Microsoft Edge op iOS en Android beheren met Intune
Edge voor iOS en Android is ontworpen om gebruikers in staat te stellen op internet te surfen en ondersteunt meerdere identiteiten. Gebruikers kunnen een werkaccount en een persoonlijk account toevoegen om te bladeren. Er is een volledige scheiding tussen de twee identiteiten, wat lijkt op wat wordt aangeboden in andere mobiele Microsoft-apps.
Deze functie is van toepassing op:
- iOS/iPadOS 14.0 of hoger
- Android 8.0 of hoger voor ingeschreven apparaten en Android 9.0 of hoger voor niet-ingeschreven apparaten
Opmerking
Edge voor iOS en Android gebruikt geen instellingen die gebruikers hebben ingesteld voor de systeemeigen browser op hun apparaten, omdat Edge voor iOS en Android geen toegang heeft tot deze instellingen.
De uitgebreidste en breedste beveiligingsmogelijkheden voor Microsoft 365 gegevens zijn beschikbaar wanneer u zich abonneert op de Enterprise Mobility + Security suite, die Microsoft Intune- en Microsoft Entra ID P1- of P2-functies bevat, zoals voorwaardelijke toegang. U moet minimaal een beleid voor voorwaardelijke toegang implementeren dat alleen verbinding met Edge voor iOS en Android vanaf mobiele apparaten toestaat, en een Intune-beleid voor app-beveiliging dat ervoor zorgt dat de browse-ervaring wordt beveiligd.
Opmerking
Nieuwe webclips (vastgemaakte web-apps) op iOS-apparaten worden geopend in Edge voor iOS en Android in plaats van de Intune Managed Browser wanneer dit in een beveiligde browser moet worden geopend. Voor oudere iOS-webclips moet u deze webclips opnieuw targeten om ervoor te zorgen dat ze worden geopend in Edge voor iOS en Android in plaats van in managed browser.
Intune-beveiligingsbeleid voor apps maken
Naarmate organisaties steeds meer SaaS- en webtoepassingen gebruiken, zijn browsers essentiële hulpprogramma's voor bedrijven geworden. Gebruikers hebben vaak toegang nodig tot deze toepassingen vanuit mobiele browsers terwijl ze onderweg zijn. Het is van cruciaal belang ervoor te zorgen dat gegevens die via mobiele browsers worden geopend, worden beschermd tegen opzettelijke of onbedoelde lekken. Gebruikers kunnen bijvoorbeeld per ongeluk gegevens van organisaties delen met persoonlijke apps, wat kan leiden tot gegevenslekken, of deze downloaden naar lokale apparaten, wat ook een risico vormt.
Organisaties kunnen voorkomen dat gegevens worden gelekt wanneer gebruikers bladeren met Microsoft Edge voor mobiele apparaten door app-beveiligingsbeleid (APP) te configureren, waarmee wordt gedefinieerd welke apps zijn toegestaan en welke acties ze kunnen uitvoeren met de gegevens van je organisatie. Met de beschikbare opties in APP kunnen organisaties de beveiliging aanpassen aan hun specifieke behoeften. Voor sommigen is het mogelijk niet duidelijk welke beleidsinstellingen vereist zijn om een volledig scenario te implementeren. Om organisaties te helpen prioriteit te geven aan beveiliging van mobiele clienteindpunten, heeft Microsoft taxonomie geïntroduceerd voor het app-gegevensbeveiligingsframework voor het beheer van mobiele apps voor iOS en Android.
Het APP-gegevensbeveiligingsframework is ingedeeld in drie verschillende configuratieniveaus, waarbij elk niveau afbouwt op het vorige niveau:
- Enterprise Basic Data Protection (Niveau 1) zorgt ervoor dat apps worden beveiligd met een pincode en versleuteld en selectief wissen worden uitgevoerd. Voor Android-apparaten valideert dit niveau de attestation van Android-apparaten. Dit is een configuratie op instapniveau die vergelijkbaar beheer van gegevensbeveiliging biedt in Exchange Online postvakbeleid en de IT- en gebruikerspopulatie introduceert in APP.
- Verbeterde enterprise-gegevensbeveiliging (niveau 2) introduceert mechanismen voor het voorkomen van lekken van APP-gegevens en minimale vereisten voor het besturingssysteem. Dit is de configuratie die van toepassing is op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.
- Enterprise High Data Protection (Level 3) introduceert geavanceerde mechanismen voor gegevensbeveiliging, verbeterde pincodeconfiguratie en APP Mobile Threat Defense. Deze configuratie is wenselijk voor gebruikers die toegang hebben tot gegevens met een hoog risico.
Als u de specifieke aanbevelingen wilt zien voor elk configuratieniveau en de minimale apps die moeten worden beveiligd, raadpleegt u Het framework voor gegevensbescherming met behulp van app-beveiligingsbeleid.
Ongeacht of het apparaat is ingeschreven bij een UEM-oplossing (Unified Endpoint Management), moet er een Intune-app-beveiligingsbeleid worden gemaakt voor zowel iOS- als Android-apps, met behulp van de stappen in App-beveiligingsbeleid maken en toewijzen. Deze beleidsregels moeten minimaal aan de volgende voorwaarden voldoen:
Ze omvatten alle mobiele Microsoft 365-toepassingen, zoals Edge, Outlook, OneDrive, Office of Teams, omdat dit ervoor zorgt dat gebruikers werk- of schoolgegevens in elke Microsoft-app op een veilige manier kunnen openen en bewerken.
Ze worden toegewezen aan alle gebruikers. Dit zorgt ervoor dat alle gebruikers worden beveiligd, ongeacht of ze Edge voor iOS of Android gebruiken.
Bepaal welk frameworkniveau voldoet aan uw vereisten. De meeste organisaties moeten de instellingen implementeren die zijn gedefinieerd in Verbeterde gegevensbescherming voor ondernemingen (niveau 2), omdat dit besturingselementen voor gegevensbeveiliging en toegangsvereisten mogelijk maakt.
Opmerking
Een van de instellingen met betrekking tot browsers is 'Overdracht van webinhoud met andere apps beperken'. In Verbeterde gegevensbeveiliging voor Ondernemingen (niveau 2) wordt de waarde van deze instelling geconfigureerd voor Microsoft Edge. Wanneer Outlook en Microsoft Teams worden beveiligd door app-beveiligingsbeleid (APP), wordt Microsoft Edge gebruikt om koppelingen van deze apps te openen, zodat de koppelingen veilig en beveiligd zijn. Zie Beveiligingsbeleidsinstellingen voor Android-apps en beveiligingsbeleidsinstellingen voor iOS-apps voor meer informatie over de beschikbare instellingen.
Belangrijk
Als u intune-app-beveiligingsbeleid wilt toepassen op apps op Android-apparaten die niet zijn ingeschreven bij Intune, moet de gebruiker ook de Intune-bedrijfsportal installeren.
Voorwaardelijke toegang toepassen
Hoewel het belangrijk is om Microsoft Edge te beveiligen met app-beveiligingsbeleid (APP), is het ook van cruciaal belang om ervoor te zorgen dat Microsoft Edge de verplichte browser is voor het openen van bedrijfstoepassingen. Gebruikers kunnen anders andere niet-beveiligde browsers gebruiken om toegang te krijgen tot bedrijfstoepassingen, wat kan leiden tot gegevenslekken.
Organisaties kunnen beleid voor voorwaardelijke toegang van Microsoft Entra gebruiken om ervoor te zorgen dat gebruikers alleen toegang hebben tot werk- of schoolinhoud met Edge voor iOS en Android. Hiervoor hebt u een beleid voor voorwaardelijke toegang nodig dat is gericht op alle potentiële gebruikers. Deze beleidsregels worden beschreven in Voorwaardelijke toegang: Goedgekeurde client-apps of app-beveiligingsbeleid vereisen.
Volg de stappen in Goedgekeurde client-apps of app-beveiligingsbeleid vereisen met mobiele apparaten, waardoor Edge voor iOS en Android is toegestaan, maar andere webbrowsers voor mobiele apparaten geen verbinding kunnen maken met Microsoft 365-eindpunten.
Opmerking
Dit beleid zorgt ervoor dat mobiele gebruikers toegang hebben tot alle Microsoft 365-eindpunten vanuit Edge voor iOS en Android. Dit beleid voorkomt ook dat gebruikers InPrivate gebruiken voor toegang tot Microsoft 365-eindpunten.
Met voorwaardelijke toegang kunt u zich ook richten op on-premises sites die u beschikbaar hebt gemaakt voor externe gebruikers via de Microsoft Entra-toepassingsproxy.
Opmerking
Als u gebruik wilt maken van beleid voor voorwaardelijke toegang op basis van apps, moet de Microsoft Authenticator-app zijn geïnstalleerd op iOS-apparaten. Voor Android-apparaten is de Intune-bedrijfsportal-app vereist. Zie Voorwaardelijke toegang op basis van apps met Intune voor meer informatie.
Eenmalige aanmelding bij met Microsoft Entra verbonden web-apps in door beleid beveiligde browsers
Edge voor iOS en Android kan profiteren van eenmalige aanmelding (SSO) voor alle web-apps (SaaS en on-premises) die zijn verbonden met Microsoft Entra. Met eenmalige aanmelding hebben gebruikers toegang tot met Microsoft Entra verbonden web-apps via Edge voor iOS en Android, zonder dat ze hun referenties opnieuw hoeven in te voeren.
Eenmalige aanmelding vereist dat uw apparaat is geregistreerd door de Microsoft Authenticator-app voor iOS-apparaten of de Intune-bedrijfsportal op Android. Wanneer gebruikers een van deze hebben, wordt ze gevraagd hun apparaat te registreren wanneer ze naar een met Microsoft Entra verbonden web-app in een met beleid beveiligde browser gaan (dit geldt alleen als hun apparaat nog niet is geregistreerd). Nadat het apparaat is geregistreerd bij het account van de gebruiker dat wordt beheerd door Intune, is voor dat account eenmalige aanmelding ingeschakeld voor met Microsoft Entra verbonden web-apps.
Opmerking
Apparaatregistratie is een eenvoudige check-in bij de Microsoft Entra-service. Hiervoor is geen volledige apparaatinschrijving vereist en krijgt IT geen extra bevoegdheden op het apparaat.
App-configuratie gebruiken om de browse-ervaring te beheren
Edge voor iOS en Android ondersteunt app-instellingen waarmee uniform eindpuntbeheer, zoals Microsoft Intune, beheerders het gedrag van de app kunnen aanpassen.
App-configuratie kan worden geleverd via het MDM-besturingssysteemkanaal (Mobile Device Management) op ingeschreven apparaten (Managed App Configuration-kanaal voor iOS of android in het Enterprise-kanaal voor Android) of via het MAM-kanaal (Mobile Application Management). Edge voor iOS en Android ondersteunt de volgende configuratiescenario's:
- Alleen werk- of schoolaccounts toestaan
- Algemene app-configuratie-instellingen
- Instellingen voor gegevensbeveiliging
- Aanvullende app-configuratie voor beheerde apparaten
Belangrijk
Voor configuratiescenario's waarvoor apparaatinschrijving op Android is vereist, moeten de apparaten worden ingeschreven bij Android Enterprise en moet Edge voor Android worden geïmplementeerd via de beheerde Google Play Store. Zie Inschrijving van Android Enterprise-apparaten met een werkprofiel in persoonlijk eigendom instellen en App-configuratiebeleid toevoegen voor beheerde Android Enterprise-apparaten voor meer informatie.
Elk configuratiescenario benadrukt de specifieke vereisten. Bijvoorbeeld of voor het configuratiescenario apparaatinschrijving is vereist en dus werkt met een UEM-provider of intune-beleid voor app-beveiliging is vereist.
Belangrijk
App-configuratiesleutels zijn hoofdlettergevoelig. Gebruik de juiste behuizing om ervoor te zorgen dat de configuratie van kracht wordt.
Opmerking
Met Microsoft Intune wordt app-configuratie die via het MDM-besturingssysteemkanaal wordt geleverd, een Managed Devices App Configuration Policy (ACP) genoemd. App-configuratie die wordt geleverd via het MAM-kanaal (Mobile Application Management) wordt een Managed Apps App Configuration Policy genoemd.
Alleen werk- of schoolaccounts toestaan
Het respecteren van het gegevensbeveiligings- en nalevingsbeleid van onze grootste en sterk gereglementeerde klanten is een belangrijke pijler van de Microsoft 365-waarde. Sommige bedrijven hebben een vereiste om alle communicatie-informatie binnen hun bedrijfsomgeving vast te leggen en ervoor te zorgen dat de apparaten alleen worden gebruikt voor bedrijfscommunicatie. Om deze vereisten te ondersteunen, kan Edge voor iOS en Android op ingeschreven apparaten worden geconfigureerd om slechts één bedrijfsaccount in de app in te richten.
Hier vindt u meer informatie over het configureren van de modus voor toegestane accounts voor organisaties:
Dit configuratiescenario werkt alleen met ingeschreven apparaten. Elke UEM-provider wordt echter ondersteund. Als u geen Microsoft Intune gebruikt, moet u uw UEM-documentatie raadplegen over het implementeren van deze configuratiesleutels.
Algemene app-configuratiescenario's
Edge voor iOS en Android biedt beheerders de mogelijkheid om de standaardconfiguratie voor verschillende in-app-instellingen aan te passen. Deze mogelijkheid wordt aangeboden wanneer In Edge voor iOS en Android beheerde apps App Configuration Beleid is toegepast op het werk- of schoolaccount dat is aangemeld bij de app.
Edge ondersteunt de volgende instellingen voor configuratie:
- Nieuwe tabbladpagina-ervaringen
- Bladwijzerervaringen
- Ervaringen met app-gedrag
- Ervaringen in de kioskmodus
Deze instellingen kunnen worden geïmplementeerd in de app, ongeacht de registratiestatus van het apparaat.
Nieuwe tabbladpagina-indeling
De inspirerende indeling is de standaardindeling voor de nieuwe tabbladpagina. Het toont de belangrijkste snelkoppelingen voor sites, achtergrond en nieuwsfeed. Gebruikers kunnen de indeling wijzigen op basis van hun voorkeuren. Organisaties kunnen ook de indelingsinstellingen beheren.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
prioriteit Prioriteit is geselecteerd inspirerend (standaard) Inspirerend is geselecteerd Informatieve Informatie is geselecteerd gewoonte Aangepast is geselecteerd, de wisselknop snelkoppelingen voor de bovenste site is ingeschakeld, de achtergrondknop is ingeschakeld en de wisselknop voor nieuwsfeed is ingeschakeld |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
topsites Snelkoppelingen voor de bovenste site inschakelen achtergrond Achtergrond inschakelen nieuwsfeed Nieuwsfeed inschakelen Om dit beleid van kracht te laten worden, moet com.microsoft.intune.mam.managedbrowser.NewTabPageLayout worden ingesteld op aangepast De standaardwaarde is topsites|wallpaper|newsfeed| |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
true (standaard) Gebruikers kunnen de instellingen voor de pagina-indeling wijzigen onwaar Gebruikers kunnen de instellingen voor de pagina-indeling niet wijzigen. De pagina-indeling wordt bepaald door de waarden die zijn opgegeven via het beleid of er worden standaardwaarden gebruikt |
Belangrijk
Het beleid NewTabPageLayout is bedoeld om de eerste indeling in te stellen. Gebruikers kunnen instellingen voor de pagina-indeling wijzigen op basis van hun verwijzing. Daarom wordt het beleid NewTabPageLayout alleen van kracht als gebruikers de indelingsinstellingen niet wijzigen. U kunt beleid NewTabPageLayout afdwingen door UserSelectable=onwaar te configureren.
Opmerking
Vanaf versie 129.0.2792.84 wordt de standaardpagina-indeling gewijzigd in inspirerend.
Een voorbeeld van het uitschakelen van de nieuwsfeeds
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Nieuwe tabbladpagina-ervaringen
Edge voor iOS en Android biedt organisaties verschillende opties voor het aanpassen van de ervaring Nieuwe tabbladpagina, waaronder organisatielogo, merkkleur, uw startpagina, topsites en branchenieuws.
Organisatielogo en merkkleur
Met het organisatielogo en de merkkleurinstellingen kunt u de nieuwe tabbladpagina voor Edge op iOS- en Android-apparaten aanpassen. Het bannerlogo wordt gebruikt als het logo van uw organisatie en de achtergrondkleur van de pagina wordt gebruikt als de merkkleur van uw organisatie. Zie Uw huisstijl configureren voor meer informatie.
Gebruik vervolgens de volgende sleutel-waardeparen om de huisstijl van uw organisatie op te halen in Edge voor iOS en Android:
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true toont het merklogo van de organisatie false (standaard) geeft geen logo weer |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true toont de merkkleur van de organisatie false (standaard) geeft geen kleur weer |
Snelkoppeling startpagina
Met deze instelling kunt u een snelkoppeling naar de startpagina configureren voor Edge voor iOS en Android op de nieuwe tabbladpagina. De snelkoppeling naar de startpagina die u configureert, wordt weergegeven als het eerste pictogram onder de zoekbalk wanneer de gebruiker een nieuw tabblad opent in Edge voor iOS en Android. De gebruiker kan deze snelkoppeling niet bewerken of verwijderen in de beheerde context. De snelkoppeling naar de startpagina geeft de naam van uw organisatie weer om deze te onderscheiden.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage Deze beleidsnaam is vervangen door de gebruikersinterface van de snelkoppelings-URL van de startpagina onder Edge-configuratie-instellingen |
Geef een geldige URL op. Onjuiste URL's worden geblokkeerd als beveiligingsmaatregel. Bijvoorbeeld: https://www.bing.com |
Meerdere snelkoppelingen naar de bovenste site
Net als bij het configureren van een snelkoppeling naar de startpagina, kunt u meerdere snelkoppelingen voor de belangrijkste sites configureren op Nieuwe tabbladen in Edge voor iOS en Android. De gebruiker kan deze snelkoppelingen niet bewerken of verwijderen in een beheerde context. Opmerking: u kunt in totaal 8 snelkoppelingen configureren, inclusief een snelkoppeling naar de startpagina. Als u een snelkoppeling naar de startpagina hebt geconfigureerd, overschrijft deze snelkoppeling de eerste geconfigureerde bovenste site.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | Geef set waarde-URL's op. Elke snelkoppeling naar de bovenste site bestaat uit een titel en URL. Scheid de titel en URL door het | teken. Bijvoorbeeld: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Sectornieuws
U kunt de ervaring Nieuwe tabbladpagina configureren in Edge voor iOS en Android om branchenieuws weer te geven die relevant zijn voor uw organisatie. Wanneer u deze functie inschakelt, gebruikt Edge voor iOS en Android de domeinnaam van uw organisatie om nieuws van het web over uw organisatie, de branche van uw organisatie en concurrenten samen te voegen, zodat uw gebruikers relevant extern nieuws kunnen vinden vanaf de gecentraliseerde nieuwe tabbladen in Edge voor iOS en Android. Branchenieuws is standaard uitgeschakeld.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true toont branchenieuws op de pagina Nieuw tabblad false (standaard) verbergt branchenieuws op de pagina Nieuw tabblad |
Startpagina in plaats van Nieuwe tabbladpagina-ervaring
Met Edge voor iOS en Android kunnen organisaties de ervaring Nieuwe tabbladpagina uitschakelen en in plaats hiervan een website starten wanneer de gebruiker een nieuw tabblad opent. Hoewel dit een ondersteund scenario is, raadt Microsoft organisaties aan gebruik te maken van de ervaring Nieuwe tabbladpagina om dynamische inhoud te bieden die relevant is voor de gebruiker.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Geef een geldige URL op. Als er geen URL is opgegeven, gebruikt de app de ervaring Nieuwe tabbladpagina. Onjuiste URL's worden geblokkeerd als beveiligingsmaatregel. Bijvoorbeeld: https://www.bing.com |
Bladwijzerervaringen
Edge voor iOS en Android biedt organisaties verschillende opties voor het beheren van bladwijzers.
Beheerde bladwijzers
Voor een toegankelijkheid kunt u bladwijzers configureren die uw gebruikers beschikbaar willen hebben wanneer ze Edge voor iOS en Android gebruiken.
- Bladwijzers worden alleen weergegeven in het werk- of schoolaccount en worden niet weergegeven voor persoonlijke accounts.
- Bladwijzers kunnen niet worden verwijderd of gewijzigd door gebruikers.
- Bladwijzers worden boven aan de lijst weergegeven. Bladwijzers die gebruikers maken, worden onder deze bladwijzers weergegeven.
- Als u toepassingsproxy omleiding hebt ingeschakeld, kunt u toepassingsproxy web-apps toevoegen met behulp van hun interne of externe URL.
- Bladwijzers worden gemaakt in een map met de naam van de organisatie die is gedefinieerd in de Microsoft Entra-id.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks Deze beleidsnaam is vervangen door de gebruikersinterface van Beheerde bladwijzers onder Edge-configuratie-instellingen |
De waarde voor deze configuratie is een lijst met bladwijzers. Elke bladwijzer bestaat uit de titel van de bladwijzer en de url van de bladwijzer. Scheid de titel en URL door het | teken.Bijvoorbeeld: Microsoft Bing|https://www.bing.comAls u meerdere bladwijzers wilt configureren, scheidt u elk paar met het dubbele teken ||.Bijvoorbeeld: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Mijn apps bladwijzer
Standaard hebben gebruikers de Mijn apps bladwijzer geconfigureerd in de organisatiemap in Edge voor iOS en Android.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps |
true (standaard) toont Mijn apps in de Bladwijzers voor Edge voor iOS en Android false verbergt Mijn apps in Edge voor iOS en Android |
Ervaringen met app-gedrag
Edge voor iOS en Android biedt organisaties verschillende opties voor het beheren van het gedrag van de app.
Eenmalige aanmelding met Microsoft Entra-wachtwoord
De microsoft Entra Password-functionaliteit voor eenmalige aanmelding (SSO) die wordt aangeboden door Microsoft Entra ID, biedt gebruikerstoegangsbeheer voor webtoepassingen die identiteitsfederatie niet ondersteunen. Standaard voert Edge voor iOS en Android geen SSO uit met de Microsoft Entra-referenties. Zie Eenmalige aanmelding op basis van een wachtwoord toevoegen aan een toepassing voor meer informatie.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true Microsoft Entra Password SSO is ingeschakeld false (standaard) Azure AD Wachtwoord SSO is uitgeschakeld |
Standaardprotocolhandler
Standaard gebruikt Edge voor iOS en Android de HTTPS-protocolhandler wanneer de gebruiker het protocol niet opgeeft in de URL. Over het algemeen wordt dit beschouwd als een aanbevolen procedure, maar kan dit worden uitgeschakeld.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (standaard) standaardprotocolhandler is HTTPS false default protocol handler is HTTP |
Optionele diagnostische gegevens uitschakelen
Standaard kunnen gebruikers ervoor kiezen om optionele diagnostische gegevens te verzenden via Instellingen-Privacy>en beveiliging-Diagnostische>gegevens-Optionele>voor diagnostische gegevens-instelling. Organisaties kunnen deze instelling uitschakelen.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true Optionele instelling voor diagnostische gegevens is uitgeschakeld false (standaard) De optie kan door gebruikers worden in- of uitgeschakeld |
Opmerking
Optionele instelling voor diagnostische gegevens wordt ook gevraagd aan gebruikers tijdens de First Run Experience (FRE). Organisaties kunnen deze stap overslaan met behulp van het MDM-beleid EdgeDisableShareUsageData
Specifieke functies uitschakelen
Met Edge voor iOS en Android kunnen organisaties bepaalde functies uitschakelen die standaard zijn ingeschakeld. Als u deze functies wilt uitschakelen, configureert u de volgende instelling:
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures |
passowrd schakelt prompts uit die aanbieden om wachtwoorden voor de eindgebruiker op te slaan inprivate schakelt InPrivate-browsen uit autofill schakelt 'Adressen opslaan en invullen' en 'Betalingsgegevens opslaan en invullen' uit. Automatisch doorvoeren wordt uitgeschakeld, zelfs voor eerder opgeslagen informatie translator schakelt translator uit readaloud schakelt hardop voorlezen uit drop schakelt drop uit coupons schakelt coupons uit extensies schakelt extensies uit (alleen Edge voor Android) developertools worden de buildversienummers grijs weergegeven om te voorkomen dat gebruikers toegang hebben tot opties voor ontwikkelaars (alleen Edge voor Android) UIRAlert onderdrukt pop-ups om accounts opnieuw te verifiëren in het scherm van de nieuwe tabbladpagina delen schakelt Delen onder menu uit sendtodevices schakelt Verzenden naar apparaten uit onder menu weer schakelt weer uit in NTP (nieuw tabblad) Als u meerdere functies wilt uitschakelen, scheidt u waarden met |. Hiermee schakelt u bijvoorbeeld inprivate|password zowel InPrivate- als wachtwoordopslag uit. |
Functie voor het importeren van wachtwoorden uitschakelen
In Edge voor iOS en Android kunnen gebruikers wachtwoorden importeren uit Wachtwoordbeheer. Als u het importeren van wachtwoorden wilt uitschakelen, configureert u de volgende instelling:
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true Importwachtwoorden uitschakelen false (standaard) Importwachtwoorden toestaan |
Opmerking
In Wachtwoordbeheer van Edge voor iOS is er een knop Toevoegen. Wanneer de functie wachtwoorden importeren is uitgeschakeld, wordt de knop Toevoegen ook uitgeschakeld.
Cookiemodus beheren
U kunt bepalen of sites cookies voor uw gebruikers kunnen opslaan in Edge voor Android. Configureer hiervoor de volgende instelling:
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (standaard) cookies toestaan 1 niet-Microsoft-cookies blokkeren 2 niet-Microsoft-cookies blokkeren in de InPrivate-modus 3 alle cookies blokkeren |
Opmerking
Edge voor iOS biedt geen ondersteuning voor het beheren van cookies.
Kioskmoduservaringen op Android-apparaten
Edge voor Android kan worden ingeschakeld als kiosk-app met de volgende instellingen:
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true schakelt de kioskmodus in voor Edge voor Android false (standaard) schakelt kioskmodus uit |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true toont de adresbalk in de kioskmodus false (standaard) verbergt de adresbalk wanneer de kioskmodus is ingeschakeld |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true toont de onderste actiebalk in de kioskmodus false (standaard) verbergt de onderste balk wanneer de kioskmodus is ingeschakeld |
Opmerking
De kioskmodus wordt niet ondersteund op iOS-apparaten. U kunt echter de vergrendelde weergavemodus (alleen MDM-beleid) gebruiken om een vergelijkbare gebruikerservaring te bereiken, waarbij gebruikers niet naar andere websites kunnen navigeren, omdat de URL-adresbalk in de vergrendelde weergavemodus alleen-lezen wordt.
Vergrendelde weergavemodus
Edge voor iOS en Android kan worden ingeschakeld als vergrendelde weergavemodus met MDM-beleid EdgeLockedViewModeEnabled.
| Sleutel | Waarde |
|---|---|
| EdgeLockedViewModeEnabled |
onwaar (standaard) vergrendelde weergavemodus is uitgeschakeld waar vergrendelde weergavemodus is ingeschakeld |
Hiermee kunnen organisaties verschillende browserfuncties beperken, waardoor een gecontroleerde en gerichte browse-ervaring wordt geboden.
- De URL-adresbalk wordt alleen-lezen, waardoor gebruikers geen wijzigingen kunnen aanbrengen in het webadres
- Gebruikers mogen geen nieuwe tabbladen maken
- De functie voor contextueel zoeken op webpagina's is uitgeschakeld
- De volgende knoppen onder het overloopmenu zijn uitgeschakeld
| Knoppen | Status |
|---|---|
| Nieuw InPrivate-tabblad | Uitgeschakeld |
| Verzenden naar apparaten | Uitgeschakeld |
| Drop | Uitgeschakeld |
| Toevoegen aan telefoon (Android) | Uitgeschakeld |
| Downloadpagina (Android) | Uitgeschakeld |
De modus Vergrendelde weergave wordt vaak gebruikt in combinatie met MAM-beleidsregel com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL of MDM-beleidsregel EdgeNewTabPageCustomURL. Hierdoor kunnen organisaties een specifieke webpagina configureren die automatisch wordt gestart wanneer Edge wordt geopend. Gebruikers hebben alleen toegang tot deze webpagina en kunnen niet naar andere websites navigeren, waardoor ze een gecontroleerde omgeving wordt geboden voor specifieke taken of het gebruik van inhoud.
Opmerking
Standaard mogen gebruikers geen nieuwe tabbladen maken in de vergrendelde weergavemodus. Als je het maken van tabbladen wilt toestaan, stel je het MDM-beleid EdgeLockedViewModeAllowedActions in op newtabs.
Schakelen tussen Chromium en iOS
Microsoft Edge voor zowel iOS als Android maakt standaard gebruik van de Chromium netwerkstack voor microsoft edge-servicecommunicatie, waaronder synchronisatieservices, suggesties voor automatisch zoeken en het verzenden van feedback. Microsoft Edge voor iOS biedt ook de iOS-netwerkstack als configureerbare optie voor Microsoft Edge-servicecommunicatie.
Organisaties kunnen hun voorkeur voor de netwerkstack wijzigen door de volgende instelling te configureren.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (standaard) de Chromium netwerkstack gebruiken 1 de iOS-netwerkstack gebruiken |
Opmerking
Het gebruik van de Chromium netwerkstack wordt aanbevolen. Als u synchronisatieproblemen of fouten ondervindt bij het verzenden van feedback met de Chromium netwerkstack, bijvoorbeeld met bepaalde VPN-oplossingen per app, kan het gebruik van de iOS-netwerkstack de problemen oplossen.
Een URL voor het PAC-bestand van de proxy instellen
Organisaties kunnen een URL opgeven naar een PAC-bestand (Proxy Auto Config) voor Microsoft Edge voor iOS en Android
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Geef een geldige URL op naar een pac-proxybestand. Bijvoorbeeld: https://internal.site/example.pac |
PAC-ondersteuning voor mislukte openen
Standaard blokkeert Microsoft Edge voor iOS en Android netwerktoegang met een ongeldig of niet-beschikbaar PAC-script. Organisaties kunnen het standaardgedrag echter wijzigen in PAC is niet geopend.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (standaard) Netwerktoegang blokkeren Waar Netwerktoegang toestaan |
Netwerkrelais configureren
Edge voor iOS ondersteunt nu netwerkrelais op iOS 17. Dit is een speciaal type proxy dat kan worden gebruikt voor externe toegang en privacyoplossingen. Ze ondersteunen veilige en transparante tunneling van verkeer, die fungeren als een modern alternatief voor VPN's bij toegang tot interne resources. Zie Netwerkrelais gebruiken op Apple-apparaten voor meer informatie over netwerkrelais.
Organisaties kunnen relayproxy-URL's configureren om verkeer te routeren op basis van overeenkomende en uitgesloten domeinen.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | Geef een geldige URL op naar een Relay-configuratie-JSON-bestand. Bijvoorbeeld: https://yourserver/relay_config.json |
Een voorbeeld van een json-bestand voor netwerkrelais
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"poort": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
Proxy voor gebruikers om je aan te melden bij Edge in Android
Een PAC (Proxy Auto-Configuration) wordt doorgaans geconfigureerd in het VPN-profiel. Vanwege een platformbeperking kan de PAC echter niet worden herkend door Android WebView, dat wordt gebruikt tijdens het aanmeldingsproces van Edge. Gebruikers kunnen zich mogelijk niet aanmelden bij Edge in Android.
Organisaties kunnen een toegewezen proxy opgeven via MDM-beleid zodat gebruikers zich kunnen aanmelden bij Edge in Android.
| Sleutel | Waarde |
|---|---|
| EdgeOneAuthProxy | De bijbehorende waarde is een tekenreeks Voorbeeld http://MyProxy.com:8080 |
Gegevensarchief van iOS-website
Het gegevensarchief van de website in Edge voor iOS is essentieel voor het beheren van cookies, schijf- en geheugencaches en verschillende soorten gegevens. Er is echter slechts één permanent gegevensarchief voor websites in Edge voor iOS. Standaard wordt dit gegevensarchief uitsluitend gebruikt door persoonlijke accounts, wat leidt tot een beperking waarbij werk- of schoolaccounts er geen gebruik van kunnen maken. Hierdoor gaan browsegegevens, met uitzondering van cookies, verloren na elke sessie voor werk- of schoolaccounts. Om de gebruikerservaring te verbeteren, kunnen organisaties het gegevensarchief van de website configureren voor gebruik door werk- of schoolaccounts, waardoor de persistentie van browsegegevens wordt gewaarborgd.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 Het gegevensarchief van de website wordt altijd statisch alleen gebruikt door een persoonlijk account 1 Het gegevensarchief van de website wordt gebruikt door het eerste aangemelde account 2 (standaard) Het gegevensarchief van de website wordt gebruikt door het werk- of schoolaccount, ongeacht de aanmeldingsvolgorde |
Opmerking
Met de release van iOS 17 worden nu meerdere permanente archieven ondersteund. Werk- en persoonlijk account hebben een eigen aangewezen permanente opslag. Daarom is dit beleid niet meer geldig vanaf versie 122.
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen is een functie waarmee gebruikers schadelijke sites en downloads kunnen voorkomen. Dit is standaard ingeschakeld. Organisaties kunnen deze instelling uitschakelen.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (standaard) Microsoft Defender SmartScreen is ingeschakeld. false Microsoft Defender SmartScreen is uitgeschakeld. |
Certificaatverificatie
Standaard controleert Microsoft Edge voor Android servercertificaten met behulp van de ingebouwde certificaatcontrole en de Microsoft Root Store als bron van openbare vertrouwensrelatie. Organisaties kunnen overschakelen naar systeemcertificaatcontrole en systeemhoofdcertificaten.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
waar (standaard) Gebruik ingebouwde certificaatcontrole en Microsoft Root Store om certificaten te verifiëren. onwaar Gebruik systeemcertificaatcontrole en systeemhoofdcertificaten als bron van openbare vertrouwensrelatie om certificaten te verifiëren. |
Opmerking
Een use-case voor dit beleid is dat u systeemcertificaatcontrole en systeemhoofdcertificaten moet gebruiken bij het gebruik van Microsoft MAM Tunnel in Edge voor Android.
Besturingselement voor SSL-waarschuwingspagina
Standaard kunnen gebruikers door waarschuwingspagina's klikken wanneer gebruikers navigeren naar sites met SSL-fouten. Organisaties kunnen het gedrag beheren.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
waar (standaard) Gebruikers toestaan door SSL-waarschuwingspagina's te klikken onwaar Voorkomen dat gebruikers door SSL-waarschuwingspagina's klikken |
Pop-upinstellingen
Pop-ups worden standaard geblokkeerd. Organisaties kunnen het gedrag beheren.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 Alle sites toestaan pop-ups weer te geven 2 (standaard) Geen enkele site toestaan pop-ups weer te geven |
Pop-up toestaan op specifieke websites
Als dit beleid niet is geconfigureerd, wordt de waarde van het beleid DefaultPopupsSetting (indien ingesteld) of de persoonlijke configuratie van de gebruiker gebruikt voor alle sites. Organisaties kunnen een lijst met sites definiëren die pop-up kunnen openen.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | De bijbehorende waarde voor de sleutel is een lijst met URL's. U voert alle URL's in die u wilt blokkeren als één waarde, gescheiden door een sluisteken |. Voorbeelden: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Zie URL-patroonindeling ondernemingsbeleid voor meer informatie over de URL-indeling.
Pop-up op specifieke sites blokkeren
Als dit beleid niet is geconfigureerd, wordt de waarde van het beleid DefaultPopupsSetting (indien ingesteld) of de persoonlijke configuratie van de gebruiker gebruikt voor alle sites. Organisaties kunnen een lijst definiëren met sites die zijn geblokkeerd voor het openen van pop-ups.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | De bijbehorende waarde voor de sleutel is een lijst met URL's. U voert alle URL's in die u wilt blokkeren als één waarde, gescheiden door een sluisteken |. Voorbeelden: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Zie URL-patroonindeling ondernemingsbeleid voor meer informatie over de URL-indeling.
Standaardzoekprovider
Standaard gebruikt Edge de standaardzoekprovider om een zoekopdracht uit te voeren wanneer gebruikers niet-URL-teksten invoeren in de adresbalk. Gebruikers kunnen de lijst met zoekprovider wijzigen. Organisaties kunnen het zoekgedrag beheren.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
waar De standaardzoekprovider inschakelen onwaar De standaardzoekprovider uitschakelen |
Zoekprovider configureren
Organisaties kunnen een zoekprovider configureren voor gebruikers. Als u een zoekprovider wilt configureren, moet u eerst het beleid DefaultSearchProviderEnabled configureren.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | De bijbehorende waarde is een tekenreeks Voorbeeld My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | De bijbehorende waarde is een tekenreeks Voorbeeld https://search.my.company/search?q={searchTerms} |
Copilot
Opmerking
Vanaf versie 128 is Copilot voor werk- of schoolaccounts afgeschaft. Daarom zijn de volgende beleidsregels niet meer geldig in versie 128. Als u de toegang tot de webversie van Copilot wilt blokkeren, copilot.microsoft.com, kunt u beleid AllowListURLs of BlockListURLs gebruiken.
Copilot is beschikbaar op Microsoft Edge voor iOS en Android. Gebruikers kunnen Copilot starten door op de knop Copilot in de onderste balk te klikken.
Er zijn drie instellingen in Instellingen->Algemene->Copilot.
- Copilot weergeven: hiermee wordt bepaald of de Bing-knop op de onderste balk wordt weergegeven
- Toegang tot webpagina's of PDF- Bepalen of Copilot toegang moet hebben tot pagina-inhoud of PDF
- Snelle toegang bij het selecteren van tekst: hiermee wordt bepaald of het deelvenster Snel chatten moet worden weergegeven wanneer tekst op een webpagina wordt geselecteerd
Je kunt de instellingen voor Copilot beheren.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat |
waar (standaard) gebruikers kunnen de Copilot-knop op de onderste balk zien. Het instellen van Copilot is standaard ingeschakeld en kan worden uitgeschakeld door gebruikers false Gebruikers kunnen de knop Copilot niet zien in de onderste balk. Instelling Copilot weergeven is uitgeschakeld en kan niet worden ingeschakeld door gebruikers |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext |
true (standaard) Toegang tot webpagina's of PDF- toestaan en Snelle toegang bij het selecteren van tekst kunnen worden ingeschakeld door gebruikers falseToegang tot webpagina's of PDF- en Snelle toegang bij het selecteren van tekst toestaan wordt uitgeschakeld en kan niet worden ingeschakeld door gebruikers |
Configuratiescenario's voor gegevensbeveiligings-apps
Edge voor iOS en Android ondersteunt app-configuratiebeleid voor de volgende instellingen voor gegevensbeveiliging wanneer de app wordt beheerd door Microsoft Intune met een beheerde apps App Configuration Beleid toegepast op het werk- of schoolaccount dat is aangemeld bij de app:
- Accountsynchronisatie beheren
- Beperkte websites beheren
- Proxyconfiguratie beheren
- NTLM-sites voor eenmalige aanmelding beheren
Deze instellingen kunnen worden geïmplementeerd in de app, ongeacht de registratiestatus van het apparaat.
Accountsynchronisatie beheren
Met Microsoft Edge-synchronisatie hebben gebruikers standaard toegang tot hun browsegegevens op al hun aangemelde apparaten. De gegevens die door synchronisatie worden ondersteund, omvatten:
- Favorieten
- Wachtwoorden
- Adressen en meer (formulierinvoer automatisch invullen)
Synchronisatiefunctionaliteit wordt ingeschakeld via gebruikerstoestemming en gebruikers kunnen synchronisatie in- of uitschakelen voor elk van de hierboven vermelde gegevenstypen. Zie Microsoft Edge Sync voor meer informatie.
Organisaties hebben de mogelijkheid om Edge-synchronisatie uit te schakelen op iOS en Android.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true schakelt Edge-synchronisatie uit false (standaard) staat Edge-synchronisatie toe |
Beperkte websites beheren
Organisaties kunnen definiëren tot welke sites gebruikers toegang hebben binnen de context van het werk- of schoolaccount in Edge voor iOS en Android. Als u een acceptatielijst gebruikt, hebben uw gebruikers alleen toegang tot de sites die expliciet worden vermeld. Als u een geblokkeerde lijst gebruikt, hebben gebruikers toegang tot alle sites, behalve de sites die expliciet zijn geblokkeerd. U moet alleen een toegestane of een geblokkeerde lijst opleggen, niet beide. Als u beide oplegt, wordt alleen de toegestane lijst gehonoreerd.
Organisaties definiëren ook wat er gebeurt wanneer een gebruiker naar een beperkte website probeert te navigeren. Standaard zijn overgangen toegestaan. Als de organisatie dit toestaat, kunnen beperkte websites worden geopend in de context van het persoonlijke account, de InPrivate-context van het Microsoft Entra-account of de site volledig is geblokkeerd. Zie Beperkte websiteovergangen in Microsoft Edge Mobile voor meer informatie over de verschillende scenario's die worden ondersteund. Door overgangservaringen toe te staan, blijven de gebruikers van de organisatie beschermd en blijven bedrijfsresources veilig.
We hebben twee nieuwe beleidsregels geïntroduceerd om de ervaring voor het schakelen tussen profielen te verbeteren door de noodzaak voor gebruikers te verminderen om handmatig over te schakelen naar persoonlijke profielen of de InPrivate-modus om geblokkeerde URL's te openen:
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlockcom.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
Omdat deze beleidsregels verschillende resultaten opleveren op basis van hun configuraties en combinaties, raden we u aan onze onderstaande beleidssuggesties te proberen voor een snelle evaluatie om te zien of de ervaring voor het schakelen van profiel goed aansluit bij de behoeften van uw organisatie voordat u gedetailleerde documentatie verkent. Voorgestelde configuratie-instellingen voor het schakelen tussen profielen omvatten de volgende waarden:
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=truecom.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=truecom.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
Opmerking
Edge voor iOS en Android kan de toegang tot sites alleen blokkeren wanneer ze rechtstreeks worden geopend. De toegang wordt niet geblokkeerd wanneer gebruikers tussenliggende services (zoals een vertaalservice) gebruiken om toegang te krijgen tot de site. URL's die beginnen met Edge, zoals Edge://*, Edge://flags en Edge://net-export, worden niet ondersteund in app-configuratiebeleid AllowListURLs of BlockListURLs voor beheerde apps. Je kunt deze URL's uitschakelen met com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.
Als je apparaten worden beheerd, kun je ook app-configuratiebeleid URLAllowList of URLBlocklist gebruiken voor beheerde apparaten. Zie Microsoft Edge mobiele beleidsregels voor verwante informatie.
Gebruik de volgende sleutel-waardeparen om een lijst met toegestane of geblokkeerde sites te configureren voor Edge voor iOS en Android.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs Deze beleidsnaam is vervangen door de gebruikersinterface van Toegestane URL's onder Edge-configuratie-instellingen |
De bijbehorende waarde voor de sleutel is een lijst met URL's. U voert alle URL's in die u wilt toestaan als één waarde, gescheiden door een sluisteken |. Voorbeelden: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs Deze beleidsnaam is vervangen door de gebruikersinterface van Geblokkeerde URL's onder Edge-configuratie-instellingen |
De bijbehorende waarde voor de sleutel is een lijst met URL's. U voert alle URL's in die u wilt blokkeren als één waarde, gescheiden door een sluisteken |. Voorbeelden: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock |
true (standaard) laat Edge voor iOS en Android beperkte sites overzetten. Wanneer persoonlijke accounts niet zijn uitgeschakeld, wordt gebruikers gevraagd om over te schakelen naar de persoonlijke context om de beperkte site te openen of om een persoonlijk account toe te voegen. Als com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked is ingesteld op true, kunnen gebruikers de beperkte site openen in de Context InPrivate. false voorkomt dat Edge voor iOS en Android gebruikers overzet. Gebruikers krijgen gewoon een bericht te zien waarin staat dat de site die ze proberen te openen, is geblokkeerd. |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked Deze beleidsnaam is vervangen door de gebruikersinterface van beperkte sites omleiden naar persoonlijke context onder Edge-configuratie-instellingen |
true staat toe dat beperkte sites worden geopend in de InPrivate-context van het Microsoft Entra-account. Als het Microsoft Entra-account het enige account is dat is geconfigureerd in Edge voor iOS en Android, wordt de beperkte site automatisch geopend in de InPrivate-context. Als de gebruiker een persoonlijk account heeft geconfigureerd, wordt de gebruiker gevraagd om te kiezen tussen het openen van InPrivate of overschakelen naar het persoonlijke account. false (standaard) vereist dat de beperkte site wordt geopend in het persoonlijke account van de gebruiker. Als persoonlijke accounts zijn uitgeschakeld, wordt de site geblokkeerd. Deze instelling wordt alleen van kracht als com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock is ingesteld op true. |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Voer het aantal seconden in dat gebruikers de melding 'Toegang tot deze site is geblokkeerd door uw organisatie' zien. We hebben deze geopend in de InPrivate-modus, zodat u toegang hebt tot de site. Standaard wordt de melding van de snackbar gedurende 7 seconden weergegeven. |
De volgende sites, behalve copilot.microsoft.com, zijn altijd toegestaan, ongeacht de gedefinieerde instellingen voor de acceptatielijst of de blokkeringslijst:
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
Het gedrag van de pop-up Site geblokkeerd beheren
Wanneer je toegang probeert te krijgen tot geblokkeerde websites, wordt gebruikers gevraagd om over te schakelen naar InPrivate of persoonlijk account om de geblokkeerde websites te openen. Je kunt voorkeuren kiezen tussen InPrivate en persoonlijk account.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (standaard) Altijd het pop-upvenster weergeven dat de gebruiker kan kiezen. 1: Schakel automatisch over naar een persoonlijk account wanneer een persoonlijk account is aangemeld. Als persoonlijk account niet is aangemeld, wordt het gedrag gewijzigd in waarde 2. 2: Schakel automatisch over naar InPrivate als overschakelen naar InPrivate is toegestaan door com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true. |
Het gedrag van het wijzigen van een persoonlijk profiel naar een werkprofiel beheren
Wanneer Edge zich onder het persoonlijke profiel bevindt en gebruikers een koppeling proberen te openen vanuit Outlook of Microsoft Teams die zich onder het werkprofiel bevinden, gebruikt Intune standaard het Edge-werkprofiel om de koppeling te openen, omdat zowel Edge, Outlook als Microsoft Teams worden beheerd door Intune. Wanneer de koppeling echter wordt geblokkeerd, wordt de gebruiker overgeschakeld naar het persoonlijke profiel. Dit veroorzaakt een wrijvingservaring voor gebruikers
U kunt een beleid configureren om de gebruikerservaring te verbeteren. Dit beleid wordt aanbevolen om te worden gebruikt in combinatie met AutoTransitionModeOnBlock, omdat het gebruikers kan overschakelen naar het persoonlijke profiel op basis van de beleidswaarde die u hebt geconfigureerd.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (standaard) Overschakelen naar werkprofiel, zelfs als de URL wordt geblokkeerd door Edge-beleid. 2: De geblokkeerde URL's worden geopend onder persoonlijk profiel als persoonlijk profiel is aangemeld. Als persoonlijk profiel niet is aangemeld, wordt de geblokkeerde URL geopend in de InPrivate-modus. |
URL-indelingen voor lijst met toegestane en geblokkeerde sites
U kunt verschillende URL-indelingen gebruiken om uw lijsten met toegestane/geblokkeerde sites te maken. Deze toegestane patronen worden beschreven in de volgende tabel.
Zorg ervoor dat u alle URL's voorvoegt met http:// of https:// wanneer u ze in de lijst invoert.
U kunt het jokerteken (*) gebruiken volgens de regels in de volgende lijst met toegestane patronen.
Een jokerteken kan alleen overeenkomen met een gedeelte (bijvoorbeeld
news-contoso.com) of een volledig onderdeel van de hostnaam (bijvoorbeeldhost.contoso.com) of hele delen van het pad wanneer deze worden gescheiden door schuine slashes (www.contoso.com/images).U kunt poortnummers opgeven in het adres. Als u geen poortnummer opgeeft, zijn de gebruikte waarden:
- Poort 80 voor http
- Poort 443 voor https
Het gebruik van jokertekens voor het poortnummer wordt niet ondersteund. Zo worden bijvoorbeeld
http://www.contoso.com:*enhttp://www.contoso.com:*/niet ondersteund.URL Details Overeenkomsten Komt niet overeen http://www.contoso.comKomt overeen met één pagina www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.comKomt overeen met één pagina contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*Komt overeen met alle URL's die beginnen met www.contoso.comwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*Komt overeen met alle subdomeinen onder contoso.comdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*Komt overeen met alle subdomeinen die eindigen op contoso.com/news-contoso.comnews-contoso.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/imagesKomt overeen met één map www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80Komt overeen met één pagina, met behulp van een poortnummer www.contoso.com:80https://www.contoso.comKomt overeen met één veilige pagina www.contoso.comwww.contoso.com/imageshttp://www.contoso.com/images/*Komt overeen met één map en alle submappen www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videosHier volgen enkele voorbeelden van enkele invoer die u niet kunt opgeven:
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- IP-adressen
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
Interne Edge-pagina's uitschakelen
Je kunt interne Edge-pagina's uitschakelen, zoals Edge://flags en Edge://net-export. Meer pagina's vind je op Edge://about
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | De bijbehorende waarde voor de sleutel is een lijst met paginanamen. Je kunt de interne pagina's die je wilt blokkeren invoeren als één waarde, gescheiden door een verticale streep: |. Voorbeelden: flags|net-export |
Websites beheren om uploadbestanden toe te staan
Er kunnen scenario's zijn waarbij gebruikers alleen websites mogen bekijken, zonder de mogelijkheid om bestanden te uploaden. Organisaties hebben de mogelijkheid om aan te geven welke websites bestandsüploads kunnen ontvangen.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | De bijbehorende waarde voor de sleutel is een lijst met URL's. U voert alle URL's in die u wilt blokkeren als één waarde, gescheiden door een sluisteken |. Voorbeelden: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | De bijbehorende waarde voor de sleutel is een lijst met URL's. U voert alle URL's in die u wilt blokkeren als één waarde, gescheiden door een sluisteken |. Voorbeelden: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
Het voorbeeld om te voorkomen dat alle websites, inclusief interne websites, bestanden kunnen uploaden
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Een voorbeeld om specifieke websites toe te staan bestanden te uploaden
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Zie URL-patroonindeling ondernemingsbeleid voor meer informatie over de URL-indeling.
Opmerking
Voor Edge in iOS wordt de plakactie naast uploads geblokkeerd. Gebruikers zien de plakoptie niet in het actiemenu.
Proxyconfiguratie beheren
U kunt Edge gebruiken voor iOS en Android en Microsoft Entra-toepassingsproxy samen om gebruikers toegang te geven tot intranetsites op hun mobiele apparaten. Bijvoorbeeld:
- Een gebruiker gebruikt de mobiele Outlook-app, die wordt beveiligd door Intune. Vervolgens klikken ze in een e-mail op een koppeling naar een intranetsite. Edge voor iOS en Android herkent dat deze intranetsite via toepassingsproxy beschikbaar is voor de gebruiker. De gebruiker wordt automatisch gerouteerd via toepassingsproxy, om te verifiëren met een toepasselijke meervoudige verificatie en voorwaardelijke toegang, voordat de intranetsite wordt bereikt. De gebruiker heeft nu toegang tot interne sites, zelfs op hun mobiele apparaten, en de koppeling in Outlook werkt zoals verwacht.
- Een gebruiker opent Edge voor iOS en Android op zijn of haar iOS- of Android-apparaat. Als Edge voor iOS en Android is beveiligd met Intune en toepassingsproxy is ingeschakeld, kan de gebruiker naar een intranetsite gaan met behulp van de interne URL die ze gewend zijn. Edge voor iOS en Android herkent dat deze intranetsite beschikbaar is voor de gebruiker via toepassingsproxy. De gebruiker wordt automatisch gerouteerd via toepassingsproxy, om te verifiëren voordat de intranetsite wordt bereikt.
Voordat u begint:
- Stel uw interne toepassingen in via de Microsoft Entra-toepassingsproxy.
- Zie de installatiedocumentatie voor het configureren van toepassingsproxy en het publiceren van toepassingen.
- Zorg ervoor dat de gebruiker is toegewezen aan de Microsoft Entra-toepassingsproxy-app, zelfs als de app is geconfigureerd met het passthrough pre-verificatietype.
- Aan de App Edge voor iOS en Android moet een Intune-beveiligingsbeleid voor apps zijn toegewezen.
- Microsoft-apps moeten een app-beveiligingsbeleid hebben waarin de instelling Overdracht van webinhoud met andere apps beperken is ingesteld op Microsoft Edge.
Opmerking
Edge voor iOS en Android werkt de toepassingsproxy omleidingsgegevens bij op basis van de laatste geslaagde vernieuwingsbeurt. Updates wordt geprobeerd wanneer de laatste geslaagde vernieuwingsgebeurtenis langer is dan één uur.
Target Edge voor iOS met het volgende sleutel-waardepaar om de toepassingsproxy in te schakelen.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Deze beleidsnaam is vervangen door de gebruikersinterface van toepassingsproxyomleiding onder Edge-configuratie-instellingen |
true schakelt omleidingsscenario's voor Microsoft Entra toepassingsproxy in false (standaard) voorkomt Microsoft Entra toepassingsproxyscenario's |
Zie voor meer informatie over het gebruik van Edge voor iOS en Android en Microsoft Entra-toepassingsproxy in combinatie voor naadloze (en beveiligde) toegang tot on-premises web-apps Better together: Intune en Microsoft Entra team up om de gebruikerstoegang te verbeteren. In dit blogbericht wordt verwezen naar de Intune Managed Browser, maar de inhoud is ook van toepassing op Edge voor iOS en Android.
NTLM-sites voor eenmalige aanmelding beheren
Organisaties kunnen vereisen dat gebruikers zich verifiëren bij NTLM om toegang te krijgen tot intranetwebsites. Standaard wordt gebruikers gevraagd referenties in te voeren telkens wanneer ze een website openen waarvoor NTLM-verificatie is vereist, omdat NTLM-referenties in de cache opslaan is uitgeschakeld.
Organisaties kunnen het opslaan van NTLM-referenties inschakelen voor bepaalde websites. Voor deze sites worden de referenties standaard 30 dagen in de cache opgeslagen nadat de gebruiker referenties heeft ingevoerd en geverifieerd.
Opmerking
Als u een proxyserver gebruikt, moet u ervoor zorgen dat deze is geconfigureerd met behulp van het beleid NTLMSSOURLs, waarbij u zowel https als http specifiek opgeeft als onderdeel van de sleutelwaarde.
Momenteel moeten zowel https - als http-schema's worden opgegeven in de sleutelwaarde NTLMSSOURLs. U moet bijvoorbeeld zowel als https://your-proxy-server:8080http://your-proxy-server:8080configureren. Momenteel is het opgeven van de indeling als host:poort (zoals your-proxy-server:8080) niet voldoende.
Bovendien wordt het jokerteken (*) niet ondersteund bij het configureren van proxyservers in het beleid NTLMSSOURLs.
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | De bijbehorende waarde voor de sleutel is een lijst met URL's. U voert alle URL's in die u wilt toestaan als één waarde, gescheiden door een sluisteken |. Voorbeelden: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Zie URL-indelingen voor lijst met toegestane en geblokkeerde sites voor meer informatie over de typen URL-indelingen die worden ondersteund. |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Aantal uren voor het opslaan van referenties in de cache, de standaardwaarde is 720 uur |
Aanvullende app-configuratie voor beheerde apparaten
Het volgende beleid, dat oorspronkelijk kon worden geconfigureerd via het app-configuratiebeleid voor beheerde apps, is nu beschikbaar via app-configuratiebeleid voor beheerde apparaten. Bij het gebruik van beleidsregels voor beheerde apps moeten gebruikers zich aanmelden bij Microsoft Edge. Bij het gebruik van beleid voor beheerde apparaten hoeven gebruikers zich niet aan te melden bij Edge om het beleid toe te passen.
Omdat app-configuratiebeleidsregels voor beheerde apparaten apparaatinschrijving nodig hebben, wordt UEM (Unified Endpoint Management) ondersteund. Zie Mobile-beleid voor Microsoft Edge voor meer beleidsregels onder het MDM-kanaal.
| MAM-beleid | MDM-beleid |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
App-configuratiescenario's implementeren met Microsoft Intune
Als u Microsoft Intune gebruikt als provider voor het beheer van mobiele apps, kunt u met de volgende stappen een app-configuratiebeleid voor beheerde apps maken. Nadat de configuratie is gemaakt, kunt u de instellingen toewijzen aan groepen gebruikers.
Meld u aan bij het Microsoft Intune-beheercentrum.
Selecteer Apps en selecteer vervolgens App-configuratiebeleid.
Kies op de blade App Configuration beleidde optie Toevoegen en selecteer Beheerde apps.
Voer in de sectie Basisbeginselen een naam en optionele beschrijving in voor de app-configuratie-instellingen.
Voor Openbare apps kiest u Openbare apps selecteren en kiest u vervolgens op de blade Doel-appsde optie Edge voor iOS en Android door zowel de iOS- als android-platform-apps te selecteren. Klik op Selecteren om de geselecteerde openbare apps op te slaan.
Klik op Volgende om de basisinstellingen van het app-configuratiebeleid te voltooien.
Vouw in de sectie Instellingen de Edge-configuratie-instellingen uit.
Als u de instellingen voor gegevensbeveiliging wilt beheren, configureert u de gewenste instellingen dienovereenkomstig:
Kies voor omleiding van toepassingsproxy uit de beschikbare opties: Inschakelen, Uitschakelen (standaard).
Geef bij Snelkoppelings-URL voor startpagina een geldige URL op die het voorvoegsel van http:// of https:// bevat. Onjuiste URL's worden geblokkeerd als beveiligingsmaatregel.
Geef voor Beheerde bladwijzers de titel en een geldige URL op die het voorvoegsel van http:// of https:// bevat.
Geef bij Toegestane URL's een geldige URL op (alleen deze URL's zijn toegestaan; er zijn geen andere sites toegankelijk). Zie URL-indelingen voor lijst met toegestane en geblokkeerde sites voor meer informatie over de typen URL-indelingen die worden ondersteund.
Geef voor Geblokkeerde URL's een geldige URL op (alleen deze URL's worden geblokkeerd). Zie URL-indelingen voor lijst met toegestane en geblokkeerde sites voor meer informatie over de typen URL-indelingen die worden ondersteund.
Voor Beperkte sites omleiden naar persoonlijke context kiest u een van de beschikbare opties: Inschakelen (standaard), Uitschakelen.
Opmerking
Wanneer zowel toegestane URL's als geblokkeerde URL's zijn gedefinieerd in het beleid, wordt alleen de lijst met toegestane url's gehonoreerd.
Als u aanvullende app-configuratie-instellingen niet wilt weergeven in het bovenstaande beleid, vouwt u het knooppunt Algemene configuratie-instellingen uit en voert u de sleutelwaardeparen dienovereenkomstig in.
Wanneer u klaar bent met het configureren van de instellingen, kiest u Volgende.
Kies in de sectie Toewijzingende optie Groepen selecteren die u wilt opnemen. Selecteer de Microsoft Entra-groep waaraan u het app-configuratiebeleid wilt toewijzen en kies vervolgens Selecteren.
Wanneer u klaar bent met de toewijzingen, kiest u Volgende.
Controleer op de blade App-configuratiebeleid maken Controleren en maken de geconfigureerde instellingen en kies Maken.
Het zojuist gemaakte configuratiebeleid wordt weergegeven op de blade App-configuratie.
Microsoft Edge voor iOS en Android gebruiken voor toegang tot logboeken van beheerde apps
Gebruikers met Edge voor iOS en Android geïnstalleerd op hun iOS- of Android-apparaat kunnen de beheerstatus van alle gepubliceerde Microsoft-apps bekijken. Ze kunnen logboeken verzenden voor het oplossen van problemen met hun beheerde iOS- of Android-apps met behulp van de volgende stappen:
Open Edge voor iOS en Android op uw apparaat.
Typ
edge://intunehelp/in het adresvak.Edge voor iOS en Android start de probleemoplossingsmodus.
U kunt logboeken ophalen uit Microsoft Ondersteuning door de incident-id van de gebruiker te geven.
Zie Logboeken voor client-app-beveiliging controleren voor een lijst met instellingen die zijn opgeslagen in de app-logboeken.
Diagnostische logboeken
Naast Intune-logboeken van edge://intunehelp/ wordt u mogelijk door Microsoft Ondersteuning gevraagd om diagnostische logboeken van Microsoft Edge voor iOS en Android op te geven. U kunt de logboeken downloaden naar lokale apparaten en deze delen met Microsoft Ondersteuning. De logboeken downloaden naar lokale apparaten:
1.Open Help en feedback vanuit het overloopmenu
2.Klik op diagnostische gegevens
3. Klik voor Microsoft Edge voor iOS op het pictogram Delen in de rechterbovenhoek. Het dialoogvenster Besturingssysteem delen wordt weergegeven. U kunt ervoor kiezen om de logboeken lokaal op te slaan of te delen met andere apps. Voor Microsoft Edge voor Android klikt u op het submenu in de rechterbovenhoek om logboeken op te slaan. De logboeken worden opgeslagen in de map Download ->Edge.
U kunt ook op het pictogram Wissen klikken om logboeken eerst te wissen om de logboeken te vernieuwen.
Opmerking
Het opslaan van logboeken houdt ook rekening met het Intune-app-beveiligingsbeleid. Daardoor is het mogelijk dat u geen diagnostische gegevens op lokale apparaten mag opslaan.