Управление Microsoft Edge в iOS и Android с помощью Intune

Microsoft Edge для iOS и Android поддерживает несколько удостоверений и предназначен для того, чтобы пользователи могли просматривать веб-страницы. Пользователи могут добавить рабочую учетную запись, а также личную учетную запись для просмотра веб-страниц. Предусмотрено полное разделение между двумя удостоверениями, аналогичное тому, что предлагается в других мобильных приложениях Майкрософт.

Данная функция применяется к:

  • iOS/iPadOS 14.0 или более поздней версии
  • Android 8.0 или более поздней версии для зарегистрированных устройств и Android 9.0 или более поздней версии для незарегистрированных устройств

Примечание.

Microsoft Edge для iOS и Android не использует параметры, установленные пользователями для собственного браузера на своих устройствах, так как Microsoft Edge для iOS и Android не может получить доступ к этим параметрам.

Самые широкие и широкие возможности защиты данных Microsoft 365 доступны при подписке на набор Enterprise Mobility + Security, включающий функции Microsoft Intune и Microsoft Entra ID P1 или P2, такие как условный доступ. По крайней мере необходимо развернуть политику условного доступа, которая разрешает подключаться к Microsoft Edge для iOS и Android только с мобильных устройств, и политику защиты приложений Intune, обеспечивающую защиту просмотра веб-страниц.

Примечание.

Новые веб-клипы (закрепленные веб-приложения) на устройствах iOS будут открываться в Microsoft Edge для iOS и Android вместо Intune Managed Browser при необходимости открытия в защищенном браузере. Для более старых веб-клипов iOS необходимо перенацелить эти веб-клипы, чтобы они открывались в Microsoft Edge для iOS и Android, а не в Managed Browser.

Применение условного доступа

Организации могут использовать политики условного доступа Microsoft Entra, чтобы пользователи могли получать доступ только к рабочему или учебному содержимому с помощью Edge для iOS и Android. Для этого потребуется политика условного доступа, распространяющаяся на всех потенциальных пользователей. Эти политики описаны в разделе Условный доступ: требовать утвержденные клиентские приложения или политику защиты приложений.

Выполните действия, описанные в разделе Требовать утвержденные клиентские приложения или политику защиты приложений на мобильных устройствах, которые разрешают Microsoft Edge для iOS и Android, но блокируют подключение других веб-браузеров мобильных устройств к конечным точкам Microsoft 365.

Примечание.

Эта политика гарантирует, что мобильные пользователи могут получить доступ ко всем конечным точкам Microsoft 365 из Microsoft Edge для iOS и Android. Эта политика также запрещает пользователям использовать режим InPrivate для доступа к конечным точкам Microsoft 365.

С помощью условного доступа вы также можете ориентироваться на локальные сайты, которые вы предоставили внешним пользователям, через прокси-сервер приложения Microsoft Entra.

Примечание.

Чтобы можно было применять политики условного доступа для приложений на устройствах с iOS, должно быть установлено приложение Microsoft Authenticator. Для устройств с Android требуется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.

Создание политик защиты приложений Intune

Политики защиты приложений (APP) указывают, какие приложения разрешены и какие действия эти приложения могут выполнять над данными вашей организации. Доступные в APP параметры позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария. Чтобы помочь организациям расставить приоритеты в отношении защиты клиентских конечных точек, корпорация Майкрософт представила новую таксономию для платформы защиты данных с APP для управления мобильными приложениями iOS и Android.

Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.

  • Базовая защита корпоративных данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования и выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Это минимальная конфигурация, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online и предлагает ИТ-специалистам и пользователям возможности APP.
  • Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.
  • Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.

Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.

Вне зависимости от того, зарегистрировано ли устройство в решении единого управления конечными точками (UEM), политику защиты приложений Intune необходимо создать как для приложений iOS, так и для приложений Android. Для этого выполните действия, описанные в статье Как создать и назначить политики защиты приложений. Эти политики должны по крайней мере отвечать указанным ниже требованиям.

  • Они должны включать все мобильные приложения Microsoft 365, например Microsoft Edge, Outlook, OneDrive, Office или Teams. Это гарантирует, что пользователи могут безопасно получать доступ к рабочим и учебным данным, а также управлять ими в любом приложении Майкрософт.

  • Они назначаются всем пользователям. Это гарантирует защиту всех пользователей независимо от того, работают ли они в Microsoft Edge для iOS или для Android.

  • Определите, какой уровень платформы соответствует вашим требованиям. Большинству организаций следует реализовать параметры, определенные в разделе Корпоративная расширенная защита данных (уровень 2), так как это обеспечивает управление требованиями к защите данных и доступу.

Дополнительные сведения о доступных параметрах см. в статьях Параметры политики защиты приложений Android и Параметры политик для защиты приложений в iOS.

Важно!

Чтобы применять политики защиты приложений с использованием Intune к приложениям на устройствах с Android, не зарегистрированных в Intune, пользователь также должен установить приложение "Корпоративный портал Intune".

Единый вход в Microsoft Entra подключенных веб-приложений в защищенных политиками браузерах

Edge для iOS и Android может использовать преимущества единого входа для всех веб-приложений (SaaS и локальных), которые Microsoft Entra подключены. Единый вход позволяет пользователям получать доступ к Microsoft Entra подключенным веб-приложениям через Edge для iOS и Android без необходимости повторного ввода учетных данных.

Единый вход требует, чтобы ваше устройство было зарегистрировано приложением Microsoft Authenticator для устройств iOS или Корпоративным порталом Intune на Android. Если у пользователей есть любой из них, им будет предложено зарегистрировать свое устройство при переходе в веб-приложение, подключенное к Microsoft Entra, в защищенном политикой браузере (это верно только в том случае, если устройство еще не зарегистрировано). После регистрации устройства с учетной записью пользователя, управляемой Intune, в этой учетной записи включен единый вход для Microsoft Entra подключенных веб-приложений.

Примечание.

Регистрация устройства — это простой проверка в службе Microsoft Entra. Она не требует полного соглашения о регистрации устройства и не предоставляет ИТ-службам дополнительные права на устройстве.

Использование конфигурации приложения для управления просмотром веб-страниц

Microsoft Edge для iOS и Android поддерживает параметры приложений, которые позволяют администраторам единого управления конечными точками, например Microsoft Intune, настраивать поведение приложения.

Конфигурация приложений может предоставляться через канал ОС управления мобильными устройствами (MDM) на зарегистрированных устройствах (канал конфигурации управляемых приложений для iOS или канал Android в корпоративной среде для Android) или через канал управления мобильными приложениями (MAM). Microsoft Edge для iOS и Android поддерживает следующие сценарии конфигурации.

  • Разрешение только для рабочих и учебных учетных записей
  • Общие параметры конфигурации приложения
  • Параметры защиты данных
  • Дополнительная конфигурация приложений для управляемых устройств

Важно!

Для сценариев конфигурации, требующих регистрации устройств на Android, устройства должны быть зарегистрированы в Android Enterprise, а приложение Microsoft Edge для Android должно быть развернуто через корпоративный Магазин Google Play. Дополнительные сведения см. в статьях Настройка регистрации устройств с личным рабочим профилем Android Enterprise и Добавление политик конфигурации приложений для управляемых устройств Android Enterprise.

Каждый сценарий конфигурации подчеркивает свои конкретные требования. Например, что требуется сценарием конфигурации: регистрация устройства (а значит обеспечивается возможность работы с любым поставщиком UEM) или политики защиты приложений Intune.

Важно!

Ключи конфигурации приложений чувствительны к регистру. Используйте правильный регистр, чтобы конфигурация вступила в силу.

Примечание.

В Microsoft Intune конфигурация приложений, предоставляемая через канал ОС MDM, называется политикой конфигурации приложений (ACP) Управляемые устройства. Конфигурация приложений, предоставляемая через канал управления мобильными приложениями (MAM), называется политикой конфигурации приложений Управляемые приложения.

Разрешение только для рабочих и учебных учетных записей

Соблюдение политик безопасности данных и соответствия требованиям наших крупнейших и строго регулируемых клиентов является ключевым элементом ценности Microsoft 365. Некоторые компании должны записывать всю информацию о коммуникациях в своей корпоративной среде, а также гарантировать, что устройства используются только для корпоративных коммуникаций. Для поддержки этих требований можно настроить Microsoft Edge для iOS и Android на зарегистрированных устройствах на разрешение подготовки только одной корпоративной учетной записи в приложении.

Дополнительные сведения о настройке режима разрешенных учетных записей организации см. здесь:

Этот сценарий конфигурации работает только с зарегистрированными устройствами. Однако поддерживается любой поставщик UEM. Если вы не используете Microsoft Intune, обратитесь к документации по UEM о развертывании этих ключей конфигурации.

Общие сценарии конфигурации приложений

Microsoft Edge для iOS и Android предоставляет администраторам возможность настраивать стандартную конфигурацию для нескольких параметров в приложении. Эта возможность предоставляется, если в Microsoft Edge для iOS и Android есть политика конфигурации управляемых приложений, примененная к рабочей или учебной учетной записи, вошедшей в приложение.

Microsoft Edge поддерживает следующие параметры конфигурации.

  • Страница новой вкладки
  • Интерфейс закладок
  • Функции поведения приложений
  • Режим киоска

Эти параметры можно развернуть в приложении независимо от состояния регистрации устройства.

Макет страницы "Создать вкладку"

По умолчанию для новой страницы вкладки используется настраиваемый макет. Здесь показаны основные ярлыки сайта и новостная лента без обоев. Пользователи могут изменять макет в соответствии со своими предпочтениями. Организации также могут управлять параметрами макета.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout Сосредоточены Выбран пункт "Фокус"
Вдохновляющие Выбрано вдохновляющее
информационный (только для iPad/tablet) выбран параметр Информационный
пользовательский (по умолчанию) выбран параметр "Настраиваемый", переключатель ярлыков верхнего сайта включен, переключатель обои отключен, а переключатель новостей включен
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom topsites Включение сочетаний клавиш для лучших сайтов
Обои Включение обои
Канал новостей Включение ленты новостей
Чтобы эта политика ввела в силу, для com.microsoft.intune.mam.managedbrowser.NewTabPageLayout необходимо задать значение custom

Значение по умолчанию — topsites|newsfeed
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable True (по умолчанию) Пользователи могут изменять параметры макета страницы
Ложных Пользователи не могут изменять параметры макета страницы. Макет страницы определяется значениями, указанными в политике, или будут использоваться значения по умолчанию.

Примечание.

Политика NewTabPageLayout предназначена для установки начального макета. Пользователи могут изменять параметры макета страницы на основе своей ссылки. Таким образом, политика NewTabPageLayout влияет только в том случае, если пользователи не изменяют параметры макета. Вы можете применить политику NewTabPageLayout , настроив UserSelectable=false.

Пример отключения новостей

  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false

Страница новой вкладки

Edge для iOS и Android предлагает организациям несколько вариантов настройки страницы новой вкладки, включая логотип организации, цвет торговой марки, домашнюю страницу, лучшие сайты и отраслевые новости.

Логотип организации и фирменные цвета

Эти параметры позволяют настроить страницу новой вкладки в Microsoft Edge для iOS и Android, чтобы в качестве фона страницы отображались логотип и фирменные цвета вашей организации.

Чтобы отправить логотип и цвета вашей организации, сначала выполните следующие действия.

  1. В Центре администрирования Microsoft Intune перейдите в раздел Администрирование клиента>Настройка. Рядом с пунктом Параметры нажмите Изменить.
  2. Чтобы настроить фирменный логотип, рядом с Показать в заголовке выберите "Только логотип организации". Рекомендуется использовать прозрачные фоновые логотипы.
  3. Чтобы настроить фирменный фоновый цвет, выберите Цвет темы. Microsoft Edge для iOS и Android применяет более светлый оттенок цвета на странице новой вкладки, что обеспечивает дополнительное удобство чтения страницы.

Примечание.

Так как применение решения Azure Active Directory (Azure AD) Graph не рекомендуется, для него наступил этап прекращения использования. Дополнительные сведения см. в статье Общие сведения о миграции Azure AD Graph. В результате логотип организации и фирменные цвета, используемые в Центре администрирования Intune, станут недоступны, когда применение Azure Active Directory (Azure AD) Graph полностью прекратится. Поэтому с Microsoft Edge для iOS и Android версии 116 логотип организации и фирменные цвета будут извлекаться из Microsoft Graph. Логотип организации и фирменные цвета необходимо поддерживать с помощью соответствующих инструкций. Логотип баннера будет использоваться в качестве организации, а цвет фона страницы — в качестве цвета фирменной символики.

Затем используйте следующие пары "ключ-значение", чтобы извлечь фирменную символику вашей организации в Microsoft Edge для iOS и Android.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo Значение true отображает логотип организации
Значение false (по умолчанию) не демонстрирует логотип
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor Значение true отображает фирменные цвета организации
Значение false (по умолчанию) не демонстрирует цвет

Ярлык домашней страницы

Этот параметр позволяет настроить ярлык домашней страницы Microsoft Edge для iOS и Android на странице новой вкладки. Настроенный ярлык домашней страницы отображается в качестве первого значка под панелью поиска, когда пользователь открывает новую вкладку в Microsoft Edge для iOS и Android. Пользователь не может изменить или удалить этот ярлык в управляемом контексте. Ярлык домашней страницы отображает имя вашей организации, чтобы выделить его.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.homepage Укажите действительный URL-адрес. Неправильные URL-адреса блокируются в качестве меры безопасности.
Пример: https://www.bing.com

Несколько ярлыков основных сайтов

Вы можете настроить несколько ярлыков основных сайтов на страницах новых вкладок в Microsoft Edge для iOS и Android (аналогично настройке ярлыка домашней страницы). Пользователь не может изменять или удалять эти ярлыки в управляемом контексте. Примечание. Вы можете настроить в общей сложности 8 ярлыков, включая ярлык домашней страницы. Если вы настроили ярлык домашней страницы, он переопределит первый настроенный основной сайт.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.managedTopSites Укажите набор URL-адресов значений. Каждый ярлык основного сайта состоит из названия и URL-адреса. Разделите название и URL-адрес символом |.
Пример: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com

Новости отрасли

Вы можете настроить страницу новой вкладки в Microsoft Edge для iOS и Android на отображение отраслевых новостей для своей организации. Если вы включите эту функцию, Microsoft Edge для iOS и Android использует доменное имя вашей организации для агрегирования из Интернета новостей о вашей организации, отрасли организации и конкурентах. Это позволяет пользователям находить важные внешние новости на централизованных страницах новых вкладок в Microsoft Edge для iOS и Android. Отраслевые новости по умолчанию отключены.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews Значение true отображает отраслевые новости на странице новой вкладки
Значение false (по умолчанию) скрывает отраслевые новости на странице новой вкладки

Домашняя страница вместо страницы новой вкладки

Microsoft Edge для iOS и Android позволяет организациям отключить интерфейс страницы новой вкладки и вместо него запускать веб-сайт, когда пользователь открывает новую вкладку. Хотя это поддерживаемый сценарий, корпорация Майкрософт рекомендует организациям применять интерфейс страницы новой вкладки, чтобы предоставлять динамическое содержимое, релевантное для пользователя.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL Укажите действительный URL-адрес. Если URL-адрес не указан, приложение использует интерфейс страницы новой вкладки. Неправильные URL-адреса блокируются в качестве меры безопасности.
Пример: https://www.bing.com

Интерфейс закладок

Microsoft Edge для iOS и Android предлагает организациям несколько вариантов управления закладками.

Управляемые закладки

Чтобы упростить доступ, вы можете настроить закладки, которые должны быть доступны пользователям, когда они применяют Microsoft Edge для iOS и Android.

  • Закладки отображаются только в рабочей или учебной учетной записи и не демонстрируются в личных учетных записях.
  • Пользователи не могут удалить или изменить закладки.
  • Закладки отображаются в верхней части списка. Все закладки, создаваемые пользователями, отображаются под этими закладками.
  • Если вы включили перенаправление прокси приложения, вы можете добавить веб-приложения прокси приложения, используя их внутренний или внешний URL-адрес.
  • Закладки создаются в папке с именем организации, определенной в Microsoft Entra ID.
Ключ Значение
com.microsoft.intune.mam.managedbrowser.bookmarks Значением для этой конфигурации является список закладок. Каждая закладка состоит из названия закладки и URL-адреса закладки. Разделите название и URL-адрес символом |.
Пример: Microsoft Bing|https://www.bing.com

Чтобы настроить несколько закладок, разделите каждую пару двойным символом ||.
Пример: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com

Закладка "Мои приложения"

По умолчанию для пользователей настроена закладка "Мои приложения" в папке организации в Microsoft Edge для iOS и Android.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.MyApps Значение true (по умолчанию) отображает "Мои приложения" в закладках Microsoft Edge для iOS и Android
Значение false скрывает "Мои приложения" в Microsoft Edge для iOS и Android

Функции поведения приложений

Microsoft Edge для iOS и Android предлагает организациям несколько вариантов управления поведением приложения.

единый вход Microsoft Entra паролем

Функция единого входа Microsoft Entra Password, предлагаемая Microsoft Entra ID, обеспечивает управление доступом пользователей к веб-приложениям, которые не поддерживают федерацию удостоверений. По умолчанию Edge для iOS и Android не выполняет единый вход с учетными данными Microsoft Entra. Дополнительные сведения см. в статье Добавление единого входа на основе пароля в приложение.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.PasswordSSO True Microsoft Entra включен единый вход с паролем
False (по умолчанию) Microsoft Entra единый вход по паролю отключен

Обработчик протокола по умолчанию

По умолчанию Microsoft Edge для iOS и Android использует обработчик протокола HTTPS, если пользователь не указывает протокол в URL-адресе. Обычно это считается лучшей методикой, но этот вариант можно отключить.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.defaultHTTPS Значение true (по умолчанию) — обработчиком протокола по умолчанию является HTTPS
Значение false — обработчиком протокола по умолчанию является HTTP

Отключение необязательных диагностических данных

По умолчанию пользователи могут выбрать отправление необязательных диагностических данных в разделе Параметры->Конфиденциальность и защита->Диагностические данные->параметр Необязательные диагностические данные. Организации могут отключить этот параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.disableShareUsageData Значение true — параметр "Необязательные диагностические данные" отключен
Значение false (по умолчанию) — пользователи могут включать и отключать параметр

Примечание.

Параметр Необязательные диагностические данные также запрашивается у пользователей во время первого запуска (FRE). Организации могут пропустить этот шаг с помощью политики MDM EdgeDisableShareUsageData

Отключение определенных функций

Microsoft Edge для iOS и Android позволяет организациям отключать определенные функции, которые включены по умолчанию. Чтобы отключить эти функции, настройте следующий параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.disabledFeatures password отключает запросы, предлагающие сохранить пароли для конечного пользователя
inprivate отключает режим просмотра InPrivate
autofill отключает параметры "Сохранить и заполнять адреса" и "Сохранять и заполнять сведения об оплате". Автозаполнение будет отключено даже для ранее сохраненных сведений
translator отключает переводчик
readaloud отключает чтение вслух
drop отключает удаление
купоны отключают купоны
расширения отключены (только edge для Android)
developertools затеняет номера версий сборки, чтобы запретить пользователям доступ к параметрам разработчика (только в Microsoft Edge для Android)

Чтобы отключить несколько функций, разделяйте значения с помощью |. Например, inprivate|password отключает режим InPrivate и хранилище паролей.

Отключение функции импорта паролей

Microsoft Edge для iOS и Android позволяет пользователям импортировать пароли из диспетчера паролей. Чтобы отключить импорт паролей, настройте следующий параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.disableImportPasswords Значение true — отключить импорт паролей
Значение false (по умолчанию) — разрешить импорт паролей

Примечание.

В диспетчере паролей Microsoft Edge для iOS есть кнопка Добавить. Если функция импорта паролей отключена, кнопка Добавить также будет отключена.

Вы можете управлять тем, могут ли сайты сохранять файлы cookie для ваших пользователей в Microsoft Edge для Android. Для этого настройте следующий параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.cookieControlsMode 0 (по умолчанию) — разрешить файлы cookie
1 — блокировать сторонние файлы cookie (не Майкрософт)
2 — блокировать сторонние файлы cookie (не Майкрософт) в режиме InPrivate
3 — блокировать все файлы cookie

Примечание.

Microsoft Edge для iOS не поддерживает управление файлами cookie.

Режим киоска на устройствах Android

Microsoft Edge для Android можно включить как приложение киоска с помощью следующих параметров.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.enableKioskMode Значение true включает режим киоска в Microsoft Edge для Android
Значение false (по умолчанию) отключает режим киоска
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode Значение true отображает адресную строку в режиме киоска
Значение false (по умолчанию) скрывает адресную строку при включении режима киоска
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode Значение true показывает нижнюю панель действий в режиме киоска
Значение false (по умолчанию) скрывает нижнюю панель при включении режима киоска

Режим заблокированного представления

Edge для iOS и Android можно включить как режим заблокированного представления с политикой MDM EdgeLockedViewModeEnabled.

Ключ Значение
EdgeLockedViewModeEnabled False (по умолчанию) Режим заблокированного представления отключен
Истинный Режим заблокированного представления включен

Это позволяет организациям ограничивать различные функции браузера, обеспечивая контролируемый и целенаправленный просмотр.

  • Адресная строка URL-адреса становится доступной только для чтения, что не позволяет пользователям вносить изменения в веб-адрес.
  • Пользователям запрещено создавать новые вкладки
  • Функция контекстного поиска на веб-страницах отключена
  • Следующие кнопки в меню переполнения отключены
Кнопки State
Новая вкладка InPrivate Отключено
Отправка на устройства Отключено
Буквица Отключено
Добавить в телефон (Android) Отключено
Страница скачивания (Android) Отключено

Режим заблокированного представления часто используется вместе с политикой MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL или политикой MDM EdgeNewTabPageCustomURL, которая позволяет организациям настраивать определенную веб-страницу, которая автоматически запускается при открытии Edge. Пользователи ограничены этой веб-страницей и не могут переходить на другие веб-сайты, предоставляя контролируемую среду для конкретных задач или потребления содержимого.

Примечание.

По умолчанию пользователям запрещено создавать новые вкладки в режиме заблокированного представления. Чтобы разрешить создание вкладки, задайте для политики MDM EdgeLockedViewModeAllowedActions значение newtabs.

Переключение сетевого стека между Chromium и iOS

По умолчанию Microsoft Edge для iOS и Android использует сетевой стек Chromium для обмена данными со службами Microsoft Edge, включая службы синхронизации, автоматические варианты поиска и отправку отзывов. Microsoft Edge для iOS также предоставляет сетевой стек iOS в качестве настраиваемого варианта для взаимодействия со службой Microsoft Edge.

Организации могут изменить предпочитаемый сетевой стек, настроив следующий параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NetworkStackPref 0 (по умолчанию) — использовать сетевой стек Chromium
1 — использовать сетевой стек iOS

Примечание.

Рекомендуется использовать сетевой стек Chromium. Если при отправке отзывов с помощью сетевого стека Chromium у вас возникают проблемы или сбои синхронизации, например с определенными решениями VPN для приложения, эти проблемы могут быть устранены при использовании сетевого стека iOS.

Настройка URL-адреса PAC-файла прокси-сервера

Организации могут указать URL-адрес файла автоматической настройки прокси-сервера (PAC) для Microsoft Edge в Android.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.proxyPacUrl Укажите действительный URL-адрес PAC-файла прокси-сервера.
Пример: https://internal.site/example.pac

Поддержка в случае сбоя открытия PAC

По умолчанию Microsoft Edge для Android блокирует доступ к сети при недопустимом или недоступном сценарии PAC. Однако организации могут изменить поведение по умолчанию для поддержки в случае сбоя открытия PAC.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled Значение false (по умолчанию) — блокировка доступа к сети
Значение true — разрешить доступ к сети

Прокси-сервер для входа пользователей в Edge в Android.

Автоматическая настройка прокси-сервера (PAC) обычно настраивается в профиле VPN. Однако из-за ограничения платформы PAC не может быть распознана Android WebView, который используется во время входа в Edge. Пользователи могут не иметь возможности войти в Edge в Android.

Организации могут указать выделенный прокси-сервер с помощью политики MDM для входа пользователей в Edge в Android.

Ключ Значение
EdgeOneAuthProxy Соответствующее значение является строкой.
Примереhttp://MyProxy.com:8080

Хранилище данных веб-сайтов iOS

Хранилище данных веб-сайта в Edge для iOS важно для управления файлами cookie, кэшами дисков и памяти, а также различными типами данных. Однако в Edge для iOS существует только одно постоянное хранилище данных веб-сайта. По умолчанию это хранилище данных используется исключительно личными учетными записями, что приводит к ограничению, когда рабочие или учебные учетные записи не могут его использовать. Следовательно, данные браузера, за исключением файлов cookie, теряются после каждого сеанса для рабочих или учебных учетных записей. Чтобы улучшить взаимодействие с пользователем, организации могут настроить хранилище данных веб-сайта для использования рабочими или учебными учетными записями, обеспечивая сохранение данных браузера.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore 0 Хранилище данных веб-сайта всегда используется только личная учетная запись
1 — хранилище данных веб-сайтов будет использоваться первой вошедшей учетной записью
2 (по умолчанию) Хранилище данных веб-сайта будет использоваться рабочей или учебной учетной записью независимо от порядка входа.

Примечание.

С выпуском iOS 17 теперь поддерживается несколько постоянных хранилищ. Рабочие и личная учетная запись имеют собственное выделенное постоянное хранилище. Таким образом, эта политика больше не действительна с версии 122.

Фильтр SmartScreen в Microsoft Defender

Фильтр SmartScreen в Microsoft Defender — это функция, которая помогает пользователям избежать вредоносных сайтов и скачиваний. Это приложение включено по умолчанию. Организации могут отключить этот параметр.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled Значение true (по умолчанию) — фильтр SmartScreen в Microsoft Defender включен.
Значение false — фильтр SmartScreen в Microsoft Defender отключен.

Проверка сертификата

По умолчанию Microsoft Edge для Android проверяет сертификаты сервера, используя встроенное средство проверки сертификатов и Microsoft Root Store в качестве источника общего доверия. Организации могут переключиться на средство проверки системных сертификатов и корневые сертификаты системы.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled True (по умолчанию) Используйте встроенное средство проверки сертификатов и Microsoft Root Store для проверки сертификатов
Ложных Использование средства проверки системных сертификатов и корневых сертификатов системы в качестве источника общедоступного доверия для проверки сертификатов

Примечание.

Вариант использования этой политики: при использовании туннеля Microsoft MAM в Microsoft Edge для Android необходимо применять средство проверки системных сертификатов и корневые сертификаты системы.

Элемент управления страницей предупреждений SSL

По умолчанию пользователи могут щелкнуть страницы предупреждений, когда пользователи переходили на сайты с ошибками SSL. Организации могут управлять поведением.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed True (по умолчанию) Разрешить пользователям переходить по страницам предупреждений SSL
Ложных Запретить пользователям переходить по страницам предупреждений SSL

Параметры всплывающих окон

По умолчанию всплывающие окна заблокированы. Организации могут управлять поведением.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting 1 Разрешить отображение всплывающих окон на всех сайтах
2 (по умолчанию) Не разрешать на любом сайте отображать всплывающие окна

Разрешить всплывающие окна на определенных сайтах

Если эта политика не настроена, для всех сайтов используется значение из политики DefaultPopupsSetting (если задано) или личной конфигурации пользователя. Организации могут определять список сайтов, которые могут открывать всплывающие окна.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно заблокировать, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com

Дополнительные сведения о формате URL-адресов см. в разделе Формат фильтра для политик URL-адресов Microsoft Edge.

Блокировка всплывающих окон на определенных сайтах

Если эта политика не настроена, для всех сайтов используется значение из политики DefaultPopupsSetting (если задано) или личной конфигурации пользователя. Организации могут определить список сайтов, для которых запрещено открывать всплывающие окна.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно заблокировать, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com

Дополнительные сведения о формате URL-адресов см. в разделе Формат фильтра для политик URL-адресов Microsoft Edge.

Поставщик поиска по умолчанию

По умолчанию Edge использует поставщик поиска по умолчанию для выполнения поиска, когда пользователи вводит тексты, отличные от URL-адресов, в адресной строке. Пользователи могут изменять список поставщиков поиска. Организации могут управлять поведением поставщика поиска.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled Истинный Включение поставщика поиска по умолчанию
Ложных Отключение поставщика поиска по умолчанию

Настройка поставщика поиска

Организации могут настроить поставщик поиска для пользователей. Чтобы настроить поставщик поиска, сначала необходимо настроить политику DefaultSearchProviderEnabled .

Ключ Значение
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName Соответствующее значение является строкой.
ПримереMy Intranet Search
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL Соответствующее значение является строкой.
Примереhttps://search.my.company/search?q={searchTerms}

Открытие внешних приложений

Когда веб-страница запрашивает открытие внешнего приложения, пользователи увидят всплывающее окно, чтобы они могли разрешить или запретить открытие внешнего приложения. Организации могут управлять поведением.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.OpeningExternalApps 0 (по умолчанию) — отображать всплывающее окно для пользователей, чтобы остаться в Microsoft Edge или открыть с использованием внешних приложений.
1 — всегда открывать в Microsoft Edge без отображения всплывающего окна.
2 — всегда открывать с помощью внешних приложений без отображения всплывающего окна. Если внешние приложения не установлены, поведение будет таким же, как при значении 1

Примечание.

Начиная с версии 120.2210.99 функция блокировки перехода приложения удалена. Внешние приложения будут открываться из Edge по умолчанию. Таким образом, эта политика больше не действительна с версии 120.2210.99.

Копилот

Примечание.

Copilot также известен как Bing Chat Enterprise.

Copilot доступен в Microsoft Edge для iOS и Android. Пользователи могут запустить Copilot, нажав кнопку Copilot в нижней панели.

В разделе Параметры-General-Copilot>> для Copilot есть три параметра.

  • Show Copilot — управление отображением кнопки Bing на нижней панели
  • Разрешить доступ к любой веб-странице или PDF — управление разрешением Copilot на доступ к содержимому страницы или PDF
  • Быстрый доступ к выделенному тексту — управление отображением панели быстрого чата при выборе текста на веб-странице

Вы можете управлять параметрами для Copilot.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.Chat True (по умолчанию) Пользователи могут видеть кнопку Bing на нижней панели. Параметр Show Copilot включен по умолчанию и может быть отключен пользователями
Значение false — пользователи не видят кнопку Bing на нижней панели. Параметр Show Copilot отключен и не может быть включен пользователями
com.microsoft.intune.mam.managedbrowser.ChatPageContext True (по умолчанию) Copilot может получить доступ к содержимому страницы. Разрешение доступа к любой веб-странице или PDF и быстрый доступ к выбору текста в параметрах Copilot включены по умолчанию и могут быть отключены пользователями.
Ложных Copilot не может получить доступ к содержимому страницы. Разрешить доступ к любой веб-странице или PDF и быстрый доступ к тексту в параметрах Copilot будет отключен и не может быть включен пользователями.

Сценарии конфигурации приложений для защиты данных

Microsoft Edge для iOS и Android поддерживает политики конфигурации приложений для следующих параметров защиты данных, когда приложение управляется Microsoft Intune с помощью политики конфигурации управляемых приложений, примененной к рабочей или учебной учетной записи, вошедшей в приложение:

  • Управление синхронизацией учетных записей
  • Управление веб-сайтами с ограниченным доступом
  • Управление конфигурацией прокси-сервера
  • Управление сайтами единого входа NTLM

Эти параметры можно развернуть в приложении независимо от состояния регистрации устройства.

Управление синхронизацией учетных записей

По умолчанию синхронизация Microsoft Edge позволяет пользователям получать доступ к данным браузера на всех устройствах, где выполнен вход. Данные, поддерживаемые синхронизацией, включают:

  • Избранное
  • Пароли
  • Адреса и многое другое (автозаполнение записей формы)

Функция синхронизации включается с согласия пользователя, и пользователи могут включать или отключать синхронизацию для каждого из перечисленных выше типов данных. Дополнительные сведения см. в статье Синхронизация Microsoft Edge.

Организации могут отключить синхронизацию Microsoft Edge в iOS и Android.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.account.syncDisabled Значение true отключает синхронизацию Microsoft Edge
Значение false (по умолчанию) разрешает синхронизацию Microsoft Edge

Управление веб-сайтами с ограниченным доступом

Организации могут определять, к каким сайтам у пользователей есть доступ в контексте рабочей или учебной учетной записи в Microsoft Edge для iOS и Android. Если вы используете список разрешений, пользователи могут получить доступ только к явно перечисленным сайтам. Если вы используете список блокировок, пользователи могут получить доступ ко всем сайтам, кроме явно заблокированных. Следует назначить только список разрешений или блокировок, но не оба. Если вы назначите оба списка, будет соблюдаться только список разрешений.

Организации также определяют, что происходит, когда пользователь пытается перейти на веб-сайт с ограниченным доступом. По умолчанию переходы разрешены. Если организация разрешает это, веб-сайты с ограниченным доступом можно открыть в контексте личная учетная запись, в контексте InPrivate учетной записи Microsoft Entra или в том, заблокирован ли сайт полностью. Дополнительные сведения о поддерживаемых сценариях см. в статье Переходы на веб-сайты с ограниченным доступом в мобильной версии Microsoft Edge. При разрешении возможностей перехода пользователи организации остаются защищенными и сохраняется безопасность корпоративных ресурсов.

Примечание.

Microsoft Edge для iOS и Android может блокировать доступ к сайтам только при прямом доступе. Он не блокирует доступ, когда пользователи применяют промежуточные службы (например, службу перевода) для доступа к сайту. URL-адрес, который запускает Microsoft Edge, например Edge://*, Edge://flags и Edge://net-export, не поддерживается в политике конфигурации приложений AllowListURLs или BlockListURLs для управляемых приложений. Вместо этого вы можете использовать политику конфигурации приложений URLAllowList или URLBlocklist для управляемых устройств. Дополнительные сведения см. в статье Политики мобильных устройств Microsoft Edge.

Используйте следующие пары "ключ-значение", чтобы настроить список разрешенных или заблокированных сайтов в Microsoft Edge для iOS и Android.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.AllowListURLs Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно разрешить, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.BlockListURLs Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно заблокировать, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock Значение true (по умолчанию) позволяет Microsoft Edge для iOS и Android переход на сайты с ограниченным доступом. Если личные учетные записи не отключены, пользователям предлагается либо переключиться на личный контекст, чтобы открыть сайт с ограниченным доступом, либо добавить личную учетную запись. Если для com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked настроено значение true, пользователи могут открыть сайт с ограниченным доступом в контексте InPrivate.
Значение false запрещает переход пользователей в Microsoft Edge для iOS и Android. Пользователям просто отображается сообщение о том, что сайт, к которому они пытаются получить доступ, заблокирован.
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked Значение true позволяет открывать ограниченные сайты в контексте InPrivate учетной записи Microsoft Entra. Если учетная запись Microsoft Entra является единственной учетной записью, настроенной в Edge для iOS и Android, сайт с ограниченным доступом открывается автоматически в контексте InPrivate. Если у пользователя настроена личная учетная запись, ему предлагается выбрать между открытием режима InPrivate или переключением на личную учетную запись.
Значение false (по умолчанию) требует открытия сайта с ограниченным доступом в личной учетной записи пользователя. Если личные учетные записи отключены, сайт блокируется.
Чтобы этот параметр действовал, для com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock необходимо установить значение true.
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar Введите количество секунд, в течение которых пользователи будут видеть уведомление "Доступ к этому сайту заблокирован вашей организацией. Мы открыли его в режиме InPrivate для доступа к сайту". По умолчанию уведомление отображается в течение 7 секунд.

Следующие сайты всегда разрешены независимо от определенных параметров списка разрешений или списка блокировок.

  • https://*.microsoft.com/*
  • http://*.microsoft.com/*
  • https://microsoft.com/*
  • http://microsoft.com/*
  • https://*.windowsazure.com/*
  • https://*.microsoftonline.com/*
  • https://*.microsoftonline-p.com/*

Форматы URL-адресов для списка разрешенных и заблокированных сайтов

Для создания списков разрешенных или заблокированных сайтов можно использовать различные форматы URL-адресов. Эти допустимые шаблоны подробно описаны в следующей таблице.

  • При вводе любых URL-адресов в списке добавляйте префиксы http:// или https://.

  • Вы можете использовать подстановочный знак (*) в соответствии с правилами в следующем списке разрешенных шаблонов.

  • Подстановочный знак может совпадать только с частью (например, news-contoso.com) или всем компонентом имени узла (например, host.contoso.com) либо с целыми частями пути, если они разделены косой чертой (www.contoso.com/images).

  • В адресе можно указать номера портов. Если номер порта не указан, используются следующие значения.

    • Порт 80 для http
    • Порт 443 для https
  • Использование подстановочных знаков для номера порта не поддерживается. Например, имена меток http://www.contoso.com:* и http://www.contoso.com:*/ не поддерживаются.

    URL-адрес Подробно Совпадения Не соответствует
    http://www.contoso.com Соответствует одной странице www.contoso.com host.contoso.com
    www.contoso.com/images
    contoso.com/
    http://contoso.com Соответствует одной странице contoso.com/ host.contoso.com
    www.contoso.com/images
    www.contoso.com
    http://www.contoso.com/* Соответствует всем URL-адресам, которые начинаются с www.contoso.com www.contoso.com
    www.contoso.com/images
    www.contoso.com/videos/tvshows
    host.contoso.com
    host.contoso.com/images
    http://*.contoso.com/* Соответствует всем поддоменам в домене contoso.com developer.contoso.com/resources
    news.contoso.com/images
    news.contoso.com/videos
    contoso.host.com
    news-contoso.com
    http://*contoso.com/* Соответствует всем поддоменам, заканчивающимися на contoso.com/ news-contoso.com
    news-contoso.com.com/daily
    news-contoso.host.com
    news.contoso.com
    http://www.contoso.com/images Соответствует одной папке www.contoso.com/images www.contoso.com/images/dogs
    http://www.contoso.com:80 Соответствует одной странице с использованием номера порта www.contoso.com:80
    https://www.contoso.com Соответствует одной безопасной странице www.contoso.com www.contoso.com
    http://www.contoso.com/images/* Соответствует одной папке и всем вложенным папкам www.contoso.com/images/dogs
    www.contoso.com/images/cats
    www.contoso.com/videos
  • Ниже приведены примеры некоторых входных данных, которые нельзя указать:

    • *.com
    • *.contoso/*
    • www.contoso.com/*images
    • www.contoso.com/*images*pigs
    • www.contoso.com/page*
    • IP-адреса
    • https://*
    • http://*
    • http://www.contoso.com:*
    • http://www.contoso.com: /*

Управление веб-сайтами для отправки файлов

Могут быть сценарии, в которых пользователям разрешено только просматривать веб-сайты без возможности отправки файлов. Организации могут указать, какие веб-сайты могут получать отправляемые файлы.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно заблокировать, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
https://contoso.com/|http://contoso.com/|contoso.com|.contoso.com
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно заблокировать, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2|URL3
https://external.filesupload1.com/|http://external.filesupload2.com/|external.filesupload1.com|.filesupload1.com

Пример блокировки отправки файлов всеми веб-сайтами, включая внутренние веб-сайты

  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Пример разрешения отправки файлов определенным веб-сайтам

  • com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=https://.contoso.com/|.sharepoint.com/
  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Дополнительные сведения о формате URL-адресов см. в разделе Формат фильтра для политик URL-адресов Microsoft Edge.

Примечание.

Для Edge в iOS действие вставки будет заблокировано в дополнение к отправке. Пользователи не увидят параметр вставки в меню действий.

Управление конфигурацией прокси-сервера

Вы можете использовать Edge для iOS и Android и Microsoft Entra прокси приложения вместе, чтобы предоставить пользователям доступ к сайтам интрасети на мобильных устройствах. Например:

  • Пользователь применяет мобильное приложение Outlook, которое защищено Intune. Затем он нажимает ссылку на сайт интрасети в сообщении электронной почты, и Microsoft Edge для iOS и Android распознает, что этот сайт интрасети был предоставлен пользователю через прокси приложения. Пользователь автоматически направляется через прокси приложения для проверки подлинности с помощью любой применимой многофакторной проверки подлинности и условного доступа, прежде чем перейти на сайт интрасети. Теперь пользователь может получить доступ к внутренним сайтам даже на своих мобильных устройствах, и ссылка в Outlook работает должным образом.
  • Пользователь открывает Microsoft Edge для iOS и Android на своем устройстве iOS или Android. Если Microsoft Edge для iOS и Android защищен с помощью Intune, а прокси приложения включен, пользователь может перейти на сайт интрасети, используя знакомый ему внутренний URL-адрес. Microsoft Edge для iOS и Android распознает, что этот сайт интрасети был предоставлен пользователю через прокси приложения. Пользователь автоматически направляется через прокси приложения для проверки подлинности, прежде чем перейти на сайт интрасети.

Перед началом работы:

  • Настройте внутренние приложения с помощью Microsoft Entra прокси приложения.
    • Сведения о настройке прокси приложения и публикации приложений см. в документации по настройке.
    • Убедитесь, что пользователь назначен приложению прокси приложения Microsoft Entra, даже если приложение настроено с типом предварительной проверки подлинности passthrough.
  • Приложению Microsoft Edge для iOS и Android должна быть назначена политика защиты приложений Intune.
  • В приложениях Майкрософт должна быть политика защиты приложений, в которой параметру Ограничить обмен веб-содержимым с другими приложениями настроено значение Microsoft Edge.

Примечание.

Microsoft Edge для iOS и Android обновляет данные перенаправления прокси приложения на основе последнего успешного события обновления. Попытка обновления выполняется, когда последнее успешное событие обновления произошло более часа назад.

Целевой пограничный сервер для iOS и Android со следующей парой "ключ-значение", чтобы включить Application Proxy.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Значение true позволяет Microsoft Entra сценариях перенаправления прокси приложения
Значение false (по умолчанию) предотвращает Microsoft Entra сценарии прокси приложения

Дополнительные сведения об использовании Edge для iOS и Android и Microsoft Entra прокси приложения в тандеме для простого (и защищенного) доступа к локальным веб-приложениям см. в статье Улучшение взаимодействия: Intune и Microsoft Entra для улучшения доступа пользователей. В этой записи блога указывается Intune Managed Browser, но содержимое также применяется к Microsoft Edge для iOS и Android.

Управление сайтами единого входа NTLM

Организации могут требовать, чтобы пользователи проходили проверку подлинности с помощью NTLM для доступа к веб-сайтам интрасети. По умолчанию пользователям предлагается вводить учетные данные при каждом доступе к веб-сайту, требующему проверки подлинности NTLM, так как кэширование учетных данных NTLM отключено.

Организации могут включить кэширование учетных данных NTLM для определенных веб-сайтов. Для этих сайтов после ввода учетных данных пользователем и успешной проверки подлинности учетные данные кэшируются по умолчанию на 30 дней.

Ключ Значение
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs Соответствующее значение ключа — это список URL-адресов. Вы вводите все URL-адреса, которые нужно разрешить, в виде одного значения, разделенного символом вертикальной черты |.

Примеры.
URL1|URL2
http://app.contoso.com/|https://expenses.contoso.com

Дополнительные сведения о поддерживаемых форматах URL-адресов см. в разделе Форматы URL-адресов для списка разрешенных и заблокированных сайтов.
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO Количество часов кэширования учетных данных. По умолчанию — 720 часов

Дополнительная конфигурация приложений для управляемых устройств

Следующие политики, изначально настраиваемые с помощью политики конфигурации управляемых приложений, теперь доступны с помощью политики конфигурации приложений для управляемых устройств. При использовании политик для управляемых приложений пользователи должны войти в Microsoft Edge. При использовании политик для управляемых устройств пользователям не требуется входить в Microsoft Edge для применения политик.

Так как политикам конфигурации приложений для управляемых устройств требуется регистрация устройств, поддерживается любое единое управление конечными точками (UEM). Дополнительные политики в канале MDM см. в статье Политики Microsoft Edge Mobile.

Политика MAM Политика MDM
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL EdgeNewTabPageCustomURL
com.microsoft.intune.mam.managedbrowser.MyApps EdgeMyApps
com.microsoft.intune.mam.managedbrowser.defaultHTTPS EdgeDefaultHTTPS
com.microsoft.intune.mam.managedbrowser.disableShareUsageData EdgeDisableShareUsageData
com.microsoft.intune.mam.managedbrowser.disabledFeatures EdgeDisabledFeatures
com.microsoft.intune.mam.managedbrowser.disableImportPasswords EdgeImportPasswordsDisabled
com.microsoft.intune.mam.managedbrowser.enableKioskMode EdgeEnableKioskMode
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode EdgeShowAddressBarInKioskMode
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode EdgeShowBottomBarInKioskMode
com.microsoft.intune.mam.managedbrowser.account.syncDisabled EdgeSyncDisabled
com.microsoft.intune.mam.managedbrowser.NetworkStackPref EdgeNetworkStackPref
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled SmartScreenEnabled
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled MicrosoftRootStoreEnabled
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed SSLErrorOverrideAllowed
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting DefaultPopupsSetting
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls Всплывающие окнаAllowedForUrls
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls Всплывающие окнаBlockedForUrls
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled DefaultSearchProviderEnabled
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName DefaultSearchProviderName
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL DefaultSearchProviderSearchURL
com.microsoft.intune.mam.managedbrowser.Chat EdgeChat
com.microsoft.intune.mam.managedbrowser.ChatPageContext EdgeChatPageContext

Развертывание сценариев конфигурации приложений с помощью Microsoft Intune

Если вы используете Microsoft Intune в качестве поставщика управления мобильными приложениями, следующие действия позволяют создать политику конфигурации управляемых приложений. После создания конфигурации вы сможете назначать соответствующие параметры группам пользователей.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Приложения и нажмите Политики конфигурации приложений.

  3. В колонке Политики конфигурации приложений выберите Добавить и нажмите Управляемые приложения.

  4. В разделе Основные сведения укажите значения в полях Имя и Описание (необязательно) для параметров конфигурации приложений.

  5. В разделе Общедоступные приложения нажмите Выбрать общедоступные приложения, а затем в колонке Целевые приложения выберите Edge для iOS и Android, указав платформы приложений iOS и Android. Нажмите Выбрать, чтобы сохранить выбранные общедоступные приложения.

  6. Нажмите Далее, чтобы завершить основную настройку политики конфигурации приложений.

  7. В разделе Параметры разверните Параметры конфигурации Edge.

  8. Если вы хотите управлять параметрами защиты данных, настройте нужные параметры соответствующим образом:

    • Для параметра Перенаправление прокси приложения выберите один из доступных вариантов: Включить или Отключить (по умолчанию).

    • Для параметра URL-адрес ярлыка домашней страницы укажите действительный URL-адрес, включающий префикс http:// или https://. Неправильные URL-адреса блокируются в качестве меры безопасности.

    • Для параметра Управляемые закладки укажите название и действительный URL-адрес, включающий префикс http:// или https://.

    • Для параметра Разрешенные URL-адреса укажите действительный URL-адрес (разрешены только эти URL-адреса; доступ к другим сайтам отсутствует). Дополнительные сведения о поддерживаемых форматах URL-адресов см. в разделе Форматы URL-адресов для списка разрешенных и заблокированных сайтов.

    • Для параметра Заблокированные URL-адреса укажите действительный URL-адрес (блокируются только эти URL-адреса). Дополнительные сведения о поддерживаемых форматах URL-адресов см. в разделе Форматы URL-адресов для списка разрешенных и заблокированных сайтов.

    • Для параметра Перенаправлять сайты с ограниченным доступом в личный контекст выберите один из доступных вариантов: Включить (по умолчанию) или Отключить.

    Примечание.

    Если в политике определены как разрешенные, так и заблокированные URL-адреса, учитывается только список разрешенных.

  9. Если вы хотите, чтобы дополнительные параметры конфигурации приложений не демонстрировались в приведенной выше политике, разверните узел Общие параметры конфигурации и введите соответствующие настройки в пары "ключ-значение".

  10. Завершив настройку параметров, нажмите Далее.

  11. В разделе Назначения нажмите Выберите группы для включения. Выберите группу Microsoft Entra, которой требуется назначить политику конфигурации приложений, и нажмите кнопку Выбрать.

  12. Завершив назначение, нажмите Далее.

  13. В колонке Создание политики конфигурации приложений — Проверка и создание просмотрите настроенные параметры и нажмите Создать.

Созданная политика конфигурации появится в колонке Конфигурация приложения.

Использование Microsoft Edge для iOS и Android для доступа к журналам управляемых приложений

Пользователи с приложением Microsoft Edge для iOS и Android, установленным на устройствах с iOS или Android, могут просматривать состояние управления всеми опубликованными приложениями Майкрософт. Они могут отправлять журналы для устранения неполадок в управляемых приложениях iOS или Android. Для этого нужно выполнить следующие действия.

  1. Откройте Microsoft Edge для iOS и Android на своем устройстве.

  2. Введите edge://intunehelp/ в поле адреса.

  3. Microsoft Edge для iOS и Android запускается в режиме устранения неполадок.

Вы можете получить журналы от службы поддержки Майкрософт, предоставив идентификатор инцидента пользователя.

Список параметров, хранимый в журналах приложений, см. в статье Просмотр журналов защиты клиентских приложений.

Журналы диагностики

Кроме журналов Intune из edge://intunehelp/, служба поддержки Майкрософт может попросить вас предоставить журналы диагностики Microsoft Edge для iOS и Android. Вы можете скачать журналы на локальные устройства и отправить их в службу поддержки Майкрософт. Чтобы скачать журналы на локальные устройства, выполните следующие действия.

1. Откройте Справка и отзывы из меню переполнения

2. Нажмите диагностические данные

3. В Microsoft Edge для iOS нажмите значок Поделиться в правом верхнем углу. Откроется диалоговое окно ОС для предоставления общего доступа. Вы можете сохранить журналы локально или поделиться ими с другими приложениями. В Microsoft Edge для Android нажмите подменю в правом верхнем углу, чтобы сохранить журналы. Журналы будут сохранены в папке Загрузки ->Edge.

Вы также можете нажать значок Очистить, чтобы сначала очистить журналы для получения обновленных журналов.

Примечание.

Сохранение журналов также учитывает политику защиты приложений Intune. Поэтому вам может быть запрещено сохранять диагностические данные на локальных устройствах.

Дальнейшие действия