Gestire Microsoft Edge su iOS e Android con Intune
Edge per iOS e Android è progettato per consentire agli utenti di navigare sul web e supporta la multi-identità. Gli utenti possono aggiungere un account aziendale e uno personale per la navigazione. C'è una completa separazione tra le due identità, come in altre applicazioni mobili di Microsoft.
Questa funzionalità si applica a:
- iOS/iPadOS 14.0 o versione successiva
- Android 8.0 o versione successiva per i dispositivi registrati e Android 9.0 o versione successiva per i dispositivi non registrati.
Nota
Edge per iOS e Android non utilizza le impostazioni impostate dagli utenti per il browser nativo sui loro dispositivi, perché Edge per iOS e Android non può accedere a tali impostazioni.
Le funzionalità di protezione più complete e ampie per i dati di Microsoft 365 sono disponibili quando si sottoscrive la famiglia di prodotti Enterprise Mobility + Security, che include le funzionalità di Microsoft Intune e Microsoft Entra ID P1 o P2, come l'accesso condizionato. Come minimo, è necessario implementare un criterio di accesso condizionato che consenta la connettività a Edge per iOS e Android solo dai dispositivi mobili e un criterio di protezione delle app Intune che garantisca la protezione dell'esperienza di navigazione.
Nota
I nuovi clip web (app aggiunte) sui dispositivi iOS si apriranno in Edge per iOS e Android invece che nel browser gestito da Intune quando si richiede l'apertura in un browser protetto. Per i clip Web iOS meno recenti, è necessario eseguire il re-targeting di questi clip Web per assicurarsi che si aprano in Edge per iOS e Android anziché nel Browser gestito.
Creare i criteri di protezione delle app Intune
Man mano che le organizzazioni adottano in misura sempre maggiori applicazioni SaaS e Web, i browser sono diventati strumenti essenziali per le aziende. Gli utenti spesso devono accedere a queste applicazioni dai browser per dispositivi mobili mentre sono in viaggio. Garantire che i dati a cui si accede tramite i browser per dispositivi mobili siano protetti da perdite intenzionali o involontarie è fondamentale. Ad esempio, gli utenti potrebbero condividere inavvertitamente i dati aziendali con app personali, causando la fuga di dati, o scaricarli in dispositivi locali, che comporta in sé un rischio.
Le organizzazioni possono proteggere i dati da perdite quando gli utenti esplorano il Web con Microsoft Edge per dispositivi mobili configurando i criteri di protezione delle app (APP), che definiscono quali app sono consentite e le azioni che possono eseguire con i dati aziendali. Le scelte disponibili nella APP consentono alle organizzazioni di adattare la protezione alle loro esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le aziende a dare priorità alla protezione avanzata degli endpoint dei client per dispositivi mobili, Microsoft ha introdotto una tassonomia per il suo framework di protezione dei dati APP per la gestione delle app mobili iOS e Android.
Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:
- La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
- La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
- La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.
Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.
Indipendentemente dal fatto che il dispositivo sia iscritto a una soluzione di gestione unificata degli endpoint (UEM), è necessario creare un criterio di protezione delle app Intune sia per le app iOS che per quelle Android, seguendo la procedura descritta in Come creare e assegnare i criteri di protezione delle app. È necessario che questi criteri soddisfino le seguenti condizioni:
Includono tutte le applicazioni mobili di Microsoft 365, come Edge, Outlook, OneDrive, Office o Teams, in modo da garantire che gli utenti possano accedere e manipolare i dati di lavoro o scolastici all'interno di qualsiasi applicazione Microsoft in modo sicuro.
Vengono assegnati a tutti gli utenti. Questo garantisce la protezione di tutti gli utenti, indipendentemente dal fatto che utilizzino Edge per iOS o Android.
Determinare quale livello di framework soddisfa i requisiti. La maggior parte delle organizzazioni dovrebbe implementare le impostazioni definite in Protezione avanzata dei dati aziendali (livello 2), in quanto consentono di controllare la protezione dei dati e i requisiti di accesso.
Nota
Una delle impostazioni correlate ai browser è "Limita il trasferimento di contenuto Web con altre app". In Protezione dei dati aziendali avanzata (livello 2) il valore di questa impostazione è configurato su Microsoft Edge. Quando Outlook e Microsoft Teams sono protetti dai criteri di protezione delle app (APP), Microsoft Edge verrà usato per aprire i collegamenti da queste app con la certezza che i collegamenti siano sicuri e protetti. Per ulteriori informazioni sulle impostazioni disponibili, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS.
Importante
Per applicare i criteri di protezione delle app di Intune sulle app nei dispositivi Android non registrati in Intune, l'utente deve installare anche il Portale aziendale Intune.
Applicare l'accesso condizionale
Anche se è importante proteggere Microsoft Edge con i criteri di protezione delle app (APP), è anche fondamentale assicurarsi che Microsoft Edge sia il browser obbligatorio per l'apertura delle applicazioni aziendali. In caso contrario, gli utenti potrebbero usare altri browser non protetti per accedere alle applicazioni aziendali, causando potenzialmente perdite di dati.
Le organizzazioni possono utilizzare i criteri di accesso condizionato di Microsoft Entra per garantire che gli utenti possano accedere solo a contenuti di lavoro o scolastici utilizzando Edge per iOS e Android. A tal fine, è necessario un criterio di accesso condizionato che si rivolga a tutti i potenziali utenti. Questi criteri sono descritti in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app.
Seguire la procedura descritta in Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili, che consente a Edge per iOS e Android, ma impedisce ad altri web browser per dispositivi mobili di connettersi agli endpoint di Microsoft 365.
Nota
Questo criterio garantisce che gli utenti mobili possano accedere a tutti gli endpoint Microsoft 365 da Edge per iOS e Android. Questo criterio impedisce inoltre agli utenti di utilizzare InPrivate per accedere agli endpoint di Microsoft 365.
Con l'accesso condizionale, è possibile indirizzare anche i siti locali che sono stati esposti agli utenti esterni tramite Microsoft Entra Application Proxy.
Nota
Per sfruttare i criteri di accesso condizionale basati sulle app, è necessario installare l'app Microsoft Authenticator sui dispositivi iOS. Per i dispositivi Android è necessaria l'applicazione Intune Company Portal. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.
Accesso singolo alle app web collegate a Microsoft Entra nei browser protetti da policy
Edge per iOS e Android può sfruttare il single sign-on (SSO) per tutte le app web (SaaS e locali) collegate a Microsoft Entra. L'accesso SSO consente agli utenti di accedere alle applicazioni web collegate a Microsoft Entra attraverso Edge per iOS e Android, senza dover reinserire le proprie credenziali.
L'accesso SSO richiede che il dispositivo sia registrato tramite l'app Microsoft Authenticator per i dispositivi iOS o il portale aziendale Intune per Android. Quando gli utenti dispongono di uno di questi due elementi, viene loro richiesto di registrare il dispositivo quando accedono a un'applicazione web connessa a Microsoft Entra in un browser protetto da criteri (questo è vero solo se il dispositivo non è già stato registrato). Dopo che il dispositivo è stato registrato con l'account dell'utente gestito da Intune, tale account ha l'SSO abilitato per le app web collegate a Microsoft Entra.
Nota
La registrazione del dispositivo è un semplice check-in con il servizio Microsoft Entra. Non richiede la registrazione completa del dispositivo e non conferisce all'IT alcun privilegio aggiuntivo sul dispositivo.
Utilizzare la configurazione delle app per gestire l'esperienza di navigazione
Edge per iOS e Android supporta le impostazioni delle app che consentono agli amministratori della gestione unificata degli endpoint, come Microsoft Intune, di personalizzare il comportamento dell'app.
La configurazione delle app può essere fornita attraverso il canale di gestione dei dispositivi mobili (MDM) sui dispositivi iscritti (canale Managed App Configuration per iOS o canale Android in the Enterprise per Android) o attraverso il canale MAM (Mobile Application Management). Edge per iOS e Android supporta i seguenti scenari di configurazione:
- Consentire solo account aziendali o dell'istituto di istruzione
- Impostazioni generali di configurazione dell'app
- Impostazioni di protezione dei dati
- Configurazione aggiuntiva dell'app per i dispositivi gestiti
Importante
Per gli scenari di configurazione che richiedono l'iscrizione dei dispositivi su Android, i dispositivi devono essere iscritti ad Android Enterprise e Edge per Android deve essere distribuito tramite il negozio gestito Google Play. Per ulteriori informazioni, vedere Configurazione dell'iscrizione dei dispositivi Android Enterprise con profilo di lavoro personale e Aggiungere criteri di configurazione delle app per i dispositivi Android Enterprise gestiti.
Ogni scenario di configurazione evidenzia i suoi requisiti specifici. Ad esempio, se lo scenario di configurazione richiede l'iscrizione del dispositivo, e quindi funziona con qualsiasi provider UEM, o se richiede i criteri di Intune App Protection.
Importante
Le chiavi di configurazione dell'app sono sensibili alle maiuscole e alle minuscole. Usare la combinazione di maiuscole e minuscole appropriata per assicurarsi che la configurazione sia efficace.
Nota
Con Microsoft Intune, la configurazione delle app fornita attraverso il canale MDM OS è denominata Managed Devices App Configuration Policy (ACP); la configurazione delle app fornita attraverso il canale MAM (Mobile Application Management) è denominata Managed Apps App Configuration Policy.
Consentire solo account aziendali o dell'istituto di istruzione
Il rispetto dei criteri di sicurezza dei dati e di conformità dei nostri clienti più grandi e altamente regolamentati è un pilastro fondamentale del valore di Microsoft 365. Alcune aziende hanno l'obbligo di acquisire tutte le informazioni sulle comunicazioni all'interno dell'ambiente aziendale e di garantire che i dispositivi siano utilizzati solo per le comunicazioni aziendali. Per supportare questi requisiti, Edge per iOS e Android sui dispositivi registrati può essere configurato in modo da consentire il provisioning di un solo account aziendale all'interno dell'app.
Per ulteriori informazioni sulla configurazione dell'impostazione della modalità di organizzazione degli account consentiti, vedere qui:
Questo scenario di configurazione funziona solo con i dispositivi registrati. Tuttavia, è supportato qualsiasi provider UEM. Se non si utilizza Microsoft Intune, è necessario consultare la documentazione dell'UEM per sapere come distribuire queste chiavi di configurazione.
Scenari generali di configurazione delle app
Edge per iOS e Android offre agli amministratori la possibilità di personalizzare la configurazione predefinita per diverse impostazioni in-app. Questa funzionalità è offerta quando Edge per iOS e Android ha un criterio di configurazione delle applicazioni gestite applicato all'account di lavoro o scolastico che è stato firmato nell'applicazione.
Edge supporta le seguenti impostazioni per la configurazione:
- Esperienze della pagina della nuova scheda
- Esperienze dei segnalibri
- Esperienze di comportamento delle app
- Esperienze in modalità chiosco
Queste impostazioni possono essere distribuite all'app indipendentemente dallo stato di registrazione del dispositivo.
Layout di pagina della nuova scheda
Il layout ispiratore è quello predefinito per la nuova scheda. Mostra i principali collegamenti al sito, lo sfondo e il feed di notizie. Gli utenti possono modificare il layout in base alle proprie preferenze. Le organizzazioni possono anche gestire le impostazioni di layout.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
In evidenza Lo stato in evidenza è selezionato inspirational (Default) Inspirational è selezionato Informativo L'opzione Informational è selezionata costume È selezionata l'opzione Personalizzata, i tasti di scelta rapida del sito principali sono attivati, l'interruttore dello sfondo è attivato e l'interruttore del feed di notizie è attivato |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
topsites Attiva i collegamenti ai siti principali sfondo Attiva lo sfondo Newsfeed Attivare il feed di notizie Affinché questa impostazione abbia effetto, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock deve essere impostato su personalizzato Il valore predefinito è topsites|wallpaper|newsfeed| |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
vero (impostazione predefinita) Gli utenti possono modificare le impostazioni del layout di pagina falso Gli utenti non possono modificare le impostazioni del layout di pagina. Il layout di pagina è determinato dai valori specificati tramite il criterio o verranno usati i valori predefiniti |
Importante
I criteri NewTabPageLayout hanno lo scopo di impostare il layout iniziale. Gli utenti possono modificare le impostazioni del layout di pagina in base al riferimento. Di conseguenza, i criteri NewTabPageLayout hanno effetto solo se gli utenti non modificano le impostazioni di layout. Puoi applicare i criteri NewTabPageLayout configurando UserSelectable=falso.
Nota
A partire dalla versione 129.0.2792.84, il layout di pagina predefinito viene modificato in inspirational.
Esempio di disattivazione dei feed di notizie
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites|wallpaper
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Esperienze della pagina della nuova scheda
Edge per iOS e Android offre alle organizzazioni diverse opzioni per modificare l'esperienza Nuova scheda, tra cui logo dell'organizzazione, colore del marchio, home page, siti principali e notizie di settore.
Logo dell'organizzazione e colore del marchio
Le impostazioni del logo e del colore del marchio dell'organizzazione consentono di personalizzare la pagina Nuova scheda per Edge sui dispositivi iOS e Android. Il logo banner viene usato come logo dell'organizzazione e il colore di sfondo della pagina viene usato come colore del marchio dell'organizzazione. Per altre informazioni, vedi Configura il marchio aziendale.
Quindi, utilizzare le seguenti coppie chiave/valore per inserire il marchio dell'organizzazione in Edge per iOS e Android:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true mostra il logo dell'organizzazione false (impostazione predefinita) non esporrà un logo |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true mostra il colore del marchio dell'organizzazione false (impostazione predefinita) non esporrà un colore |
Collegamento alla home page
Questa impostazione consente di configurare un collegamento alla homepage per Edge per iOS e Android nella pagina Nuova scheda. Il collegamento alla homepage configurato appare come prima icona sotto la barra di ricerca quando l'utente apre una nuova scheda in Edge per iOS e Android. L'utente non può modificare o eliminare questo collegamento nel proprio contesto gestito. Il collegamento alla homepage visualizza il nome dell'organizzazione per distinguerla.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage Questo nome di criterio è stato sostituito dall'interfaccia utente dell'URL del collegamento alla home page nelle impostazioni di configurazione di Edge |
Specificare un URL valido. Gli URL non corretti vengono bloccati come misura di sicurezza. Ad esempio: https://www.bing.com |
Più collegamenti ai siti principali
Analogamente alla configurazione di un collegamento di scelta rapida per la homepage, è possibile configurare più scelte rapide per i siti principali su New Tab Pages in Edge per iOS e Android. L'utente non può modificare o eliminare questi collegamenti in un contesto gestito. Nota: è possibile configurare un totale di 8 collegamenti, incluso un collegamento alla home page. Se è stato configurato un collegamento alla home page, tale collegamento eseguirà l'override del primo sito principale configurato.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | Specificare il set di URL dei valori. Ogni collegamento al sito principale è costituito da un titolo e un URL. Separare il titolo e l'URL con il carattere |. Ad esempio: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Notizie del settore
È possibile configurare l'esperienza della pagina Nuova scheda in Edge per iOS e Android per visualizzare le notizie di settore rilevanti per l'organizzazione. Quando si attiva questa funzione, Edge per iOS e Android utilizza il nome di dominio dell'organizzazione per aggregare le notizie dal Web relative all'organizzazione, al settore di appartenenza e ai concorrenti, in modo che gli utenti possano trovare notizie esterne rilevanti dalle pagine centralizzate delle nuove schede di Edge per iOS e Android. Le notizie di settore sono disattivate per impostazione predefinita.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true mostra le novità del settore nella pagina Nuove scheda false (impostazione predefinita) nasconde Le notizie di settore dalla pagina Nuova scheda |
Home page invece dell'esperienza Nuova scheda
Edge per iOS e Android consente alle aziende di disattivare l'esperienza della pagina Nuova scheda e di avviare un sito Web quando l'utente apre una nuova scheda. Sebbene questo sia uno scenario supportato, Microsoft consiglia alle aziende di sfruttare l'esperienza della pagina Nuova scheda per fornire contenuti dinamici e rilevanti per l'utente.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Specificare un URL valido. Se non viene specificato alcun URL, l'app utilizza l'esperienza della pagina Nuova scheda. Gli URL non corretti vengono bloccati come misura di sicurezza. Ad esempio: https://www.bing.com |
Esperienze dei segnalibri
Edge per iOS e Android offre alle organizzazioni diverse opzioni per la gestione dei segnalibri.
Segnalibri gestiti
Per semplificare l'accesso, è possibile configurare segnalibri che gli utenti devono avere a disposizione quando usano Edge per iOS e Android.
- I segnalibri vengono visualizzati solo nell'account aziendale o dell'istituto di istruzione e non sono esposti agli account personali.
- I segnalibri non possono essere eliminati o modificati dagli utenti.
- I segnalibri vengono visualizzati nella parte superiore dell'elenco. Tutti i segnalibri creati dall'utente vengono visualizzati sotto questi segnalibri.
- Se si è abilitato il reindirizzamento Application Proxy, è possibile aggiungere le web app Application Proxy utilizzando il loro URL interno o esterno.
- I segnalibri vengono creati in una cartella denominata in base al nome dell'organizzazione definita in Microsoft Entra ID.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks Questo nome di criterio è stato sostituito dall'interfaccia utente dei segnalibri gestiti nelle impostazioni di Configurazione edge |
Il valore di questa configurazione è un elenco di segnalibri. Ogni segnalibro è costituito dal titolo del segnalibro e dall'URL del segnalibro. Separare il titolo e l'URL con il carattere |.Ad esempio: Microsoft Bing|https://www.bing.comPer configurare più segnalibri, separare ogni coppia con il carattere doppio ||.Ad esempio: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Segnalibro Le mie app
Per impostazione predefinita, gli utenti hanno il segnalibro Le mie app configurato all'interno della cartella dell'organizzazione in Edge per iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps |
true (impostazione predefinita) mostra Le mie app all'interno di Edge per i segnalibri di iOS e Android false nasconde Le mie app in Edge per iOS e Android |
Esperienze di comportamento delle app
Edge per iOS e Android offre alle organizzazioni diverse opzioni per gestire il comportamento dell'app.
Microsoft Entra password single sign-on
La funzionalità Microsoft Entra Password single sign-on (SSO) offerta da Microsoft Entra ID consente di gestire l'accesso degli utenti alle applicazioni web che non supportano la federazione delle identità. Per impostazione predefinita, Edge per iOS e Android non esegue l'SSO con le credenziali di Microsoft Entra. Per altre informazioni, vedere Aggiungere l'accesso Single Sign-On basato su password a un'applicazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true Microsoft Entra Password SSO è abilitato false (impostazione predefinita) Microsoft Entra Password SSO è disabilitato |
Gestore del protocollo predefinito
Per impostazione predefinita, Edge per iOS e Android utilizza il gestore del protocollo HTTPS quando l'utente non specifica il protocollo nell'URL. In genere, questa procedura è considerata una procedura consigliata, ma può essere disabilitata.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (impostazione predefinita) il gestore del protocollo predefinito è HTTPS false il gestore di protocollo predefinito è HTTP |
Disabilitare i dati di diagnostica facoltativi
Per impostazione predefinita, gli utenti possono scegliere di inviare dati di diagnostica facoltativi da Impostazioni->Privacy e sicurezza->Dati di diagnostica facoltativi->Impostazione dei dati di diagnostica facoltativi. Le organizzazioni possono disabilitare questa impostazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true L'impostazione dei dati di diagnostica facoltativa è disabilitata false (impostazione predefinita) L'opzione può essere attivata o disattivata dagli utenti |
Nota
L'impostazione dei dati di diagnostica facoltativi viene richiesta agli utenti anche durante la Prima esperienza di funzionamento (FRE). Le organizzazioni possono ignorare questo passaggio usando i criteri MDM EdgeDisableShareUsageData
Disabilitare funzionalità specifiche
Edge per iOS e Android consente alle organizzazioni di disabilitare determinate funzionalità abilitate per impostazione predefinita. Per disabilitare queste funzionalità, configurare l'impostazione seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password disabilita i prompt che offrono di salvare le password per l'utente finale inprivate disabilita la navigazione InPrivate il riempimento automatico disabilita "Salva e compila indirizzi" e "Salva e compila informazioni di pagamento". Il riempimento automatico verrà disabilitato anche per le informazioni salvate in precedenza translator disabilita traduttore readaloud disabilita la lettura ad alta voce drop disabilita il rilascio coupon disabilita i coupon estensioni disabilita le estensioni (solo Edge per Android) developertools oscura i numeri di versione della build per impedire agli utenti di accedere alle opzioni per sviluppatori (solo Edge per Android) UIRAlert elimina i popup per la nuova verifica dell'account nella schermata della nuova scheda condivisione disabilita Condivisione nel menu sendtodevices disabilita Invia ai dispositivi nel menu meteo disabilita il tempo in NTP (nuova scheda) Per disabilitare più funzionalità, separare i valori con |. Ad esempio, inprivate|password disabilita sia InPrivate che l'archiviazione delle password. |
Disabilita la funzionalità importa password
Edge per iOS e Android consente agli utenti di importare le password da Gestione Password. Per disabilitare l'importazione delle password, configurare l'impostazione seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true Disabilita le password di importazione false (impostazione predefinita) Consenti l'importazione delle password |
Nota
In Gestione password di Edge per iOS è presente un pulsante Aggiungi. Quando la funzionalità di importazione delle password è disattivata, anche il pulsante Aggiungi sarà disattivato.
Modalità Cookie di controllo
È possibile controllare se i siti possono memorizzare i cookie per gli utenti all'interno di Edge per Android. A tale scopo, configurare l'impostazione seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (impostazione predefinita) Consenti cookie 1 blocco di cookie non Microsoft 2 blocchi di cookie non Microsoft in modalità InPrivate 3 blocca tutti i cookie |
Nota
Edge per iOS non supporta il controllo dei cookie.
Esperienze in modalità kiosk su dispositivi Android
Edge per Android può essere abilitato come app kiosk con le seguenti impostazioni:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true abilita la modalità kiosk per Edge per Android false (impostazione predefinita) disabilita la modalità kiosk |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true mostra la barra degli indirizzi in modalità kiosk false (impostazione predefinita) nasconde la barra degli indirizzi quando è abilitata la modalità kiosk |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true mostra la barra delle azioni inferiore in modalità kiosk false (impostazione predefinita) nasconde la barra inferiore quando è abilitata la modalità kiosk |
Nota
La modalità tutto schermo non è supportata nei dispositivi iOS. Tuttavia, è possibile usare la modalità visualizzazione bloccata (solo criteri MDM) per ottenere un'esperienza utente simile, in cui gli utenti non sono in grado di passare ad altri siti Web, poiché la barra degli indirizzi URL diventa di sola lettura in modalità visualizzazione bloccata.
Modalità di visualizzazione bloccata
Edge per iOS e Android può essere abilitato come modalità di visualizzazione bloccata con i criteri MDM EdgeLockedViewModeEnabled.
| Chiave | Valore |
|---|---|
| EdgeLockedViewModeEnabled |
false (impostazione predefinita) La modalità di visualizzazione bloccata è disabilitata true La modalità di visualizzazione bloccata è abilitata |
Consente alle organizzazioni di limitare varie funzionalità del browser, offrendo un'esperienza di esplorazione controllata e mirata.
- La barra degli indirizzi URL diventa di sola lettura, impedendo agli utenti di apportare modifiche all'indirizzo Web
- Gli utenti non sono autorizzati a creare nuove schede
- La funzionalità di ricerca contestuale nelle pagine Web è disabilitata
- I pulsanti seguenti nel menu di overflow sono disabilitati
| Pulsanti | Stato |
|---|---|
| Nuova scheda InPrivate | Disabilitato |
| Invia ai dispositivi | Disabilitato |
| Rilascia | Disabilitato |
| Aggiungi al telefono (Android) | Disabilitato |
| Pagina di download (Android) | Disabilitato |
La modalità di visualizzazione bloccata viene spesso usata insieme ai criteri MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL o ai criteri MDM EdgeNewTabPageCustomURL, che consentono alle organizzazioni di configurare una pagina Web specifica che viene avviata automaticamente all'apertura di Edge. Gli utenti sono limitati a questa pagina Web e non possono passare ad altri siti Web, fornendo un ambiente controllato per attività specifiche o consumo di contenuto.
Nota
Per impostazione predefinita, gli utenti non possono creare nuove schede in modalità di visualizzazione bloccata. Per consentire la creazione di schede, impostare il criterio MDM EdgeLockedViewModeAllowedActions su newtabs.
Cambiare lo stack di rete tra Chromium e iOS
Per impostazione predefinita, Microsoft Edge per iOS e Android utilizza lo stack di rete Chromium per la comunicazione dei servizi di Microsoft Edge, compresi i servizi di sincronizzazione, i suggerimenti per la ricerca automatica e l'invio di feedback. Microsoft Edge per iOS offre anche lo stack di rete iOS come opzione configurabile per la comunicazione dei servizi Microsoft Edge.
Le organizzazioni possono modificare le preferenze dello stack di rete configurando l'impostazione seguente.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (impostazione predefinita) usare lo stack di rete Chromium 1 usare lo stack di rete iOS |
Nota
È consigliabile usare lo stack di rete Chromium. Se si riscontrano problemi di sincronizzazione o di invio di feedback con lo stack di rete Chromium, ad esempio con alcune soluzioni VPN per-app, l'utilizzo dello stack di rete iOS potrebbe risolvere i problemi.
Impostare l'URL di un file .pac proxy
Le organizzazioni possono specificare un URL a un file di configurazione automatica del proxy (PAC) per Microsoft Edge per iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Specificare un URL valido per un file .pac proxy. Ad esempio: https://internal.site/example.pac |
Supporto pac-open non riuscito
Per impostazione predefinita, Microsoft Edge per iOS e Android blocca l'accesso alla rete con script PAC non validi o non disponibili. Tuttavia, le organizzazioni possono modificare il comportamento predefinito per aprire il PAC fallito.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (impostazione predefinita) Blocca l'accesso alla rete Vero Consentire l'accesso alla rete |
Configura gli inoltri di rete
Edge per iOS supporta ora gli inoltri di rete in iOS 17. Si tratta di un tipo speciale di proxy che può essere usato per le soluzioni di accesso remoto e privacy. Supporta il tunneling sicuro e trasparente del traffico, che funge da alternativa moderna alle VPN quando si accede alle risorse interne. Per altre informazioni sugli inoltri di rete, vedi Uso degli inoltri di rete nei dispositivi Apple.
Le organizzazioni possono configurare gli URL del proxy di inoltro per instradare il traffico in base ai domini corrispondenti ed esclusi.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | Specifica un URL valido per un file json di configurazione dell'inoltro. Ad esempio: https://yourserver/relay_config.json |
Esempio di file json per gli inoltri di rete
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
Proxy per consentire agli utenti di accedere a Edge in Android
Una configurazione automatica del proxy (PAC) viene in genere configurata nel profilo VPN. Tuttavia, a causa di una limitazione della piattaforma, il PAC non può essere riconosciuto da Android WebView, usato durante il processo di accesso a Edge. Gli utenti possono non essere in grado di accedere a Edge in Android.
Le organizzazioni possono specificare un proxy dedicato tramite criteri MDM per consentire agli utenti di accedere a Edge in Android.
| Chiave | Valore |
|---|---|
| EdgeOneAuthProxy | Il valore corrispondente è una stringa Esempio http://MyProxy.com:8080 |
Archivio dati del sito web iOS
L'archivio dati del sito Web in Edge per iOS è essenziale per la gestione di cookie, cache di dischi e memoria e vari tipi di dati. Tuttavia, in Edge per iOS è presente un solo archivio dati permanente dei siti Web. Per impostazione predefinita, questo archivio dati viene usato esclusivamente dagli account personali, determinando una limitazione in cui gli account aziendali o dell'istituto di istruzione non possono utilizzarlo. Di conseguenza, i dati di navigazione, esclusi i cookie, vengono persi dopo ogni sessione per gli account aziendali o dell'istituto di istruzione. Per migliorare l'esperienza utente, le organizzazioni possono configurare l'archivio dati del sito Web per l'uso da parte degli account aziendali o dell'istituto di istruzione, garantendo la persistenza dei dati di esplorazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 L'archivio dati del sito Web viene sempre usato in modo statico solo dall'account personale 1 L'archivio dati del sito Web verrà usato dal primo account connesso 2 (Impostazione predefinita) L'archivio dati del sito Web verrà usato prima dall'account aziendale o dell'istituto di istruzione, indipendentemente dall'ordine di accesso |
Nota
Con il rilascio di iOS 17, sono ora supportati più archivi permanenti. L'account aziendale e quello personale hanno un proprio archivio persistente designato. Pertanto, questo criterio non è più valido a partire dalla versione 122.
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen è una funzionalità che consente agli utenti di evitare siti e download dannosi. È disabilitato per impostazione predefinita. Le organizzazioni possono disabilitare questa impostazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (impostazione predefinita) Microsoft Defender SmartScreen è abilitato. false Microsoft Defender SmartScreen è disabilitato. |
Verifica del certificato
Per impostazione predefinita, Microsoft Edge per Android verifica i certificati del server usando il verificatore di certificati predefinito e Microsoft Root Store come origine dell'attendibilità pubblica. Le organizzazioni possono passare al verificatore di certificati di sistema e ai certificati radice di sistema.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
vero (impostazione predefinita) Usare il verificatore di certificati predefinito e Microsoft Root Store per verificare i certificati. falso Usare il verificatore di certificati di sistema e i certificati radice di sistema come origine dell'attendibilità pubblica per verificare i certificati |
Nota
Un caso d'uso per questo criterio è la necessità di utilizzare il verificatore di certificati di sistema e i certificati root di sistema quando si utilizza Microsoft MAM Tunnel in Edge per Android.
Controllo pagina di avviso SSL
Per impostazione predefinita, gli utenti possono fare clic su pagine di avviso visualizzate quando gli utenti passano a siti con errori SSL. Le organizzazioni possono gestire il comportamento.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
vero (impostazione predefinita) Consente agli utenti di fare clic su pagine di avviso SSL. falso Impedisce agli utenti di fare clic sulle pagine di avviso SSL. |
Impostazioni popup
Per impostazione predefinita, i popup sono bloccati. Le organizzazioni possono gestire il comportamento.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 Consenti a tutti i siti di visualizzare i popup 2 (impostazione predefinita) Non consentire a nessun sito di visualizzare popup |
Consenti popup in siti specifici
Se questo criterio non è configurato, il valore del criterio DefaultPopupsSetting (se impostato) o la configurazione personale dell'utente viene usato per tutti i siti. Le organizzazioni possono definire un elenco di siti che possono aprire il popup.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Per altre informazioni sul formato degli URL, vedi Formato del modello di URL dei criteri aziendali.
Blocca popup in siti specifici
Se questo criterio non è configurato, il valore del criterio DefaultPopupsSetting (se impostato) o la configurazione personale dell'utente viene usato per tutti i siti. Le organizzazioni possono definire un elenco di siti a cui viene impedita l'apertura di popup.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Per altre informazioni sul formato degli URL, vedi Formato del modello di URL dei criteri aziendali.
Provider di ricerca predefinito
Per impostazione predefinita, Edge usa il provider di ricerca predefinito per eseguire una ricerca quando gli utenti immettono testi non URL nella barra degli indirizzi. Gli utenti possono modificare l'elenco dei provider di ricerca. Le organizzazioni possono gestire il comportamento del provider di ricerca.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
vero Abilita il provider di ricerca predefinito falso Disabilita il provider di ricerca predefinito |
Configura il provider di ricerca
Le organizzazioni possono configurare un provider di ricerca per gli utenti. Per configurare un provider di ricerca, è necessario prima configurare il criterio DefaultSearchProviderEnabled.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | Il valore corrispondente è una stringa Esempio My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | Il valore corrispondente è una stringa Esempio https://search.my.company/search?q={searchTerms} |
Copilot
Nota
A partire dalla versione 128, copilot per gli account aziendali o dell'istituto di istruzione è stato deprecato. Pertanto, i criteri seguenti non saranno più validi nella versione 128. Se si vuole bloccare l'accesso alla versione Web di Copilot, copilot.microsoft.com, è possibile usare i criteri AllowListURLs o BlockListURLs.
Copilot è disponibile su Microsoft Edge per iOS e Android. Gli utenti possono avviare Copilot facendo clic sul pulsante Copilot nella barra inferiore.
In Impostazioni ->Generali ->Copilot sono presenti tre impostazioni.
- Mostra Copilot- controllare se mostrare o meno il pulsante Bing sulla barra inferiore
- Consentire l'accesso a qualsiasi pagina web o PDF - Controllare se consentire a Copilot di accedere al contenuto della pagina o del PDF.
- Accesso rapido sulla selezione del testo - controllare se visualizzare il pannello della chat rapida quando è selezionato il testo in una pagina Web
È possibile gestire le impostazioni di Copilot.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat |
true (impostazione predefinita). Gli utenti visualizzano il pulsante Copilot nella barra inferiore. L'impostazione Mostra Copilot è attivata per impostazione predefinita e può essere disattivata dagli utenti false. Gli utenti non possono visualizzare il pulsante Copilot nella barra inferiore. L'impostazione Mostra Copilot è disabilitata e non può essere attivata dagli utenti |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext |
true (impostazione predefinita). Gli utenti possono attivare le opzioni Consenti accesso a qualsiasi pagina web o PDF e Accesso rapido alla selezione del testo false. Le opzioni Consenti accesso a qualsiasi pagina web o PDF e Accesso rapido alla selezione del testo sono disabilitate e non possono essere attivate dagli utenti |
Scenari di configurazione delle app per la protezione dei dati
Edge per iOS e Android supporta i criteri di configurazione delle app per le seguenti impostazioni di protezione dei dati quando l'app è gestita da Microsoft Intune con un criterio di configurazione delle app gestite applicato all'account aziendale o dell’istituto di istruzione che è stato firmato nell'app:
- Gestire la sincronizzazione degli account
- Gestire siti Web con restrizioni
- Gestire la configurazione del proxy
- Gestire i siti NTLM single sign-on
Queste impostazioni possono essere distribuite all'app indipendentemente dallo stato di registrazione del dispositivo.
Gestire la sincronizzazione degli account
Per impostazione predefinita, la sincronizzazione Microsoft Edge consente agli utenti di accedere ai dati di esplorazione in tutti i dispositivi connessi. I dati supportati dalla sincronizzazione includono:
- Preferiti
- Password
- Indirizzi e altro ancora (voce del modulo di riempimento automatico)
La funzionalità di sincronizzazione è abilitata tramite il consenso dell'utente e gli utenti possono attivare o disattivare la sincronizzazione per ognuno dei tipi di dati elencati in precedenza. Per ulteriori informazioni, vedere Sincronizzazione di Microsoft Edge.
Le organizzazioni hanno la possibilità di disabilitare la sincronizzazione Edge su iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true disabilita la sincronizzazione edge false (impostazione predefinita) consente la sincronizzazione Edge |
Gestire siti Web con restrizioni
Le organizzazioni possono definire i siti a cui gli utenti possono accedere all'interno del contesto dell'account aziendale o dell'istituto di istruzione in Edge per iOS e Android. Se si utilizza un elenco di permessi, gli utenti possono accedere solo ai siti esplicitamente elencati. Se si utilizza un elenco di siti bloccati, gli utenti possono accedere a tutti i siti tranne a quelli esplicitamente bloccati. Si dovrebbe imporre solo un elenco di permessi o un elenco di blocchi, non entrambi. Se si impongono entrambi, viene rispettato solo l'elenco consentito.
Le organizzazioni definiscono anche cosa succede quando un utente tenta di navigare in un sito web con restrizioni. Per impostazione predefinita, le transizioni sono consentite. Se l'organizzazione lo consente, i siti web con restrizioni possono essere aperti nel contesto dell'account personale, nel contesto InPrivate dell'account Microsoft Entra o se il sito è completamente bloccato. Per altre informazioni sui vari scenari supportati, vedere Transizioni di siti web con restrizioni in Microsoft Edge per dispositivi mobili. Consentendo esperienze di transizione, gli utenti dell'organizzazione rimangono protetti e le risorse aziendali sono al sicuro.
Per migliorare l'esperienza di cambio di profilo riducendo la necessità per gli utenti di passare manualmente ai profili personali o alla modalità InPrivate per aprire gli URL bloccati, sono stati introdotti due nuovi criteri:
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlockcom.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
Poiché questi criteri portano risultati diversi in base alle configurazioni e alle combinazioni, è consigliabile provare i suggerimenti per i criteri riportati di seguito per una valutazione rapida per verificare se l'esperienza di cambio di profilo è perfettamente allineata alle esigenze dell'organizzazione prima di esplorare la documentazione dettagliata. Le impostazioni di configurazione suggerite per il cambio di profilo includono i valori seguenti:
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=truecom.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=truecom.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
Nota
Edge per iOS e Android può bloccare l'accesso ai siti solo quando vi si accede direttamente. Non blocca l'accesso quando gli utenti utilizzano servizi intermedi (come un servizio di traduzione) per accedere al sito. Gli URL che si avviano con Edge, ad esempio Edge://*, Edge://flags e Edge://net-export, non sono supportati nei criteri di configurazione delle app AllowListURLs o blockListURLs per le app gestite. È possibile disabilitare questi URL con com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.
Se i dispositivi sono gestiti, è anche possibile usare i criteri di configurazione dell'app URLAllowList o URLBlocklist per i dispositivi gestiti. Per informazioni correlate, vedere Criteri per dispositivi mobili di Microsoft Edge.
Usare le coppie chiave/valore seguenti per configurare un elenco di siti consentiti o bloccati per Edge per iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs Questo nome di criterio è stato sostituito dall'interfaccia utente degli URL consentiti nelle impostazioni di configurazione edge |
Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera consentire come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs Questo nome di criterio è stato sostituito dall'interfaccia utente degli URL bloccati nelle impostazioni di configurazione edge |
Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock |
true (impostazione predefinita) consente a Edge per iOS e Android di passare ai siti con restrizioni. Quando gli account personali non sono disabilitati, agli utenti viene richiesto di passare al contesto personale per aprire il sito riservato, oppure di aggiungere un account personale. Se com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked è impostato su true, gli utenti hanno la possibilità di aprire il sito riservato nel contesto InPrivate. false impedisce la transizione degli utenti di Edge per iOS e Android. Agli utenti viene semplicemente mostrato un messaggio che indica che il sito a cui stanno cercando di accedere è bloccato. |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked Questo nome di criterio è stato sostituito dall'interfaccia utente di Reindirizzare i siti con restrizioni al contesto personale nelle impostazioni di Configurazione edge |
true consente l'apertura di siti con restrizioni nel contesto InPrivate dell'account Microsoft Entra. Se l'account Microsoft Entra è l'unico configurato in Edge per iOS e Android, il sito riservato viene aperto automaticamente nel contesto InPrivate. Se l'utente ha configurato un account personale, gli viene chiesto di scegliere se aprire InPrivate o passare all'account personale. false (impostazione predefinita) richiede l'apertura del sito con restrizioni nell'account personale dell'utente. Se gli account personali sono disabilitati, il sito è bloccato. Affinché questa impostazione abbia effetto, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock deve essere impostato su true. |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Immettere il numero di secondi in cui gli utenti vedranno la notifica "L'accesso a questo sito è bloccato dall’organizzazione". Abbiamo aperto la modalità InPrivate per consentire l'accesso al sito". Per impostazione predefinita, la notifica della barra degli snack viene visualizzata per 7 secondi. |
I siti seguenti, ad eccezione di copilot.microsoft.com, sono sempre consentiti indipendentemente dalle impostazioni definite dell'elenco consentiti o dell'elenco di blocchi:
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
Controllare il comportamento del popup Sito bloccato
Quando si tenta di accedere ai siti Web bloccati, agli utenti verrà richiesto di passare a InPrivate o all'account personale per aprire i siti Web bloccati. È possibile scegliere le preferenze tra InPrivate e l'account personale.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (Impostazione predefinita) mostrare sempre la finestra popup per la scelta da parte dell'utente. 1: passa automaticamente all'account personale quando viene eseguito l'accesso all'account personale. Se non viene eseguito l'accesso all'account personale, il comportamento verrà modificato con il valore 2. 2: passare automaticamente a InPrivate se l'opzione InPrivate è consentita da com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true. |
Controllare il comportamento del passaggio del profilo personale al profilo di lavoro
Quando Edge è sotto il profilo personale e gli utenti tentano di aprire un collegamento da Outlook o Microsoft Teams che si trova sotto il profilo di lavoro, per impostazione predefinita, Intune userà il profilo di lavoro Edge per aprire il collegamento perché sia Edge, Outlook che Microsoft Teams sono gestiti da Intune. Tuttavia, quando il collegamento viene bloccato, l'utente verrà passato al profilo personale. Ciò causa un'esperienza di attrito per gli utenti
È possibile configurare un criterio per migliorare l'esperienza degli utenti. È consigliabile usare questo criterio insieme a AutoTransitionModeOnBlock perché può passare gli utenti al profilo personale in base al valore del criterio configurato.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (impostazione predefinita) Passare al profilo di lavoro anche se l'URL è bloccato dai criteri Edge. 2: gli URL bloccati verranno aperti nel profilo personale se il profilo personale è connesso. Se il profilo personale non è connesso, l'URL bloccato verrà aperto in modalità InPrivate. |
Formati URL per l'elenco dei siti consentiti e bloccati
È possibile utilizzare vari formati di URL per creare gli elenchi dei siti consentiti/bloccati. I modelli consentiti sono illustrati nella tabella seguente.
Assicurarsi di anteporre a tutti gli URL il prefisso http:// o https:// quando li si inserisce nell'elenco.
È possibile utilizzare il simbolo jolly (*) secondo le regole del seguente elenco di modelli consentiti.
Un carattere jolly può corrispondere solo a una parte (ad esempio,
news-contoso.com) o all'intero componente del nome host (ad esempio,host.contoso.com) o a intere parti del percorso se separato da barre (www.contoso.com/images).È possibile specificare i numeri di porta nell'indirizzo. Se non si specifica un numero di porta, i valori usati sono:
- Porta 80 per http
- Porta 443 per https
L'uso di caratteri jolly per il numero di porta non è supportato. Ad esempio, non supporta
http://www.contoso.com:*ehttp://www.contoso.com:*/.URL Dettagli Corrispondenze Non corrisponde http://www.contoso.comCorrisponde a una singola pagina www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.comCorrisponde a una singola pagina contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*Corrisponde a tutti gli URL che iniziano con www.contoso.comwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*Corrisponde a tutti i sottodomini in contoso.comdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*Corrisponde a tutti i sottodomini che terminano con contoso.com/news-contoso.comnews-contoso.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/imagesCorrisponde a una singola cartella www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80Corrisponde a una singola pagina, usando un numero di porta www.contoso.com:80https://www.contoso.comCorrisponde a una singola pagina sicura www.contoso.comwww.contoso.com/imageshttp://www.contoso.com/images/*Corrisponde a una singola cartella e a tutte le sottocartelle www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videosDi seguito sono riportati alcuni esempi di input che non è possibile specificare:
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- Indirizzi IP
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
Disabilitare le pagine interne di Edge
È possibile disabilitare le pagine interne di Edge, ad esempio Edge://flags e Edge://net-export. Altre pagine sono disponibili da Edge://about
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | Il valore corrispondente per la chiave è un elenco di nomi di pagine. È possibile inserire le pagine interne da bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: flags|net-export |
Gestire i siti web per consentire il caricamento dei file
Può capitare che gli utenti siano autorizzati solo a visualizzare i siti web, senza la possibilità di caricare i file. Le organizzazioni hanno la possibilità di designare i siti web che possono ricevere il caricamento dei file.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
L'esempio per bloccare tutti i siti web, compresi quelli interni, dal caricare file.
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Un esempio per consentire a siti web specifici di caricare file
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Per altre informazioni sul formato degli URL, vedi Formato del modello di URL dei criteri aziendali.
Nota
Per Edge su iOS, l'azione di incollaggio sarà bloccata in aggiunta al caricamento. Gli utenti non vedranno l'opzione incolla nel menu delle azioni.
Gestire la configurazione del proxy
È possibile utilizzare Edge per iOS e Android e Microsoft Entra Application Proxy insieme per consentire agli utenti di accedere ai siti intranet sui loro dispositivi mobili. Ad esempio:
- Un utente utilizza l'applicazione mobile di Outlook, protetta da Intune. I clienti fanno quindi clic su un collegamento a un sito intranet in un messaggio di posta elettronica ed Edge per iOS e Android riconosce che questo sito intranet è stato esposto all'utente tramite Application Proxy. L'utente viene automaticamente instradato attraverso Application Proxy, per autenticarsi con l'autenticazione a più fattori e l'accesso condizionato, prima di raggiungere il sito intranet. L'utente è ora in grado di accedere ai siti interni, anche sui propri dispositivi mobili, e il collegamento in Outlook funziona come previsto.
- Un utente apre Edge per iOS e Android sul proprio dispositivo iOS o Android. Se Edge per iOS e Android è protetto con Intune e Application Proxy è abilitato, l'utente può accedere a un sito intranet utilizzando l'URL interno a cui è abituato. Edge per iOS e Android riconosce che questo sito intranet è stato esposto all'utente tramite Application Proxy. L'utente viene automaticamente instradato attraverso Application Proxy, per autenticarsi prima di raggiungere il sito intranet.
Prima di iniziare:
- Configurare le applicazioni interne tramite il Microsoft Entra Application Proxy.
- Per configurare Application Proxy e pubblicare le applicazioni, consultare la documentazione di configurazione.
- Assicurarsi che l'utente sia assegnato all'applicazione Microsoft Entra Application Proxy, anche se l'applicazione è configurata con il tipo di pre-autenticazione Passthrough.
- All'applicazione Edge per iOS e Android deve essere assegnato un criterio di protezione delle applicazioni Intune.
- Le applicazioni Microsoft devono avere un criterio di protezione delle applicazioni con l'impostazione Limita il trasferimento di contenuti web con altre app su Microsoft Edge.
Nota
Edge per iOS e Android aggiorna i dati di reindirizzamento di Application Proxy in base all'ultimo evento di aggiornamento riuscito. Gli aggiornamenti vengono tentati ogni volta che l'ultimo evento di aggiornamento riuscito è superiore a un'ora.
Selezionare su Edge per iOS e Android con la seguente coppia chiave/valore, per abilitare Application Proxy.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Questo nome di criterio è stato sostituito dall'interfaccia utente del reindirizzamento del proxy dell'applicazione nelle impostazioni di Configurazione edge |
true abilita gli scenari di reindirizzamento di Microsoft Entra Application Proxy false (impostazione predefinita)gli scenari di reindirizzamento di Microsoft Entra Application Proxy |
Per ulteriori informazioni su come utilizzare Edge per iOS e Android e Microsoft Entra Application Proxy in tandem per un accesso continuo (e protetto) alle app web on-premises, vedere Meglio se insieme: i team Intune e Microsoft Entra si uniscono per migliorare l'accesso degli utenti. Questo blog post fa riferimento al browser gestito da Intune, ma il contenuto si applica anche a Edge per iOS e Android.
Gestire i siti NTLM single sign-on
Le organizzazioni possono richiedere agli utenti di autenticarsi con NTLM per accedere ai siti Web intranet. Per impostazione predefinita, agli utenti viene richiesto di inserire le credenziali ogni volta che accedono a un sito Web che richiede l'autenticazione NTLM, poiché la cache delle credenziali NTLM è disabilitata.
Le organizzazioni possono abilitare la memorizzazione nella cache delle credenziali NTLM per determinati siti web. Per questi siti, dopo che l'utente ha inserito le credenziali e si è autenticato con successo, le credenziali vengono memorizzate nella cache per impostazione predefinita per 30 giorni.
Nota
Se si usa un server proxy, assicurarsi che sia configurato usando il criterio NTLMSSOURLs in cui si specificano in modo specifico sia https che http come parte del valore della chiave.
Attualmente, sia gli schemi https che http devono essere specificati nel valore della chiave NTLMSSOURLs. Ad esempio, è necessario configurare sia che https://your-proxy-server:8080http://your-proxy-server:8080. Attualmente, specificare il formato host:port (ad your-proxy-server:8080esempio ) non è sufficiente.
Inoltre, il simbolo di carattere jolly (*) non è supportato durante la configurazione dei server proxy nei criteri NTLMSSOURLs.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera consentire come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Per ulteriori informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco dei siti consentiti e bloccati. |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Numero di ore per la memorizzazione nella cache delle credenziali; l'impostazione predefinita è 720 ore. |
Configurazione aggiuntiva dell'app per i dispositivi gestiti
I seguenti criteri, originariamente configurabili tramite il criterio di configurazione delle applicazioni gestite, sono ora disponibili tramite il criterio di configurazione delle applicazioni dei dispositivi gestiti. Quando si utilizzano i criteri per le app gestite, gli utenti devono accedere a Microsoft Edge. Quando si utilizzano i criteri per i dispositivi gestiti, agli utenti non viene richiesto di accedere a Edge per applicare i criteri.
Poiché i criteri di configurazione delle app per i dispositivi gestiti richiedono l'iscrizione del dispositivo, è supportata qualsiasi gestione unificata degli endpoint (UEM). Per trovare altri criteri nel canale MDM, vedere Criteri per dispositivi mobili di Microsoft Edge.
| Criteri MAM | Criteri MDM |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Distribuire scenari di configurazione delle app con Microsoft Intune
Se si utilizza Microsoft Intune come provider di gestione delle app per dispositivi mobili, i passaggi seguenti consentono di creare un criterio di configurazione delle app gestite. Dopo aver creato la configurazione, è possibile assegnare le relative impostazioni a gruppi di utenti.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare App e quindi Criteri di configurazione delle app.
Nel pannello dei Criteri Configurazione app scegliere Aggiungi e selezionare App gestite.
Nella sezione Informazioni di base immettere un Nomee una Descrizione facoltativa per le impostazioni di configurazione dell'app.
Per App pubbliche scegliere Seleziona app pubbliche e quindi nel pannello App di destinazione scegliere Edge per iOS e Android selezionando entrambe le app della piattaforma iOS e Android. Fare clic su Seleziona per salvare le app pubbliche selezionate.
Fare clic su Avanti per completare le impostazioni di base dei criteri di configurazione dell'app.
Nella sezione Impostazioni espandere le Impostazioni di configurazione di Edge.
Per gestire le impostazioni di protezione dei dati, configurare di conseguenza le impostazioni desiderate:
Per il Reindirizzamento del proxy dell'applicazione, scegliere tra le opzioni disponibili: Abilita, Disabilita (impostazione predefinita).
Per URL di collegamento alla homepage, specificare un URL valido che includa il prefisso http:// o https://. Gli URL non corretti vengono bloccati come misura di sicurezza.
Per Segnalibri gestiti specificare il titolo e un URL valido che include il prefisso di http:// o https://.
Per URL consentiti specificare un URL valido (sono consentiti solo questi URL; non è possibile accedere ad altri siti). Per ulteriori informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco dei siti consentiti e bloccati.
Per URL bloccati specificare un URL valido (solo questi URL sono bloccati). Per altre informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco di siti consentiti e bloccati.
Per Reindirizzare i siti con restrizioni al contesto personale, scegliere tra le opzioni disponibili: Abilita (impostazione predefinita), Disabilita.
Nota
Quando nel criterio sono definiti sia URL consentiti che URL bloccati, viene rispettato solo l'elenco consentito.
Se si desidera aggiungere impostazioni di configurazione dell'app non esposte nei criteri precedenti, espandere il nodo Impostazioni di configurazione generale e immettere di conseguenza le coppie di valori chiave.
Al termine della configurazione delle impostazioni, scegliere Avanti.
Nella sezione Assegnazioni scegliere Seleziona gruppi da includere. Selezionare il gruppo Microsoft Entra a cui assegnare il criterio di configurazione dell'applicazione, quindi scegliere Seleziona.
Al termine delle assegnazioni, scegliere Avanti.
Nella pagina Creare un criterio di configurazione dell'app Revisione + Creazione, rivedere le impostazioni configurate e scegliere Crea.
Il criterio di configurazione appena creato viene visualizzato nel pannello di Configurazione delle applicazioni.
Usare Microsoft Edge per iOS e Android per accedere ai registri delle app gestite.
Gli utenti con Edge per iOS e Android installato sul proprio dispositivo iOS o Android possono visualizzare lo stato di gestione di tutte le app pubblicate da Microsoft. Possono inviare i log per la risoluzione dei problemi delle applicazioni iOS o Android gestite utilizzando i seguenti passaggi:
Aprire Edge per iOS e Android nel dispositivo.
Digitare
edge://intunehelp/nella casella dell'indirizzo.Edge per iOS e Android avvia la modalità di risoluzione dei problemi.
È possibile recuperare i log dall'assistenza Microsoft fornendo l'ID dell’evento imprevisto dell'utente.
Per un elenco delle impostazioni memorizzate nei registri delle applicazioni, vedere Revisione dei registri di protezione delle applicazioni client.
Registri diagnostici
Oltre ai log di Intune di edge://intunehelp/, il supporto tecnico Microsoft potrebbe chiedervi di fornire i log diagnostici di Microsoft Edge per iOS e Android. È possibile scaricare i registri su dispositivi locali e condividerli con il supporto tecnico Microsoft. Per scaricare i log nei dispositivi locali:
1.Aprire Guida e feedback dal menu di overflow
2.Fare clic su dati di diagnostica
3.Per Microsoft Edge per iOS, fare clic sull'icona Condividi in alto a destra. Verrà visualizzata la finestra di dialogo di condivisione del sistema operativo. È possibile scegliere di salvare i log in locale o condividerli con altre app. Per Microsoft Edge per Android, fare clic sul menu secondario nell'angolo in alto a destra per salvare i log. I log verranno archiviati nella cartella Download ->Edge.
È anche possibile fare clic sull'icona Cancella per cancellare prima i log per ottenere i log di aggiornamento.
Nota
Il salvataggio dei log rispetta anche i criteri di Protezione app di Intune. Di conseguenza, potrebbe non essere consentito salvare i dati di diagnostica nei dispositivi locali.