Gerencie o Microsoft Edge no iOS e Android com o Intune
O Edge para iOS e Android foi projetado para permitir que os usuários naveguem na Web e oferece suporte a múltiplas identidades. Os usuários podem adicionar uma conta corporativa, bem como uma conta pessoal, para navegação. Há uma separação completa entre as duas identidades, semelhante ao que é oferecido em outros aplicativos móveis da Microsoft.
Esse recurso aplica-se a:
- iOS/iPadOS 14.0 ou posterior
- Android 8.0 ou posterior para dispositivos registrados e Android 9.0 ou posterior para dispositivos não registrados
Observação
O Edge para iOS e Android não consome configurações definidas pelos usuários para o navegador nativo em seus dispositivos, porque o Edge para iOS e Android não pode acessar essas configurações.
Os recursos de proteção mais avançados e abrangentes para dados do Microsoft 365 estão disponíveis quando você assina o pacote Enterprise Mobility + Security, que inclui recursos do Microsoft Intune e do Microsoft Entra ID P1 ou P2, como acesso condicional. No mínimo, você desejará implantar uma política de acesso condicional que permita apenas a conectividade ao Edge para iOS e Android a partir de dispositivos móveis e uma política de proteção de aplicativos do Intune que garanta que a experiência de navegação esteja protegida.
Observação
Novos clipes da Web (aplicativos da Web fixados) em dispositivos iOS serão abertos no Edge para iOS e Android em vez do Navegador Gerenciado do Intune quando necessário para abrir em um navegador protegido. Para clipes da Web do iOS mais antigos, você deve redirecioná-los para garantir que eles abram no Edge para iOS e Android, em vez do navegador gerenciado.
Criar políticas de proteção de aplicativos do Intune
À medida que as organizações adotam cada vez mais aplicações SaaS e Web, os browsers tornaram-se ferramentas essenciais para as empresas. Muitas vezes, os utilizadores precisam de aceder a estas aplicações a partir de browsers móveis enquanto estão em viagem. Garantir que os dados acedidos através de browsers móveis estão protegidos contra fugas intencionais ou não intencionais é crucial. Por exemplo, os utilizadores podem partilhar inadvertidamente os dados das organizações com aplicações pessoais, o que leva à fuga de dados ou transferi-los para dispositivos locais, o que também representa um risco.
As organizações podem proteger a fuga de dados quando os utilizadores navegam com o Microsoft Edge para dispositivos móveis ao configurar políticas de proteção de aplicações (APP), que definem que aplicações são permitidas e as ações que podem efetuar com os dados da sua organização. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.
A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:
- A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
- A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
- A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.
Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.
Independentemente de o dispositivo estar inscrito numa solução de gestão unificada de pontos finais (UEM), é necessário criar uma política de proteção de aplicativo do Intune para aplicativos iOS e Android, usando as etapas em Como criar e atribuir políticas de proteção de aplicativo. Essas políticas, no mínimo, devem atender às seguintes condições:
Eles incluem todos os aplicativos móveis do Microsoft 365, como Edge, Outlook, OneDrive, Office ou Teams, pois isso garante que os usuários possam acessar e manipular dados corporativos ou de estudante em qualquer aplicativo da Microsoft de maneira segura.
Eles são atribuídos a todos os usuários. Isso garante que todos os usuários estejam protegidos, independentemente de usarem o Edge para iOS ou Android.
Determine qual nível de estrutura atende aos seus requisitos. A maioria das organizações deve implementar as configurações definidas em Proteção de dados aprimorada empresarial (Nível 2), pois isso permite a proteção de dados e controles de requisitos de acesso.
Observação
Uma das definições relacionadas com browsers é "Restringir a transferência de conteúdos Web com outras aplicações". Em Proteção de dados melhorada para Empresas (Nível 2), o valor desta definição está configurado para o Microsoft Edge. Quando o Outlook e o Microsoft Teams estão protegidos por Políticas de Proteção de Aplicações (APP), o Microsoft Edge será utilizado para abrir ligações a partir destas aplicações, garantindo que as ligações estão seguras e protegidas. Para obter mais informações sobre as configurações disponíveis, consulte Configurações da política de proteção de aplicativos Android e Configurações da política de proteção de aplicativos iOS.
Importante
Para aplicar políticas de proteção de aplicativos do Intune contra aplicativos em dispositivos Android que não estão registrados no Intune, o usuário também deve instalar o Portal da Empresa do Intune.
Aplicar Acesso Condicional
Embora seja importante proteger o Microsoft Edge com Políticas de Proteção de Aplicações (APP), também é crucial garantir que o Microsoft Edge é o browser obrigatório para abrir aplicações empresariais. De outra forma, os utilizadores poderão utilizar outros browsers desprotegidos para aceder a aplicações empresariais, o que pode levar a fugas de dados.
As organizações podem usar políticas de Acesso Condicional do Microsoft Entra para garantir que os usuários só possam acessar conteúdo corporativo ou escolar usando o Edge para iOS e Android. Para fazer isso, você precisará de uma política de acesso condicional direcionada a todos os usuários em potencial. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.
Siga as etapas em Exigir aplicativos cliente aprovados ou política de proteção de aplicativos com dispositivos móveis, que permite o Edge para iOS e Android, mas impede que navegadores da Web de outros dispositivos móveis se conectem a pontos de extremidade do Microsoft 365.
Observação
Essa política garante que os usuários móveis possam acessar todos os pontos de extremidade do Microsoft 365 no Edge para iOS e Android. Essa política também impede que os usuários usem o InPrivate para acessar pontos de extremidade do Microsoft 365.
Com o Acesso Condicional, você também pode direcionar sites locais que você expôs a usuários externos por meio do Proxy de Aplicativo do Microsoft Entra.
Observação
Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso Condicional baseado em aplicativo com Intune.
Logon único em aplicativos Web conectados ao Microsoft Entra em navegadores protegidos por políticas
O Edge para iOS e Android pode aproveitar o SSO (logon único) para todos os aplicativos Web (SaaS e locais) conectados ao Microsoft Entra. O SSO permite que os usuários acessem aplicativos Web conectados ao Microsoft Entra por meio do Edge para iOS e Android, sem precisar inserir novamente suas credenciais.
O SSO exige que seu dispositivo seja registrado pelo aplicativo Microsoft Authenticator para dispositivos iOS ou pelo Portal da Empresa do Intune no Android. Quando os usuários têm um desses, são solicitados a registar o seu dispositivo quando acessam um aplicativo Web conectado ao Microsoft Entra em um navegador protegido por política (isso só é válido se o dispositivo ainda não estiver registado). Depois que o dispositivo for registrado na conta do usuário gerenciada pelo Intune, essa conta terá o SSO habilitado para aplicativos Web conectados ao Microsoft Entra.
Observação
O registo do dispositivo é um simples check-in no serviço do Microsoft Entra. Ele não exige o registro completo do dispositivo e não concede à TI quaisquer privilégios adicionais no dispositivo.
Use a configuração do aplicativo para gerenciar a experiência de navegação
O Edge para iOS e Android oferece suporte a configurações de aplicativos que permitem o gerenciamento unificado de pontos de extremidade, como o Microsoft Intune, e os administradores personalizam o comportamento do aplicativo.
A configuração do aplicativo pode ser fornecida por meio do canal do sistema operacional de gerenciamento de dispositivos móveis (MDM) nos dispositivos registrados (canal Configuração de Aplicativo Gerenciado para iOS ou canal Android no Enterprise para Android) ou por meio de o canal MAM (Gerenciamento de Aplicativos Móveis). O Edge para iOS e Android oferece suporte aos seguintes cenários de configuração:
- Permitir apenas contas corporativas ou de estudante
- Configurações gerais do aplicativo
- Configurações de proteção de dados
- Configuração adicional de aplicativos para dispositivos gerenciados
Importante
Para cenários de configuração que exigem registro de dispositivos no Android, os dispositivos devem ser registrados no Android Enterprise e o Edge para Android deve ser implantado por meio do Google Play Store Gerenciado. Para obter mais informações, consulte Configurar o registro de dispositivos Android Enterprise com perfil de trabalho de propriedade pessoal e Adicionar políticas de configuração de aplicativos para dispositivos Android Enterprise gerenciados.
Cada cenário de configuração destaca seus requisitos específicos. Por exemplo, se o cenário de configuração requer o registro do dispositivo e, portanto, funciona com qualquer provedor de UEM ou requer Políticas de Proteção de Aplicativos do Intune.
Importante
As chaves de configuração do aplicativo diferenciam maiúsculas de minúsculas. Use as maiúsculas e minúsculas adequadas para garantir que a configuração entre em vigor.
Observação
Com o Microsoft Intune, a configuração do aplicativo fornecida por meio do canal do sistema operacional MDM é chamada de Política de Configuração de Aplicativo (ACP) de Dispositivos Gerenciados; a configuração do aplicativo fornecida por meio do canal MAM (Gerenciamento de Aplicativo Móvel) é chamada de Política de Configuração de Aplicativos de Aplicativos Gerenciados.
Permitir apenas contas corporativas ou de estudante
Respeitar as políticas de segurança e conformidade de dados dos nossos maiores e altamente regulamentados clientes é um pilar fundamental do valor do Microsoft 365. Algumas empresas têm a necessidade de capturar todas as informações de comunicação dentro do seu ambiente corporativo, bem como garantir que os dispositivos sejam usados apenas para comunicações corporativas. Para atender a esses requisitos, o Edge para iOS e Android em dispositivos registrados pode ser configurado para permitir que apenas uma única conta corporativa seja provisionada no aplicativo.
Você pode saber mais sobre como configurar o modo de contas permitidas pela organização aqui:
Esse cenário de configuração funciona apenas com dispositivos registrados. No entanto, qualquer provedor UEM é compatível. Se não estiver usando o Microsoft Intune, você precisará consultar a documentação do UEM sobre como implantar essas chaves de configuração.
Cenários gerais de configuração de aplicativos
O Edge para iOS e Android oferece aos administradores a capacidade de personalizar a configuração padrão para diversas configurações no aplicativo. Esse recurso é oferecido quando o Edge para iOS e Android tem uma Política de Configuração de Aplicativo de aplicativos gerenciados aplicada à conta corporativa ou de estudante que está conectada ao aplicativo.
O Edge oferece suporte às seguintes configurações:
- Novas experiências de Página de Guia
- Experiências de indicador
- Experiências de comportamento de aplicativos
- Experiências no modo quiosque
Essas configurações podem ser implantadas no aplicativo independentemente do status de registro do dispositivo.
Layout da página de nova guia
O esquema inspirador é o predefinido para a nova página de separador. Mostra atalhos de site superior, padrão de fundo e feed de notícias. Os usuários podem alterar o layout de acordo com as suas preferências. As organizações também podem gerenciar as configurações de layout.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
focused Focado está selecionado inspirador (Predefinição) Inspirador está selecionado informativo A opção Informativa está selecionada personalizado Personalizado está selecionado, o botão de alternar de atalhos do site superior está ativado, o botão de alternar de padrão de fundo está ativado e o botão de alternar do feed de notícias está ativado |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
topsites Ativa os atalhos de sites principais wallpaper Ativa papel de parede newsfeed Ativa o news feed Para que esta política entre em vigor, com.microsoft.intune.mam.managedbrowser.NewTabPageLayout deve ser definido como custom. O valor padrão é topsites|wallpaper|newsfeed|. |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
true (padrão) os usuários podem alterar as configurações de layout da página false os usuários não podem alterar as configurações de layout da página. O layout da página é determinado pelos valores especificados através da política ou os valores padrão serão usados |
Importante
A política NewTabPageLayout se destina a definir o layout inicial. Os usuários podem alterar as configurações de layout da página com base na respetiva referência. Portanto, a política NewTabPageLayout só entra em vigor se os usuários não alterarem as configurações de layout. Você pode impor a política NewTabPageLayout ao configurar UserSelectable=false.
Observação
A partir da versão 129.0.2792.84, o esquema de página predefinido é alterado para inspirador.
Um exemplo de desativar news feeds
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Novas experiências de Página de Guia
O Edge para iOS e Android oferece às organizações várias opções para ajustar a experiência Página de Nova Guia, incluindo o logotipo da organização, a cor da marca, a home page, os sites principais e as notícias do setor.
Logotipo da organização e cor da marca
O logótipo da organização e as definições de cor da marca permitem-lhe personalizar a Nova Página de Separador para o Edge em dispositivos iOS e Android. O logótipo de Faixa é utilizado como logótipo da sua organização e a Cor de fundo da página é utilizada como a cor da marca da sua organização. Para obter mais informações, veja Configurar a imagem corporativa da sua empresa.
Em seguida, use os seguintes pares de chave/valor para inserir a marca da sua organização no Edge para iOS e Android:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true mostra o logotipo da marca da organização false (padrão) não exporá um logotipo |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true mostra a cor da marca da organização false (padrão) não exporá uma cor |
Atalho da página inicial
Essa configuração permite configurar um atalho da página inicial para Edge para iOS e Android na Página Nova Guia. O atalho da página inicial que você configura aparece como o primeiro ícone abaixo da barra de pesquisa quando o usuário abre uma nova guia no Edge para iOS e Android. O usuário não pode editar ou excluir este atalho no contexto gerenciado. O atalho da página inicial exibe o nome da sua organização para distingui-la.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage Este nome de política foi substituído pela IU do URL de atalho da Home page nas definições de Configuração do Edge |
Especifique um URL válido. URLs incorretas são bloqueadas como medida de segurança. Por exemplo: https://www.bing.com |
Vários atalhos de sites principais
Da mesma forma que configura um atalho da página inicial, você pode configurar vários atalhos principais do site nas páginas de nova guia no Edge para iOS e Android. O usuário não pode editar ou excluir esses atalhos em um contexto gerenciado. Observação: você pode configurar um total de 8 atalhos, incluindo um atalho para a página inicial. Se você configurou um atalho para a página inicial, esse atalho substituirá o primeiro site principal configurado.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | Especifique o conjunto de URLs de valor. Cada atalho principal do site consiste em um título e um URL. Separe o título e a URL com o caractere |. Por exemplo: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Notícias do setor
Você pode configurar a experiência da Página Nova guia no Edge para iOS e Android para exibir notícias do setor que sejam relevantes para sua organização. Quando você habilita esse recurso, o Edge para iOS e Android usa o nome de domínio da sua organização para agregar notícias da Web sobre sua organização, o setor da organização e os concorrentes, para que seus usuários possam encontrar notícias externas relevantes, todas nas novas páginas centralizadas do Edge para iOS e Android. As Notícias do Setor estão desativadas por padrão.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true mostra Notícias do Setor na Página Nova Guia false (padrão) oculta Notícias do Setor na Página Nova Guia |
Página inicial em vez da experiência da Página Nova Guia
O Edge para iOS e Android permite que as organizações desabilitem a experiência da Página Nova guia e, em vez disso, iniciem um site quando o usuário abrir uma nova guia. Embora este seja um cenário com suporte, a Microsoft recomenda que as organizações aproveitem a experiência da Página Nova Guia para fornecer conteúdo dinâmico que seja relevante para o usuário.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Especifique um URL válido. Se nenhuma URL for especificada, o aplicativo usará a experiência da Página Nova Guia. URLs incorretas são bloqueadas como medida de segurança. Por exemplo: https://www.bing.com |
Experiências de indicador
Edge para iOS e Android oferece às organizações diversas opções para gerenciar favoritos.
Favoritos gerenciados
Para facilitar o acesso, você pode configurar marcadores que gostaria que seus usuários tivessem disponíveis quando usassem o Edge para iOS e Android.
- Os favoritos aparecem apenas na conta corporativa ou de estudante e não são expostos a contas pessoais.
- Os favoritos não podem ser excluídos ou modificados pelos usuários.
- Os favoritos aparecem no topo da lista. Todos os favoritos criados pelos usuários aparecem abaixo desses favoritos.
- Se você tiver habilitado o redirecionamento do Proxy de Aplicativo, poderá adicionar aplicativos Web do Proxy de Aplicativo usando sua URL interna ou externa.
- Os favoritos são criados em uma pasta com o nome da organização definida no Microsoft Entra ID.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks Este nome de política foi substituído pela IU dos marcadores geridos nas definições de Configuração do Edge |
O valor para esta configuração é uma lista de favoritos. Cada favorito consiste no título e na URL do favorito. Separe o título e a URL com o caractere |.Por exemplo: Microsoft Bing|https://www.bing.comPara configurar vários favoritos, separe cada par com o caractere duplo ||.Por exemplo: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Favorito de Meus Aplicativos
Por padrão, os usuários têm o favorito Meus Aplicativos configurado na pasta da organização dentro do Edge para iOS e Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps |
true (padrão) mostra Meus Aplicativos nos favoritos do Edge para iOS e Android false oculta Meus Aplicativos no Edge para iOS e Android |
Experiências de comportamento de aplicativos
Edge para iOS e Android oferece às organizações diversas opções para gerenciar o comportamento do aplicativo.
Logon único com senha do Microsoft Entra
A funcionalidade de SSO (logon único) com senha do Microsoft Entra oferecida pelo Microsoft Entra ID traz o gerenciamento de acesso do usuário a aplicativos Web que não dão suporte à federação de identidade. Por padrão, o Edge para iOS e Android não executa SSO com as credenciais do Microsoft Entra. Para obter mais informações, consulte Adicionar logon único baseado em senha a um aplicativo.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true o SSO com Senha do Microsoft Entra está habilitado false (padrão) o SSO com Senha do Microsoft Entra está desabilitado |
Manipulador de protocolo padrão
Por padrão, o Edge para iOS e Android usa o manipulador de protocolo HTTPS quando o usuário não especifica o protocolo na URL. Geralmente, isso é considerado uma prática recomendada, mas pode ser desativado.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (padrão) o manipulador de protocolo padrão é HTTPS false manipulador de protocolo padrão é HTTP |
Desabilitar dados de diagnóstico opcionais
Por padrão, os usuários podem optar por enviar dados de diagnóstico opcionais em Configurações->Privacidade e segurança->Dados de diagnóstico->Configuração opcional de dados de diagnóstico. As organizações podem desabilitar essa configuração.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true A configuração opcional de dados de diagnóstico está desabilitada false (padrão) A opção pode ser habilitada ou desabilitada pelos usuários |
Observação
A configuração Dados de diagnóstico opcionais também é solicitada aos usuários durante a FRE (Primeira Experiência de Execução). As organizações podem pular essa etapa usando a política MDM EdgeDisableShareUsageData
Desabilitar recursos específicos
O Edge para iOS e Android permite que as organizações desabilitem determinados recursos habilitados por padrão. Para desabilitar esses recursos, defina a seguinte configuração:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password desabilita prompts que oferecem salvar senhas para o usuário final inprivate desabilita a navegação InPrivate autofill desabilita "Salvar e Preencher Endereços" e "Salvar e Preencher Informações de Pagamento". O preenchimento automático será desabilitado mesmo para informações salvas anteriormente translator desabilita o tradutor readaloud desabilita o ler em voz alta drop desabilita a remoção coupons desabilita cupons as extensões desativam as extensões (apenas no Edge para Android) developertools esmaece os números da versão de build para impedir que os usuários acessem as opções do Desenvolvedor (Edge somente para Android) UIRAlert suprimir novamente os pop-ups da conta no novo ecrã da página de separador partilhar desativa Partilhar no menu sendtodevices desativa Enviar para dispositivos no menu meteorologia desativa a meteorologia no NTP (Nova Página de Separador) Para desabilitar vários recursos, separe os valores com |. Por exemplo, inprivate|password desabilita o armazenamento InPrivate e de senha. |
Desabilitar recurso de importação de senhas
Edge para iOS e Android permite aos usuários importar senhas do Gerenciador de Senhas. Para desabilitar a importação de senhas, defina a seguinte configuração:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true Desabilitar senhas de importação false (padrão) Permitir importação de senhas |
Observação
No Gerenciador de Senhas do Edge para iOS, há um botão Adicionar. Quando o recurso de importação de senhas estiver desabilitado, o botão Adicionar também estará desabilitado.
Controlar o Modo de Cookie
Você pode controlar se os sites podem armazenar cookies para seus usuários no Edge para Android. Para fazer isso, defina a seguinte configuração:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (padrão) permitir cookies 1 bloquear cookies que não sejam da Microsoft 2 bloquear cookies que não sejam da Microsoft no modo InPrivate 3 bloquear todos os cookies |
Observação
O Edge para iOS não oferece suporte ao controle de cookies.
Experiências no modo quiosque em dispositivos Android
O Edge para Android pode ser habilitado como um aplicativo de quiosque com as seguintes configurações:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true habilita o modo quiosque para Edge para Android false (padrão) desabilita o modo quiosque |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true mostra a barra de endereço no modo quiosque false (padrão) oculta a barra de endereço quando o modo quiosque está habilitado |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true mostra a barra de ação inferior no modo quiosque false (padrão) oculta a barra inferior quando o modo quiosque está habilitado |
Observação
O modo de local público não é suportado em dispositivos iOS. No entanto, poderá querer utilizar o Modo de Vista Bloqueada (apenas política MDM) para obter uma experiência de utilizador semelhante, em que os utilizadores não conseguem navegar para outros sites, uma vez que a barra de endereço do URL se torna só de leitura no Modo de Vista Bloqueada.
Modo de visualização bloqueada
O Edge para iOS e Android pode ser ativado como modo de vista bloqueada com a política de MDM EdgeLockedViewModeEnabled.
| Chave | Valor |
|---|---|
| EdgeLockedViewModeEnabled |
false (padrão) o modo de visualização bloqueada está desabilitado true o modo de visualização bloqueada está habilitado |
Ele permite que as organizações restrinjam várias funcionalidades do navegador, proporcionando uma experiência de navegação controlada e focada.
- A barra de endereço URL torna-se somente leitura, impedindo que os usuários façam alterações ao endereço web
- Os usuários não têm permissão para criar novas guias
- O recurso de pesquisa contextual em páginas da Web está desabilitado
- Os seguintes botões no menu de texto excedente estão desabilitados
| Botões | Estado |
|---|---|
| Nova guia InPrivate | Desabilitado |
| Enviar para dispositivos | Desabilitado |
| Soltar | Desabilitado |
| Adicionar ao telefone (Android) | Desabilitado |
| Baixar página (Android) | Desabilitado |
O modo de visualização bloqueada é frequentemente utilizado em conjunto com a política de MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL ou política de MDM EdgeNewTabPageCustomURL, que permite às organizações configurar uma página da Web específica que é iniciada automaticamente quando o Edge é aberto. Os usuários estão restritos a esta página da Web e não podem navegar em outros sites, fornecendo um ambiente controlado para tarefas específicas ou consumo de conteúdo.
Observação
Por padrão, os usuários não têm permissão para criar novas guias no modo de visualização bloqueada. Para permitir a criação de guias, defina a política de MDM EdgeLockedViewModeAllowedActions como newtabs.
Alternar pilha de rede entre Chromium e iOS
Por padrão, o Microsoft Edge para iOS e Android usa a pilha de rede Chromium para comunicação de serviço do Microsoft Edge, incluindo serviços de sincronização, sugestões de pesquisa automática e envio de comentários. O Microsoft Edge para iOS também fornece a pilha de rede do iOS como uma opção configurável para comunicação de serviço do Microsoft Edge.
As organizações podem modificar suas preferências de pilha de rede definindo a configuração a seguir.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (padrão) use a pilha de rede do Chromium 1 use a pilha de rede do iOS |
Observação
É recomendado usar a pilha de rede do Chromium. Se você tiver problemas de sincronização ou falha ao enviar comentários com a pilha de rede do Chromium, por exemplo, com determinadas soluções VPN por aplicativo, usar a pilha de rede do iOS pode resolver os problemas.
Definir uma URL de arquivo proxy .pac
As organizações podem especificar uma URL para um arquivo PAC (configuração automática de proxy) do Microsoft Edge para iOS e Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Especifique uma URL válida para um arquivo proxy .pac. Por exemplo: https://internal.site/example.pac |
Suporte para falha na abertura do PAC
Por padrão, o Microsoft Edge para iOS e Android bloqueará o acesso à rede com script PAC inválido ou indisponível. No entanto, as organizações podem modificar o comportamento padrão para falha ao abrir o PAC.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (padrão) Bloquear acesso à rede true Permitir acesso à rede |
Configurar retransmissões de rede
O Edge para iOS agora dá suporte a retransmissões de rede no iOS 17. Trata-se de um tipo especial de proxy que pode ser usado para soluções de acesso remoto e privacidade. Eles dão suportam ao túnel seguro e transparente do tráfego, servindo como uma alternativa moderna às VPNs ao acessar recursos internos. Para obter mais informações sobre retransmissões de rede, consulte Usar retransmissões de rede em dispositivos Apple.
As organizações podem configurar URLs de proxy de retransmissão para rotear o tráfego com base em domínios correspondentes e excluídos.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | Especifique uma URL válida para um arquivo json de configuração de retransmissão. Por exemplo: https://yourserver/relay_config.json |
Um exemplo de arquivo json para retransmissões de rede
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
Proxy para os usuários entrarem no Edge no Android
Normalmente, uma Configuração Automática de Proxy (PAC) é configurada no perfil de VPN. No entanto, devido à limitação da plataforma, a PAC não pode ser reconhecida pelo Android WebView, que é utilizado durante o processo de entrada do Edge. Os usuários podem não conseguir entrar no Edge no Android.
As organizações podem especificar o proxy dedicado através da política de MDM para os usuários entrarem no Edge no Android.
| Chave | Valor |
|---|---|
| EdgeOneAuthProxy | O valor correspondente é uma cadeia de caracteres Exemplo http://MyProxy.com:8080 |
Armazenamento de dados do site iOS
O repositório de dados do site no Edge para iOS é essencial para gerenciar cookies, caches de memória e disco e vários tipos de dados. No entanto, existe apenas um repositório de dados de site persistente no Edge para iOS. Por padrão, este repositório de dados é usado exclusivamente por contas pessoais, o que leva a uma limitação em que as contas corporativas ou de escola não podem usá-lo. Consequentemente, os dados de navegação, excluindo cookies, são perdidos após cada sessão para contas corporativas ou de escola. Para melhorar a experiência do usuário, as organizações podem configurar o repositório de dados do site para uso por contas corporativas ou de escola, garantindo a persistência dos dados de navegação.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 o repositório de dados do site é sempre usado apenas pela conta pessoal 1 O armazenamento de dados do site será usado pela primeira conta conectada 2 (padrão) o repositório de dados do site será usado pela conta corporativa ou de estudante, independentemente da ordem de entrada |
Observação
Com o lançamento do iOS 17, vários repositórios persistentes agora são agora suportados. A conta corporativa e pessoal tem o seu próprio repositório persistente designado. Portanto, essa política não é mais válida da versão 122.
Microsoft Defender SmartScreen
O Microsoft Defender SmartScreen é um recurso que ajuda os usuários a evitar sites e downloads maliciosos. Ele é habilitado por padrão. As organizações podem desabilitar essa configuração.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (padrão) O Microsoft Defender SmartScreen está habilitado. false O Microsoft Defender SmartScreen está desabilitado. |
Verificação de certificado
Por padrão, o Microsoft Edge para Android verifica os certificados do servidor usando o verificador de certificado integrado e o Microsoft Root Store como fonte de confiança pública. As organizações podem alternar para o verificador de certificado do sistema e para certificados raiz do sistema.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
true (padrão) use o verificador de certificado integrado e o Microsoft Root Store para verificar certificados false use o verificador de certificado do sistema e os certificados raiz do sistema como fonte de confiança pública para verificar certificados |
Observação
Um caso de uso para esta política é que você precisa usar o verificador de certificado do sistema e os certificados raiz do sistema ao usar o Microsoft MAM Tunnel no Edge para Android.
Controle de página de aviso SSL
Por padrão, os usuários podem clicar nas páginas de aviso apresentadas quando os usuários navegam em sites com erros de SSL. As organizações podem gerenciar o comportamento.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
true (padrão) permitir que os usuários cliquem nas páginas de aviso SSL false impedir que os usuários cliquem nas páginas de aviso SSL |
Configurações de janelas pop-up
Por padrão, janelas pop-ups são bloqueadas. As organizações podem gerenciar o comportamento.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 Permitir que todos os sites mostrem janelas pop-up 2 (Padrão) Não permitir que nenhum site mostre janelas pop-up |
Permitir janelas pop-up em sites específicos
Se esta política não for configurada, o valor padrão da política DefaultPopupsSetting (se definida) ou a configuração pessoal do usuário será usada para todos os sites. As organizações podem definir uma lista de sites que podem abrir pop-up.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja bloquear como um único valor, separados por uma barra vertical |. Exemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Para obter mais informações sobre o formato de URLs, veja Formato de padrão de URL de política empresarial.
Bloquear janelas pop-up em sites específicos
Se esta política não for configurada, o valor padrão da política DefaultPopupsSetting (se definida) ou a configuração pessoal do usuário será usada para todos os sites. As organizações podem definir uma lista de sites que estão impedidos de abrir janelas pop-up.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja bloquear como um único valor, separados por uma barra vertical |. Exemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Para obter mais informações sobre o formato de URLs, veja Formato de padrão de URL de política empresarial.
Provedor de pesquisa padrão
Por padrão, o Edge usa o fornecedor de pesquisa padrão para realizar uma pesquisa quando os usuários introduzem textos não URL na barra de endereço. Os usuários podem alterar a lista de provedores de pesquisa. As organizações podem gerenciar o comportamento do provedor de pesquisa.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
true Habilitar o provedor de pesquisa padrão false Desabilitar o provedor de pesquisa padrão |
Configurar o provedor de pesquisa
As organizações podem configurar um provedor de pesquisa para os usuários. Para configurar um provedor de pesquisa, é necessário configurar a política DefaultSearchProviderEnabled primeiro.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | O valor correspondente é uma cadeia de caracteres Exemplo My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | O valor correspondente é uma cadeia de caracteres Exemplo https://search.my.company/search?q={searchTerms} |
Copilot
Observação
A partir da versão 128, o Copilot para contas escolares ou profissionais foi preterido. Por conseguinte, as seguintes políticas deixarão de ser válidas na versão 128. Se quiser bloquear o acesso à versão Web do Copilot, copilot.microsoft.com, pode utilizar a política AllowListURLs ou BlockListURLs.
O Copilot está disponível no Microsoft Edge para iOS e Android. Os usuários podem iniciar o Copilot clicando no botão Copilot na barra inferior.
Existem três definições em Configurações->Geral->Copilot.
- Mostrar Copilot – controla se deseja mostrar o botão do Bing na barra inferior
- Permitir o acesso a qualquer página da Web ou PDF – controla se deseja permitir que o Copilot acessa o conteúdo da página ou PDF
- Acesso rápido na seleção de texto – controla se deseja mostrar o painel de chat rápido quando o texto em uma página da Web for selecionado
Você pode gerenciar as configurações do Copilot.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat |
true (padrão) os usuários podem ver o botão Copilot na barra inferior. A definição Mostrar Copilot está ativada por padrão e pode ser desativada pelos usuários false os usuários não podem ver o botão Copilot na barra inferior. A definição Mostrar Copilot está desabilitada e não pode ser habilitada pelos utilizadores |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext |
true (padrão) Permitir o acesso a qualquer página da Web ou PDF e o Acesso rápido na seleção de texto pode ser ativado pelos usuários falsePermitir o acesso a qualquer página da Web ou PDF e o Acesso rápido na seleção de texto será desabilitado e não pode ser habilitado pelos usuários |
Cenários de configuração de aplicativos de proteção de dados
O Edge para iOS e Android oferece suporte a políticas de configuração de aplicativos para as seguintes configurações de proteção de dados quando o aplicativo é gerenciado pelo Microsoft Intune com uma Política de Configuração de Aplicativos de aplicativos gerenciados aplicada à conta corporativa ou de estudante que está conectada ao aplicativo:
- Gerenciar sincronização de conta
- Gerenciar sites restritos
- Gerenciar configuração de proxy
- Gerenciar sites de logon único do NTLM
Essas configurações podem ser implantadas no aplicativo independentemente do status de registro do dispositivo.
Gerenciar sincronização de conta
Por padrão, a sincronização do Microsoft Edge permite que os usuários acessem seus dados de navegação em todos os dispositivos conectados. Os dados compatíveis com a sincronização incluem:
- Favoritos
- Senhas
- Endereços e muito mais (entrada de formulário de preenchimento automático)
A funcionalidade de sincronização é habilitada através do consentimento do usuário e os usuários podem ativar ou desativar a sincronização para cada um dos tipos de dados listados acima. Para obter mais informações, consulte Sincronização do Microsoft Edge.
As organizações têm a capacidade de desabilitar a sincronização do Edge no iOS e no Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true desabilita a sincronização do Edge false (padrão) permite sincronização do Edge |
Gerenciar sites restritos
As organizações podem definir quais sites os usuários podem acessar no contexto da conta corporativa ou de estudante no Edge para iOS e Android. Se você usar uma lista de permissões, seus usuários só poderão acessar os sites listados explicitamente. Se você usar uma lista de bloqueados, os usuários poderão acessar todos os sites, exceto aqueles explicitamente bloqueados. Você deve impor apenas uma lista de permitidos ou de bloqueados, não ambas. Se você impor ambos, somente a lista permitida será respeitada.
As organizações também definem o que acontece quando um usuário tenta navegar para um site restrito. Por padrão, as transições são permitidas. Se a organização permitir, sites restritos poderão ser abertos no contexto da conta pessoal, no contexto InPrivate da conta do Microsoft Entra ou se o site estiver totalmente bloqueado. Para obter mais informações sobre os vários cenários suportados, consulte Transições restritas de sites no Microsoft Edge para dispositivos móveis. Ao permitir experiências de transição, os usuários da organização permanecem protegidos, ao mesmo tempo que mantêm os recursos corporativos seguros.
Para melhorar a experiência de mudança de perfil ao reduzir a necessidade de os utilizadores mudarem manualmente para perfis pessoais ou modo InPrivate para abrir URLs bloqueados, introduzimos duas novas políticas:
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlockcom.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
Uma vez que estas políticas trazem resultados diferentes com base nas respetivas configurações e combinações, recomendamos que experimente as nossas sugestões de política abaixo para uma avaliação rápida para ver se a experiência de mudança de perfil se alinha bem com as necessidades da sua organização antes de explorar a documentação detalhada. As definições de configuração de mudança de perfil sugeridas incluem os seguintes valores:
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=truecom.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=truecom.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
Observação
O Edge para iOS e Android pode bloquear o acesso a sites somente quando eles são acessados diretamente. Não bloqueia o acesso quando os usuários utilizam serviços intermediários (como um serviço de tradução) para acessar o site. Os URLs que começam com o Edge, como Edge://*, Edge://flagse Edge://net-export, não são suportados na política de configuração de aplicações AllowListURLs ou BlockListURLs para aplicações geridas. Pode desativar estes URLs com com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.
Se os seus dispositivos forem geridos, também pode utilizar o URL da política de configuração da aplicaçãoAllowList ou o URLBlocklist para dispositivos geridos. Para obter informações relacionadas, consulte Políticas para dispositivo móvel do Microsoft Edge.
Use os seguintes pares de chave/valor para configurar uma lista de sites permitidos ou bloqueados para Edge para iOS e Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs Este nome de política foi substituído pela IU dos URLs Permitidos nas definições de Configuração do Edge |
O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja permitir como um único valor, separadas por uma barra vertical |. Exemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs Este nome de política foi substituído pela IU de URLs Bloqueados nas definições de Configuração do Edge |
O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja bloquear como um único valor, separados por uma barra vertical |. Exemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock |
true (padrão) permite que o Edge para iOS e Android faça a transição de sites restritos. Quando as contas pessoais não estão desabilitadas, os usuários são solicitados a alternar para o contexto pessoal para abrir o site restrito ou a adicionar uma conta pessoal. Se com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked for definido como true, os usuários poderão abrir o site restrito no contexto InPrivate. false impede que o Edge para iOS e Android faça a transição de usuários. Os usuários simplesmente recebem uma mensagem informando que o site que eles estão tentando acessar está bloqueado. |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked Este nome de política foi substituído pela IU de Redirecionar sites restritos para contexto pessoal nas definições de Configuração do Edge |
true permite que sites restritos sejam abertos no contexto InPrivate da conta do Microsoft Entra. Se a conta do Microsoft Entra for a única conta configurada no Edge para iOS e Android, o site restrito é aberto automaticamente no contexto InPrivate. Se o usuário tiver uma conta pessoal configurada, ele será solicitado a escolher entre abrir o InPrivate ou alternar para a conta pessoal. false (padrão) exige que o site restrito seja aberto na conta pessoal do usuário. Se as contas pessoais estiverem desabilitadas, o site será bloqueado. Para que esta configuração entre em vigor, com.microsoft.intune.mam.ownedbrowser.AllowTransitionOnBlock deve ser definido como true. |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Insira o número de segundos que os usuários verão a notificação da barra emergente "O acesso a este site está bloqueado pela sua organização. Abrimos no modo InPrivate para você acessar o site." Por padrão, a notificação da barra emergente é mostrada por 7 segundos. |
Os seguintes sites, exceto copilot.microsoft.com, são sempre permitidos, independentemente das definições definidas da lista de permissões ou da lista de bloqueios:
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
Controlar o comportamento do Site bloqueou pop-up
Ao tentar acessar sites bloqueados, será solicitado aos usuários que alternem para a conta pessoal ou InPrivate para abrir os sites bloqueados. Você pode escolher preferências entre a conta pessoal e InPrivate.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (padrão) mostrar sempre a janela pop-up para o usuário escolher. 1: alternar automaticamente para a conta pessoal quando a conta pessoal estiver conectada. Se a conta pessoal não estiver conectada, o comportamento será alterado para o valor 2. 2: alterne automaticamente para InPrivate se a alternância InPrivate for permitida por com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true. |
Controlar o comportamento de mudar o perfil pessoal para o perfil de trabalho
Quando o Edge está sob o perfil pessoal e os utilizadores estão a tentar abrir uma ligação do Outlook ou do Microsoft Teams que estão no perfil de trabalho, por predefinição, Intune utilizarão o perfil de trabalho do Edge para abrir a ligação porque tanto o Edge, o Outlook como o Microsoft Teams são geridos por Intune. No entanto, quando a ligação é bloqueada, o utilizador será mudado para o perfil pessoal. Isto causa uma experiência de atrito para os utilizadores
Pode configurar uma política para melhorar a experiência dos utilizadores. Esta política é recomendada para ser utilizada em conjunto com AutoTransitionModeOnBlock, uma vez que pode mudar os utilizadores para o perfil pessoal de acordo com o valor da política que configurou.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (Predefinição) Mude para o perfil de trabalho, mesmo que o URL esteja bloqueado pela política do Edge. 2: Os URLs bloqueados serão abertos no perfil pessoal se o perfil pessoal tiver sessão iniciada. Se o perfil pessoal não tiver sessão iniciada, o URL bloqueado será aberto no modo InPrivate. |
Formatos de URL para lista de sites permitidos e bloqueados
Você pode usar vários formatos de URL para criar suas listas de sites permitidos/bloqueados. Esses padrões permitidos são detalhados na tabela a seguir.
Certifique-se de prefixar todos as URLs com http:// ou https:// ao inseri-las na lista.
Você pode usar o símbolo curinga (*) de acordo com as regras da lista de padrões permitidos a seguir.
Um curinga só pode corresponder a uma parte (por exemplo,
news-contoso.com) ou a todo o componente do nome do host (por exemplo,host.contoso.com) ou partes inteiras do caminho quando separados por barras (www.contoso.com/images).Você pode especificar números de porta no endereço. Se você não especificar um número de porta, os valores usados serão:
- Porta 80 para http
- Porta 443 para https
Não há suporte para o uso de curingas para o número da porta. Por exemplo
http://www.contoso.com:*ehttp://www.contoso.com:*/não têm suporte.URL Detalhes Correspondências Não corresponde http://www.contoso.comCorresponde a uma única página www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.comCorresponde a uma única página contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*Corresponde a todos as URLs que começam com www.contoso.comwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*Corresponde a todos os subdomínios em contoso.comdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*Corresponde a todos os subdomínios que terminam em contoso.com/news-contoso.comnews-contoso.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/imagesCorresponde a uma única pasta www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80Corresponde a uma única página, usando um número de porta www.contoso.com:80https://www.contoso.comCorresponde a uma página única e segura www.contoso.comwww.contoso.com/imageshttp://www.contoso.com/images/*Corresponde a uma única pasta e todas as subpastas www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videosA seguir estão exemplos de algumas das entradas que você não pode especificar:
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- Endereços IP
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
Desativar páginas internas do Edge
Pode desativar páginas internas do Edge, como Edge://flags e Edge://net-export. Pode encontrar mais páginas a partir de Edge://about
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | O valor correspondente para a chave é uma lista de nomes de página. Pode introduzir as páginas internas que pretende bloquear como um único valor, separadas por um caráter de pipe | . Exemplos: flags|net-export |
Gerenciar sites para permitir o carregamento de arquivos
Pode haver cenários em que os usuários só têm permissão de ver sites, sem a capacidade de carregar arquivos. As organizações têm a opção de designar os sites que podem receber carregamentos de arquivos.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja bloquear como um único valor, separados por uma barra vertical |. Exemplos: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja bloquear como um único valor, separados por uma barra vertical |. Exemplos: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
O exemplo para impedir todos os sites, incluindo sites internos, de carregar arquivos
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Um exemplo para permitir que sites específicos carreguem arquivos
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Para obter mais informações sobre o formato de URLs, veja Formato de padrão de URL de política empresarial.
Observação
Para o Edge no iOS, a ação colar será bloqueada, além dos carregamentos. Os usuários não verão a opção colar no menu de ação.
Gerenciar configuração de proxy
Você pode usar o Edge para iOS e Android e o Proxy de Aplicativo do Microsoft Entra juntos para fornecer aos usuários acesso a sites da intranet em seus dispositivos móveis. Por exemplo:
- Um usuário está usando o aplicativo móvel Outlook, que é protegido pelo Intune. Em seguida, eles clicam em um link para um site da intranet em um email, e o Edge para iOS e Android reconhece que esse site da intranet foi exposto ao usuário por meio do Application Proxy. O usuário é automaticamente encaminhado através do Proxy de Aplicativo, para autenticar com qualquer autenticação multifator aplicável e Acesso Condicional, antes de chegar ao site da intranet. O usuário agora pode acessar sites internos, mesmo em seus dispositivos móveis, e o link no Outlook funciona conforme o esperado.
- Um usuário abre o Edge para iOS e Android em seu dispositivo iOS ou Android. Se o Edge para iOS e Android estiver protegido com o Intune e o Proxy de Aplicativo estiver habilitado, o usuário poderá acessar um site da intranet usando a URL interna com a qual está acostumado. O Edge para iOS e Android reconhece que este site da intranet foi exposto ao usuário por meio do Proxy de Aplicativo. O usuário é roteado automaticamente por meio do Proxy de Aplicativo, para autenticar antes de chegar ao site da intranet.
Antes de começar:
- Configure seus aplicativos internos por meio do proxy de aplicativo do Microsoft Entra.
- Para configurar o Proxy de Aplicativo e publicar aplicativos, consulte a documentação de configuração.
- Verifique se o usuário está atribuído ao aplicativo de proxy de aplicativo do Microsoft Entra, mesmo se o aplicativo estiver configurado com o tipo de pré-autenticação de passagem.
- O aplicativo Edge para iOS e Android deve ter uma política de proteção de aplicativo do Intune atribuída.
- Os aplicativos da Microsoft devem ter uma política de proteção de aplicativos com a configuração de transferência de dados Restringir transferência de conteúdo da Web com outros aplicativos definida como Microsoft Edge.
Observação
O Edge para iOS e Android atualiza os dados de redirecionamento do Proxy de Aplicativo com base no último evento de atualização bem-sucedido. As atualizações são tentadas sempre que o último evento de atualização bem-sucedido for superior a uma hora.
Direcionar o Edge para iOS e Android com o seguinte par chave/valor para habilitar Proxy de Aplicativo.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Este nome de política foi substituído pela IU do redirecionamento do proxy de aplicações nas definições de Configuração do Edge |
true permite cenários de redirecionamento do proxy de aplicativo do Microsoft Entra false (padrão) impede cenários de proxy de aplicativo do Microsoft Entra |
Para obter mais informações sobre como usar o Edge para iOS e Android e o proxy de aplicativo do Microsoft Entra em conjunto para acesso contínuo (e protegido) a aplicativos Web locais, consulte Melhores juntos: o Intune e o Microsoft Entra se unem para melhorar o acesso do usuário. Essa postagem do blog faz referência ao Navegador Gerenciado do Intune, mas o conteúdo também se aplica ao Edge para iOS e Android.
Gerenciar sites de logon único do NTLM
As organizações podem exigir que os usuários se autentiquem com NTLM para acessar sites da intranet. Por padrão, os usuários são solicitados a inserir credenciais sempre que acessam um site que requer autenticação NTLM, pois o cache de credenciais NTLM está desabilitado.
As organizações podem habilitar o cache de credenciais NTLM para sites específicos. Para esses sites, depois que o usuário insere as credenciais e se autentica com êxito, as credenciais são armazenadas em cache por padrão por 30 dias.
Observação
Se estiver a utilizar um servidor proxy, certifique-se de que está configurado com a política NTLMSSOURLs, onde especifica especificamente https e http como parte do valor da chave.
Atualmente, os esquemas https e http têm de ser especificados no valor da chave NTLMSSOURLs. Por exemplo, tem de configurar e https://your-proxy-server:8080http://your-proxy-server:8080. Atualmente, especificar o formato como host:port (como your-proxy-server:8080) não é suficiente.
Além disso, o símbolo de caráter universal (*) não é suportado ao configurar servidores proxy na política NTLMSSOURLs.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja permitir como um único valor, separadas por uma barra vertical |. Exemplos: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Para obter mais informações sobre os tipos de formatos de URL com suporte, consulte Formatos de URL para lista de sites permitidos e bloqueados. |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Número de horas para armazenar credenciais em cache, o padrão é 720 horas |
Configuração adicional de aplicativos para dispositivos gerenciados
As políticas a seguir, originalmente configuráveis por meio da política de configuração de aplicativos de aplicativos gerenciados, agora estão disponíveis por meio da política de configuração de aplicativos de dispositivos gerenciados. Ao usar políticas para aplicativos gerenciados, os usuários deverão entrar no Microsoft Edge. Ao usar políticas para dispositivos gerenciados, os usuários não são obrigados a iniciar sessão no Edge para aplicar as políticas.
Como as políticas de configuração de aplicativos para dispositivos gerenciados precisam de registro de dispositivos, qualquer gerenciamento unificado de pontos de extremidade (UEM) tem suporte. Para localizar mais políticas no canal MDM, consulte Políticas para Dispositivo Móvel do Microsoft Edge.
| Política MAM | Política MDM |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Implantar cenários de configuração de aplicativos com o Microsoft Intune
Se você estiver usando o Microsoft Intune como seu provedor de gerenciamento de aplicativos móveis, as etapas a seguir permitirão criar uma política de configuração de aplicativos de aplicativos gerenciados. Depois que a configuração for criada, você poderá atribuir suas configurações a grupos de usuários.
Selecione Aplicativos e depois selecione Políticas de configuração de aplicativos.
Na folha Políticas de Configuração de aplicativos, escolha Adicionar e selecione Aplicativos gerenciados.
Na seção Básico, insira um Nome e uma Descrição opcional para as definições de configuração do aplicativo.
Para Aplicativos públicos, escolha Selecionar aplicativos públicos e, em seguida, na folha Aplicativos direcionados, escolha Edge para iOS e Android selecionando os aplicativos da plataforma iOS e Android. Clique em Selecionar para salvar os aplicativos públicos selecionados.
Clique em Avançar para concluir as configurações básicas da política de configuração do aplicativo.
Na seção Configurações, expanda as Definições de configuração do Edge.
Se você quiser gerenciar as configurações de proteção de dados, defina as configurações desejadas de acordo:
Para Redirecionamento de proxy de aplicativo, escolha uma das opções disponíveis: Ativar, Desabilitar (padrão).
Para URL de atalho da página inicial, especifique um URL válido que inclua o prefixo http:// ou https://. URLs incorretas são bloqueadas como medida de segurança.
Para Favoritos gerenciados, especifique o título e um URL válido que inclua o prefixo http:// ou https://.
Para URLs permitidas, especifique um URL válido (somente esses URLs são permitidos; nenhum outro site pode ser acessado). Para obter mais informações sobre os tipos de formatos de URL com suporte, consulte Formatos de URL para lista de sites permitidos e bloqueados.
Para URLs bloqueadas, especifique uma URL válida (somente essas URLs são bloqueadas). Para obter mais informações sobre os tipos de formatos de URL com suporte, consulte Formatos de URL para lista de sites permitidos e bloqueados.
Para Redirecionar sites restritos para contexto pessoal, escolha uma das opções disponíveis: Habilitar (padrão), Desabilitar.
Observação
Quando URLs permitidas e URLs bloqueadas são definidas na política, apenas a lista permitida é respeitada.
Se desejar configurações adicionais do aplicativo não expostas na política acima, expanda o nó Configurações gerais e insira os pares de chave-valor adequadamente.
Quando terminar de definir as configurações, escolha Avançar.
Na seção Tarefas, escolha Selecionar grupos a serem incluídos. Selecione o grupo do Microsoft Entra ao qual deseja atribuir a política de configuração do aplicativo e escolha Selecionar.
Quando terminar as tarefas, escolha Próxima.
Na folha Examinar + Criar política de configuração de aplicativo, examine as configurações definidas e escolha Criar.
A política de configuração recém-criada é exibida na folha Configuração do aplicativo.
Use o Microsoft Edge para iOS e Android para acessar logs de aplicativos gerenciados
Os usuários com Edge para iOS e Android instalados em seus dispositivos iOS ou Android podem exibir o status de gerenciamento de todos os aplicativos publicados pela Microsoft. Eles podem enviar logs para solucionar problemas de aplicativos iOS ou Android gerenciados usando as seguintes etapas:
Abra o Edge para iOS e Android no seu dispositivo.
Digite
edge://intunehelp/na caixa de endereço.Edge para iOS e Android inicia modo de solução de problemas.
Você pode recuperar logs do Suporte da Microsoft fornecendo a ID do incidente do usuário.
Para obter uma lista das configurações armazenadas nos registros do aplicativo, consulte Examinar registros de proteção do aplicativo cliente.
Logs de diagnóstico
Além dos logs do Intune de edge://intunehelp/, o Suporte da Microsoft pode solicitar que você forneça logs de diagnóstico do Microsoft Edge para iOS e Android. Você pode baixar os logs para dispositivos locais e compartilhá-los com o Suporte da Microsoft. Para baixar os registros para dispositivos locais:
1.Abra Ajuda e comentários no menu flutuante
2.Clique em dados de diagnóstico
3.Para Microsoft Edge para iOS, clique no ícone Compartilhar no canto superior direito. A caixa de diálogo de compartilhamento do Sistema Operacional será exibida. Você pode optar por salvar os registros localmente ou compartilhá-los com outros aplicativos. Para Microsoft Edge para Android, clique no submenu no canto superior direito para salvar os registros. Os logs serão armazenados na pasta Download ->Edge.
Você também pode clicar no ícone Limpar para limpar os logs primeiro e obter os logs de atualização.
Observação
Salvar registos também respeita a Política de Proteção de Aplicativo do Intune. Portanto, você pode não ter permissão para salvar dados de diagnóstico em dispositivos locais.