Gestire Microsoft Edge su iOS e Android con Intune
Edge per iOS e Android è progettato per consentire agli utenti di navigare sul web e supporta la multi-identità. Gli utenti possono aggiungere un account aziendale e uno personale per la navigazione. C'è una completa separazione tra le due identità, come in altre applicazioni mobili di Microsoft.
Questa funzionalità si applica a:
- iOS/iPadOS 14.0 o versione successiva
- Android 8.0 o versione successiva per i dispositivi registrati e Android 9.0 o versione successiva per i dispositivi non registrati.
Nota
Edge per iOS e Android non utilizza le impostazioni impostate dagli utenti per il browser nativo sui loro dispositivi, perché Edge per iOS e Android non può accedere a tali impostazioni.
Le funzionalità di protezione più complete e ampie per i dati di Microsoft 365 sono disponibili quando si sottoscrive la famiglia di prodotti Enterprise Mobility + Security, che include le funzionalità di Microsoft Intune e Microsoft Entra ID P1 o P2, come l'accesso condizionato. Come minimo, è necessario implementare un criterio di accesso condizionato che consenta la connettività a Edge per iOS e Android solo dai dispositivi mobili e un criterio di protezione delle app Intune che garantisca la protezione dell'esperienza di navigazione.
Nota
I nuovi clip web (app aggiunte) sui dispositivi iOS si apriranno in Edge per iOS e Android invece che nel browser gestito da Intune quando si richiede l'apertura in un browser protetto. Per i clip Web iOS meno recenti, è necessario eseguire il re-targeting di questi clip Web per assicurarsi che si aprano in Edge per iOS e Android anziché nel Browser gestito.
Applicare l'accesso condizionale
Le organizzazioni possono utilizzare i criteri di accesso condizionato di Microsoft Entra per garantire che gli utenti possano accedere solo a contenuti di lavoro o scolastici utilizzando Edge per iOS e Android. A tal fine, è necessario un criterio di accesso condizionato che si rivolga a tutti i potenziali utenti. Questi criteri sono descritti in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app.
Seguire la procedura descritta in Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili, che consente a Edge per iOS e Android, ma impedisce ad altri web browser per dispositivi mobili di connettersi agli endpoint di Microsoft 365.
Nota
Questo criterio garantisce che gli utenti mobili possano accedere a tutti gli endpoint Microsoft 365 da Edge per iOS e Android. Questo criterio impedisce inoltre agli utenti di utilizzare InPrivate per accedere agli endpoint di Microsoft 365.
Con l'accesso condizionale, è possibile indirizzare anche i siti locali che sono stati esposti agli utenti esterni tramite Microsoft Entra Application Proxy.
Nota
Per sfruttare i criteri di accesso condizionale basati sulle app, è necessario installare l'app Microsoft Authenticator sui dispositivi iOS. Per i dispositivi Android è necessaria l'applicazione Intune Company Portal. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.
Creare i criteri di protezione delle app Intune
Le App Protection Policies (APP) definiscono quali app sono consentite e le azioni che possono compiere con i dati dell'organizzazione. Le scelte disponibili nella APP consentono alle organizzazioni di adattare la protezione alle loro esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le aziende a dare priorità alla protezione avanzata degli endpoint dei client per dispositivi mobili, Microsoft ha introdotto una tassonomia per il suo framework di protezione dei dati APP per la gestione delle app mobili iOS e Android.
Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:
- La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
- La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
- La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.
Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.
Indipendentemente dal fatto che il dispositivo sia iscritto a una soluzione di gestione unificata degli endpoint (UEM), è necessario creare un criterio di protezione delle app Intune sia per le app iOS che per quelle Android, seguendo la procedura descritta in Come creare e assegnare i criteri di protezione delle app. È necessario che questi criteri soddisfino le seguenti condizioni:
Includono tutte le applicazioni mobili di Microsoft 365, come Edge, Outlook, OneDrive, Office o Teams, in modo da garantire che gli utenti possano accedere e manipolare i dati di lavoro o scolastici all'interno di qualsiasi applicazione Microsoft in modo sicuro.
Vengono assegnati a tutti gli utenti. Questo garantisce la protezione di tutti gli utenti, indipendentemente dal fatto che utilizzino Edge per iOS o Android.
Determinare quale livello di framework soddisfa i requisiti. La maggior parte delle organizzazioni dovrebbe implementare le impostazioni definite in Protezione avanzata dei dati aziendali (livello 2), in quanto consentono di controllare la protezione dei dati e i requisiti di accesso.
Per ulteriori informazioni sulle impostazioni disponibili, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS.
Importante
Per applicare i criteri di protezione delle app di Intune sulle app nei dispositivi Android non registrati in Intune, l'utente deve installare anche il Portale aziendale Intune.
Accesso singolo alle app web collegate a Microsoft Entra nei browser protetti da policy
Edge per iOS e Android può sfruttare il single sign-on (SSO) per tutte le app web (SaaS e locali) collegate a Microsoft Entra. L'accesso SSO consente agli utenti di accedere alle applicazioni web collegate a Microsoft Entra attraverso Edge per iOS e Android, senza dover reinserire le proprie credenziali.
L'accesso SSO richiede che il dispositivo sia registrato tramite l'app Microsoft Authenticator per i dispositivi iOS o il portale aziendale Intune per Android. Quando gli utenti dispongono di uno di questi due elementi, viene loro richiesto di registrare il dispositivo quando accedono a un'applicazione web connessa a Microsoft Entra in un browser protetto da criteri (questo è vero solo se il dispositivo non è già stato registrato). Dopo che il dispositivo è stato registrato con l'account dell'utente gestito da Intune, tale account ha l'SSO abilitato per le app web collegate a Microsoft Entra.
Nota
La registrazione del dispositivo è un semplice check-in con il servizio Microsoft Entra. Non richiede la registrazione completa del dispositivo e non conferisce all'IT alcun privilegio aggiuntivo sul dispositivo.
Utilizzare la configurazione delle app per gestire l'esperienza di navigazione
Edge per iOS e Android supporta le impostazioni delle app che consentono agli amministratori della gestione unificata degli endpoint, come Microsoft Intune, di personalizzare il comportamento dell'app.
La configurazione delle app può essere fornita attraverso il canale di gestione dei dispositivi mobili (MDM) sui dispositivi iscritti (canale Managed App Configuration per iOS o canale Android in the Enterprise per Android) o attraverso il canale MAM (Mobile Application Management). Edge per iOS e Android supporta i seguenti scenari di configurazione:
- Consentire solo account aziendali o dell'istituto di istruzione
- Impostazioni generali di configurazione dell'app
- Impostazioni di protezione dei dati
- Configurazione aggiuntiva dell'app per i dispositivi gestiti
Importante
Per gli scenari di configurazione che richiedono l'iscrizione dei dispositivi su Android, i dispositivi devono essere iscritti ad Android Enterprise e Edge per Android deve essere distribuito tramite il negozio gestito Google Play. Per ulteriori informazioni, vedere Configurazione dell'iscrizione dei dispositivi Android Enterprise con profilo di lavoro personale e Aggiungere criteri di configurazione delle app per i dispositivi Android Enterprise gestiti.
Ogni scenario di configurazione evidenzia i suoi requisiti specifici. Ad esempio, se lo scenario di configurazione richiede l'iscrizione del dispositivo, e quindi funziona con qualsiasi provider UEM, o se richiede i criteri di Intune App Protection.
Importante
Le chiavi di configurazione dell'app sono sensibili alle maiuscole e alle minuscole. Usare la combinazione di maiuscole e minuscole appropriata per assicurarsi che la configurazione sia efficace.
Nota
Con Microsoft Intune, la configurazione delle app fornita attraverso il canale MDM OS è denominata Managed Devices App Configuration Policy (ACP); la configurazione delle app fornita attraverso il canale MAM (Mobile Application Management) è denominata Managed Apps App Configuration Policy.
Consentire solo account aziendali o dell'istituto di istruzione
Il rispetto dei criteri di sicurezza dei dati e di conformità dei nostri clienti più grandi e altamente regolamentati è un pilastro fondamentale del valore di Microsoft 365. Alcune aziende hanno l'obbligo di acquisire tutte le informazioni sulle comunicazioni all'interno dell'ambiente aziendale e di garantire che i dispositivi siano utilizzati solo per le comunicazioni aziendali. Per supportare questi requisiti, Edge per iOS e Android sui dispositivi registrati può essere configurato in modo da consentire il provisioning di un solo account aziendale all'interno dell'app.
Per ulteriori informazioni sulla configurazione dell'impostazione della modalità di organizzazione degli account consentiti, vedere qui:
Questo scenario di configurazione funziona solo con i dispositivi registrati. Tuttavia, è supportato qualsiasi provider UEM. Se non si utilizza Microsoft Intune, è necessario consultare la documentazione dell'UEM per sapere come distribuire queste chiavi di configurazione.
Scenari generali di configurazione delle app
Edge per iOS e Android offre agli amministratori la possibilità di personalizzare la configurazione predefinita per diverse impostazioni in-app. Questa funzionalità è offerta quando Edge per iOS e Android ha un criterio di configurazione delle applicazioni gestite applicato all'account di lavoro o scolastico che è stato firmato nell'applicazione.
Edge supporta le seguenti impostazioni per la configurazione:
- Esperienze della pagina della nuova scheda
- Esperienze dei segnalibri
- Esperienze di comportamento delle app
- Esperienze in modalità chiosco
Queste impostazioni possono essere distribuite all'app indipendentemente dallo stato di registrazione del dispositivo.
Layout di pagina della nuova scheda
Il layout personalizzato è quello predefinito per la nuova scheda. Mostra le scelte rapide da tastiera del sito principali e il feed di notizie senza sfondo. Gli utenti possono modificare il layout in base alle proprie preferenze. Le organizzazioni possono anche gestire le impostazioni di layout.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout | In evidenza Lo stato in evidenza è selezionato Ispirazione È selezionata l'opzione Ispirazione informativo (solo iPad/Tablet) È selezionato Informativo personalizzato (Predefinito) È selezionato Personalizzato, l'interruttore dei collegamenti del sito principale è attivato, l'interruttore dello sfondo è disattivato e l'interruttore del feed di notizie è attivato |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom | topsites Attiva i collegamenti ai siti principali sfondo Attiva lo sfondo Newsfeed Attivare il feed di notizie Affinché questa impostazione abbia effetto, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock deve essere impostato su personalizzato Il valore predefinito è topsites|newsfeed |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable | vero (impostazione predefinita) Gli utenti possono modificare le impostazioni del layout di pagina falso Gli utenti non possono modificare le impostazioni del layout di pagina. Il layout di pagina è determinato dai valori specificati tramite il criterio o verranno usati i valori predefiniti |
Nota
I criteri NewTabPageLayout hanno lo scopo di impostare il layout iniziale. Gli utenti possono modificare le impostazioni del layout di pagina in base al riferimento. Di conseguenza, i criteri NewTabPageLayout hanno effetto solo se gli utenti non modificano le impostazioni di layout. Puoi applicare i criteri NewTabPageLayout configurando UserSelectable=falso.
Esempio di disattivazione dei feed di notizie
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites|wallpaper
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Esperienze della pagina della nuova scheda
Edge per iOS e Android offre alle organizzazioni diverse opzioni per modificare l'esperienza Nuova scheda, tra cui logo dell'organizzazione, colore del marchio, home page, siti principali e notizie di settore.
Logo dell'organizzazione e colore del marchio
Queste impostazioni consentono di personalizzare la pagina della nuova scheda di Edge per iOS e Android in modo da visualizzare il logo e il colore del marchio dell'organizzazione come sfondo della pagina.
Per caricare il logo e il colore dell'organizzazione, completare i seguenti passaggi:
- All'interno dell’interfaccia di amministrazione di Microsoft Intune, passare a Amministrazione Tenant> Personalizzazione. Accanto a Impostazioni, fare clic su Modifica.
- Per impostare il logo del marchio, accanto a Mostra nell'intestazionescegliere "Solo logo dell'organizzazione". Si consiglia di utilizzare loghi con sfondo trasparente.
- Per impostare il colore di sfondo del marchio, selezionare un Colore tema. Edge per iOS e Android applica una tonalità di colore più chiara alla pagina Nuova scheda, garantendo così un'elevata leggibilità della pagina.
Nota
Poiché Azure Active Directory (Azure AD) Graph è stato deprecato, è entrato nella fase di ritiro. Vedere i dettagli su Panoramica della migrazione del grafico di Azure AD. Di conseguenza, il logo dell'organizzazione e il colore del marchio mantenuti all'interno dell’interfaccia di amministrazione di Intune saranno inaccessibili quando Azure Active Directory (Azure AD) Graph sarà completamente ritirato. Pertanto, a partire dalla versione v116 di Edge per iOS e Android, il logo dell'organizzazione e il colore del marchio verranno recuperati da Microsoft Graph. È necessario mantenere il logo e il colore del marchio dell'organizzazione tramite passaggi. Il logo del banner sarà utilizzato come quello dell'organizzazione e il colore dello sfondo della pagina sarà utilizzato come colore del marchio.
Quindi, utilizzare le seguenti coppie chiave/valore per inserire il marchio dell'organizzazione in Edge per iOS e Android:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo | true mostra il logo dell'organizzazione false (impostazione predefinita) non esporrà un logo |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor | true mostra il colore del marchio dell'organizzazione false (impostazione predefinita) non esporrà un colore |
Collegamento alla home page
Questa impostazione consente di configurare un collegamento alla homepage per Edge per iOS e Android nella pagina Nuova scheda. Il collegamento alla homepage configurato appare come prima icona sotto la barra di ricerca quando l'utente apre una nuova scheda in Edge per iOS e Android. L'utente non può modificare o eliminare questo collegamento nel proprio contesto gestito. Il collegamento alla homepage visualizza il nome dell'organizzazione per distinguerla.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage | Specificare un URL valido. Gli URL non corretti vengono bloccati come misura di sicurezza. Ad esempio: https://www.bing.com |
Più collegamenti ai siti principali
Analogamente alla configurazione di un collegamento di scelta rapida per la homepage, è possibile configurare più scelte rapide per i siti principali su New Tab Pages in Edge per iOS e Android. L'utente non può modificare o eliminare questi collegamenti in un contesto gestito. Nota: è possibile configurare un totale di 8 collegamenti, incluso un collegamento alla home page. Se è stato configurato un collegamento alla home page, tale collegamento eseguirà l'override del primo sito principale configurato.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | Specificare il set di URL dei valori. Ogni collegamento al sito principale è costituito da un titolo e un URL. Separare il titolo e l'URL con il carattere |. Ad esempio: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Notizie del settore
È possibile configurare l'esperienza della pagina Nuova scheda in Edge per iOS e Android per visualizzare le notizie di settore rilevanti per l'organizzazione. Quando si attiva questa funzione, Edge per iOS e Android utilizza il nome di dominio dell'organizzazione per aggregare le notizie dal Web relative all'organizzazione, al settore di appartenenza e ai concorrenti, in modo che gli utenti possano trovare notizie esterne rilevanti dalle pagine centralizzate delle nuove schede di Edge per iOS e Android. Le notizie di settore sono disattivate per impostazione predefinita.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews | true mostra le novità del settore nella pagina Nuove scheda false (impostazione predefinita) nasconde Le notizie di settore dalla pagina Nuova scheda |
Home page invece dell'esperienza Nuova scheda
Edge per iOS e Android consente alle aziende di disattivare l'esperienza della pagina Nuova scheda e di avviare un sito Web quando l'utente apre una nuova scheda. Sebbene questo sia uno scenario supportato, Microsoft consiglia alle aziende di sfruttare l'esperienza della pagina Nuova scheda per fornire contenuti dinamici e rilevanti per l'utente.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Specificare un URL valido. Se non viene specificato alcun URL, l'app utilizza l'esperienza della pagina Nuova scheda. Gli URL non corretti vengono bloccati come misura di sicurezza. Ad esempio: https://www.bing.com |
Esperienze dei segnalibri
Edge per iOS e Android offre alle organizzazioni diverse opzioni per la gestione dei segnalibri.
Segnalibri gestiti
Per semplificare l'accesso, è possibile configurare segnalibri che gli utenti devono avere a disposizione quando usano Edge per iOS e Android.
- I segnalibri vengono visualizzati solo nell'account aziendale o dell'istituto di istruzione e non sono esposti agli account personali.
- I segnalibri non possono essere eliminati o modificati dagli utenti.
- I segnalibri vengono visualizzati nella parte superiore dell'elenco. Tutti i segnalibri creati dall'utente vengono visualizzati sotto questi segnalibri.
- Se si è abilitato il reindirizzamento Application Proxy, è possibile aggiungere le web app Application Proxy utilizzando il loro URL interno o esterno.
- I segnalibri vengono creati in una cartella denominata in base al nome dell'organizzazione definita in Microsoft Entra ID.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks | Il valore di questa configurazione è un elenco di segnalibri. Ogni segnalibro è costituito dal titolo del segnalibro e dall'URL del segnalibro. Separare il titolo e l'URL con il carattere |.Ad esempio: Microsoft Bing|https://www.bing.comPer configurare più segnalibri, separare ogni coppia con il carattere doppio ||.Ad esempio: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Segnalibro Le mie app
Per impostazione predefinita, gli utenti hanno il segnalibro Le mie app configurato all'interno della cartella dell'organizzazione in Edge per iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps | true (impostazione predefinita) mostra Le mie app all'interno di Edge per i segnalibri di iOS e Android false nasconde Le mie app in Edge per iOS e Android |
Esperienze di comportamento delle app
Edge per iOS e Android offre alle organizzazioni diverse opzioni per gestire il comportamento dell'app.
Microsoft Entra password single sign-on
La funzionalità Microsoft Entra Password single sign-on (SSO) offerta da Microsoft Entra ID consente di gestire l'accesso degli utenti alle applicazioni web che non supportano la federazione delle identità. Per impostazione predefinita, Edge per iOS e Android non esegue l'SSO con le credenziali di Microsoft Entra. Per altre informazioni, vedere Aggiungere l'accesso Single Sign-On basato su password a un'applicazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO | true Microsoft Entra Password SSO è abilitato false (impostazione predefinita) Microsoft Entra Password SSO è disabilitato |
Gestore del protocollo predefinito
Per impostazione predefinita, Edge per iOS e Android utilizza il gestore del protocollo HTTPS quando l'utente non specifica il protocollo nell'URL. In genere, questa procedura è considerata una procedura consigliata, ma può essere disabilitata.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | true (impostazione predefinita) il gestore del protocollo predefinito è HTTPS false il gestore di protocollo predefinito è HTTP |
Disabilitare i dati di diagnostica facoltativi
Per impostazione predefinita, gli utenti possono scegliere di inviare dati di diagnostica facoltativi da Impostazioni->Privacy e sicurezza->Dati di diagnostica facoltativi->Impostazione dei dati di diagnostica facoltativi. Le organizzazioni possono disabilitare questa impostazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | true L'impostazione dei dati di diagnostica facoltativa è disabilitata false (impostazione predefinita) L'opzione può essere attivata o disattivata dagli utenti |
Nota
L'impostazione dei dati di diagnostica facoltativi viene richiesta agli utenti anche durante la Prima esperienza di funzionamento (FRE). Le organizzazioni possono ignorare questo passaggio usando i criteri MDM EdgeDisableShareUsageData
Disabilitare funzionalità specifiche
Edge per iOS e Android consente alle organizzazioni di disabilitare determinate funzionalità abilitate per impostazione predefinita. Per disabilitare queste funzionalità, configurare l'impostazione seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | password disabilita i prompt che offrono di salvare le password per l'utente finale inprivate disabilita la navigazione InPrivate il riempimento automatico disabilita "Salva e compila indirizzi" e "Salva e compila informazioni di pagamento". Il riempimento automatico verrà disabilitato anche per le informazioni salvate in precedenza translator disabilita traduttore readaloud disabilita la lettura ad alta voce drop disabilita il rilascio coupon disabilita i coupon estensioni estensioni disabilitate (solo Edge per Android) developertools oscura i numeri di versione della build per impedire agli utenti di accedere alle opzioni per sviluppatori (solo Edge per Android) Per disabilitare più funzionalità, separare i valori con |. Ad esempio, inprivate|password disabilita sia InPrivate che l'archiviazione delle password. |
Disabilita la funzionalità importa password
Edge per iOS e Android consente agli utenti di importare le password da Gestione Password. Per disabilitare l'importazione delle password, configurare l'impostazione seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | true Disabilita le password di importazione false (impostazione predefinita) Consenti l'importazione delle password |
Nota
In Gestione password di Edge per iOS è presente un pulsante Aggiungi. Quando la funzionalità di importazione delle password è disattivata, anche il pulsante Aggiungi sarà disattivato.
Modalità Cookie di controllo
È possibile controllare se i siti possono memorizzare i cookie per gli utenti all'interno di Edge per Android. A tale scopo, configurare l'impostazione seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode | 0 (impostazione predefinita) Consenti cookie 1 blocco di cookie non Microsoft 2 blocchi di cookie non Microsoft in modalità InPrivate 3 blocca tutti i cookie |
Nota
Edge per iOS non supporta il controllo dei cookie.
Esperienze in modalità kiosk su dispositivi Android
Edge per Android può essere abilitato come app kiosk con le seguenti impostazioni:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | true abilita la modalità kiosk per Edge per Android false (impostazione predefinita) disabilita la modalità kiosk |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | true mostra la barra degli indirizzi in modalità kiosk false (impostazione predefinita) nasconde la barra degli indirizzi quando è abilitata la modalità kiosk |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | true mostra la barra delle azioni inferiore in modalità kiosk false (impostazione predefinita) nasconde la barra inferiore quando è abilitata la modalità kiosk |
Modalità di visualizzazione bloccata
Edge per iOS e Android può essere abilitato come modalità di visualizzazione bloccata con il criterio MDM EdgeLockedViewModeEnabled.
| Chiave | Valore |
|---|---|
| EdgeLockedViewModeEnabled | false (impostazione predefinita) La modalità di visualizzazione bloccata è disabilitata true La modalità di visualizzazione bloccata è abilitata |
Consente alle organizzazioni di limitare varie funzionalità del browser, offrendo un'esperienza di esplorazione controllata e mirata.
- La barra degli indirizzi URL diventa di sola lettura, impedendo agli utenti di apportare modifiche all'indirizzo Web
- Gli utenti non sono autorizzati a creare nuove schede
- La funzionalità di ricerca contestuale nelle pagine Web è disabilitata
- I pulsanti seguenti nel menu di overflow sono disabilitati
| Pulsanti | Stato |
|---|---|
| Nuova scheda InPrivate | Disabilitato |
| Invia ai dispositivi | Disabilitato |
| Rilascia | Disabilitato |
| Aggiungi al telefono (Android) | Disabilitato |
| Pagina di download (Android) | Disabilitato |
La modalità di visualizzazione bloccata viene spesso usata insieme ai criteri MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL o ai criteri MDM EdgeNewTabPageCustomURL, che consentono alle organizzazioni di configurare una pagina Web specifica che viene avviata automaticamente all'apertura di Edge. Gli utenti sono limitati a questa pagina Web e non possono passare ad altri siti Web, fornendo un ambiente controllato per attività specifiche o consumo di contenuto.
Nota
Per impostazione predefinita, gli utenti non possono creare nuove schede in modalità di visualizzazione bloccata. Per consentire la creazione di schede, impostare il criterio MDM EdgeLockedViewModeAllowedActions su newtabs.
Cambiare lo stack di rete tra Chromium e iOS
Per impostazione predefinita, Microsoft Edge per iOS e Android utilizza lo stack di rete Chromium per la comunicazione dei servizi di Microsoft Edge, compresi i servizi di sincronizzazione, i suggerimenti per la ricerca automatica e l'invio di feedback. Microsoft Edge per iOS offre anche lo stack di rete iOS come opzione configurabile per la comunicazione dei servizi Microsoft Edge.
Le organizzazioni possono modificare le preferenze dello stack di rete configurando l'impostazione seguente.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | 0 (impostazione predefinita) usare lo stack di rete Chromium 1 usare lo stack di rete iOS |
Nota
È consigliabile usare lo stack di rete Chromium. Se si riscontrano problemi di sincronizzazione o di invio di feedback con lo stack di rete Chromium, ad esempio con alcune soluzioni VPN per-app, l'utilizzo dello stack di rete iOS potrebbe risolvere i problemi.
Impostare l'URL di un file .pac proxy
Le organizzazioni possono specificare un URL a un file di configurazione automatica del proxy (PAC) per Microsoft Edge per Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Specificare un URL valido per un file .pac proxy. Ad esempio: https://internal.site/example.pac |
Supporto pac-open non riuscito
Per impostazione predefinita, Microsoft Edge per Android blocca l'accesso alla rete con script PAC non validi o non disponibili. Tuttavia, le organizzazioni possono modificare il comportamento predefinito per aprire il PAC fallito.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled | false (impostazione predefinita) Blocca l'accesso alla rete Vero Consentire l'accesso alla rete |
Proxy per consentire agli utenti di accedere a Edge in Android.
Una configurazione automatica del proxy (PAC) viene in genere configurata nel profilo VPN. Tuttavia, a causa di una limitazione della piattaforma, il PAC non può essere riconosciuto da Android WebView, usato durante il processo di accesso a Edge. Gli utenti possono non essere in grado di accedere a Edge in Android.
Le organizzazioni possono specificare un proxy dedicato tramite criteri MDM per consentire agli utenti di accedere a Edge in Android.
| Chiave | Valore |
|---|---|
| EdgeOneAuthProxy | Il valore corrispondente è una stringa Esempio http://MyProxy.com:8080 |
Archivio dati del sito web iOS
L'archivio dati del sito Web in Edge per iOS è essenziale per la gestione di cookie, cache di dischi e memoria e vari tipi di dati. Tuttavia, in Edge per iOS è presente un solo archivio dati permanente dei siti Web. Per impostazione predefinita, questo archivio dati viene usato esclusivamente dagli account personali, determinando una limitazione in cui gli account aziendali o dell'istituto di istruzione non possono utilizzarlo. Di conseguenza, i dati di navigazione, esclusi i cookie, vengono persi dopo ogni sessione per gli account aziendali o dell'istituto di istruzione. Per migliorare l'esperienza utente, le organizzazioni possono configurare l'archivio dati del sito Web per l'uso da parte degli account aziendali o dell'istituto di istruzione, garantendo la persistenza dei dati di esplorazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore | 0 L'archivio dati del sito Web viene sempre usato in modo statico solo dall'account personale 1 L'archivio dati del sito Web verrà usato dal primo account connesso 2 (Impostazione predefinita) L'archivio dati del sito Web verrà usato prima dall'account aziendale o dell'istituto di istruzione, indipendentemente dall'ordine di accesso |
Nota
Con il rilascio di iOS 17, sono ora supportati più archivi permanenti. L'account aziendale e quello personale hanno un proprio archivio persistente designato. Pertanto, questo criterio non è più valido a partire dalla versione 122.
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen è una funzionalità che consente agli utenti di evitare siti e download dannosi. È disabilitato per impostazione predefinita. Le organizzazioni possono disabilitare questa impostazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | true (impostazione predefinita) Microsoft Defender SmartScreen è abilitato. false Microsoft Defender SmartScreen è disabilitato. |
Verifica del certificato
Per impostazione predefinita, Microsoft Edge per Android verifica i certificati del server usando il verificatore di certificati predefinito e Microsoft Root Store come origine dell'attendibilità pubblica. Le organizzazioni possono passare al verificatore di certificati di sistema e ai certificati radice di sistema.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | vero (impostazione predefinita) Usare il verificatore di certificati predefinito e Microsoft Root Store per verificare i certificati. falso Usare il verificatore di certificati di sistema e i certificati radice di sistema come origine dell'attendibilità pubblica per verificare i certificati |
Nota
Un caso d'uso per questo criterio è la necessità di utilizzare il verificatore di certificati di sistema e i certificati root di sistema quando si utilizza Microsoft MAM Tunnel in Edge per Android.
Controllo pagina di avviso SSL
Per impostazione predefinita, gli utenti possono fare clic su pagine di avviso visualizzate quando gli utenti passano a siti con errori SSL. Le organizzazioni possono gestire il comportamento.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | vero (impostazione predefinita) Consente agli utenti di fare clic su pagine di avviso SSL. falso Impedisce agli utenti di fare clic sulle pagine di avviso SSL. |
Impostazioni popup
Per impostazione predefinita, i popup sono bloccati. Le organizzazioni possono gestire il comportamento.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | 1 Consenti a tutti i siti di visualizzare i popup 2 (impostazione predefinita) Non consentire a nessun sito di visualizzare popup |
Consenti popup in siti specifici
Se questo criterio non è configurato, il valore del criterio DefaultPopupsSetting (se impostato) o la configurazione personale dell'utente viene usato per tutti i siti. Le organizzazioni possono definire un elenco di siti che possono aprire il popup.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Blocca popup in siti specifici
Se questo criterio non è configurato, il valore del criterio DefaultPopupsSetting (se impostato) o la configurazione personale dell'utente viene usato per tutti i siti. Le organizzazioni possono definire un elenco di siti a cui viene impedita l'apertura di popup.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Provider di ricerca predefinito
Per impostazione predefinita, Edge usa il provider di ricerca predefinito per eseguire una ricerca quando gli utenti immettono testi non URL nella barra degli indirizzi. Gli utenti possono modificare l'elenco dei provider di ricerca. Le organizzazioni possono gestire il comportamento del provider di ricerca.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | vero Abilita il provider di ricerca predefinito falso Disabilita il provider di ricerca predefinito |
Configura il provider di ricerca
Le organizzazioni possono configurare un provider di ricerca per gli utenti. Per configurare un provider di ricerca, è necessario prima configurare il criterio DefaultSearchProviderEnabled.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | Il valore corrispondente è una stringa Esempio My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | Il valore corrispondente è una stringa Esempio https://search.my.company/search?q={searchTerms} |
Apri app esterne
Quando una pagina Web richiede di aprire un'app esterna, gli utenti visualizzeranno un popup che chiede loro di aprire o meno l'app esterna. Le organizzazioni possono gestire il comportamento.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.OpeningExternalApps | 0 (impostazione predefinita) Mostra il popup per consentire agli utenti di scegliere di rimanere in Edge o di aprirlo da app esterne. 1 Apri sempre all'interno di Edge senza visualizzare il popup. 2 Apri sempre con app esterne senza visualizzare il popup. Se le app esterne non sono installate, il comportamento sarà uguale al valore 1 |
Nota
A partire dalla versione 120.2210.99, la funzionalità jump blocker dell'app viene rimossa. Per impostazione predefinita, le app esterne verranno aperte da Edge. Pertanto, questo criterio non è più valido dalla versione 120.2210.99.
Copilot
Nota
Copilot è noto anche come Bing Chat Enterprise.
Copilot è disponibile su Microsoft Edge per iOS e Android. Gli utenti possono avviare Copilot facendo clic sul pulsante Copilot nella barra inferiore.
In Impostazioni ->Generali ->Copilot sono presenti tre impostazioni per Copilot.
- Mostra Copilot- controllare se mostrare o meno il pulsante Bing sulla barra inferiore
- Consentire l'accesso a qualsiasi pagina web o PDF - Controllare se consentire a Copilot di accedere al contenuto della pagina o del PDF.
- Accesso rapido sulla selezione del testo - controllare se visualizzare il pannello della chat rapida quando è selezionato il testo in una pagina Web
È possibile gestire le impostazioni di Copilot.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat | true (impostazione predefinita) Gli utenti visualizzeranno il pulsante Bing nella barra inferiore. L'impostazione Mostra Copilot è attivata per impostazione predefinita e può essere disattivata dagli utenti false Gli utenti non possono visualizzare il pulsante Bing nella barra inferiore. L'impostazione Mostra Copilot è disabilitata e non può essere attivata dagli utenti |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | true (impostazione predefinita) Copilot può accedere al contenuto della pagina. L'opzione Consenti accesso a qualsiasi pagina web o PDF e l'opzione Accesso rapido alla selezione del testo nelle impostazioni di Copilot sono attive per impostazione predefinita e possono essere disattivate dagli utenti. false Copilot non può accedere al contenuto della pagina. L'opzione Consenti accesso a qualsiasi pagina web o PDF e l'opzione Accesso rapido alla selezione del testo nelle impostazioni di Copilot saranno disabilitate e non potranno essere attivate dagli utenti. |
Scenari di configurazione delle app per la protezione dei dati
Edge per iOS e Android supporta i criteri di configurazione delle app per le seguenti impostazioni di protezione dei dati quando l'app è gestita da Microsoft Intune con un criterio di configurazione delle app gestite applicato all'account aziendale o dell’istituto di istruzione che è stato firmato nell'app:
- Gestire la sincronizzazione degli account
- Gestire siti Web con restrizioni
- Gestire la configurazione del proxy
- Gestire i siti NTLM single sign-on
Queste impostazioni possono essere distribuite all'app indipendentemente dallo stato di registrazione del dispositivo.
Gestire la sincronizzazione degli account
Per impostazione predefinita, la sincronizzazione Microsoft Edge consente agli utenti di accedere ai dati di esplorazione in tutti i dispositivi connessi. I dati supportati dalla sincronizzazione includono:
- Preferiti
- Password
- Indirizzi e altro ancora (voce del modulo di riempimento automatico)
La funzionalità di sincronizzazione è abilitata tramite il consenso dell'utente e gli utenti possono attivare o disattivare la sincronizzazione per ognuno dei tipi di dati elencati in precedenza. Per ulteriori informazioni, vedere Sincronizzazione di Microsoft Edge.
Le organizzazioni hanno la possibilità di disabilitare la sincronizzazione Edge su iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | true disabilita la sincronizzazione edge false (impostazione predefinita) consente la sincronizzazione Edge |
Gestire siti Web con restrizioni
Le organizzazioni possono definire i siti a cui gli utenti possono accedere all'interno del contesto dell'account aziendale o dell'istituto di istruzione in Edge per iOS e Android. Se si utilizza un elenco di permessi, gli utenti possono accedere solo ai siti esplicitamente elencati. Se si utilizza un elenco di siti bloccati, gli utenti possono accedere a tutti i siti tranne a quelli esplicitamente bloccati. Si dovrebbe imporre solo un elenco di permessi o un elenco di blocchi, non entrambi. Se si impongono entrambi, viene rispettato solo l'elenco consentito.
Le organizzazioni definiscono anche cosa succede quando un utente tenta di navigare in un sito web con restrizioni. Per impostazione predefinita, le transizioni sono consentite. Se l'organizzazione lo consente, i siti web con restrizioni possono essere aperti nel contesto dell'account personale, nel contesto InPrivate dell'account Microsoft Entra o se il sito è completamente bloccato. Per altre informazioni sui vari scenari supportati, vedere Transizioni di siti web con restrizioni in Microsoft Edge per dispositivi mobili. Consentendo esperienze di transizione, gli utenti dell'organizzazione rimangono protetti e le risorse aziendali sono al sicuro.
Nota
Edge per iOS e Android può bloccare l'accesso ai siti solo quando vi si accede direttamente. Non blocca l'accesso quando gli utenti utilizzano servizi intermedi (come un servizio di traduzione) per accedere al sito. L'URL che avvia Edge, ad esempio Edge://*, Edge://flagse Edge://net-export, non è supportato nei criteri di configurazione delle app AllowListURLs o blockListURLs per le app gestite. È invece possibile usare i criteri di configurazione delle app URLAllowList o URLBlocklist per i dispositivi gestiti. Per informazioni correlate, vedere Criteri per dispositivi mobili di Microsoft Edge.
Usare le coppie chiave/valore seguenti per configurare un elenco di siti consentiti o bloccati per Edge per iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera consentire come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock | true (impostazione predefinita) consente a Edge per iOS e Android di passare ai siti con restrizioni. Quando gli account personali non sono disabilitati, agli utenti viene richiesto di passare al contesto personale per aprire il sito riservato, oppure di aggiungere un account personale. Se com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked è impostato su true, gli utenti hanno la possibilità di aprire il sito riservato nel contesto InPrivate. false impedisce la transizione degli utenti di Edge per iOS e Android. Agli utenti viene semplicemente mostrato un messaggio che indica che il sito a cui stanno cercando di accedere è bloccato. |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked | true consente l'apertura di siti con restrizioni nel contesto InPrivate dell'account Microsoft Entra. Se l'account Microsoft Entra è l'unico configurato in Edge per iOS e Android, il sito riservato viene aperto automaticamente nel contesto InPrivate. Se l'utente ha configurato un account personale, gli viene chiesto di scegliere se aprire InPrivate o passare all'account personale. false (impostazione predefinita) richiede l'apertura del sito con restrizioni nell'account personale dell'utente. Se gli account personali sono disabilitati, il sito è bloccato. Affinché questa impostazione abbia effetto, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock deve essere impostato su true. |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Immettere il numero di secondi in cui gli utenti vedranno la notifica "L'accesso a questo sito è bloccato dall’organizzazione". Abbiamo aperto la modalità InPrivate per consentire l'accesso al sito". Per impostazione predefinita, la notifica della barra degli snack viene visualizzata per 7 secondi. |
I seguenti siti sono sempre consentiti, indipendentemente dalle impostazioni dell'elenco dell’autorizzazione o dell'elenco di blocco:
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
Formati URL per l'elenco dei siti consentiti e bloccati
È possibile utilizzare vari formati di URL per creare gli elenchi dei siti consentiti/bloccati. I modelli consentiti sono illustrati nella tabella seguente.
Assicurarsi di anteporre a tutti gli URL il prefisso http:// o https:// quando li si inserisce nell'elenco.
È possibile utilizzare il simbolo jolly (*) secondo le regole del seguente elenco di modelli consentiti.
Un carattere jolly può corrispondere solo a una parte (ad esempio,
news-contoso.com) o all'intero componente del nome host (ad esempio,host.contoso.com) o a intere parti del percorso se separato da barre (www.contoso.com/images).È possibile specificare i numeri di porta nell'indirizzo. Se non si specifica un numero di porta, i valori usati sono:
- Porta 80 per http
- Porta 443 per https
L'uso di caratteri jolly per il numero di porta non è supportato. Ad esempio, non supporta
http://www.contoso.com:*ehttp://www.contoso.com:*/.URL Dettagli Corrispondenze Non corrisponde http://www.contoso.comCorrisponde a una singola pagina www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.comCorrisponde a una singola pagina contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*Corrisponde a tutti gli URL che iniziano con www.contoso.comwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*Corrisponde a tutti i sottodomini in contoso.comdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*Corrisponde a tutti i sottodomini che terminano con contoso.com/news-contoso.comnews-contoso.com.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/imagesCorrisponde a una singola cartella www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80Corrisponde a una singola pagina, usando un numero di porta www.contoso.com:80https://www.contoso.comCorrisponde a una singola pagina sicura www.contoso.comwww.contoso.comhttp://www.contoso.com/images/*Corrisponde a una singola cartella e a tutte le sottocartelle www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videosDi seguito sono riportati alcuni esempi di input che non è possibile specificare:
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- Indirizzi IP
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
Controllare il comportamento del popup Sito bloccato
Quando si tenta di accedere ai siti Web bloccati, agli utenti verrà richiesto di passare a InPrivate o all'account personale per aprire i siti Web bloccati, a seconda delle configurazioni dei criteri AllowTransitionOnBlock e OpenInPrivateIfBlocked. È possibile scegliere le preferenze tra InPrivate e l'account personale.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock | 0: (Impostazione predefinita) mostrare sempre la finestra popup per la scelta da parte dell'utente. 1: passare automaticamente all'account personale quando è stato eseguito l'accesso. 2: passare automaticamente all'account personale se è stato eseguito l'accesso e InPrivate è abilitato contemporaneamente. 3: passare automaticamente a InPrivate se è stato eseguito l'accesso e InPrivate è abilitato contemporaneamente. |
Nota
I criteri AutoTransitionModeOnBlock sono attualmente disponibili solo per Edge per iOS.
Controllare il comportamento dell'apertura di URL non gestiti
Questo criterio consente di controllare il comportamento dell’apertura di URL Intune non gestiti.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitch | 0: (impostazione predefinita) gli URL verranno aperti nelle schede normali con gli account di lavoro. 1: Microsoft Edge rispetta i criteri di protezione di Intune. Il comportamento è determinato dalla configurazione Ricevi i dati da altre app all'interno dei criteri di protezione di Intune. Quando il valore è Tutte le app, se si imposta il valore su 1, il sistema tornerà alla modalità di comportamento associata al valore del criterio 0. Quando il valore è Nessuna o App gestite da criteri ed è stato effettuato l’accesso con l'account personale, gli URL verranno aperti nelle normali schede con profilo personale. Se non si è effettuato l’accesso con l'account personale, gli URL verranno aperti in InPrivate. Se InPrivate è disabilitato, gli URL non verranno aperti. 2: (solo Android) Microsoft Edge controllerà URLAllowlist o URLBlocklist. Gli URL consentiti verranno aperti nelle normali schede con gli account di lavoro. È possibile aprire gli URL bloccati nelle schede InPrivate o normali con account personali, tuttavia la funzionalità dipende dalla configurazione di openInPrivateIfBlocked. |
Gestire i siti web per consentire il caricamento dei file
Può capitare che gli utenti siano autorizzati solo a visualizzare i siti web, senza la possibilità di caricare i file. Le organizzazioni hanno la possibilità di designare i siti web che possono ricevere il caricamento dei file.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
L'esempio per bloccare tutti i siti web, compresi quelli interni, dal caricare file.
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Un esempio per consentire a siti web specifici di caricare file
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Nota
Per Edge su iOS, l'azione di incollaggio sarà bloccata in aggiunta al caricamento. Gli utenti non vedranno l'opzione incolla nel menu delle azioni.
Gestire la configurazione del proxy
È possibile utilizzare Edge per iOS e Android e Microsoft Entra Application Proxy insieme per consentire agli utenti di accedere ai siti intranet sui loro dispositivi mobili. Ad esempio:
- Un utente utilizza l'applicazione mobile di Outlook, protetta da Intune. I clienti fanno quindi clic su un collegamento a un sito intranet in un messaggio di posta elettronica ed Edge per iOS e Android riconosce che questo sito intranet è stato esposto all'utente tramite Application Proxy. L'utente viene automaticamente instradato attraverso Application Proxy, per autenticarsi con l'autenticazione a più fattori e l'accesso condizionato, prima di raggiungere il sito intranet. L'utente è ora in grado di accedere ai siti interni, anche sui propri dispositivi mobili, e il collegamento in Outlook funziona come previsto.
- Un utente apre Edge per iOS e Android sul proprio dispositivo iOS o Android. Se Edge per iOS e Android è protetto con Intune e Application Proxy è abilitato, l'utente può accedere a un sito intranet utilizzando l'URL interno a cui è abituato. Edge per iOS e Android riconosce che questo sito intranet è stato esposto all'utente tramite Application Proxy. L'utente viene automaticamente instradato attraverso Application Proxy, per autenticarsi prima di raggiungere il sito intranet.
Prima di iniziare:
- Configurare le applicazioni interne tramite il Microsoft Entra Application Proxy.
- Per configurare Application Proxy e pubblicare le applicazioni, consultare la documentazione di configurazione.
- Assicurarsi che l'utente sia assegnato all'applicazione Microsoft Entra Application Proxy, anche se l'applicazione è configurata con il tipo di pre-autenticazione Passthrough.
- All'applicazione Edge per iOS e Android deve essere assegnato un criterio di protezione delle applicazioni Intune.
- Le applicazioni Microsoft devono avere un criterio di protezione delle applicazioni con l'impostazione Limita il trasferimento di contenuti web con altre app su Microsoft Edge.
Nota
Edge per iOS e Android aggiorna i dati di reindirizzamento di Application Proxy in base all'ultimo evento di aggiornamento riuscito. Gli aggiornamenti vengono tentati ogni volta che l'ultimo evento di aggiornamento riuscito è superiore a un'ora.
Selezionare su Edge per iOS e Android con la seguente coppia chiave/valore, per abilitare Application Proxy.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection | true abilita gli scenari di reindirizzamento di Microsoft Entra Application Proxy false (impostazione predefinita)gli scenari di reindirizzamento di Microsoft Entra Application Proxy |
Per ulteriori informazioni su come utilizzare Edge per iOS e Android e Microsoft Entra Application Proxy in tandem per un accesso continuo (e protetto) alle app web on-premises, vedere Meglio se insieme: i team Intune e Microsoft Entra si uniscono per migliorare l'accesso degli utenti. Questo blog post fa riferimento al browser gestito da Intune, ma il contenuto si applica anche a Edge per iOS e Android.
Gestire i siti NTLM single sign-on
Le organizzazioni possono richiedere agli utenti di autenticarsi con NTLM per accedere ai siti Web intranet. Per impostazione predefinita, agli utenti viene richiesto di inserire le credenziali ogni volta che accedono a un sito Web che richiede l'autenticazione NTLM, poiché la cache delle credenziali NTLM è disabilitata.
Le organizzazioni possono abilitare la memorizzazione nella cache delle credenziali NTLM per determinati siti web. Per questi siti, dopo che l'utente ha inserito le credenziali e si è autenticato con successo, le credenziali vengono memorizzate nella cache per impostazione predefinita per 30 giorni.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera consentire come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Per ulteriori informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco dei siti consentiti e bloccati. |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Numero di ore per la memorizzazione nella cache delle credenziali; l'impostazione predefinita è 720 ore. |
Configurazione aggiuntiva dell'app per i dispositivi gestiti
I seguenti criteri, originariamente configurabili tramite il criterio di configurazione delle applicazioni gestite, sono ora disponibili tramite il criterio di configurazione delle applicazioni dei dispositivi gestiti. Quando si utilizzano i criteri per le app gestite, gli utenti devono accedere a Microsoft Edge. Quando si utilizzano i criteri per i dispositivi gestiti, agli utenti non viene richiesto di accedere a Edge per applicare i criteri.
Poiché i criteri di configurazione delle app per i dispositivi gestiti richiedono l'iscrizione del dispositivo, è supportata qualsiasi gestione unificata degli endpoint (UEM). Per trovare altri criteri nel canale MDM, vedere Criteri per dispositivi mobili di Microsoft Edge.
| Criteri MAM | Criteri MDM |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Distribuire scenari di configurazione delle app con Microsoft Intune
Se si utilizza Microsoft Intune come provider di gestione delle app per dispositivi mobili, i passaggi seguenti consentono di creare un criterio di configurazione delle app gestite. Dopo aver creato la configurazione, è possibile assegnare le relative impostazioni a gruppi di utenti.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare App e quindi Criteri di configurazione delle app.
Nel pannello dei Criteri Configurazione app scegliere Aggiungi e selezionare App gestite.
Nella sezione Informazioni di base immettere un Nomee una Descrizione facoltativa per le impostazioni di configurazione dell'app.
Per App pubbliche scegliere Seleziona app pubbliche e quindi nel pannello App di destinazione scegliere Edge per iOS e Android selezionando entrambe le app della piattaforma iOS e Android. Fare clic su Seleziona per salvare le app pubbliche selezionate.
Fare clic su Avanti per completare le impostazioni di base dei criteri di configurazione dell'app.
Nella sezione Impostazioni espandere le Impostazioni di configurazione di Edge.
Per gestire le impostazioni di protezione dei dati, configurare di conseguenza le impostazioni desiderate:
Per il Reindirizzamento del proxy dell'applicazione, scegliere tra le opzioni disponibili: Abilita, Disabilita (impostazione predefinita).
Per URL di collegamento alla homepage, specificare un URL valido che includa il prefisso http:// o https://. Gli URL non corretti vengono bloccati come misura di sicurezza.
Per Segnalibri gestiti specificare il titolo e un URL valido che include il prefisso di http:// o https://.
Per URL consentiti specificare un URL valido (sono consentiti solo questi URL; non è possibile accedere ad altri siti). Per ulteriori informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco dei siti consentiti e bloccati.
Per URL bloccati specificare un URL valido (solo questi URL sono bloccati). Per altre informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco di siti consentiti e bloccati.
Per Reindirizzare i siti con restrizioni al contesto personale, scegliere tra le opzioni disponibili: Abilita (impostazione predefinita), Disabilita.
Nota
Quando nel criterio sono definiti sia URL consentiti che URL bloccati, viene rispettato solo l'elenco consentito.
Se si desidera aggiungere impostazioni di configurazione dell'app non esposte nei criteri precedenti, espandere il nodo Impostazioni di configurazione generale e immettere di conseguenza le coppie di valori chiave.
Al termine della configurazione delle impostazioni, scegliere Avanti.
Nella sezione Assegnazioni scegliere Seleziona gruppi da includere. Selezionare il gruppo Microsoft Entra a cui assegnare il criterio di configurazione dell'applicazione, quindi scegliere Seleziona.
Al termine delle assegnazioni, scegliere Avanti.
Nella pagina Creare un criterio di configurazione dell'app Revisione + Creazione, rivedere le impostazioni configurate e scegliere Crea.
Il criterio di configurazione appena creato viene visualizzato nel pannello di Configurazione delle applicazioni.
Usare Microsoft Edge per iOS e Android per accedere ai registri delle app gestite.
Gli utenti con Edge per iOS e Android installato sul proprio dispositivo iOS o Android possono visualizzare lo stato di gestione di tutte le app pubblicate da Microsoft. Possono inviare i log per la risoluzione dei problemi delle applicazioni iOS o Android gestite utilizzando i seguenti passaggi:
Aprire Edge per iOS e Android nel dispositivo.
Digitare
edge://intunehelp/nella casella dell'indirizzo.Edge per iOS e Android avvia la modalità di risoluzione dei problemi.
È possibile recuperare i log dall'assistenza Microsoft fornendo l'ID dell’evento imprevisto dell'utente.
Per un elenco delle impostazioni memorizzate nei registri delle applicazioni, vedere Revisione dei registri di protezione delle applicazioni client.
Registri diagnostici
Oltre ai log di Intune di edge://intunehelp/, il supporto tecnico Microsoft potrebbe chiedervi di fornire i log diagnostici di Microsoft Edge per iOS e Android. È possibile scaricare i registri su dispositivi locali e condividerli con il supporto tecnico Microsoft. Per scaricare i log nei dispositivi locali:
1.Aprire Guida e feedback dal menu di overflow
2.Fare clic su dati di diagnostica
3.Per Microsoft Edge per iOS, fare clic sull'icona Condividi in alto a destra. Verrà visualizzata la finestra di dialogo di condivisione del sistema operativo. È possibile scegliere di salvare i log in locale o condividerli con altre app. Per Microsoft Edge per Android, fare clic sul menu secondario nell'angolo in alto a destra per salvare i log. I log verranno archiviati nella cartella Download ->Edge.
È anche possibile fare clic sull'icona Cancella per cancellare prima i log per ottenere i log di aggiornamento.
Nota
Il salvataggio dei log rispetta anche i criteri di Protezione app di Intune. Di conseguenza, potrebbe non essere consentito salvare i dati di diagnostica nei dispositivi locali.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per