeterminado
De forma predeterminada, Edge usa el proveedor de búsquedas predeterminado para realizar una búsqueda cuando los usuarios escriben textos que no son de dirección URL en la barra de direcciones. Los usuarios pueden cambiar la lista de proveedores de búsquedas. Las organizaciones pueden administrar el comportamiento del proveedor de búsquedas.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
true Habilitar el proveedor de búsquedas predeterminado false deshabilitar el proveedor de búsquedas predeterminado |
Configurar proveedor de búsquedas
Las organizaciones pueden configurar un proveedor de búsquedas para los usuarios. Para configurar un proveedor de búsquedas, es necesario configurar primero la directiva DefaultSearchProviderEnabled.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | El valor correspondiente es una cadena Ejemplo My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | El valor correspondiente es una cadena Ejemplo https://search.my.company/search?q={searchTerms} |
Copilot
Nota:
A partir de la versión 128, Copilot para cuentas profesionales o educativas ha quedado en desuso. Por lo tanto, las directivas siguientes ya no serán válidas en la versión 128. Si desea bloquear el acceso a la versión web de Copilot, copilot.microsoft.com, puede usar las directivas AllowListURLs o BlockListURLs.
Copilot está disponible en Microsoft Edge para iOS y Android. Los usuarios pueden iniciar Copilot haciendo clic en el botón Copilot en la barra inferior.
Hay tres configuraciones en Configuración->General->Copilot.
- Mostrar Copilot – Controlar si se muestra el botón Bing en la barra inferior
- Permitir el acceso a cualquier página web o PDF – Controlar si se permite que Copilot acceda al contenido de la página o PDF
- Acceso rápido en la selección de texto – Controlar si se muestra el panel de chat rápido cuando se selecciona texto en una página web
Puede administrar la configuración de Copilot.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat |
true (valor predeterminado) Los usuarios pueden ver el botón Copilot en la barra inferior. La configuración de Mostrar Copilot está activada de forma predeterminada y los usuarios pueden desactivarla false Los usuarios no pueden ver el botón Copilot en la barra inferior. La configuración de Mostrar Copilot está deshabilitada y los usuarios no pueden activarlo |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext |
true (valor predeterminado) Permitir el acceso a cualquier página web o PDF y el acceso rápido a la selección de texto puede estar activado por los usuarios falsePermitir el acceso a cualquier página web o PDF y el acceso rápido a la selección de texto se deshabilitará y los usuarios no podrán activarlo. |
Escenarios de configuración de aplicaciones de protección de datos
Edge para iOS y Android admite directivas de configuración de aplicaciones para las siguientes opciones de protección de datos cuando la aplicación se administra mediante Microsoft Intune con una directiva de configuración de aplicaciones para aplicaciones administradas aplicada a la cuenta profesional o educativa que ha iniciado sesión en la aplicación:
- Administrar la sincronización de cuentas
- Administrar sitios web restringidos
- Administrar la configuración del proxy
- Administrar sitios de inicio de sesión único NTLM
Esta configuración se puede implementar en la aplicación independientemente del estado de inscripción del dispositivo.
Administrar la sincronización de cuentas
De manera predeterminada, la sincronización de Microsoft Edge permite a los usuarios acceder a sus datos de exploración en todos sus dispositivos con sesión iniciada. Los datos admitidos por la sincronización incluyen:
- Favoritos
- Contraseñas
- Direcciones y más (entrada de formulario de autorrellenado)
La funcionalidad de sincronización se habilita mediante el consentimiento del usuario y los usuarios pueden activar o desactivar la sincronización para cada uno de los tipos de datos enumerados anteriormente. Para obtener más información, consulte Sincronización de Microsoft Edge.
Las organizaciones tienen la capacidad de deshabilitar la sincronización de Edge en iOS y Android.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true deshabilita la sincronización de Edge false (valor predeterminado) permite la sincronización de Edge |
Administrar sitios web restringidos
Las organizaciones pueden definir a qué sitios pueden acceder los usuarios en el contexto de una cuenta profesional o educativa en Edge para iOS y Android. Si usa una lista de permitidos, los usuarios solo podrán acceder a los sitios enumerados explícitamente. Si usa una lista de bloqueados, los usuarios podrán acceder a todos los sitios excepto a los bloqueados explícitamente. Solo debe imponer una lista de permitidos o bloqueados, no ambas. Si impone ambas, solo se respeta la lista de permitidos.
Las organizaciones también definen lo que sucede cuando un usuario intenta navegar a un sitio web restringido. De manera predeterminada, se permiten transiciones. Si la organización lo permite, los sitios web restringidos se pueden abrir en el contexto de la cuenta personal, en el contexto de InPrivate de la cuenta de Microsoft Entra o si el sitio está bloqueado por completo. Para obtener más información sobre los distintos escenarios que se admiten, consulte Transiciones de sitios web restringidos en Microsoft Edge para dispositivo móvil. Al permitir experiencias de transición, los usuarios de la organización permanecen protegidos, a la vez que mantienen seguros los recursos corporativos.
Para mejorar la experiencia de cambio de perfil al reducir la necesidad de que los usuarios cambien manualmente a perfiles personales o al modo InPrivate para abrir direcciones URL bloqueadas, hemos introducido dos nuevas directivas:
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlockcom.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
Dado que estas directivas proporcionan resultados diferentes en función de sus configuraciones y combinaciones, se recomienda probar nuestras sugerencias de directiva a continuación para una evaluación rápida para ver si la experiencia de cambio de perfil se alinea bien con las necesidades de su organización antes de explorar documentación detallada. Las opciones de configuración de cambio de perfil sugeridas incluyen los siguientes valores:
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=truecom.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=truecom.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
Nota:
Edge para iOS y Android puede bloquear el acceso a los sitios solo cuando se accede a ellos directamente. No bloquea el acceso cuando los usuarios usan servicios intermedios (como un servicio de traducción) para acceder al sitio. Las direcciones URL que comienzan con Edge, como Edge://*, Edge://flagsy Edge://net-export, no se admiten en la directiva de configuración de aplicaciones AllowListURLs o BlockListURLs para aplicaciones administradas . Puede deshabilitar estas direcciones URL con com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.
Si los dispositivos se administran, también puede usar la directiva de configuración de aplicaciones URLAllowList o URLBlocklist para dispositivos administrados. Para obtener información relacionada, consulte Directivas móviles de Microsoft Edge.
Use los siguientes pares clave-valor para configurar una lista de sitios permitidos o bloqueados para Edge para iOS y Android.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs Este nombre de directiva se ha reemplazado por la interfaz de usuario de Direcciones URL permitidas en Configuración perimetral |
El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea permitir como un solo valor, separadas por un carácter de barra vertical |. Ejemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs Este nombre de directiva se ha reemplazado por la interfaz de usuario de direcciones URL bloqueadas en Configuración perimetral |
El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea bloquear como un solo valor, separadas por un carácter de barra vertical |. Ejemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock |
true (valor predeterminado) permite que Edge para iOS y Android realice la transición de sitios restringidos. Cuando las cuentas personales no están deshabilitadas, se pide a los usuarios que cambien al contexto personal para abrir el sitio restringido o que agreguen una cuenta personal. Si com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked se establece en true, los usuarios tienen la capacidad de abrir el sitio restringido en el contexto de InPrivate. false impide que Edge para iOS y Android realice la transición de los usuarios. A los usuarios simplemente se les muestra un mensaje que indica que el sitio al que intentan acceder está bloqueado. |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked Este nombre de directiva se ha reemplazado por la interfaz de usuario de Redirigir sitios restringidos al contexto personal en Configuración perimetral |
true permite abrir sitios restringidos en el contexto de InPrivate de la cuenta de Microsoft Entra. Si la cuenta de Microsoft Entra es la única cuenta configurada en Edge para iOS y Android, el sitio restringido se abre automáticamente en el contexto de InPrivate. Si el usuario tiene configurada una cuenta personal, se le pedirá que elija entre abrir InPrivate o cambiar a la cuenta personal. False (valor predeterminado) requiere que el sitio restringido se abra en la cuenta personal del usuario. Si las cuentas personales están deshabilitadas, el sitio se bloquea. Para que este valor surta efecto, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock debe establecerse en true. |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Escriba el número de segundos que los usuarios verán la notificación de barra emergente “El acceso a este sitio está bloqueado por su organización. Lo hemos abierto en modo InPrivate para que pueda acceder al sitio”. De manera predeterminada, la notificación de barra emergente se muestra durante 7 segundos. |
Los siguientes sitios, excepto copilot.microsoft.com, siempre se permiten independientemente de la configuración de lista de permitidos o de lista de bloques definida:
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
Controlar el comportamiento del elemento emergente Sitio bloqueado
Al intentar acceder a sitios web bloqueados, se pedirá a los usuarios que usen el cambio a InPrivate o a una cuenta personal para abrir los sitios web bloqueados. Puede elegir las preferencias entre InPrivate y la cuenta personal.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (Valor predeterminado) Mostrar siempre la ventana emergente para que el usuario elija. 1: cambiar automáticamente a cuenta personal cuando la cuenta personal haya iniciado sesión. Si la cuenta personal no ha iniciado sesión, el comportamiento cambiará al valor 2. 2: cambiar automáticamente a InPrivate si com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true permite el modificador InPrivate. |
Controlar el comportamiento de cambiar el perfil personal al perfil de trabajo
Cuando Edge está en el perfil personal y los usuarios intentan abrir un vínculo desde Outlook o Microsoft Teams que se encuentran en el perfil de trabajo, de forma predeterminada, Intune usará el perfil de trabajo perimetral para abrir el vínculo porque tanto Edge como Outlook y Microsoft Teams se administran mediante Intune. Sin embargo, cuando se bloquea el vínculo, el usuario cambiará al perfil personal. Esto provoca una experiencia de fricción para los usuarios
Puede configurar una directiva para mejorar la experiencia de los usuarios. Se recomienda usar esta directiva junto con AutoTransitionModeOnBlock, ya que puede cambiar a los usuarios al perfil personal según el valor de directiva configurado.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (Valor predeterminado) Cambie al perfil de trabajo incluso si la directiva perimetral bloquea la dirección URL. 2: Las direcciones URL bloqueadas se abrirán bajo perfil personal si el perfil personal ha iniciado sesión. Si el perfil personal no ha iniciado sesión, la dirección URL bloqueada se abrirá en modo InPrivate. |
Formatos de dirección URL para la lista de sitios permitidos y bloqueados
Puede usar varios formatos de dirección URL para crear listas de sitios permitidos o bloqueados. Estos patrones permitidos se detallan en la tabla siguiente.
Asegúrese de incluir el prefijo http:// o https:// en todas las direcciones URL al escribirlas en la lista.
Puede usar el símbolo de carácter comodín (*) según las reglas de la siguiente lista de patrones permitidos.
Un carácter comodín solo puede coincidir con una parte (por ejemplo,
news-contoso.com) o con un componente completo del nombre de host (por ejemplo,host.contoso.com) o con partes enteras de la ruta de acceso cuando se separan mediante barras diagonales (www.contoso.com/images).Puede especificar números de puerto en la dirección. Si no especifica un número de puerto, los valores usados son:
- Puerto 80 para http
- Puerto 443 para https
No se admite el uso de caracteres comodín para el número de puerto. Por ejemplo,
http://www.contoso.com:*yhttp://www.contoso.com:*/no son admitidos.URL Detalles Coincidencias No coincide http://www.contoso.comCoincide con una sola página www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.comCoincide con una sola página contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*Coincide con todas las direcciones URL que comienzan por www.contoso.comwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*Coincide con todos los subdominios en contoso.comdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*Coincide con todos los subdominios que terminan con contoso.com/news-contoso.comnews-contoso.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/imagesCoincide con una sola carpeta www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80Coincide con una sola página, mediante un número de puerto www.contoso.com:80https://www.contoso.comCoincide con una sola página segura www.contoso.comwww.contoso.com/imageshttp://www.contoso.com/images/*Coincide con una sola carpeta y todas las subcarpetas www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videosA continuación se muestran ejemplos de algunas de las entradas que no se pueden especificar:
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- Direcciones IP
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
Deshabilitar páginas internas de Edge
Puede deshabilitar páginas internas de Edge como Edge://flags y Edge://net-export. Se pueden encontrar más páginas desde Edge://about
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | El valor correspondiente de la clave es una lista de nombres de página. Puede escribir las páginas internas que desea bloquear como un solo valor, separadas por un carácter de canalización | . Ejemplos: flags|net-export |
Administrar sitios web para permitir la carga de archivos
Puede haber escenarios en los que los usuarios solo pueden ver sitios web, sin la capacidad de cargar archivos. Las organizaciones tienen la opción de designar qué sitios web pueden recibir cargas de archivos.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea bloquear como un solo valor, separadas por un carácter de barra vertical |. Ejemplos: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea bloquear como un solo valor, separadas por un carácter de barra vertical |. Ejemplos: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
El ejemplo para impedir que todos los sitios web, incluidos los sitios web internos, carguen archivos
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Ejemplo para permitir que sitios web específicos carguen archivos
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Para obtener más información sobre el formato de direcciones URL, vea formato de patrón de dirección URL de directiva de empresa.
Nota:
Para Edge en iOS, la acción de pegar se bloqueará además de las cargas. Los usuarios no verán la opción pegar en el menú de acciones.
Administrar la configuración del proxy
Puede usar Edge para iOS y Android y proxy de aplicación de Microsoft Entra conjuntamente para proporcionar a los usuarios acceso a sitios de intranet en sus dispositivos móviles. Por ejemplo:
- Un usuario usa la aplicación móvil de Outlook, que está protegida por Intune. A continuación, hacen clic en un vínculo a un sitio de intranet en un correo electrónico y Edge para iOS y Android reconoce que este sitio de intranet se ha expuesto al usuario a través de Application Proxy. El usuario se enruta automáticamente a través de Application Proxy, para autenticarse con cualquier autenticación multifactor y acceso condicional aplicables, antes de llegar al sitio de intranet. El usuario ahora puede acceder a sitios internos, incluso en sus dispositivos móviles, y el vínculo en Outlook funciona según lo esperado.
- Un usuario abre Edge para iOS y Android en su dispositivo iOS o Android. Si Edge para iOS y Android está protegido con Intune y Application Proxy está habilitado, el usuario puede ir a un sitio de intranet mediante la dirección URL interna a la que está acostumbrado. Edge para iOS y Android reconoce que este sitio de intranet se ha expuesto al usuario a través de Application Proxy. El usuario se enruta automáticamente a través de Application Proxy para autenticarse antes de llegar al sitio de intranet.
Antes de empezar:
- Configure las aplicaciones internas a través del proxy de aplicación de Microsoft Entra.
- Para configurar Application Proxy y publicar aplicaciones, consulte la documentación de configuración.
- Asegúrese de que el usuario está asignado a la aplicación de proxy de aplicación de Microsoft Entra, incluso si la aplicación está configurada con el tipo de autenticación previa de paso a través.
- La aplicación Edge para iOS y Android debe tener asignada una directiva de protección de aplicaciones de Intune.
- Las aplicaciones de Microsoft deben tener una directiva de protección de aplicaciones que tenga el valor de transferencia de datos Restringir la transferencia de contenido web con otras aplicaciones establecido en Microsoft Edge.
Nota:
Edge para iOS y Android actualiza los datos de redireccionamiento de Application Proxy en función del último evento de actualización correcto. Las actualizaciones se intentan cada vez que el último evento de actualización correcto es superior a una hora.
Edge de destino para iOS y Android con el siguiente par clave-valor, para habilitar Application Proxy.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Este nombre de directiva se ha reemplazado por la interfaz de usuario del redireccionamiento del proxy de aplicación en Configuración perimetral |
true permite escenarios de redireccionamiento de proxy de aplicación de Microsoft Entra false (valor predeterminado) impide escenarios de proxy de aplicación de Microsoft Entra |
Para obtener más información sobre cómo usar Edge para iOS y Android y el proxy de aplicación de Microsoft Entra conjuntamente para un acceso sin problemas (y protegido) a las aplicaciones web locales, consulte Mejor juntos: Intune y Microsoft Entra se unen para mejorar el acceso de los usuarios. Esta entrada de blog hace referencia a Intune Managed Browser, pero el contenido también se aplica a Edge para iOS y Android.
Administrar sitios de inicio de sesión único NTLM
Las organizaciones pueden requerir que los usuarios se autentiquen con NTLM para acceder a sitios web de intranet. De manera predeterminada, se pide a los usuarios que escriban sus credenciales cada vez que accedan a un sitio web que requiera autenticación NTLM, ya que el almacenamiento en caché de las credenciales NTLM está deshabilitado.
Las organizaciones pueden habilitar el almacenamiento en caché de las credenciales NTLM para determinados sitios web. Para estos sitios, después de que el usuario escriba las credenciales y se autentique correctamente, las credenciales se almacenan en caché de manera predeterminada durante 30 días.
Nota:
Si usa un servidor proxy, asegúrese de que está configurado mediante la directiva NTLMSSOURLs, donde especifica específicamente https y http como parte del valor de clave.
Actualmente, los esquemas https y http deben especificarse en el valor de clave NTLMSSOURLs. Por ejemplo, debe configurar tanto https://your-proxy-server:8080 como http://your-proxy-server:8080. Actualmente, no es suficiente especificar el formato como host:port (como your-proxy-server:8080).
Además, no se admite el símbolo comodín (*) al configurar servidores proxy en la directiva NTLMSSOURLs.
| Clave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea permitir como un solo valor, separadas por un carácter de barra vertical |. Ejemplos: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Para obtener más información sobre los tipos de formatos de dirección URL que se admiten, consulte Formatos de dirección URL para la lista de sitios permitidos y bloqueados. |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Número de horas para almacenar en caché las credenciales; el valor predeterminado es 720 horas |
Configuración adicional de aplicaciones para dispositivos administrados
Las siguientes directivas, que se pueden configurar originalmente a través de la directiva de configuración de aplicaciones de aplicaciones administradas, ahora están disponibles a través de la directiva de configuración de aplicaciones de dispositivos administrados. Al usar directivas para las aplicaciones administradas, los usuarios deben iniciar sesión en Microsoft Edge. Al usar directivas para los dispositivos administrados, no es necesario que los usuarios inicien sesión en Edge para aplicar las directivas.
Como las directivas de configuración de aplicaciones para dispositivos administrados necesitan la inscripción de los dispositivos, se admite cualquier administración unificada de puntos de conexión (UEM). Para encontrar más directivas en el canal MDM, consulte Directivas móviles de Microsoft Edge.
| Directiva MAM | Directiva MDM |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Implementación de escenarios de configuración de aplicaciones con Microsoft Intune
Si usa Microsoft Intune como proveedor de administración de aplicaciones móviles, los pasos siguientes le permiten crear una directiva de configuración de aplicaciones de aplicaciones administradas. Una vez creada la configuración, puede asignarla a grupos de usuarios.
Inicie sesión en el Centro de administración de Microsoft Intune.
Seleccione Aplicaciones y, a continuación, seleccione Directivas de configuración de aplicaciones.
En la hoja Directivas de configuración de aplicaciones, elija Agregar y seleccione Aplicaciones administradas.
En la sección Aspectos básicos, escriba un nombre y una Descripción opcional para las opciones de configuración de la aplicación.
Para las Aplicaciones públicas, elija Seleccionar aplicaciones públicas y, a continuación, en la hoja Aplicaciones de destino, elija Edge para iOS y Android seleccionando las aplicaciones de la plataforma iOS y Android. Haga clic en Seleccionar para guardar las aplicaciones públicas seleccionadas.
Haga clic en Siguiente para completar la configuración básica de la directiva de configuración de aplicaciones.
En la sección Configuración, expanda las Opciones de configuración de Edge.
Si desea administrar la configuración de protección de datos, configure las opciones deseadas en consecuencia:
Para el redireccionamiento de Application Proxy, elija entre las opciones disponibles: Habilitar, Deshabilitar (valor predeterminado).
Para la dirección URL de acceso directo de la página principal, especifique una dirección URL válida que incluya el prefijo de http:// o https://. Las direcciones URL incorrectas se bloquean como medida de seguridad.
Para Marcadores administrados, especifique el título y una dirección URL válida que incluya el prefijo de http:// o https://.
Para las direcciones URL permitidas, especifique una dirección URL válida (solo se permiten estas direcciones URL; no se puede tener acceso a ningún otro sitio). Para obtener más información sobre los tipos de formatos de dirección URL que se admiten, consulte Formatos de dirección URL para la lista de sitios permitidos y bloqueados.
Para las direcciones URL bloqueadas, especifique una dirección URL válida (solo se bloquean estas direcciones URL). Para obtener más información sobre los tipos de formatos de dirección URL que se admiten, consulte Formatos de dirección URL para la lista de sitios permitidos y bloqueados.
Para Redirigir sitios restringidos al contexto personal, elija entre las opciones disponibles: Habilitar (valor predeterminado), Deshabilitar.
Nota:
Cuando las direcciones URL permitidas y las direcciones URL bloqueadas se definen en la directiva, solo se respeta la lista de permitidos.
Si desea valores de configuración de aplicación adicionales que no se exponen en la directiva anterior, expanda el nodo Configuración general y escriba los pares clave-valor en consecuencia.
Cuando haya terminado de configurar las opciones, elija Siguiente.
En la sección Asignaciones, elija Seleccionar grupos para incluir. Seleccione el grupo de Microsoft Entra al que desea asignar la directiva de configuración de aplicaciones y, a continuación, elija Seleccionar.
Cuando haya terminado con las asignaciones, elija Siguiente.
En la hoja Crear directiva de configuración de aplicaciones Revisar y crear, revise las opciones configuradas y elija Crear.
La directiva de configuración recién creada se muestra en la hoja Configuración de la aplicación.
Usar Microsoft Edge para iOS y Android para obtener acceso a los registros de las aplicaciones administrados
Los usuarios con Edge para iOS y Android instalado en sus dispositivos iOS o Android pueden ver el estado de administración de todas las aplicaciones publicadas por Microsoft. Pueden enviar registros para solucionar problemas de sus aplicaciones iOS o Android administradas mediante los pasos siguientes:
Abra Edge para iOS y Android en el dispositivo.
Escriba
edge://intunehelp/en el cuadro de dirección:Edge para iOS y Android inicia el modo de solución de problemas.
Puede recuperar registros del Soporte técnico de Microsoft proporcionándoles el id. de incidente del usuario.
Para obtener una lista de la configuración almacenada en los registros de la aplicación, consulte Revisión de los registros de protección de aplicaciones del cliente.
Registro de diagnóstico
Además de los registros de Intune de edge://intunehelp/, es posible que el Soporte técnico de Microsoft le pida que proporcione registros de diagnóstico de Microsoft Edge para iOS y Android. Puede descargar los registros en dispositivos locales y compartirlos con el Soporte técnico de Microsoft. Para descargar los registros en dispositivos locales:
1. Abra Ayuda y comentarios desde el menú de desbordamiento
2. Haga clic en Datos de diagnóstico
3. Para Microsoft Edge para iOS, haga clic en el icono Compartir de la parte superior derecha. Se mostrará el cuadro de diálogo de uso compartido del sistema operativo. Puede elegir guardar los registros de forma local o compartirlos con otras aplicaciones. Para Microsoft Edge para Android, haga clic en el submenú de la esquina superior derecha para guardar los registros. Los registros se almacenarán en la carpeta Descargas ->Edge.
También puede hacer clic en el icono Borrar para borrar primero los registros con el fin de obtener los registros de actualización.
Nota:
Al guardar los registros también se respeta la directiva de Intune App Protection. Por lo tanto, es posible que no tenga permiso para guardar datos de diagnóstico en dispositivos locales.