Intune を使用して iOS と Android で Microsoft Edge を管理する
iOS および Android 用の Edge は、ユーザーが Web を閲覧できるように設計されており、マルチ ID をサポートしています。 ユーザーは、閲覧のために職場アカウントと個人用アカウントを追加できます。 2 つの ID は完全に分離されています。これは、他の Microsoft モバイル アプリで提供されているものと同様です。
この機能は、以下に適用されます。
- iOS/iPadOS 14.0 以降
- 登録済みデバイスの場合は Android 8.0 以降、登録解除されたデバイスの場合は Android 9.0 以降
注:
iOS および Android 用の Edge では、iOS および Android 用の Edge ではこれらの設定にアクセスできないため、ユーザーがデバイス上のネイティブ ブラウザー用に設定した設定は使用されません。
Microsoft Intune と Microsoft Entra ID P1 または P2 の機能を含む Enterprise Mobility + Security スイートに登録すると、条件付きアクセスなど、Microsoft 365 のデータの最も広範で充実した保護機能を利用できます。 少なくとも、モバイル デバイスから iOS および Android 用の Edge への接続のみを許可する条件付きアクセス ポリシーと、閲覧エクスペリエンスを保護する Intune アプリ保護ポリシーを展開する必要があります。
注:
iOS デバイスの新しい Web クリップ (ピン留めされた Web アプリ) は、保護されたブラウザーで開く必要がある場合、Intune Managed Browser ではなく、iOS および Android 用の Edge で開きます。 古い iOS Web クリップの場合は、これらの Web クリップを再ターゲットして、マネージド ブラウザーではなく、iOS および Android 用の Edge で開かれていることを確認する必要があります。
条件付きアクセスを適用する
組織は Microsoft Entra 条件付きアクセス ポリシーを使用して、ユーザーが iOS および Android 用の Edge を使用して職場または学校のコンテンツにのみアクセスできるようにすることができます。 これを行うには、可能性のあるすべてのユーザーを対象とする条件付きアクセス ポリシーが必要です。 これらのポリシーについては、「条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」で説明されています。
「モバイル デバイスで承認されたクライアント アプリまたはアプリ保護ポリシーを要求する」の手順に従います。これにより、iOS および Android 用の Edge は許可されますが、他のモバイル デバイス Web ブラウザーは Microsoft 365 エンドポイントに接続できなくなります。
注:
このポリシーにより、モバイル ユーザーは、iOS および Android 用の Edge 内からすべての Microsoft 365 エンドポイントにアクセスできるようになります。 このポリシーにより、ユーザーが InPrivate を使用して Microsoft 365 エンドポイントにアクセスすることもできなくなります。
条件付きアクセスを使用すると、Microsoft Entra アプリケーション プロキシを介して外部ユーザーに公開したオンプレミス サイトをターゲットにすることもできます。
注:
アプリベースの条件付きアクセス ポリシーを活用するには、iOS デバイスに Microsoft Authenticator アプリをインストールする必要があります。 Android デバイスの場合、Intune ポータル サイト アプリが必要です。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。
Intune アプリ保護ポリシーを作成する
アプリ保護ポリシー (APP) は、許可されるアプリと、組織のデータに対して実行できるアクションを定義します。 APP で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。
APP データ保護フレームワークは 3 つの異なる構成レベルに編成されており、各レベルは前のレベルを基に構築されています。
- エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
- エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
- エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。
各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。
デバイスが統合エンドポイント管理 (UEM) ソリューションに登録されているかどうかに関わらず、「アプリ保護ポリシーを作成して割り当てる方法」の手順を使用して、iOS アプリと Android アプリ両方の Intune アプリ保護ポリシーを作成する必要があります。 これらのポリシーは、少なくとも次の条件を満たす必要があります。
これには、Edge、Outlook、OneDrive、Office、Teams などのすべての Microsoft 365 モバイル アプリケーションが含まれます。これにより、ユーザーは安全な方法で任意の Microsoft アプリ内の職場または学校のデータにアクセスして操作できるようになります。
すべてのユーザーに割り当てられます。 これにより、iOS または Android 用の Edge を使用しているかどうかに関係なくすべてのユーザーを保護することができる。
要件を満たすフレームワーク レベルを決定します。 ほとんどの組織では、データ保護とアクセス要件の制御を有効にするように、エンタープライズ拡張データ保護 (レベル 2) で定義されている設定を実装する必要があります。
利用可能な設定の詳細については、「Android アプリ保護ポリシー設定」と「iOS アプリ保護ポリシー設定」を参照してください。
重要
Intune に登録していない Android デバイスでアプリに対して Intune App Protection ポリシーを適用するには、Intune ポータル サイトもインストールする必要があります。
ポリシーで保護されたブラウザーで Microsoft Entra に接続された Web アプリへのシングル サインオン
iOS および Android 用の Edge では、Microsoft Entra に接続されているすべての Web アプリ (SaaS とオンプレミス) にシングル サインオン (SSO) を利用できます。 SSO を使用すると、ユーザーは資格情報を再入力することなく、iOS および Android 用の Edge を介して、Microsoft Entra に接続された Web アプリにアクセスできます。
SSO では、iOS デバイス用の Microsoft Authenticator アプリまたは Android 上のIntune ポータル サイトによってデバイスを登録する必要があります。 ユーザーがこれらのいずれかを持っている場合、ポリシーで保護されたブラウザーで Microsoft Entra に接続された Web アプリに移動すると、デバイスを登録するように求められます (これは、デバイスがまだ登録されていない場合にのみ当てはまります)。 Intune によって管理されているユーザーのアカウントにデバイスが登録されると、そのアカウントで Microsoft Entra に接続された Web アプリに対して SSO が有効になります。
注:
デバイス登録は、Microsoft Entra サービスを使用した単純なチェックインです。 完全なデバイス登録は必要なく、IT にデバイスに対する追加の特権は付与されません。
アプリの構成を使用して閲覧環境を管理する
iOS および Android 用の Edge では、管理者がアプリの動作をカスタマイズする Microsoft Intune などの統合エンドポイント管理を可能にするアプリ設定がサポートされています。
アプリ構成は、登録済みデバイスのモバイル デバイス管理 (MDM) OS チャネル (iOS の場合は管理対象アプリの構成チャネル、Android の場合は Android Enterprise チャネル) または MAM (モバイル アプリケーション管理) チャネルを介して配信できます。 iOS および Android 用の Edge では、次の構成シナリオがサポートされています。
- 職場または学校アカウントのみを許可する
- 一般的なアプリ構成設定
- データ保護の設定:
- マネージド デバイスの追加のアプリ構成
重要
Android でのデバイス登録を必要とする構成シナリオでは、デバイスを Android Enterprise に登録し、Android 用 Edge をマネージド Google Play ストア経由で展開する必要があります。 詳細については、「Android Enterprise 個人所有の仕事用プロファイル デバイスの登録を設定する」および「マネージド Android Enterprise デバイスのアプリ構成ポリシーを追加する」を参照してください。
各構成シナリオでは、その特定の要件が強調表示されています。 たとえば、構成シナリオでデバイスの登録が必要で、UEM プロバイダーと連携するか、Intune アプリ保護ポリシーを必要とするかなどです。
重要
アプリ構成キーでは、大文字と小文字が区別されます。 適切な大文字と小文字を区別して、構成を有効にします。
注:
Microsoft Intune では、MDM OS チャネルを介して配信されるアプリ構成は、マネージド デバイスのアプリ構成ポリシー (ACP) と呼ばれます。MAM (モバイル アプリケーション管理) チャネルを介して配信されるアプリ構成は、マネージド アプリのアプリ構成ポリシーと呼ばれます。
職場または学校アカウントのみを許可する
最大かつ高度に規制されているお客様のデータ セキュリティとコンプライアンス ポリシーを尊重することは、Microsoft 365 の価値の重要な柱です。 一部の企業では、企業環境内のすべての通信情報をキャプチャする必要があります。また、デバイスが企業の通信にのみ使用されるようにする必要があります。 これらの要件をサポートするために、登録済みデバイス上の iOS および Android 用の Edge は、アプリ内でプロビジョニングする 1 つの企業アカウントのみを許可するように構成できます。
組織で許可されているアカウント モード設定の構成の詳細については、こちらを参照してください。
この構成シナリオは、登録済みデバイスでのみ機能します。 ただし、任意の UEM プロバイダーがサポートされています。 Microsoft Intune を使用していない場合は、これらの構成キーを展開する方法に関する UEM ドキュメントを参照する必要があります。
一般的なアプリ構成シナリオ
iOS および Android 用の Edge では、管理者は複数のアプリ内設定の既定の構成をカスタマイズできます。 この機能は、iOS および Android 用の Edge に、アプリにサインインしている職場または学校アカウントに適用されたマネージド アプリのアプリ構成ポリシーがある場合に提供されます。
Edge では、構成に関して次の設定がサポートされています。
- 新しいタブ ページ エクスペリエンス
- ブックマーク エクスペリエンス
- アプリの動作エクスペリエンス
- キオスク モード エクスペリエンス
これらの設定は、デバイスの登録状態に関係なく、アプリに展開できます。
新しいタブ ページのレイアウト
カスタム レイアウトは、新しいタブ ページの既定のレイアウトです。 壁紙なしで、トップ サイトへのショートカットとニュース フィードが表示されます。 ユーザーは好みに応じてレイアウトを変更できます。 組織で、レイアウト設定を管理することもできます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
フォーカス [フォーカス] が選択されています インスピレーション [インスピレーション] が選択されています 情報 (iPad/タブレットのみ) [情報] が選択されています カスタム (既定) [カスタム] が選択され、トップ サイトのショートカット トグルがオン、壁紙トグルがオフ、ニュース フィードのトグルがオンになっています。 |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
トップ サイト [トップ サイト] のショートカットを有効にします 壁紙 [壁紙] をオンにします ニュースフィード [ニュース フィード] を有効にします このポリシーを有効にするには、com.microsoft.intune.mam.managedbrowser.NewTabPageLayout を [カスタム] に設定する必要があります 既定値は topsites|newsfeed です。 |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
true (既定) ユーザーはページ レイアウト設定を変更できます false ユーザーはページ レイアウト設定を変更できません。 ページ レイアウトは、ポリシーによって指定された値によって決定されるか、既定値が使用されます |
注:
NewTabPageLayout ポリシーは、初期レイアウトを設定することを目的としています。 ユーザーは、参照に基づいてページ レイアウト設定を変更できます。 したがって、NewTabPageLayout ポリシーは、ユーザーがレイアウト設定を変更しない場合にのみ有効になります。 UserSelectable =false を構成することで、NewTabPageLayout ポリシーを適用できます。
ニュース フィードをオフにする例
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
新しいタブ ページ エクスペリエンス
iOS および Android 用の Edge では、組織のロゴ、ブランドの色、ホーム ページ、トップ サイト、業界ニュースなど、新しいタブ ページ エクスペリエンスを調整するためのいくつかのオプションが組織に提供されます。
組織のロゴとブランドの色
これらの設定を使用すると、iOS および Android 用の Edge の新しいタブ ページをカスタマイズして、組織のロゴとブランドの色をページの背景として表示できます。
組織のロゴと色をアップロードするには、まず次の手順を実行します。
- Microsoft Intune 管理センター内で、[テナント管理]>[カスタマイズ] に移動します。 [設定] の横にある [編集] をクリックします。
- ブランドのロゴを設定するには、[ヘッダーに表示] の横にある [組織のロゴのみ] を選択します。 透明な背景ロゴをおすすめします。
- ブランドの背景色を設定するには、[テーマの色] を選択します。 iOS および Android 用の Edge では、新しいタブ ページに明るい色の網掛けが適用されるため、ページの読みやすさが高くなります。
注:
Azure Active Directory (Azure AD) Graph は非推奨であるため、廃止フェーズに入っています。 「Azure AD Graph の移行の概要」の詳細を参照してください。 その結果、Azure Active Directory (Azure AD) Graph が完全に廃止されると、Intune 管理 センター内で保持されている組織のロゴとブランドの色にアクセスできなくなります。 そのため、iOS および Android 用の Edge のバージョン v116 以降では、組織のロゴとブランドの色が Microsoft Graph から取得されます。 手順を使用して、組織のロゴとブランドの色を維持する必要があります。 バナー ロゴ は組織として使用され、ページの背景色 はブランドの色として使用されます。
次に、次のキーと値のペアを使用して、iOS および Android 用の Edge に組織のブランド化をプルします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true の場合、組織のブランド ロゴを表示します false (既定値) の場合、ロゴを公開しません |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true の場合、組織のブランドの色を表示します false (既定値) の場合、色を公開しません |
ホームページのショートカット
この設定を使用すると、新しいタブ ページで、iOS および Android 用の Edge のホームページ ショートカットを構成できます。 ユーザーが iOS と Android 用の Edge で新しいタブを開くと、構成したホームページ ショートカットが検索バーの下の最初のアイコンとして表示されます。 ユーザーは、マネージド コンテキストでこのショートカットを編集または削除できません。 ホームページ のショートカットには、組織の名前が表示され、区別されます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage | 有効な URL を指定します。 不正な URL は、セキュリティ対策としてブロックされます。 例: https://www.bing.com |
複数のトップ サイト ショートカット
ホームページ ショートカットの構成と同様に、iOS と Android 用の Edge の新しいタブ ページで複数のトップ サイト ショートカットを構成できます。 ユーザーは、マネージド コンテキストでこれらのショートカットを編集または削除できません。 注: ホームページ ショートカットを含め、合計 8 つのショートカットを構成できます。 ホームページ ショートカットを構成している場合、そのショートカットは構成された最初のトップ サイトをオーバーライドします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | 値 URL のセットを指定します。 各トップ サイトのショートカットは、タイトルと URL で構成されます。 タイトルと URL を | 文字で区切ります。 例: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
業界ニュース
iOS および Android 用 の Edge 内の新しいタブ ページ エクスペリエンスを構成して、組織に関連する業界ニュースを表示できます。 この機能を有効にすると、iOS および Android 用の Edge は組織のドメイン名を使用して、組織、組織の業界、競合他社に関する Web からのニュースを集計するため、ユーザーは iOS および Android 用の Edge 内の一元化された新しいタブ ページから関連する外部ニュースをすべて見つけることができます。 業界ニュースは既定ではオフになっています。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true の場合、新しいタブ ページに業界ニュースが表示されます false (既定値) の場合、新しいタブ ページに業界ニュースは表示されません |
新しいタブ ページ エクスペリエンスの代わりにホームページ
iOS および Android 用の Edge を使用すると、組織は新しいタブ ページ エクスペリエンスを無効にし、代わりにユーザーが新しいタブを開いたときに Web サイトを起動できます。これはサポートされているシナリオですが、Microsoft では、組織が新しいタブ ページ エクスペリエンスを利用して、ユーザーに関連する動的コンテンツを提供することをおすすめします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | 有効な URL を指定します。 URL が指定されていない場合、アプリは新しいタブ ページ エクスペリエンスを使用します。 不正な URL は、セキュリティ対策としてブロックされます。 例: https://www.bing.com |
ブックマーク エクスペリエンス
iOS および Android 用の Edge には、ブックマークを管理するためのいくつかのオプションが組織に用意されています。
マネージド ブックマーク
簡単にアクセスできるように、ユーザーが iOS および Android 用の Edge を使用しているときに使用できるようにするブックマークを構成できます。
- ブックマークは職場または学校アカウントにのみ表示され、個人用アカウントには公開されません。
- ユーザーがブックマークを削除または変更することはできません。
- ブックマークが一覧の上部に表示されます。 ユーザーが作成するすべてのブックマークは、これらのブックマークの下に表示されます。
- アプリケーション プロキシリダイレクトを有効にしている場合は、内部 URL または外部 URL を使用してアプリケーション プロキシ Web アプリを追加できます。
- ブックマークは、Microsoft Entra ID で定義されている組織の名前の後に名前が付けられたフォルダーに作成されます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks | この構成の値は、ブックマークの一覧です。 各ブックマークは、ブックマーク タイトルとブックマーク URL で構成されます。 タイトルと URL を | 文字で区切ります。例: Microsoft Bing|https://www.bing.com複数のブックマークを構成するには、各ペアを 2 文字 || で区切ります。例: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
マイ アプリのブックマーク
既定では、ユーザーは、iOS と Android 用の Edge 内の組織のフォルダー内でマイ アプリのブックマークを構成しています。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps |
true (既定値) の場合、iOS および Android 用の Edge ブックマーク内のマイ アプリを表示します false の場合、iOS と Android 用の Edge 内のマイ アプリを非表示にします |
アプリの動作エクスペリエンス
iOS および Android 用の Edge には、アプリの動作を管理するためのいくつかのオプションが組織に用意されています。
Microsoft Entra パスワード シングル サインオン
Microsoft Entra ID によって提供される Microsoft Entra パスワード シングル サインオン (SSO) 機能は、ID フェデレーションをサポートしていない Web アプリケーションにユーザー アクセス管理を提供します。 既定では、iOS および Android 用の Edge では、Microsoft Entra 資格情報で SSO は実行されません。 詳細については、「アプリケーションにパスワードベースのシングル サインオンを追加する」を参照してください。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true Microsoft Entra パスワード シングル サインオンが有効になっています false (既定) Microsoft Entra パスワード シングル サインオンが無効になっています |
既定のプロトコル ハンドラー
既定では、iOS および Android 用の Edge では、ユーザーが URL でプロトコルを指定しない場合、HTTPS プロトコル ハンドラーが使用されます。 一般に、これはベスト プラクティスと見なされますが、無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (既定値) の場合、既定のプロトコル ハンドラーは HTTPS です false の場合、既定のプロトコル ハンドラーは HTTP です |
オプションの診断データを無効にする
既定では、ユーザーは[設定]->[プライバシーとセキュリティ]>-[診断データ]->[オプションの診断データ] 設定からオプションの診断データを送信することを選択できます。 組織はこの設定を無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true の場合、オプションの診断データ設定が無効になっています false (既定値) の場合、ユーザーがオプションをオンまたはオフにできます |
注:
オプションの診断データ設定は、最初の実行エクスペリエンス (FRE) 中にユーザーに対しても求められます。 組織は、MDM ポリシー EdgeDisableShareUsageData を使用して、この手順をスキップできます
特定の機能を無効にする
iOS および Android 用の Edge を使用すると、組織は既定で有効になっている特定の機能を無効にすることができます。 これらの機能を無効にするには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password では、エンド ユーザーのパスワードを保存するプロンプトが無効になります inprivate では、InPrivate ブラウズが無効になります autofill では、"アドレスの保存と入力" と "支払い情報の保存と入力" が無効になります。 以前に保存した情報でもオートフィルは無効になります translator では、トランスレーターが無効になります readaloud では、音声読み上げが無効になります drop では、ドロップが無効になります クーポン クーポンを無効にします 拡張機能 無効になっている拡張機能 (Android 用 Edge のみ) developertools では、ユーザーが開発者オプションにアクセスできないようにビルド バージョン番号がグレー表示になります (Android 用の Edge のみ) 複数の機能を無効にするには、 | で値を区切ります。 たとえば、inprivate|password では、InPrivate ストレージとパスワード ストレージの両方が無効になります。 |
パスワードのインポート機能を無効にする
iOS および Android 用の Edge を使用すると、ユーザーはパスワード マネージャーからパスワードをインポートできます。 パスワードのインポートを無効にするには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true の場合、パスワードのインポートは無効になります false (既定値) の場合、パスワードのインポートは許可されます |
注:
iOS 用の Edge のパスワード マネージャーには、[追加] ボタンがあります。 パスワードのインポート機能が無効になっている場合、[追加] ボタンも無効になります。
Cookie モードを制御する
サイトが Android 用の Edge 内でユーザーの Cookie を保存できるかどうかを制御できます。 これを行うには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (既定値) の場合、Cookie を許可します 1 の場合、Microsoft 以外の Cookie をブロックします 2 の場合、InPrivate モードで Microsoft 以外の Cookie をブロックします 3 の場合、すべての Cookie をブロックします |
注:
iOS 用の Edge では、Cookie の制御はサポートされていません。
Android デバイスでのキオスク モード エクスペリエンス
Android 用の Edge は、次の設定でキオスク アプリとして有効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true の場合、Android 用の Edge のキオスク モードが有効になります false (既定値) の場合、キオスク モードは無効になります |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true の場合、キオスク モードでアドレス バーが表示されます false (既定値) の場合、キオスク モードが有効になっているとき、アドレス バーが非表示になります |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true の場合、キオスク モードで下部のアクション バーが表示されます false (既定値) の場合、キオスク モードが有効になっているとき、下部のバーが非表示になります |
ロックされたビュー モード
iOS および Android 用の Edge は、MDM ポリシー EdgeLockedViewModeEnabled を使用してロックビュー モードとして有効にできます。
| キー | 値 |
|---|---|
| EdgeLockedViewModeEnabled |
false (既定) ロックビュー モードが無効になっています true ロックビュー モードが有効になっています |
これにより、組織はさまざまなブラウザー機能を制限し、制御された集中的な閲覧エクスペリエンスを提供できます。
- URL アドレス バーが読み取り専用になり、ユーザーが Web アドレスを変更できなくなります
- ユーザーは新しいタブを作成できません
- Web ページのコンテキスト検索機能が無効になっています
- オーバーフロー メニューの下にある次のボタンは無効になっています
| ボタン | 状態コード |
|---|---|
| 新しい InPrivate タブ | 無効 |
| デバイスに送信 | 無効 |
| ドロップ | 無効 |
| 電話に追加 (Android) | 無効 |
| ページをダウンロード (Android) | 無効 |
ロック ビュー モードは、多くの場合、MAM ポリシー com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL または MDM ポリシー EdgeNewTabPageCustomURL と共に使用されます。これにより、組織は Edge を開いたときに自動的に起動される特定の Web ページを構成できます。 ユーザーはこの Web ページに制限されており、他の Web サイトに移動できないため、特定のタスクやコンテンツの使用に特化した制御された環境が提供されます。
注:
既定では、ユーザーはロック ビュー モードで新しいタブを作成することはできません。 タブの作成を許可するには、MDM ポリシー EdgeLockedViewModeAllowedActions を newtabs に設定します。
Chromium と iOS の間でネットワーク スタックを切り替える
既定では、iOS および Android 用の両方の Microsoft Edge では、同期サービス、自動検索候補、フィードバックの送信など、Microsoft Edge サービス通信用の Chromium ネットワーク スタックが使用されます。 また、iOS 用の Microsoft Edge は、Microsoft Edge サービス通信の構成可能なオプションとして iOS ネットワーク スタックも提供します。
組織は、次の設定を構成することで、ネットワーク スタックの基本設定を変更できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (既定値) の場合、Chromium ネットワーク スタックを使用します 1 の場合、iOS ネットワーク スタックを使用します |
注:
Chromium ネットワーク スタックの使用をおすすめします。 特定のアプリごとの VPN ソリューションなど、Chromium ネットワーク スタックでフィードバックを送信するときに同期の問題や失敗が発生した場合、iOS ネットワーク スタックを使用すると問題が解決する可能性があります。
プロキシ .pac ファイルの URLを設定する
組織は、iOS および Android 用の Microsoft Edge のプロキシ自動構成 (PAC) ファイルの URL を指定できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | プロキシ .pac ファイルの有効な URL を指定します。 例: https://internal.site/example.pac |
PAC の failed-open サポート
既定では、iOS および Android 用 Microsoft Edge では、無効な PAC スクリプトまたは使用できない PAC スクリプトを使用してネットワーク アクセスがブロックされます。 ただし、組織は既定の動作を PAC failed open に変更できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (既定値) の場合、ネットワーク アクセスをブロックします true の場合、ネットワーク アクセスを許可します |
ネットワーク リレーを構成する
iOS 用 Edge は、iOS 17 のネットワーク リレーをサポートするようになりました。 これらは、リモート アクセスとプライバシー ソリューションに使用できる特別な種類のプロキシです。 トラフィックのセキュリティで保護された透過的なトンネリングをサポートし、内部リソースにアクセスする際の VPN の最新の代替手段として機能します。 ネットワーク リレーの詳細については、「Apple デバイスでネットワーク リレーを使用する」を参照してください。
組織は、一致したドメインと除外されたドメインに基づいてトラフィックをルーティングするようにリレー プロキシ URL を構成できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | リレー構成 JSON ファイルに有効な URL を指定します。 例: https://yourserver/relay_config.json |
ネットワーク リレーの JSON ファイルの例
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
ユーザーが Android で Edge にサインインするためのプロキシ
プロキシ自動構成 (PAC) は、通常、VPN プロファイルで構成されます。 ただし、プラットフォームの制限により、PAC は Android WebView で認識できません。これは、Edge サインイン プロセス中に使用されます。 ユーザーは Android で Edge にサインインできない可能性があります。
組織は、ユーザーが Android で Edge にサインインできるように、MDM ポリシーを使用して専用プロキシを指定できます。
| キー | 値 |
|---|---|
| EdgeOneAuthProxy | 対応する値は文字列です 例 http://MyProxy.com:8080 |
iOS Web サイト データ ストア
iOS 用 Edge の Web サイト データ ストアは、Cookie、ディスクとメモリ キャッシュ、さまざまな種類のデータを管理するために不可欠です。 ただし、iOS 用 Edge には永続的な Web サイト データ ストアが 1 つしかありません。 既定では、このデータ ストアは個人アカウントでのみ使用され、職場または学校のアカウントでは利用できないという制限が生まれます。 そのため、Cookie を除く閲覧データは、職場または学校アカウントの各セッションの後に失われます。 ユーザー エクスペリエンスを向上させるために、組織は、Web サイト のデータ ストアを職場または学校アカウントで使用するように構成し、閲覧データの永続化を確保できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 Web サイト データ ストアは常に個人アカウントでのみ使用されます 1 の場合、Web サイト データ ストアは、最初にサインインしたアカウントによって使用されます 2 (既定値) Web サイト データ ストアは、サインイン順に関係なく、職場または学校のアカウントによって使用されます |
注:
iOS 17 のリリースにより、複数の永続ストアがサポートされるようになりました。 職場アカウントと個人用アカウントには、独自の永続的なストアが指定されています。 そのため、このポリシーはバージョン 122 から無効になりました。
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen は、ユーザーが悪意のあるサイトやダウンロードを回避するのに役立つ機能です。 これは既定では有効になっています。 組織はこの設定を無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (既定値) の場合、Microsoft Defender SmartScreen が有効になっています。 false の場合、Microsoft Defender SmartScreen が無効になっています。 |
証明書の検証
既定では、Android 用の Microsoft Edge は、組み込みの証明書検証ツールと Microsoft ルート ストアをパブリック信頼のソースとして使用してサーバー証明書を検証します。 組織は、システム証明書検証ツールとシステム ルート証明書に切り替えることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
true (既定値) の場合、組み込みの証明書検証ツールと Microsoft ルート ストアを使用して証明書を検証します false の場合、システム証明書検証ツールとシステム ルート証明書をパブリック信頼のソースとして使用して証明書を検証します |
注:
このポリシーのユース ケースとして、Android 用の Edge で Microsoft MAM Tunnel を使用する場合は、システム証明書検証ツールとシステム ルート証明書を使用する必要があります。
SSL 警告ページ コントロール
既定では、ユーザーは、SSL エラーが発生したサイトにユーザーが移動したときに表示される警告ページをクリック スルーできます。 組織は、動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
true (既定) ユーザーが SSL 警告ページをクリック スルーできるようにする false ユーザーが SSL 警告ページをクリック スルーできないようにする |
ポップアップ設定
既定では、ポップアップはブロックされます。 組織は、動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 すべてのサイトにポップアップの表示を許可する 2 (既定値) すべてのサイトに対してポップアップの表示を許可しない |
特定のサイトでのポップアップを許可する
このポリシーが構成されていない場合、ユーザーの個人用の構成、または DefaultPopupsSetting ポリシー (設定されている場合) の既定値がすべてのサイトで使用されます。 組織は、ポップアップを開くことができるサイトの一覧を定義できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
URL 形式の詳細については、「エンタープライズ ポリシー URL パターン形式」を参照してください。
特定のサイトのポップアップをブロックする
このポリシーが構成されていない場合、ユーザーの個人用の構成、または DefaultPopupsSetting ポリシー (設定されている場合) の既定値がすべてのサイトで使用されます。 組織は、ポップアップを開くのがブロックされているサイトの一覧を定義できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
URL 形式の詳細については、「エンタープライズ ポリシー URL パターン形式」を参照してください。
既定の検索プロバイダー
既定では、ユーザーがアドレス バーに URL 以外のテキストを入力した場合、Edge は既定の検索プロバイダーを使用して検索を実行します。 ユーザーは検索プロバイダーの一覧を変更できます。 組織は、検索プロバイダーの動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
true 既定の検索プロバイダーを有効にする false 既定の検索プロバイダーを無効にする |
検索プロバイダーを構成する
組織は、ユーザーの検索プロバイダーを構成できます。 検索プロバイダーを構成するには、最初にポリシー DefaultSearchProviderEnabled を構成する必要があります。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | 対応する値は文字列です 例 My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | 対応する値は文字列です 例 https://search.my.company/search?q={searchTerms} |
外部アプリを開く
Web ページが外部アプリを開くように要求すると、外部アプリを開くかどうかを確認するポップアップがユーザーに表示されます。 組織は、動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.OpeningExternalApps |
0 (既定値) の場合、ユーザーが Edge に滞在するか、外部アプリで開くかを選択するためのポップアップが表示されます。 1 の場合、常にポップアップを表示せずに Edge 内で開きます。 2 の場合、常にポップアップを表示せずに外部アプリで開きます。 外部アプリがインストールされていない場合、動作は値 1 と同じになります |
注:
バージョン 120.2210.99 以降では、アプリ ジャンプ ブロック機能は削除されます。 既定では、Edge から外部アプリを開くことができます。 そのため、このポリシーはバージョン 120.2210.99 から無効になりました。
Copilot
注:
Copilot は、Bing Chat Enterprise とも呼ばれます。 Copilot を使用できるのは、Copilot の対象ユーザーのみです。 詳細については、「Copilot についてよく寄せられる質問」を参照してください。
Copilot は、iOS および Android 用の Microsoft Edge で利用できます。 ユーザーは下部バーの [Copilot] ボタンをクリックして Copilot を起動できます。
[設定]->[一般]->[Copilot] には 3 つの設定があります。
- Copilot を表示する – 下部バーに Bing ボタンを表示するかどうかを制御する
- 任意の Web ページまたは PDF へのアクセスを許可する – Copilot にページ コンテンツまたは PDF へのアクセスを許可するかどうかを制御します
- テキスト選択のクイック アクセス – Web ページ上のテキストが選択されているときにクイック チャット パネルを表示するかどうかを制御します
Copilot の設定を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat |
true (既定値) の場合、下部バーに Copilot ボタンが表示されます。
[Copilot を表示する] の設定は既定でオンになっており、ユーザーはオフにすることもできます false の場合、下部バーに Copilot ボタンが表示されません。 [Copilot を表示する] の設定は無効になっており、ユーザーは有効にすることはできません |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext |
true (既定) [任意の Web ページまたは PDF へのアクセスを許可] および [テキストの選択へのクイック アクセス] はユーザーが有効にすることができます false[任意の Web ページまたは PDF へのアクセスを許可] および [テキストの選択へのクイック アクセス] は無効になり、ユーザーは有効にすることはできません |
データ保護アプリ構成シナリオ
iOS および Android 用の Edge では、アプリが、アプリにサインインしている職場または学校アカウントに適用されたマネージド アプリのアプリ構成ポリシーを使用して Microsoft Intune によって管理されている場合、次のデータ保護設定のアプリ構成ポリシーがサポートされます。
- アカウント同期を管理する
- 制限付き Web サイトを管理する
- プロキシ構成を管理する
- NTLM シングル サインオン サイトを管理する
これらの設定は、デバイスの登録状態に関係なく、アプリに展開できます。
アカウント同期を管理する
既定では、Microsoft Edge 同期を使用すると、ユーザーはサインインしているすべてのデバイスで閲覧データにアクセスできます。 同期でサポートされるデータには、次のものが含まれます。
- お気に入り
- パスワード
- 住所など (オートフィル フォーム エントリ)
同期機能はユーザーの同意によって有効になっており、ユーザーは上記のデータ型ごとに同期をオンまたはオフにすることができます。 詳細については、「Microsoft Edge 同期」を参照してください。
組織には、iOS と Android で Edge 同期を無効にする機能があります。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true の場合、Edge 同期が無効になります false (既定値) の場合、Edge 同期が許可されます |
制限付き Web サイトを管理する
組織は、iOS および Android 用の Edge の職場または学校アカウント コンテキスト内でユーザーがアクセスできるサイトを定義できます。 許可リストを使用する場合、ユーザーは明示的に一覧表示されているサイトにのみアクセスできます。 ブロック リストを使用する場合、ユーザーは明示的にブロックされたサイトを除くすべてのサイトにアクセスできます。 両方ではなく、許可されたリストまたはブロックされたリストのみを適用する必要があります。 両方を適用する場合は、許可されたリストのみが適用されます。
また、組織は、ユーザーが制限付き Web サイトへの移動を試みた場合の動作も定義します。 既定では、切り替えが許可されます。 組織で許可されている場合、制限付き Web サイトは、サイトが完全にブロックされているかどうかに関係なく、個人用アカウント コンテキスト、Microsoft Entra アカウントの InPrivate コンテキストで開くことができます。 サポートされているさまざまなシナリオの詳細については、「Microsoft Edge モバイルでの制限付き Web サイトの切り替え」を参照してください。 切り替えエクスペリエンスを許可することで、組織のユーザーは保護を維持しながら、企業リソースを安全に保ちます。
注:
iOS および Android 用の Edge では、サイトが直接アクセスされている場合にのみ、サイトへのアクセスをブロックできます。 ユーザーが中間サービス (翻訳サービスなど) を使用してサイトにアクセスする場合、アクセスはブロックされません。
Edge://*、Edge://flags、Edge://net-export など、Edge を起動する URL は、マネージド アプリの AllowListURLs または BlockListURLs アプリ構成ポリシーではサポートされていません。 代わりに、マネージド デバイスのアプリ構成ポリシー URLAllowList または URLBlocklist を使用できます。 関連情報については、「Microsoft Edge モバイル ポリシー」を参照してください。
次のキーと値のペアを使用して、iOS および Android 用の Edge の許可またはブロックされたサイト一覧を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs | キーの対応する値は、URL の一覧です。 許可するすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock |
true (既定値) の場合、iOS および Android 用の Edge が制限付きサイトを移行できます。 個人用アカウントが無効になっていない場合、ユーザーは、制限付きサイトを開くために個人用コンテキストに切り替えるか、個人用アカウントを追加するように求められます。 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked が true に設定されている場合、ユーザーは InPrivate コンテキストで制限付きサイトを開くことができます。 false の場合、iOS および Android 用の Edge がユーザーを切り替えなくなります。 ユーザーには、アクセスしようとしているサイトがブロックされていることを示すメッセージが表示されます。 |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked |
true を指定すると、Microsoft Entra アカウントの InPrivate コンテキストで制限付きサイトを開くことができます。 iOS および Android 用の Edge で構成されている唯一のアカウントが Microsoft Entra アカウントの場合、制限付きサイトは InPrivate コンテキストで自動的に開かれます。 ユーザーに個人用アカウントが構成されている場合、ユーザーは InPrivate を開くか、個人用アカウントに切り替えるかを選択するように求められます。 false (既定値) の場合、制限付きサイトをユーザーの個人用アカウントで開く必要があります。 個人用アカウントが無効になっている場合、サイトはブロックされます。 この設定を有効にするには、com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock を true に設定する必要があります。 |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | 「このサイトへのアクセスは組織によってブロックされています。 サイトにアクセスできるように InPrivate モードで開きました。」というスナック バー通知がユーザーに表示される秒数を入力します。既定では、スナック バー通知は 7 秒間表示されます。 |
次のサイトは、定義されている許可リストまたはブロック リストの設定に関係なく、常に許可されます。
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
許可されたサイト リストとブロックされたサイト リストの URL 形式
さまざまな URL 形式を使用して、許可またはブロックされたサイト リストを作成できます。 これらの許可されるパターンの詳細を次の表に示します。
一覧に入力するときに、すべての URL に http:// または https:// のプレフィックスを付けてください。
ワイルドカード記号 (*) は、次の許可されるパターンの一覧の規則に従って使用できます。
ワイルドカードは、ホスト名のコンポーネントの一部 (例:
news-contoso.com) またはコンポーネント全体 (例:host.contoso.com)、またはスラッシュ (www.contoso.com/images) で区切られたパスの一部/全体にのみ一致します。アドレスにポート番号を指定できます。 ポート番号を指定しない場合、使用される値は次のとおりです。
- http の場合ポート 80
- https の場合ポート 443
ポート番号にワイルドカードを使用することはサポートされていません。 たとえば、
http://www.contoso.com:*やhttp://www.contoso.com:*/はサポートされていません。URL 詳細 一致します 一致しません http://www.contoso.com1 つのページに一致します www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.com1 つのページに一致します contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*www.contoso.comで始まるすべての URL と一致しますwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*contoso.comのすべてのサブドメインと一致しますdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*contoso.com/で終わるすべてのサブドメインと一致しますnews-contoso.comnews-contoso.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/images1 つのフォルダーと一致します www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80ポート番号を使用して 1 つのページと一致します www.contoso.com:80https://www.contoso.com1 つのセキュリティで保護されたページと一致します www.contoso.comwww.contoso.com/imageshttp://www.contoso.com/images/*1 つのフォルダーとすべてのサブフォルダーに一致します www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videos指定できない入力の一部の例を次に示します。
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- IP アドレス
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
[サイトのブロック] ポップアップの動作を制御する
ブロックされた Web サイトにアクセスしようとすると、ユーザーは InPrivate または個人用アカウントに切り替えてブロックされた Web サイトを開くよう求められます。 InPrivate アカウントと個人用アカウントのユーザー設定を選択できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (既定) ユーザーが選択できるポップアップ ウィンドウを常に表示します。 1: 個人用アカウントでサインインしたときに、個人用アカウントに自動的に切り替えます。個人用アカウントがサインインしていない場合、動作は値 2 に変更されます。 2:com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true で InPrivate スイッチが許可されている場合、InPrivate に自動的に切り替えます。 |
ファイルのアップロードを許可する Web サイトを管理する
ユーザーは Web サイトの表示のみができ、ファイルをアップロードできない場合があります。 組織には、ファイルのアップロードを受信できる Web サイトを指定するオプションがあります。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
内部 Web サイトを含むすべての Web サイトでファイルのアップロードをブロックする例
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
特定の Web サイトにファイルのアップロードを許可する例
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
URL 形式の詳細については、「エンタープライズ ポリシー URL パターン形式」を参照してください。
注:
iOS 用の Edge では、アップロードに加えて貼り付け操作がブロックされます。 アクション メニューに貼り付けオプションは表示されません。
プロキシ構成を管理する
iOS および Android 用の Edge と Microsoft Entra アプリケーション プロキシを組み合わせて使用して、ユーザーがモバイル デバイス上のイントラネット サイトにアクセスできるようにします。 例:
- ユーザーは、Intune によって保護されている Outlook モバイル アプリを使用しています。 次に、メール内のイントラネット サイトへのリンクをクリックすると、iOS および Android 用の Edge は、このイントラネット サイトがアプリケーション プロキシを介してユーザーに公開されていることを認識します。 ユーザーは、イントラネット サイトに到達する前に、適用できる多要素認証と条件付きアクセスで認証するために、アプリケーション プロキシ経由で自動的にルーティングされます。 ユーザーはモバイル デバイス上でも内部サイトにアクセスできるようになり、Outlook のリンクは期待どおりに機能します。
- ユーザーが iOS または Android デバイスで、iOS および Android 用の Edge を開きます。 iOS および Android 用の Edge が Intune で保護されていて、アプリケーション プロキシが有効になっている場合、ユーザーは使用する内部 URL を使用してイントラネット サイトに移動できます。 iOS および Android 用の Edge は、このイントラネット サイトがアプリケーション プロキシを介してユーザーに公開されていることを認識します。 ユーザーは、イントラネット サイトに到達する前に認証するために、アプリケーション プロキシ経由で自動的にルーティングされます。
はじめに:
- Microsoft Entra アプリケーション プロキシを使用して内部アプリケーションを設定します。
- アプリケーション プロキシを構成し、アプリケーションを発行するには、セットアップ ドキュメントを参照してください。
- アプリがパススルー事前認証の種類で構成されている場合でも、ユーザーが Microsoft Entra アプリケーション プロキシ アプリに割り当てられていることを確認します。
- iOS および Android 用の Edge アプリには、Intune アプリ保護ポリシーが割り当てられている必要があります。
- Microsoft アプリには、他のアプリのデータ転送による Web コンテンツの転送を制限する設定が Microsoft Edge に設定されているアプリ保護ポリシーが必要です。
注:
iOS および Android 用の Edge では、最後に成功した更新イベントに基づいてアプリケーション プロキシ リダイレクト データが更新されます。 更新は、最後に成功した更新イベントが 1 時間を超えるたびに試行されます。
アプリケーション プロキシを有効にするには、次のキーと値のペアを使用して iOS および Android 用の Edge をターゲットにします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection |
true の場合、Microsoft Entra アプリケーション プロキシのリダイレクト シナリオが有効になります false (既定値) にすると、Microsoft Entra アプリケーション プロキシ のシナリオが回避されます |
オンプレミスの Web アプリへのシームレスな (保護された) アクセスを実現するために、iOS および Android 用の Edge と Microsoft Entra アプリケーション プロキシを使用する方法の詳細については、「Intune と Microsoft Entra の連携を強化してユーザー アクセスを向上させる」を参照してください。 このブログ投稿では、Intune Managed Browser を参照していますが、コンテンツは iOS および Android 用の Edge にも適用されます。
NTLM シングル サインオン サイトを管理する
組織は、イントラネット Web サイトにアクセスするために、NTLM でユーザーの認証を要求する場合があります。 既定では、NTLM 資格情報のキャッシュが無効になっているため、NTLM 認証を必要とする Web サイトにアクセスするたびに、資格情報を入力するように求められます。
組織は、特定の Web サイトに対して NTLM 資格情報のキャッシュを有効にすることができます。 これらのサイトでは、ユーザーが資格情報を入力し、認証に成功すると、資格情報は既定で 30 日間キャッシュされます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | キーの対応する値は、URL の一覧です。 許可するすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。 |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | 資格情報をキャッシュする時間数 (既定値は 720 時間) |
マネージド デバイスの追加のアプリ構成
マネージド アプリのアプリ構成ポリシーを使用して最初に構成できる次のポリシーは、マネージド デバイスのアプリ構成ポリシーを通じて使用できるようになりました。 マネージド アプリのポリシーを使用する場合、ユーザーは Microsoft Edge にサインインする必要があります。 マネージド デバイスにポリシーを使用する場合、ユーザーは Edge にサインインしてポリシーを適用する必要はありません。
マネージド デバイスのアプリ構成ポリシーにはデバイス登録が必要であるため、統合エンドポイント管理 (UEM) がサポートされます。 MDM チャネルで他のポリシーを見つけるには、「Microsoft Edge モバイル ポリシー」を参照してください。
| MAM ポリシー | MDM ポリシー |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Microsoft Intune を使用してアプリ構成シナリオを展開する
モバイル アプリ管理プロバイダーとして Microsoft Intune を使用している場合は、次の手順に従って、マネージド アプリのアプリ構成ポリシーを作成できます。 構成を作成した後、その設定をユーザー グループに割り当てることができます。
Microsoft Intune 管理センターにサインインします。
[アプリ] を選択し、[アプリ構成ポリシー] を選択します。
[アプリ構成ポリシー] ブレードで、[追加] を選択し、[マネージド アプリ] を選択します。
[基本] セクションで、名前を入力し、オプションのアプリ構成設定の説明を入力します。
[パブリック アプリ] で [パブリック アプリの選択] を選択し、[ターゲット アプリ] ブレードで、iOS と Android の両方のプラットフォーム アプリを選択して、[iOS および Android 用の Edge] を選択します。 [選択] をクリックして、選択したパブリック アプリを保存します。
[次へ] をクリックして、アプリ構成ポリシーの基本設定を完了します。
[設定] セクションで、[Edge 構成設定] を展開します。
データ保護設定を管理する場合は、必要な設定を適切に構成します。
[アプリケーション プロキシ リダイレクト] で、使用可能なオプション ([有効]、[無効] (既定値)) から選択します。
[ホームページのショートカット URL] に、http:// または https:// のプレフィックスを含む有効な URL を指定 します。 不正な URL は、セキュリティ対策としてブロックされます。
[マネージド ブックマーク] には、タイトルと http:// または https:// のプレフィックスを含む有効な URL を指定します。
[許可された URL] には、有効な URL を指定します (これらの URL のみが許可されます。他のサイトにはアクセスできません)。 サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。
[ブロックされた URL] には、有効な URL を指定します (これらの URL のみがブロックされます)。 サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。
[制限付きサイトを個人用コンテキストにリダイレクトする] で、使用可能なオプション ([有効] (既定値)、[無効]) から選択します。
注:
ポリシーで許可された URL とブロックされた URL の両方が定義されている場合は、許可されたリストのみが適用されます。
上記のポリシーで公開されていない追加のアプリ構成設定を行う場合は、[全般構成設定] ノードを展開し、それに応じてキー値のペアを入力します。
設定の構成が完了したら、[次へ] を選択します。
[割り当て] セクションで、[含めるグループの選択] を選択します。 アプリ構成ポリシーを割り当てる Microsoft Entra グループを選択し、[選択] を選択します。
割り当てが完了したら、[次へ] を選択します。
[アプリ構成ポリシーの作成] の [確認と作成] ブレードで、構成されている設定を確認し、[作成] を選択します。
新しく作成した構成ポリシーが [アプリ構成] ブレードに表示されます。
iOS および Android 用の Microsoft Edge を使用して管理対象アプリ ログにアクセスする
iOS または Android デバイスに iOS および Android 用の Edge がインストールされているユーザーは、Microsoft が発行したすべてのアプリの管理状態を表示できます。 次の手順を使用して、管理対象の iOS アプリまたは Android アプリのトラブルシューティングのためにログを送信できます。
デバイスで iOS および Android 用の Edge を開きます。
アドレス ボックスに「
edge://intunehelp/」と入力 します。iOS および Android 用の Edge でトラブルシューティング モードが起動します。
Microsoft サポートからログを取得するには、ユーザーのインシデント ID を指定します。
アプリ ログに保存されている設定のリストについては、「クライアント アプリの保護ログを確認する」を参照してください。
診断ログ
edge://intunehelp/ からの Intune ログに加えて、iOS および Android 用の Microsoft Edge の診断ログを提供するように Microsoft サポートから求められる場合があります。 ログをローカル デバイスにダウンロードし、Microsoft サポートに共有できます。 ログをローカル デバイスにダウンロードするには:
1. オーバーフロー メニューからヘルプとフィードバックを開く
2. [診断データ] をクリックする
3. iOS 用の Microsoft Edge の場合は、右上の [共有] アイコンをクリックします。 OS 共有ダイアログが表示されます。 ログをローカルに保存するか、他のアプリと共有することを選択できます。 Android 用の Microsoft Edge の場合は、右上隅にあるサブ メニューをクリックしてログを保存します。 ログは、Download ->Edge フォルダーに格納されます。
[クリア] アイコンをクリックしてログを最初にクリアして、更新ログを取得することもできます。
注:
ログを保存すると、Intune アプリケーション保護ポリシーも考慮されます。 そのため、診断データをローカル デバイスに保存できない場合があります。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示