Definições de linhas de base do Microsoft Edge para o Intune

  • Artigo

Veja as definições de linhas de base do browser Microsoft Edge suportadas pelo Microsoft Intune. As predefinições de linhas de base do Microsoft Edge representam a configuração recomendada para o browser Microsoft Edge e podem não corresponder às predefinições para outras linhas de base de segurança.

Nota

A linha de base do Microsoft Edge de outubro de 2019 está em Pré-visualização Pública.

Para atualizar um perfil de linha de base de segurança para a versão mais recente dessa linha de base, veja Alterar a versão de linha de base de um perfil.

Linha de base do Microsoft Edge de abril de 2020 (versão 80 do Edge)

Linha de base do Microsoft Edge de setembro de 2020 (versão 85 do Edge)

Esta versão da linha de base de segurança substitui as versões anteriores. Os perfis criados antes da disponibilidade desta versão de linha de base:

  • São agora só de leitura. Poderá continuar a utilizar esses perfis, mas não os poderá editar para alterar a configuração.
  • Podem ser atualizados para a versão mais recente. Depois de atualizar a versão de linha de base atual, poderá editar o perfil para modificar as definições.

Para compreender o que mudou com esta versão da linha de base relativamente às versões anteriores, utilize a ação Comparar linhas de base disponível no painel Versões desta linha de base. Selecione a versão da linha de base que quer ver.

Para atualizar um perfil de linha de base de segurança para a versão mais recente dessa linha de base, veja Alterar a versão de linha de base de um perfil.

Microsoft Edge

  • Esquemas de autenticação suportados
    Utilize esta definição para alterar o comportamento predefinido do Edge para os esquemas de autenticação HTTP que podem ser utilizados pelo Edge. O Edge suporta e pode utilizar os seguintes esquemas: basic, digest, ntlm e negotiate.

    • Ativado (predefinição) – quando definido como Ativado, pode configurar a definição seguinte onde especifica quais dos quatro esquemas de autenticação HTTPS podem ser utilizados pelo Edge.
    • Desativado
    • Não configurado – quando definido como Não configurado, o Edge suportará os quatro esquemas.

    Esquemas de autenticação suportados – para aceder a esta definição, a instância anterior dos Esquemas de autenticação suportados tem de estar definida como Ativado.

    Selecione um ou mais esquemas de autenticação HTTP para o Edge. Por predefinição, já estão selecionados dois:

    • Básica
    • Digest
    • NTLM (Selecionado por predefinição)
    • Negotiate (Selecionado por predefinição)

    Para obter mais informações, veja AuthSchemes na documentação das políticas do Microsoft Edge e Noções básicas da autenticação HTTP na documentação do .NET Framework.

  • Predefinição do Adobe Flash
    CSP: Browser/AllowFlash e Browser/AllowFlashClickToRun

    Ative o acesso à seguinte definição, na qual pode configurar o comportamento para executar o plug-in do Adobe Flash.

    • Ativado (predefinição)
    • Desativado
    • Não configurado

    Quando definido como Ativado, pode configurar a definição seguinte.

    • Predefinição do Adobe Flash

      • Bloquear o plug-in do Adobe Flash (predefinição) – bloqueie o Adobe Flash em todos os sites
      • Clicar para reproduzir – o Adobe Flash é executado, mas o utilizador tem de selecionar a opção para o iniciar.

  • Controlar que extensões não podem ser instaladas
    Ative a utilização de uma lista que especifica as extensões que os utilizadores não podem instalar no Microsoft Edge. Quando a lista estiver a ser utilizada, as definições na lista instaladas anteriormente estarão desativadas e o utilizador não as poderá ativar. Se remover um item da lista de extensões bloqueadas, essa extensão será reativada automaticamente onde tiver sido instalada anteriormente.

    • Ativado (predefinição) – ative a utilização da lista para bloquear extensões.
    • Desativado
    • Não configurado – os utilizadores podem instalar qualquer extensão no Microsoft Edge.

    Quando definido como Ativado, pode configurar a definição seguinte que define a lista de extensões a bloquear.

    • IDs das extensões que o utilizador deve ser impedido de instalar (ou * para todos)

      Selecione Adicionar e especifique extensões adicionais. * é selecionado por padrão.

  • Permitir anfitriões de mensagens nativos ao nível do utilizador (instalado sem permissões de administrador)
    Permite a instalação ao nível do utilizador de anfitriões de mensagens nativos.

    • Ativado
    • Desativado (predefinição) – o Microsoft Edge utiliza apenas anfitriões de mensagens nativos instalados ao nível do sistema.
    • Não configurado – por predefinição, o Microsoft Edge permite a utilização de anfitriões de mensagens nativos ao nível do utilizador.

  • Permitir guardar palavras-passe no gestor de palavras-passe
    Microsoft Edge CSP: Browser/AllowPasswordManager

    Permita que o Microsoft Edge guarde as palavras-passe do utilizador.

    • Ativado – os utilizadores podem guardar as palavras-passe no Microsoft Edge. Da próxima vez que visitarem o site, o Microsoft Edge introduzirá a palavra-passe automaticamente. Os utilizadores não podem alterar ou substituir esta política no Microsoft Edge.
    • Desativado (predefinição) – os utilizadores não podem guardar novas palavras-passe, mas podem continuar a utilizar palavras-passe guardadas anteriormente. Os utilizadores não podem alterar ou substituir esta política no Microsoft Edge.
    • Não configurado – os utilizadores podem guardar palavras-passe e desativar esta funcionalidade.

  • Impedir que os avisos do Microsoft Defender SmartScreen sejam ignorados para os sites
    CSP: Browser/PreventSmartScreenPromptOverride

    Decida se os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen sobre sites potencialmente maliciosos.

    • Ativado (predefinição) – os utilizadores não podem ignorar os avisos do Microsoft Defender SmartScreen e são impedidos de aceder ao site.
    • Desativado – os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen e aceder ao site.
    • Não configurado – os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen e aceder ao site.

  • Impedir que os avisos do Microsoft Defender SmartScreen sejam ignorados para as transferências
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    Determine se os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen sobre transferências não verificadas.

    • Ativado (predefinição) – os utilizadores não podem ignorar os avisos do Microsoft Defender SmartScreen e são impedidos de concluir as transferências não verificadas.
    • Desativado – os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen e concluir as transferências não verificadas.
    • Não configurado – os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen e concluir as transferências não verificadas.

  • Ativar o isolamento de site para cada site
    Configure o isolamento de site para impedir que os utilizadores recusem o comportamento predefinido de isolar todos os sites.

    • Ativado (predefinição) – os utilizadores não podem recusar o comportamento predefinido em que cada site é executado no seu próprio processo.
    • Desativado –os utilizadores podem recusar o isolamento de site. O isolamento de site não está desativado.
    • Não configurado – os utilizadores podem recusar o isolamento de site. O isolamento de site não está desativado.

    O Microsoft Edge também suporta a política IsolateOrigins que pode isolar origens adicionais e mais detalhadas. O Intune não suporta a configuração da política IsolateOrigins.

  • Configurar o Microsoft Defender SmartScreen
    CSP: Browser/AllowSmartScreen

    O Microsoft Defender SmartScreen apresenta mensagens de aviso para ajudar a proteger os utilizadores contra potenciais esquemas de phishing e software malicioso. Por predefinição, o Microsoft Defender SmartScreen está ativado.

    • Ativado (predefinição) – o Microsoft Defender SmartScreen está ativado e os utilizadores não podem desativá-lo.
    • Desativado – o Microsoft Defender SmartScreen está desativado e os utilizadores não o poderão ativar.
    • Não configurado – os utilizadores podem escolher se querem utilizar o Microsoft Defender SmartScreen.

    Esta política está disponível apenas nas instâncias do Windows associadas a um domínio do Microsoft Active Directory ou nas instâncias do Windows 10 Pro ou Enterprise inscritas para gestão de dispositivos.

  • Configurar o Microsoft Defender SmartScreen para bloquear aplicações potencialmente indesejadas
    Configure o Microsoft Defender SmartScreen para bloquear aplicações potencialmente indesejadas. O Microsoft Defender SmartScreen pode apresentar mensagens de aviso para ajudar a proteger os utilizadores contra adware, extração de moedas, bundleware e outras aplicações de baixa reputação alojadas por sites. O bloqueio de aplicações potencialmente indesejadas no Microsoft Defender SmartScreen está desativado por predefinição.

    • Ativado (predefinição) – as aplicações potencialmente indesejadas são bloqueadas.
    • Desativado – as aplicações potencialmente indesejadas não são bloqueadas.
    • Não configurado – os utilizadores podem escolher se querem utilizar o bloqueio de aplicações potencialmente indesejadas no Microsoft Defender SmartScreen.

    Esta política está disponível apenas nas instâncias do Windows associadas a um domínio do Microsoft Active Directory ou nas instâncias do Windows 10 Pro ou Enterprise inscritas para gestão de dispositivos.

  • Permitir que os utilizadores prossigam a partir da página de aviso de SSL
    CSP: Browser/PreventCertErrorOverrides

    O Microsoft Edge mostra uma página de aviso quando os utilizadores visitam sites com erros de SSL.

    • Ativado – os utilizadores podem clicar nas páginas de aviso.
    • Desativado (predefinição) – os utilizadores são impedidos de clicar em qualquer página de aviso.
    • Não configurado – os utilizadores podem clicar nas páginas de aviso.

  • Versão mínima do SSL ativada
    Ative a opção para definir uma versão mínima suportada do SSL.

    • Ativado (predefinição) – ative o acesso à definição seguinte onde especifica a versão mínima do TLS a utilizar.
    • Desativado
    • Não configurado – o Microsoft Edge utiliza uma versão mínima predefinida do TLS 1.0.

    Quando definido como Ativado, pode configurar o TLS na definição seguinte.

    • Versão mínima do SSL ativada – defina a versão mínima do TLS a utilizar. O Microsoft Edge não utilizará nenhuma versão do SSL/TLS inferior à versão especificada.
      • TLS 1.0
      • TLS 1.1
      • TLS 1.2 (predefinição)

  • Impedir que os avisos do Microsoft Defender SmartScreen sejam ignorados para os sites
    Predefinição: Ativado
    Microsoft Edge CSP: Browser/PreventSmartScreenPromptOverride

    Esta definição de política permite-lhe decidir se os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen sobre sites potencialmente maliciosos.

    • Se ativar esta definição, os utilizadores não podem ignorar os avisos do Microsoft Defender SmartScreen e são impedidos de aceder ao site.
    • Se desativar ou não configurar esta definição, os utilizadores poderão ignorar os avisos do Microsoft Defender SmartScreen e aceder ao site.

  • Versão mínima do SSL ativada
    Predefinição: Ativado

    Defina uma versão mínima suportada do SSL. Se definir esta política como Não Configurada, o Microsoft Edge utilizará uma versão mínima predefinida do TLS 1.0. Quando definido como Ativado, pode selecionar uma versão mínima de entre os seguintes valores:

    • TLS 1.0

    • TLS 1.1

    • TLS 1.2

    • Versão mínima do SSL ativada
      Predefinição: TLS 1.2

  • Impedir que os avisos do Microsoft Defender SmartScreen sejam ignorados para transferências
    Predefinição: Ativado
    Microsoft Edge CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    Esta política permite-lhe determinar se os utilizadores podem ignorar os avisos do Microsoft Defender SmartScreen sobre transferências não verificadas.

    • Se ativar esta política, os utilizadores na sua organização não poderão ignorar os avisos do Microsoft Defender SmartScreen e serão impedidos de concluir as transferências não verificadas.
    • Se desativar ou não configurar esta política, os utilizadores poderão ignorar os avisos do Microsoft Defender SmartScreen e concluir transferências não verificadas.

  • Permitir que os utilizadores prossigam a partir da página de aviso de SSL
    Predefinição: Desativado
    Microsoft Edge CSP: Browser/PreventCertErrorOverrides

    O Microsoft Edge mostra uma página de aviso quando os utilizadores visitam sites com erros de SSL. Se definir esta política como Ativada ou Não Configurada, os utilizadores poderão clicar nestas páginas de aviso. Quando esta política estiver Desativada, os utilizadores serão impedidos de clicar em qualquer página de aviso.

  • Predefinição do Adobe Flash
    Predefinição: Ativado
    Microsoft Edge CSP: Browser/AllowFlash e Browser/AllowFlashClickToRun

    Determina se os sites não abrangidos pela política “PluginsAllowedForUrls” ou “PluginsBlockedForUrls” podem executar automaticamente o plug-in do Adobe Flash.

    • Selecione “BlockPlugins” para bloquear o Adobe Flash em todos os sites.
    • Selecione “ClickToPlay” para permitir que o Adobe Flash seja executado, mas exija que o utilizador clique no marcador de posição para o iniciar.

    Em qualquer caso, as políticas “PluginsAllowedForUrls” e “PluginsBlockedForUrls” têm precedência sobre “DefaultPluginsSetting”. A reprodução automática só é permitida para os domínios listados explicitamente na política “PluginsAllowedForUrls”. Se quiser ativar a reprodução automática para todos os sites, considere adicionar http://* e https://* a esta lista.

    • Se definir esta política como Não Configurada, o utilizador poderá alterar esta definição manualmente. * 2 = Bloquear o plug-in do Adobe Flash * 3 = Clicar para reproduzir a opção “1” anterior set allow-all, mas esta funcionalidade é agora processada apenas pela política “PluginsAllowedForUrls”. As políticas existentes que utilizam “1” funcionarão no modo Clicar para reproduzir.

    • Predefinição do Adobe Flash
      Predefinição: bloquear o plug-in do Adobe Flash

  • Ativar o isolamento de site para cada site
    Predefinição: Ativado

    Pode utilizar a política “SitePerProcess” para impedir que os utilizadores recusem o comportamento predefinido de isolar todos os sites. Também pode utilizar a política IsolateOrigins para isolar origens adicionais e mais detalhadas.

    • Quando esta política estiver definida como Ativada, os utilizadores não poderão recusar o comportamento predefinido em que cada site é executado no seu próprio processo.
    • Se utilizar Desativado ou Não Configurado, o utilizador poderá recusar o isolamento do site (por exemplo, com a entrada “Desativar isolamento do site” em edge://flags). A desativação ou não configuração da política não desativa o Isolamento do Site.

  • Esquemas de autenticação suportados
    Utilize esta definição para alterar o comportamento predefinido do Edge para os esquemas de autenticação HTTP que podem ser utilizados pelo Edge. O Edge suporta e pode utilizar os seguintes esquemas: basic, digest, ntlm e negotiate.

    • Ativado (predefinição) – quando definido como Ativado, pode configurar a definição seguinte onde especifica quais dos quatro esquemas de autenticação HTTPS podem ser utilizados pelo Edge.
    • Desativado
    • Não configurado – quando definido como Não configurado, o Edge suportará os quatro esquemas.

    Esquemas de autenticação suportados – para aceder a esta definição, a instância anterior dos Esquemas de autenticação suportados tem de estar definida como Ativado.

    Selecione um ou mais esquemas de autenticação HTTP para o Edge. Por predefinição, já estão selecionados dois:

    • Básica
    • Digest
    • NTLM (Selecionado por predefinição)
    • Negotiate (Selecionado por predefinição)

    Para obter mais informações, veja AuthSchemes na documentação das políticas do Microsoft Edge e Noções básicas da autenticação HTTP na documentação do .NET Framework.

  • Permitir guardar palavras-passe no gestor de palavras-passe
    Predefinição: Desativado
    Microsoft Edge CSP: Browser/AllowPasswordManager

    Permita que o Microsoft Edge guarde as palavras-passe do utilizador.

    • Se ativar esta política, os utilizadores poderão guardar as palavras-passe no Microsoft Edge. Da próxima vez que visitarem o site, o Microsoft Edge introduzirá a palavra-passe automaticamente.
    • Se desativar esta política, os utilizadores não poderão guardar novas palavras-passe, mas poderão continuar a utilizar palavras-passe guardadas anteriormente.

    Quando definir esta política como Ativada ou Desativada, os utilizadores não podem alterar ou substituir esta política no Microsoft Edge.

    Se definir esta política como Não Configurada, os utilizadores poderão guardar palavras-passe e desativar esta funcionalidade.

  • Controlar que extensões não podem ser instaladas
    Predefinição: Ativado

    Liste as extensões específicas que os utilizadores não podem instalar no Microsoft Edge. Quando implementar esta política, todas as extensões nesta lista instaladas anteriormente estarão desativadas e o utilizador não as poderá ativar. Se remover um item da lista de extensões bloqueadas, essa extensão será reativada automaticamente onde tiver sido instalada anteriormente.

    Utilize * * _ para bloquear todas as extensões que não estão explicitamente listadas na lista de permissões. Se esta política estiver definida como _Não Configurada*, os utilizadores poderão instalar qualquer extensão no Microsoft Edge.

    Valor de exemplo: extension_id1 extension_id2.

    • IDs das extensões que o utilizador deve ser impedido de instalar (ou * para todos)
      Selecione Adicionar e especifique extensões adicionais. * é selecionado por padrão.

  • Configurar o Microsoft Defender SmartScreen
    Predefinição: Ativado
    Microsoft Edge CSP: Browser/AllowSmartScreen

    Esta definição de política permite-lhe configurar se quer ativar o Microsoft Defender SmartScreen. O Microsoft Defender SmartScreen apresenta mensagens de aviso para ajudar a proteger os utilizadores contra potenciais esquemas de phishing e software malicioso.

    • Por predefinição, o Microsoft Defender SmartScreen está ativado. Se ativar esta definição, o Microsoft Defender SmartScreen estará ativado e os utilizadores não o poderão desativar.
    • Se desativar esta definição, o Microsoft Defender SmartScreen estará desativado e os utilizadores não o podem ativar.
    • Quando definido como Não Configurado, os utilizadores podem escolher se querem utilizar o Microsoft Defender SmartScreen.

    Esta política está disponível apenas nas instâncias do Windows associadas a um domínio do Microsoft Active Directory ou nas instâncias do Windows 10 Pro ou Enterprise inscritas para gestão de dispositivos.

  • Permitir anfitriões de mensagens nativos ao nível do utilizador (instalado sem permissões de administrador)
    Predefinição: Desativado

    Permite a instalação ao nível do utilizador de anfitriões de mensagens nativos.

    • Se desativar esta política, o Microsoft Edge utilizará apenas anfitriões de mensagens nativos instalados ao nível do sistema. Por predefinição, se não configurar esta política, o Microsoft Edge permitirá a utilização de anfitriões de mensagens nativos ao nível do utilizador.

  • Permitir certificados assinados por SHA-1 quando emitidos por âncoras de confiança locais (preterido)
    Predefinição: Desativado

    PRETERIDO: esta política foi preterida. É atualmente suportada, mas ficará obsoleta numa versão futura.

    Por predefinição, o Microsoft Edge proíbe os certificados assinados por SHA-1, visto que a permissão de cadeias SHA-1 não é uma configuração segura. Esta política depende da pilha de verificação de certificados do sistema operativo (SO) que permite assinaturas SHA-1. Se uma atualização do SO alterar o processamento de certificados SHA-1, esta política poderá já não ter efeito. Além disso, esta política é uma solução temporária para dar às empresas mais tempo para deixarem de utilizar o SHA-1.

    Esta política está disponível apenas nas instâncias do Windows associadas a um domínio do Microsoft Active Directory ou nas instâncias do Windows 10 Pro ou Enterprise inscritas para gestão de dispositivos.

    Esta política será removida no Microsoft Edge 92, que será lançado em meados de 2021.

    • Ativado – o Microsoft Edge permite ligações protegidas por certificados assinados por SHA-1, desde que o certificado esteja encadeado num certificado de raiz instalado localmente e seja de outro modo válido.
    • Desativado (predefinição) – quando definido como Desativado ou o certificado SHA-1 estiver encadeado numa raiz de certificado fidedigna publicamente, o Microsoft Edge não permitirá certificados assinados por SHA-1.
    • Não configurado – idêntico ao comportamento de Desativado.

Passos seguintes