Intune を使用して iOS と Android で Microsoft Edge を管理する
iOS および Android 用の Edge は、ユーザーが Web を閲覧できるように設計されており、マルチ ID をサポートしています。 ユーザーは、閲覧のために職場アカウントと個人用アカウントを追加できます。 2 つの ID は完全に分離されています。これは、他の Microsoft モバイル アプリで提供されているものと同様です。
この機能は、以下に適用されます。
- iOS/iPadOS 14.0 以降
- 登録済みデバイスの場合は Android 8.0 以降、登録解除されたデバイスの場合は Android 9.0 以降
注:
iOS および Android 用の Edge では、iOS および Android 用の Edge ではこれらの設定にアクセスできないため、ユーザーがデバイス上のネイティブ ブラウザー用に設定した設定は使用されません。
Microsoft 365 データの最も豊富で広範な保護機能は、条件付きアクセスなどのMicrosoft IntuneおよびMicrosoft Entra ID P1 または P2 機能を含む、Enterprise Mobility + Security スイートをサブスクライブするときに使用できます。 少なくとも、モバイル デバイスから iOS および Android 用の Edge への接続のみを許可する条件付きアクセス ポリシーと、閲覧エクスペリエンスを保護する Intune アプリ保護ポリシーを展開する必要があります。
注:
iOS デバイスの新しい Web クリップ (ピン留めされた Web アプリ) は、保護されたブラウザーで開く必要がある場合、Intune Managed Browser ではなく、iOS および Android 用の Edge で開きます。 古い iOS Web クリップの場合は、これらの Web クリップを再ターゲットして、マネージド ブラウザーではなく、iOS および Android 用の Edge で開かれていることを確認する必要があります。
条件付きアクセスを適用する
組織は、Microsoft Entra条件付きアクセス ポリシーを使用して、ユーザーが iOS および Android 用の Edge を使用して職場または学校のコンテンツにのみアクセスできるようにします。 これを行うには、可能性のあるすべてのユーザーを対象とする条件付きアクセス ポリシーが必要です。 これらのポリシーについては、「条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」で説明されています。
「モバイル デバイスで承認されたクライアント アプリまたはアプリ保護ポリシーを要求する」の手順に従います。これにより、iOS および Android 用の Edge は許可されますが、他のモバイル デバイス Web ブラウザーは Microsoft 365 エンドポイントに接続できなくなります。
注:
このポリシーにより、モバイル ユーザーは、iOS および Android 用の Edge 内からすべての Microsoft 365 エンドポイントにアクセスできるようになります。 このポリシーにより、ユーザーが InPrivate を使用して Microsoft 365 エンドポイントにアクセスすることもできなくなります。
条件付きアクセスを使用すると、Microsoft Entra アプリケーション プロキシを使用して外部ユーザーに公開したオンプレミス サイトをターゲットにすることもできます。
注:
アプリベースの条件付きアクセス ポリシーを活用するには、iOS デバイスに Microsoft Authenticator アプリをインストールする必要があります。 Android デバイスの場合、Intune ポータル サイト アプリが必要です。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。
Intune アプリ保護ポリシーを作成する
アプリ保護ポリシー (APP) は、許可されるアプリと、組織のデータに対して実行できるアクションを定義します。 APP で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。
APP データ保護フレームワークは 3 つの異なる構成レベルに編成されており、各レベルは前のレベルを基に構築されています。
- エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
- エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
- エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。
各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。
デバイスが統合エンドポイント管理 (UEM) ソリューションに登録されているかどうかに関わらず、「アプリ保護ポリシーを作成して割り当てる方法」の手順を使用して、iOS アプリと Android アプリ両方の Intune アプリ保護ポリシーを作成する必要があります。 これらのポリシーは、少なくとも次の条件を満たす必要があります。
これには、Edge、Outlook、OneDrive、Office、Teams などのすべての Microsoft 365 モバイル アプリケーションが含まれます。これにより、ユーザーは安全な方法で任意の Microsoft アプリ内の職場または学校のデータにアクセスして操作できるようになります。
すべてのユーザーに割り当てられます。 これにより、iOS または Android 用の Edge を使用しているかどうかに関係なくすべてのユーザーを保護することができる。
要件を満たすフレームワーク レベルを決定します。 ほとんどの組織では、データ保護とアクセス要件の制御を有効にするように、エンタープライズ拡張データ保護 (レベル 2) で定義されている設定を実装する必要があります。
利用可能な設定の詳細については、「Android アプリ保護ポリシー設定」と「iOS アプリ保護ポリシー設定」を参照してください。
重要
Intune に登録していない Android デバイスでアプリに対して Intune App Protection ポリシーを適用するには、Intune ポータル サイトもインストールする必要があります。
ポリシーで保護されたブラウザーで接続された Web アプリMicrosoft Entraへのシングル サインオン
iOS および Android 用の Edge では、接続されているすべての Web アプリ (SaaS とオンプレミス) にシングル サインオン (SSO) を利用Microsoft Entra。 SSO を使用すると、ユーザーは、資格情報を再入力することなく、Edge for iOS と Android を介して接続された Web アプリMicrosoft Entraにアクセスできます。
SSO では、iOS デバイス用の Microsoft Authenticator アプリまたは Android 上のIntune ポータル サイトによってデバイスを登録する必要があります。 ユーザーがこれらのいずれかを持っている場合、ポリシーで保護されたブラウザーでMicrosoft Entra接続された Web アプリに移動すると、デバイスを登録するように求められます (これは、デバイスがまだ登録されていない場合にのみ当てはまります)。 デバイスがIntuneによって管理されているユーザーのアカウントに登録されると、そのアカウントで接続された Web アプリMicrosoft Entra SSO が有効になります。
注:
デバイス登録は、Microsoft Entra サービスを使用した簡単なチェックです。 完全なデバイス登録は必要なく、IT にデバイスに対する追加の特権は付与されません。
アプリの構成を使用して閲覧環境を管理する
iOS および Android 用の Edge では、管理者がアプリの動作をカスタマイズする Microsoft Intune などの統合エンドポイント管理を可能にするアプリ設定がサポートされています。
アプリ構成は、登録済みデバイスのモバイル デバイス管理 (MDM) OS チャネル (iOS の場合は管理対象アプリの構成チャネル、Android の場合は Android Enterprise チャネル) または MAM (モバイル アプリケーション管理) チャネルを介して配信できます。 iOS および Android 用の Edge では、次の構成シナリオがサポートされています。
- 職場または学校アカウントのみを許可する
- 一般的なアプリ構成設定
- データ保護の設定:
- マネージド デバイスの追加のアプリ構成
重要
Android でのデバイス登録を必要とする構成シナリオでは、デバイスを Android Enterprise に登録し、Android 用 Edge をマネージド Google Play ストア経由で展開する必要があります。 詳細については、「Android Enterprise 個人所有の仕事用プロファイル デバイスの登録を設定する」および「マネージド Android Enterprise デバイスのアプリ構成ポリシーを追加する」を参照してください。
各構成シナリオでは、その特定の要件が強調表示されています。 たとえば、構成シナリオでデバイスの登録が必要で、UEM プロバイダーと連携するか、Intune アプリ保護ポリシーを必要とするかなどです。
重要
アプリ構成キーでは、大文字と小文字が区別されます。 適切な大文字と小文字を区別して、構成を有効にします。
注:
Microsoft Intune では、MDM OS チャネルを介して配信されるアプリ構成は、マネージド デバイスのアプリ構成ポリシー (ACP) と呼ばれます。MAM (モバイル アプリケーション管理) チャネルを介して配信されるアプリ構成は、マネージド アプリのアプリ構成ポリシーと呼ばれます。
職場または学校アカウントのみを許可する
最大かつ高度に規制されているお客様のデータ セキュリティとコンプライアンス ポリシーを尊重することは、Microsoft 365 の価値の重要な柱です。 一部の企業では、企業環境内のすべての通信情報をキャプチャする必要があります。また、デバイスが企業の通信にのみ使用されるようにする必要があります。 これらの要件をサポートするために、登録済みデバイス上の iOS および Android 用の Edge は、アプリ内でプロビジョニングする 1 つの企業アカウントのみを許可するように構成できます。
組織で許可されているアカウント モード設定の構成の詳細については、こちらを参照してください。
この構成シナリオは、登録済みデバイスでのみ機能します。 ただし、任意の UEM プロバイダーがサポートされています。 Microsoft Intune を使用していない場合は、これらの構成キーを展開する方法に関する UEM ドキュメントを参照する必要があります。
一般的なアプリ構成シナリオ
iOS および Android 用の Edge では、管理者は複数のアプリ内設定の既定の構成をカスタマイズできます。 この機能は、iOS および Android 用の Edge に、アプリにサインインしている職場または学校アカウントに適用されたマネージド アプリのアプリ構成ポリシーがある場合に提供されます。
Edge では、構成に関して次の設定がサポートされています。
- 新しいタブ ページ エクスペリエンス
- ブックマーク エクスペリエンス
- アプリの動作エクスペリエンス
- キオスク モード エクスペリエンス
これらの設定は、デバイスの登録状態に関係なく、アプリに展開できます。
新しいタブ ページ レイアウト
カスタム レイアウトは、新しいタブ ページの既定のレイアウトです。 これは、トップサイトのショートカットや壁紙なしのニュースフィードを示しています。 ユーザーは自分の好みに応じてレイアウトを変更できます。 組織はレイアウト設定を管理することもできます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout | 集中 フォーカスが選択されている インスピレーション インスピレーションが選択されています informational (iPad/タブレットのみ) [情報] が選択されている custom (既定値) [カスタム] が選択され、トップ サイトショートカットトグルがオン、壁紙トグルがオフ、ニュースフィードトグルがオンになっている |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom | topsites トップ サイトのショートカットを有効にする 壁紙 壁紙をオンにする ニュースフィード ニュース フィードを有効にする このポリシーを有効にするには、com.microsoft.intune.mam.managedbrowser.NewTabPageLayout を custom に設定する必要があります 既定値は topsites|newsfeed |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable | true (既定値) ユーザーはページ レイアウト設定を変更できます False ユーザーはページ レイアウトの設定を変更できません。 ページ レイアウトは、ポリシーで指定された値によって決定されるか、既定値が使用されます |
注:
NewTabPageLayout ポリシーは、初期レイアウトを設定することを目的としています。 ユーザーは、参照に基づいてページ レイアウト設定を変更できます。 したがって、 NewTabPageLayout ポリシーは、ユーザーがレイアウト設定を変更しない場合にのみ有効になります。 UserSelectable=false を構成することで、NewTabPageLayout ポリシーを適用できます。
ニュース フィードをオフにする例
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
新しいタブ ページ エクスペリエンス
iOS および Android 用の Edge には、organizationロゴ、ブランドの色、ホーム ページ、トップ サイト、業界ニュースなど、新しいタブ ページエクスペリエンスを調整するためのいくつかのオプションが組織に用意されています。
組織のロゴとブランドの色
これらの設定を使用すると、iOS および Android 用の Edge の新しいタブ ページをカスタマイズして、組織のロゴとブランドの色をページの背景として表示できます。
組織のロゴと色をアップロードするには、まず次の手順を実行します。
- Microsoft Intune 管理センター内で、[テナント管理]>[カスタマイズ] に移動します。 [設定] の横にある [編集] をクリックします。
- ブランドのロゴを設定するには、[ヘッダーに表示] の横にある [組織のロゴのみ] を選択します。 透明な背景ロゴをおすすめします。
- ブランドの背景色を設定するには、[テーマの色] を選択します。 iOS および Android 用の Edge では、新しいタブ ページに明るい色の網掛けが適用されるため、ページの読みやすさが高くなります。
注:
Azure Active Directory (Azure AD) Graph は非推奨であるため、廃止フェーズに入っています。 「Azure AD Graph の移行の概要」の詳細を参照してください。 その結果、Azure Active Directory (Azure AD) Graph が完全に廃止されると、Intune 管理 センター内で保持されている組織のロゴとブランドの色にアクセスできなくなります。 そのため、iOS および Android 用の Edge のバージョン v116 以降では、組織のロゴとブランドの色が Microsoft Graph から取得されます。 手順を使用して、組織のロゴとブランドの色を維持する必要があります。 バナーロゴはorganizationとして使用され、ページの背景色はブランドカラーとして使用されます。
次に、次のキーと値のペアを使用して、iOS および Android 用の Edge に組織のブランド化をプルします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo | true の場合、組織のブランド ロゴを表示します false (既定値) の場合、ロゴを公開しません |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor | true の場合、組織のブランドの色を表示します false (既定値) の場合、色を公開しません |
ホームページのショートカット
この設定を使用すると、新しいタブ ページで、iOS および Android 用の Edge のホームページ ショートカットを構成できます。 ユーザーが iOS と Android 用の Edge で新しいタブを開くと、構成したホームページ ショートカットが検索バーの下の最初のアイコンとして表示されます。 ユーザーは、マネージド コンテキストでこのショートカットを編集または削除できません。 ホームページ のショートカットには、組織の名前が表示され、区別されます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage | 有効な URL を指定します。 不正な URL は、セキュリティ対策としてブロックされます。 例: https://www.bing.com |
複数のトップ サイト ショートカット
ホームページ ショートカットの構成と同様に、iOS と Android 用の Edge の新しいタブ ページで複数のトップ サイト ショートカットを構成できます。 ユーザーは、マネージド コンテキストでこれらのショートカットを編集または削除できません。 注: ホームページ ショートカットを含め、合計 8 つのショートカットを構成できます。 ホームページ ショートカットを構成している場合、そのショートカットは構成された最初のトップ サイトをオーバーライドします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | 値 URL のセットを指定します。 各トップ サイトのショートカットは、タイトルと URL で構成されます。 タイトルと URL を | 文字で区切ります。 例: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
業界ニュース
iOS および Android 用 の Edge 内の新しいタブ ページ エクスペリエンスを構成して、組織に関連する業界ニュースを表示できます。 この機能を有効にすると、iOS および Android 用の Edge は組織のドメイン名を使用して、組織、組織の業界、競合他社に関する Web からのニュースを集計するため、ユーザーは iOS および Android 用の Edge 内の一元化された新しいタブ ページから関連する外部ニュースをすべて見つけることができます。 業界ニュースは既定ではオフになっています。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews | true の場合、新しいタブ ページに業界ニュースが表示されます false (既定値) の場合、新しいタブ ページに業界ニュースは表示されません |
新しいタブ ページ エクスペリエンスの代わりにホームページ
iOS および Android 用の Edge を使用すると、組織は新しいタブ ページ エクスペリエンスを無効にし、代わりにユーザーが新しいタブを開いたときに Web サイトを起動できます。これはサポートされているシナリオですが、Microsoft では、組織が新しいタブ ページ エクスペリエンスを利用して、ユーザーに関連する動的コンテンツを提供することをおすすめします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | 有効な URL を指定します。 URL が指定されていない場合、アプリは新しいタブ ページ エクスペリエンスを使用します。 不正な URL は、セキュリティ対策としてブロックされます。 例: https://www.bing.com |
ブックマーク エクスペリエンス
iOS および Android 用の Edge には、ブックマークを管理するためのいくつかのオプションが組織に用意されています。
マネージド ブックマーク
簡単にアクセスできるように、ユーザーが iOS および Android 用の Edge を使用しているときに使用できるようにするブックマークを構成できます。
- ブックマークは職場または学校アカウントにのみ表示され、個人用アカウントには公開されません。
- ユーザーがブックマークを削除または変更することはできません。
- ブックマークが一覧の上部に表示されます。 ユーザーが作成するすべてのブックマークは、これらのブックマークの下に表示されます。
- アプリケーション プロキシリダイレクトを有効にしている場合は、内部 URL または外部 URL を使用してアプリケーション プロキシ Web アプリを追加できます。
- ブックマークは、Microsoft Entra IDで定義されているorganizationの名前の後にという名前のフォルダーに作成されます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks | この構成の値は、ブックマークの一覧です。 各ブックマークは、ブックマーク タイトルとブックマーク URL で構成されます。 タイトルと URL を | 文字で区切ります。例: Microsoft Bing|https://www.bing.com複数のブックマークを構成するには、各ペアを 2 文字 || で区切ります。例: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
マイ アプリのブックマーク
既定では、ユーザーは、iOS と Android 用の Edge 内の組織のフォルダー内でマイ アプリのブックマークを構成しています。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps | true (既定値) の場合、iOS および Android 用の Edge ブックマーク内のマイ アプリを表示します false の場合、iOS と Android 用の Edge 内のマイ アプリを非表示にします |
アプリの動作エクスペリエンス
iOS および Android 用の Edge には、アプリの動作を管理するためのいくつかのオプションが組織に用意されています。
Microsoft Entra パスワード シングル サインオン
Microsoft Entra IDによって提供される Microsoft Entra パスワード シングル サインオン (SSO) 機能は、ID フェデレーションをサポートしていない Web アプリケーションにユーザー アクセス管理を提供します。 既定では、iOS および Android 用の Edge では、Microsoft Entra資格情報に対して SSO は実行されません。 詳細については、「アプリケーションにパスワードベースのシングル サインオンを追加する」を参照してください。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO | true Microsoft Entra パスワード SSO が有効になっている false (既定値) Microsoft Entraパスワード SSO が無効になっている |
既定のプロトコル ハンドラー
既定では、iOS および Android 用の Edge では、ユーザーが URL でプロトコルを指定しない場合、HTTPS プロトコル ハンドラーが使用されます。 一般に、これはベスト プラクティスと見なされますが、無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | true (既定値) の場合、既定のプロトコル ハンドラーは HTTPS です false の場合、既定のプロトコル ハンドラーは HTTP です |
オプションの診断データを無効にする
既定では、ユーザーは[設定]->[プライバシーとセキュリティ]>-[診断データ]->[オプションの診断データ] 設定からオプションの診断データを送信することを選択できます。 組織はこの設定を無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | true の場合、オプションの診断データ設定が無効になっています false (既定値) の場合、ユーザーがオプションをオンまたはオフにできます |
注:
オプションの診断データ設定は、最初の実行エクスペリエンス (FRE) 中にユーザーに対しても求められます。 組織は、MDM ポリシー EdgeDisableShareUsageData を使用して、この手順をスキップできます
特定の機能を無効にする
iOS および Android 用の Edge を使用すると、組織は既定で有効になっている特定の機能を無効にすることができます。 これらの機能を無効にするには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | password では、エンド ユーザーのパスワードを保存するプロンプトが無効になります inprivate では、InPrivate ブラウズが無効になります autofill では、"アドレスの保存と入力" と "支払い情報の保存と入力" が無効になります。 以前に保存した情報でもオートフィルは無効になります translator では、トランスレーターが無効になります readaloud では、音声読み上げが無効になります drop では、ドロップが無効になります クーポンは クーポンを無効にします 拡張機能 が無効になっている拡張機能 (Edge for Android のみ) developertools では、ユーザーが開発者オプションにアクセスできないようにビルド バージョン番号がグレー表示になります (Android 用の Edge のみ) 複数の機能を無効にするには、 | で値を区切ります。 たとえば、inprivate|password では、InPrivate ストレージとパスワード ストレージの両方が無効になります。 |
パスワードのインポート機能を無効にする
iOS および Android 用の Edge を使用すると、ユーザーはパスワード マネージャーからパスワードをインポートできます。 パスワードのインポートを無効にするには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | true の場合、パスワードのインポートは無効になります false (既定値) の場合、パスワードのインポートは許可されます |
注:
iOS 用の Edge のパスワード マネージャーには、[追加] ボタンがあります。 パスワードのインポート機能が無効になっている場合、[追加] ボタンも無効になります。
Cookie モードを制御する
サイトが Android 用の Edge 内でユーザーの Cookie を保存できるかどうかを制御できます。 これを行うには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode | 0 (既定値) の場合、Cookie を許可します 1 の場合、Microsoft 以外の Cookie をブロックします 2 の場合、InPrivate モードで Microsoft 以外の Cookie をブロックします 3 の場合、すべての Cookie をブロックします |
注:
iOS 用の Edge では、Cookie の制御はサポートされていません。
Android デバイスでのキオスク モード エクスペリエンス
Android 用の Edge は、次の設定でキオスク アプリとして有効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | true の場合、Android 用の Edge のキオスク モードが有効になります false (既定値) の場合、キオスク モードは無効になります |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | true の場合、キオスク モードでアドレス バーが表示されます false (既定値) の場合、キオスク モードが有効になっているとき、アドレス バーが非表示になります |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | true の場合、キオスク モードで下部のアクション バーが表示されます false (既定値) の場合、キオスク モードが有効になっているとき、下部のバーが非表示になります |
ロックされたビュー モード
iOS および Android 用の Edge は、MDM ポリシー EdgeLockedViewModeEnabled を使用して、ロックされたビュー モードとして有効にすることができます。
| キー | 値 |
|---|---|
| EdgeLockedViewModeEnabled | false (既定値) ロックされたビュー モードが無効になっている True ロックされたビュー モードが有効になっている |
これにより、組織はさまざまなブラウザー機能を制限し、制御された集中型の閲覧エクスペリエンスを提供できます。
- URL アドレス バーが読み取り専用になり、ユーザーが Web アドレスを変更できなくなります
- ユーザーは新しいタブを作成できません
- Web ページのコンテキスト検索機能が無効になっている
- オーバーフロー メニューの下の次のボタンは無効になっています
| ボタン | 状態 |
|---|---|
| [新しい InPrivate] タブ | 無効 |
| デバイスに送信する | 無効 |
| ドロップ | 無効 |
| 電話に追加 (Android) | 無効 |
| ダウンロード ページ (Android) | 無効 |
ロックされたビュー モードは、多くの場合、MAM ポリシー com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL または MDM ポリシー EdgeNewTabPageCustomURL と共に使用されます。これにより、組織は Edge を開いたときに自動的に起動される特定の Web ページを構成できます。 ユーザーはこの Web ページに制限されており、他の Web サイトに移動できないため、特定のタスクやコンテンツの使用に対して制御された環境が提供されます。
注:
既定では、ユーザーはロックされたビュー モードで新しいタブを作成できません。 タブの作成を許可するには、MDM ポリシー EdgeLockedViewModeAllowedActions を newtabs に設定します。
Chromium と iOS の間でネットワーク スタックを切り替える
既定では、iOS および Android 用の両方の Microsoft Edge では、同期サービス、自動検索候補、フィードバックの送信など、Microsoft Edge サービス通信用の Chromium ネットワーク スタックが使用されます。 また、iOS 用の Microsoft Edge は、Microsoft Edge サービス通信の構成可能なオプションとして iOS ネットワーク スタックも提供します。
組織は、次の設定を構成することで、ネットワーク スタックの基本設定を変更できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | 0 (既定値) の場合、Chromium ネットワーク スタックを使用します 1 の場合、iOS ネットワーク スタックを使用します |
注:
Chromium ネットワーク スタックの使用をおすすめします。 特定のアプリごとの VPN ソリューションなど、Chromium ネットワーク スタックでフィードバックを送信するときに同期の問題や失敗が発生した場合、iOS ネットワーク スタックを使用すると問題が解決する可能性があります。
プロキシ .pac ファイルの URLを設定する
組織は、Android 用の Microsoft Edge のプロキシ自動構成 (PAC) ファイルの URL を指定できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | プロキシ .pac ファイルの有効な URL を指定します。 例: https://internal.site/example.pac |
PAC の failed-open サポート
既定では、Android 用 Microsoft Edge では、無効な PAC スクリプトまたは使用できない PAC スクリプトを使用してネットワーク アクセスがブロックされます。 ただし、組織は既定の動作を PAC failed open に変更できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled | false (既定値) の場合、ネットワーク アクセスをブロックします true の場合、ネットワーク アクセスを許可します |
ユーザーが Android で Edge にサインインするためのプロキシ。
プロキシ自動構成 (PAC) は通常、VPN プロファイルで構成されます。 ただし、プラットフォームの制限により、EDGE サインイン プロセス中に使用される Android WebView では PAC を認識できません。 ユーザーが Android で Edge にサインインできない場合があります。
組織は、ユーザーが Android で Edge にサインインするための MDM ポリシーを使用して専用プロキシを指定できます。
| キー | 値 |
|---|---|
| EdgeOneAuthProxy | 対応する値は文字列です 例 http://MyProxy.com:8080 |
iOS Web サイト データ ストア
iOS 用 Edge の Web サイト データ ストアは、Cookie、ディスクキャッシュ、メモリ キャッシュ、さまざまな種類のデータを管理するために不可欠です。 ただし、Edge for iOS には永続的な Web サイト データ ストアが 1 つだけあります。 既定では、このデータ ストアは個人アカウントでのみ使用されるため、職場または学校のアカウントで使用できない制限が生じる可能性があります。 そのため、Cookie を除く閲覧データは、職場または学校アカウントの各セッションの後に失われます。 ユーザー エクスペリエンスを向上させるために、組織は、職場または学校のアカウントで使用する Web サイト データ ストアを構成し、データの閲覧の永続化を確保できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore | 0 Web サイト データ ストアは常に 個人用アカウント によってのみ使用されます 1 の場合、Web サイト データ ストアは、最初にサインインしたアカウントによって使用されます 2 (既定値) サインイン順に関係なく、職場または学校アカウントで Web サイト データ ストアが使用されます |
注:
iOS 17 のリリースでは、複数の永続的なストアがサポートされるようになりました。 作業と個人用アカウントには、独自の指定された永続的なストアがあります。 そのため、このポリシーはバージョン 122 から有効ではなくなりました。
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen は、ユーザーが悪意のあるサイトやダウンロードを回避するのに役立つ機能です。 これは既定では有効になっています。 組織はこの設定を無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | true (既定値) の場合、Microsoft Defender SmartScreen が有効になっています。 false の場合、Microsoft Defender SmartScreen が無効になっています。 |
証明書の検証
既定では、Android 用の Microsoft Edge は、組み込みの証明書検証ツールと Microsoft ルート ストアをパブリック信頼のソースとして使用してサーバー証明書を検証します。 組織は、システム証明書検証ツールとシステム ルート証明書に切り替えることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | true (既定値) 組み込みの証明書検証ツールと Microsoft ルート ストアを使用して証明書を確認する False システム証明書検証ツールとシステム ルート証明書をパブリック信頼のソースとして使用して証明書を検証する |
注:
このポリシーのユース ケースとして、Android 用の Edge で Microsoft MAM Tunnel を使用する場合は、システム証明書検証ツールとシステム ルート証明書を使用する必要があります。
SSL 警告ページコントロール
既定では、ユーザーは SSL エラーがあるサイトに移動するときに、警告ページをクリックして表示できます。 組織は、動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | true (既定値) ユーザーが SSL 警告ページをクリックできるようにする False ユーザーが SSL 警告ページをクリックできないようにする |
ポップアップ設定
既定では、ポップアップはブロックされます。 組織は、動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | 1 すべてのサイトにポップアップの表示を許可する 2 (既定値) どのサイトにもポップアップを表示しない |
特定のサイトでポップアップを許可する
このポリシーが構成されていない場合は、 DefaultPopupsSetting ポリシー (設定されている場合) またはユーザーの個人用構成の値がすべてのサイトに使用されます。 組織は、ポップアップを開くことができるサイトの一覧を定義できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
特定のサイトでポップアップをブロックする
このポリシーが構成されていない場合は、 DefaultPopupsSetting ポリシー (設定されている場合) またはユーザーの個人用構成の値がすべてのサイトに使用されます。 組織は、ポップアップの開き方がブロックされているサイトの一覧を定義できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
既定の検索プロバイダー
既定では、Edge は既定の検索プロバイダーを使用して、ユーザーがアドレス バーに URL 以外のテキストを入力したときに検索を実行します。 ユーザーは検索プロバイダーの一覧を変更できます。 組織は、検索プロバイダーの動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | True 既定の検索プロバイダーを有効にする False 既定の検索プロバイダーを無効にする |
検索プロバイダーを構成する
組織は、ユーザーの検索プロバイダーを構成できます。 検索プロバイダーを構成するには、最初にポリシー DefaultSearchProviderEnabled を構成する必要があります。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | 対応する値は文字列です 例 My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | 対応する値は文字列です 例 https://search.my.company/search?q={searchTerms} |
外部アプリを開く
Web ページが外部アプリを開くように要求すると、外部アプリを開くかどうかを確認するポップアップがユーザーに表示されます。 組織は、動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.OpeningExternalApps | 0 (既定値) の場合、ユーザーが Edge に滞在するか、外部アプリで開くかを選択するためのポップアップが表示されます。 1 の場合、常にポップアップを表示せずに Edge 内で開きます。 2 の場合、常にポップアップを表示せずに外部アプリで開きます。 外部アプリがインストールされていない場合、動作は値 1 と同じになります |
注:
バージョン 120.2210.99 以降、アプリジャンプ ブロッカー機能は削除されています。 外部アプリは、既定で Edge から開かれます。 そのため、このポリシーはバージョン 120.2210.99 から有効ではなくなりました。
コパイロット
注:
Copilot は Bing Chat Enterprise とも呼ばれます。
Copilot は、iOS と Android 用の Microsoft Edge で利用できます。 ユーザーは、下のバーの [Copilot] ボタンをクリックして Copilot を起動できます。
[設定] -[全般] ->>[Copilot for Copilot for Copilot] には 3 つの設定があります。
- Copilot の表示 – 下のバーにBingボタンを表示するかどうかを制御する
- 任意の Web ページまたは PDF へのアクセスを許可する – Copilot がページ コンテンツまたは PDF へのアクセスを許可するかどうかを制御する
- テキスト選択のクイック アクセス – Web ページ上のテキスト が選択されたときにクイック チャット パネルを表示するかどうかを制御します
Copilot の設定を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat | true (既定値) ユーザーは下のバーにBingボタンを表示できます。 [ Copilot の表示 ] の設定は既定でオンであり、ユーザーがオフにすることができます false の場合、下部バーに Bing ボタンが表示されません。 [ Copilot の表示 ] の設定が無効になっており、ユーザーがオンにすることはできません |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | true (既定値) Copilot はページ コンテンツにアクセスできます。 [Copilot 設定] の [テキスト選択時に任意の Web ページまたは PDF へのアクセスを許可する] オプションと [クイック アクセス] オプションは既定でオンであり、ユーザーがオフにすることができます False Copilot はページ コンテンツにアクセスできません。 [Copilot の設定] の [テキストの選択時に Web ページまたは PDF へのアクセスを許可する] オプションと [クイック アクセス] オプションは無効になり、ユーザーがオンにすることはできません |
データ保護アプリ構成シナリオ
iOS および Android 用の Edge では、アプリが、アプリにサインインしている職場または学校アカウントに適用されたマネージド アプリのアプリ構成ポリシーを使用して Microsoft Intune によって管理されている場合、次のデータ保護設定のアプリ構成ポリシーがサポートされます。
- アカウント同期を管理する
- 制限付き Web サイトを管理する
- プロキシ構成を管理する
- NTLM シングル サインオン サイトを管理する
これらの設定は、デバイスの登録状態に関係なく、アプリに展開できます。
アカウント同期を管理する
既定では、Microsoft Edge 同期を使用すると、ユーザーはサインインしているすべてのデバイスで閲覧データにアクセスできます。 同期でサポートされるデータには、次のものが含まれます。
- お気に入り
- パスワード
- 住所など (オートフィル フォーム エントリ)
同期機能はユーザーの同意によって有効になっており、ユーザーは上記のデータ型ごとに同期をオンまたはオフにすることができます。 詳細については、「Microsoft Edge 同期」を参照してください。
組織には、iOS と Android で Edge 同期を無効にする機能があります。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | true の場合、Edge 同期が無効になります false (既定値) の場合、Edge 同期が許可されます |
制限付き Web サイトを管理する
組織は、iOS および Android 用の Edge の職場または学校アカウント コンテキスト内でユーザーがアクセスできるサイトを定義できます。 許可リストを使用する場合、ユーザーは明示的に一覧表示されているサイトにのみアクセスできます。 ブロック リストを使用する場合、ユーザーは明示的にブロックされたサイトを除くすべてのサイトにアクセスできます。 両方ではなく、許可されたリストまたはブロックされたリストのみを適用する必要があります。 両方を適用する場合は、許可されたリストのみが適用されます。
また、組織は、ユーザーが制限付き Web サイトへの移動を試みた場合の動作も定義します。 既定では、切り替えが許可されます。 organizationで許可されている場合、制限付き Web サイトは、個人用アカウント コンテキスト、Microsoft Entra アカウントの InPrivate コンテキスト、またはサイトが完全にブロックされているかどうかで開くことができます。 サポートされているさまざまなシナリオの詳細については、「Microsoft Edge モバイルでの制限付き Web サイトの切り替え」を参照してください。 切り替えエクスペリエンスを許可することで、組織のユーザーは保護を維持しながら、企業リソースを安全に保ちます。
注:
iOS および Android 用の Edge では、サイトが直接アクセスされている場合にのみ、サイトへのアクセスをブロックできます。 ユーザーが中間サービス (翻訳サービスなど) を使用してサイトにアクセスする場合、アクセスはブロックされません。 Edge://*、Edge://flags、Edge://net-export など、Edge を起動する URL は、マネージド アプリの AllowListURLs または BlockListURLs アプリ構成ポリシーではサポートされていません。 代わりに、マネージド デバイスのアプリ構成ポリシー URLAllowList または URLBlocklist を使用できます。 関連情報については、「 Microsoft Edge モバイル ポリシー」を参照してください。
次のキーと値のペアを使用して、iOS および Android 用の Edge の許可またはブロックされたサイト一覧を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs | キーの対応する値は、URL の一覧です。 許可するすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock | true (既定値) の場合、iOS および Android 用の Edge が制限付きサイトを移行できます。 個人用アカウントが無効になっていない場合、ユーザーは、制限付きサイトを開くために個人用コンテキストに切り替えるか、個人用アカウントを追加するように求められます。 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked が true に設定されている場合、ユーザーは InPrivate コンテキストで制限付きサイトを開くことができます。 false の場合、iOS および Android 用の Edge がユーザーを切り替えなくなります。 ユーザーには、アクセスしようとしているサイトがブロックされていることを示すメッセージが表示されます。 |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked | true を指定すると、Microsoft Entra アカウントの InPrivate コンテキストで制限付きサイトを開くことができます。 Microsoft Entra アカウントが、iOS および Android 用の Edge で構成されている唯一のアカウントである場合、制限付きサイトは InPrivate コンテキストで自動的に開かれます。 ユーザーに個人用アカウントが構成されている場合、ユーザーは InPrivate を開くか、個人用アカウントに切り替えるかを選択するように求められます。 false (既定値) の場合、制限付きサイトをユーザーの個人用アカウントで開く必要があります。 個人用アカウントが無効になっている場合、サイトはブロックされます。 この設定を有効にするには、com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock を true に設定する必要があります。 |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | 「このサイトへのアクセスは組織によってブロックされています。 サイトにアクセスできるように InPrivate モードで開きました。」というスナック バー通知がユーザーに表示される秒数を入力します。既定では、スナック バー通知は 7 秒間表示されます。 |
次のサイトは、定義されている許可リストまたはブロック リストの設定に関係なく、常に許可されます。
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
許可されたサイト リストとブロックされたサイト リストの URL 形式
さまざまな URL 形式を使用して、許可またはブロックされたサイト リストを作成できます。 これらの許可されるパターンの詳細を次の表に示します。
一覧に入力するときに、すべての URL に http:// または https:// のプレフィックスを付けてください。
ワイルドカード記号 (*) は、次の許可されるパターンの一覧の規則に従って使用できます。
ワイルドカードは、ホスト名のコンポーネントの一部 (例:
news-contoso.com) またはコンポーネント全体 (例:host.contoso.com)、またはスラッシュ (www.contoso.com/images) で区切られたパスの一部/全体にのみ一致します。アドレスにポート番号を指定できます。 ポート番号を指定しない場合、使用される値は次のとおりです。
- http の場合ポート 80
- https の場合ポート 443
ポート番号にワイルドカードを使用することはサポートされていません。 たとえば、
http://www.contoso.com:*やhttp://www.contoso.com:*/はサポートされていません。URL 詳細 一致します 一致しません http://www.contoso.com1 つのページに一致します www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.com1 つのページに一致します contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*www.contoso.comで始まるすべての URL と一致しますwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*contoso.comのすべてのサブドメインと一致しますdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*contoso.com/で終わるすべてのサブドメインと一致しますnews-contoso.comnews-contoso.com.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/images1 つのフォルダーと一致します www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80ポート番号を使用して 1 つのページと一致します www.contoso.com:80https://www.contoso.com1 つのセキュリティで保護されたページと一致します www.contoso.comwww.contoso.comhttp://www.contoso.com/images/*1 つのフォルダーとすべてのサブフォルダーに一致します www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videos指定できない入力の一部の例を次に示します。
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- IP アドレス
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
[ブロックされたサイト] ポップアップの動作を制御する
ブロックされた Web サイトにアクセスしようとすると、AllowTransitionOnBlock と OpenInPrivateIfBlocked ポリシー構成に応じて、InPrivate に切り替えるか、個人用アカウントを使用してブロックされた Web サイトを開くよう求められます。 [InPrivate] と [個人用アカウント] の間で基本設定を選択できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock | 0: (既定値) ユーザーが選択するポップアップ ウィンドウを常に表示します。 1: サインイン時に個人用アカウントに自動的に切り替わります。 2: サインインしていて InPrivate が同時に有効になっている場合は、個人用アカウントに自動的に切り替えます。 3:サインインしていて InPrivate が同時に有効になっている場合は、InPrivate に自動的に切り替えます。 |
注:
AutoTransitionModeOnBlock ポリシーは現在、Edge for iOS でのみ使用できます。
アンマネージド URL を開く動作を制御する
このポリシーは、アンマネージド URL を開く動作Intune制御することです。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitch | 0: (既定) URL は、職場アカウントを持つ通常のタブで開かれます。 1: Microsoft Edge はIntuneの保護ポリシーに準拠しています。動作は、Intune保護ポリシー内の他のアプリ構成からデータを受信することによって決定されます。 値が [すべてのアプリ] の場合、値を 1 に設定すると、ポリシー値 0 の動作にフォールバックします。 値が [なし] または [ポリシーで管理されたアプリ] で、個人用アカウントがサインインしている場合、個人用プロファイルを持つ通常のタブで URL が開きます。 個人用アカウントがサインインしていない場合、URL は InPrivate で開かれます。 InPrivate が無効になっている場合、URL は開かなくなります。 2: (Android のみ) Microsoft Edge は URLAllowlist または URLBlocklist をチェックします。 許可されている URL は、職場アカウントを持つ通常のタブで開かれます。 ブロックされた URL は、個人アカウントを使用して InPrivate タブまたは通常のタブで開く場合がありますが、機能は openInPrivateIfBlocked の構成方法によって異なります。 |
ファイルのアップロードを許可する Web サイトを管理する
ユーザーが Web サイトの表示のみを許可され、ファイルをアップロードできない場合があります。 組織には、ファイルアップロードを受信できる Web サイトを指定するオプションがあります。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
内部 Web サイトを含むすべての Web サイトがファイルのアップロードをブロックする例
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
特定の Web サイトでファイルをアップロードできるようにする例
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
注:
iOS 上の Edge の場合、アップロードに加えて貼り付けアクションがブロックされます。 ユーザーは、アクション メニューに貼り付けオプションが表示されません。
プロキシ構成を管理する
Edge for iOS と Android と Microsoft Entra アプリケーション プロキシを一緒に使用して、ユーザーがモバイル デバイス上のイントラネット サイトにアクセスできるようにします。 例:
- ユーザーは、Intune によって保護されている Outlook モバイル アプリを使用しています。 次に、メール内のイントラネット サイトへのリンクをクリックすると、iOS および Android 用の Edge は、このイントラネット サイトがアプリケーション プロキシを介してユーザーに公開されていることを認識します。 ユーザーは、イントラネット サイトに到達する前に、適用できる多要素認証と条件付きアクセスで認証するために、アプリケーション プロキシ経由で自動的にルーティングされます。 ユーザーはモバイル デバイス上でも内部サイトにアクセスできるようになり、Outlook のリンクは期待どおりに機能します。
- ユーザーが iOS または Android デバイスで、iOS および Android 用の Edge を開きます。 iOS および Android 用の Edge が Intune で保護されていて、アプリケーション プロキシが有効になっている場合、ユーザーは使用する内部 URL を使用してイントラネット サイトに移動できます。 iOS および Android 用の Edge は、このイントラネット サイトがアプリケーション プロキシを介してユーザーに公開されていることを認識します。 ユーザーは、イントラネット サイトに到達する前に認証するために、アプリケーション プロキシ経由で自動的にルーティングされます。
はじめに:
- Microsoft Entra アプリケーション プロキシを使用して内部アプリケーションを設定します。
- アプリケーション プロキシを構成し、アプリケーションを発行するには、セットアップ ドキュメントを参照してください。
- アプリがパススルー事前認証の種類で構成されている場合でも、ユーザーが Microsoft Entra アプリケーション プロキシ アプリに割り当てられていることを確認します。
- iOS および Android 用の Edge アプリには、Intune アプリ保護ポリシーが割り当てられている必要があります。
- Microsoft アプリには、他のアプリのデータ転送による Web コンテンツの転送を制限する設定が Microsoft Edge に設定されているアプリ保護ポリシーが必要です。
注:
iOS および Android 用の Edge では、最後に成功した更新イベントに基づいてアプリケーション プロキシ リダイレクト データが更新されます。 更新は、最後に成功した更新イベントが 1 時間を超えるたびに試行されます。
アプリケーション プロキシを有効にするには、次のキーと値のペアを持つ iOS および Android 用の Target Edge。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection | true を指定すると、アプリケーション プロキシ のリダイレクト シナリオMicrosoft Entra有効になります false (既定値) を指定すると、アプリケーション プロキシシナリオMicrosoft Entra防止されます |
iOS および Android 用の Edge と Microsoft Entra アプリケーション プロキシを組み合わせてオンプレミスの Web アプリへのシームレスな (保護された) アクセスに使用する方法の詳細については、「一緒に改善する: IntuneとMicrosoft Entraチームを組んでユーザー アクセスを向上させる」を参照してください。 このブログ投稿では、Intune Managed Browser を参照していますが、コンテンツは iOS および Android 用の Edge にも適用されます。
NTLM シングル サインオン サイトを管理する
組織は、イントラネット Web サイトにアクセスするために、NTLM でユーザーの認証を要求する場合があります。 既定では、NTLM 資格情報のキャッシュが無効になっているため、NTLM 認証を必要とする Web サイトにアクセスするたびに、資格情報を入力するように求められます。
組織は、特定の Web サイトに対して NTLM 資格情報のキャッシュを有効にすることができます。 これらのサイトでは、ユーザーが資格情報を入力し、認証に成功すると、資格情報は既定で 30 日間キャッシュされます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | キーの対応する値は、URL の一覧です。 許可するすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。 |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | 資格情報をキャッシュする時間数 (既定値は 720 時間) |
マネージド デバイスの追加のアプリ構成
マネージド アプリのアプリ構成ポリシーを使用して最初に構成できる次のポリシーは、マネージド デバイスのアプリ構成ポリシーを通じて使用できるようになりました。 マネージド アプリのポリシーを使用する場合、ユーザーは Microsoft Edge にサインインする必要があります。 マネージド デバイスにポリシーを使用する場合、ユーザーは Edge にサインインしてポリシーを適用する必要はありません。
マネージド デバイスのアプリ構成ポリシーにはデバイス登録が必要であるため、統合エンドポイント管理 (UEM) がサポートされます。 MDM チャネルで他のポリシーを見つけるには、「Microsoft Edge モバイル ポリシー」を参照してください。
| MAM ポリシー | MDM ポリシー |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Microsoft Intune を使用してアプリ構成シナリオを展開する
モバイル アプリ管理プロバイダーとして Microsoft Intune を使用している場合は、次の手順に従って、マネージド アプリのアプリ構成ポリシーを作成できます。 構成を作成した後、その設定をユーザー グループに割り当てることができます。
Microsoft Intune 管理センターにサインインします。
[アプリ] を選択し、[アプリ構成ポリシー] を選択します。
[アプリ構成ポリシー] ブレードで、[追加] を選択し、[マネージド アプリ] を選択します。
[基本] セクションで、名前を入力し、オプションのアプリ構成設定の説明を入力します。
[パブリック アプリ] で [パブリック アプリの選択] を選択し、[ターゲット アプリ] ブレードで、iOS と Android の両方のプラットフォーム アプリを選択して、[iOS および Android 用の Edge] を選択します。 [選択] をクリックして、選択したパブリック アプリを保存します。
[次へ] をクリックして、アプリ構成ポリシーの基本設定を完了します。
[設定] セクションで、[Edge 構成設定] を展開します。
データ保護設定を管理する場合は、必要な設定を適切に構成します。
[アプリケーション プロキシ リダイレクト] で、使用可能なオプション ([有効]、[無効] (既定値)) から選択します。
[ホームページのショートカット URL] に、http:// または https:// のプレフィックスを含む有効な URL を指定 します。 不正な URL は、セキュリティ対策としてブロックされます。
[マネージド ブックマーク] には、タイトルと http:// または https:// のプレフィックスを含む有効な URL を指定します。
[許可された URL] には、有効な URL を指定します (これらの URL のみが許可されます。他のサイトにはアクセスできません)。 サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。
[ブロックされた URL] には、有効な URL を指定します (これらの URL のみがブロックされます)。 サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。
[制限付きサイトを個人用コンテキストにリダイレクトする] で、使用可能なオプション ([有効] (既定値)、[無効]) から選択します。
注:
ポリシーで許可された URL とブロックされた URL の両方が定義されている場合は、許可されたリストのみが適用されます。
上記のポリシーで公開されていない追加のアプリ構成設定を行う場合は、[全般構成設定] ノードを展開し、それに応じてキー値のペアを入力します。
設定の構成が完了したら、[次へ] を選択します。
[割り当て] セクションで、[含めるグループの選択] を選択します。 アプリ構成ポリシーを割り当てるMicrosoft Entra グループを選択し、[選択] を選択します。
割り当てが完了したら、[次へ] を選択します。
[アプリ構成ポリシーの作成] の [確認と作成] ブレードで、構成されている設定を確認し、[作成] を選択します。
新しく作成した構成ポリシーが [アプリ構成] ブレードに表示されます。
iOS および Android 用の Microsoft Edge を使用して管理対象アプリ ログにアクセスする
iOS または Android デバイスに iOS および Android 用の Edge がインストールされているユーザーは、Microsoft が発行したすべてのアプリの管理状態を表示できます。 次の手順を使用して、管理対象の iOS アプリまたは Android アプリのトラブルシューティングのためにログを送信できます。
デバイスで iOS および Android 用の Edge を開きます。
アドレス ボックスに「
edge://intunehelp/」と入力 します。iOS および Android 用の Edge でトラブルシューティング モードが起動します。
Microsoft サポートからログを取得するには、ユーザーのインシデント ID を指定します。
アプリ ログに保存されている設定のリストについては、「クライアント アプリの保護ログを確認する」を参照してください。
診断ログ
edge://intunehelp/ からの Intune ログに加えて、iOS および Android 用の Microsoft Edge の診断ログを提供するように Microsoft サポートから求められる場合があります。 ログをローカル デバイスにダウンロードし、Microsoft サポートに共有できます。 ログをローカル デバイスにダウンロードするには:
1. オーバーフロー メニューからヘルプとフィードバックを開く
2. [診断データ] をクリックする
3. iOS 用の Microsoft Edge の場合は、右上の [共有] アイコンをクリックします。 OS 共有ダイアログが表示されます。 ログをローカルに保存するか、他のアプリと共有することを選択できます。 Android 用の Microsoft Edge の場合は、右上隅にあるサブ メニューをクリックしてログを保存します。 ログは、Download ->Edge フォルダーに格納されます。
[クリア] アイコンをクリックしてログを最初にクリアして、更新ログを取得することもできます。
注:
ログの保存は、Intune App Protection ポリシーにも適用されます。 そのため、診断データをローカル デバイスに保存できない場合があります。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示