使用 Intune 在 iOS 和 Android 上管理 Microsoft Edge

适用于 iOS 和 Android 的 Edge 旨在使用户能够浏览 Web 并支持多身份。 用户可以添加工作帐户和个人帐户进行浏览。 这两个身份之间完全分离,就像其他 Microsoft 移动应用中提供的那样。

此功能适用于:

  • iOS/iPadOS 14.0 或更高版本
  • 适用于已注册设备的 Android 8.0 或更高版本,以及未注册设备的 Android 9.0 或更高版本

注意

适用于 iOS 和 Android 的 Edge 不使用用户在其设备上为本机浏览器设置的设置,因为适用于 iOS 和 Android 的 Edge 无法访问这些设置。

在订阅企业移动性 + 安全性套件(包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能(如条件访问))时,可以使用最丰富且最广泛的 Microsoft 365 数据保护功能。 至少需要部署一个条件访问策略,该策略仅允许从移动设备连接到适用于 iOS 和 Android 的 Edge,并部署确保浏览体验受保护的 Intune 应用保护策略。

注意

iOS 设备上的新 web 剪辑(固定的 web 应用程序)在需要使用受保护浏览器打开时,将会在 适用于 iOS 和 Android 的 Edge 中打开,而不是在 Intune Managed Browser 中打开。 对于较旧的 iOS Web 剪辑,必须重新定位这些 Web 剪辑,以确保它们在适用于 iOS 和 Android 的 Edge 中打开,而不是在 Managed Browser 中打开。

创建 Intune 应用保护策略

随着组织越来越多地采用 SaaS 和 Web 应用程序,浏览器已成为企业的基本工具。 用户在外出时通常需要从移动浏览器访问这些应用程序。 确保通过移动浏览器访问的数据受到保护,防止有意或无意的泄漏至关重要。 例如,用户可能会无意中将组织的数据与个人应用共享,导致数据泄露,或将其下载到本地设备,这也会带来风险。

组织可以通过配置应用保护策略) (应用保护策略(定义允许哪些应用以及他们可以对组织的数据执行的操作),在用户使用 Microsoft Edge 进行移动版浏览时防止数据泄露。 APP 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。

APP 数据保护框架分为三个不同的配置级别,每个级别基于上一个级别进行构建:

  • 企业基本数据保护(级别 1)可确保应用受 PIN 保护和经过加密处理,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 这是一个入门级配置,可在 Exchange Online 邮箱策略中提供类似的数据保护控制,并将 IT 和用户群引入 APP。
  • 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
  • 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。

若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架

无论设备是否在统一的终结点管理 (UEM) 解决方案中注册,都需要使用如何创建和分配应用保护策略中的步骤,为 iOS 和 Android 应用创建 Intune 应用保护策略。 这些策略至少必须满足以下条件:

  • 它们要包括所有 Microsoft 365 移动应用程序,如 Edge、Outlook、OneDrive、Office 或 Teams,因为这可确保用户能够安全地访问和操作任何 Microsoft 应用中的工作或学校数据。

  • 它们将分配给所有用户。 这可确保所有用户都受到保护,无论用户是使用适用于 iOS 还是适用于 Android 的 Edge。

  • 确定满足要求的框架级别。 大多数组织都应实现在企业增强型数据保护(级别 2)中定义的设置,因为这可以启用数据保护和访问要求控制。

注意

与浏览器相关的设置之一是“限制使用其他应用传输 Web 内容”。 在 企业增强型数据保护 (级别 2) 中,此设置的值配置为Microsoft Edge。 当 Outlook 和 Microsoft Teams 受应用保护策略 (APP) 保护时,将使用 Microsoft Edge 打开来自这些应用的链接,确保链接是安全的且受保护的。 有关可用设置的详细信息,请参阅 Android 应用保护策略设置iOS 应用保护策略设置

重要

To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal.

应用条件访问

虽然使用应用保护策略 (应用) 保护 Microsoft Edge 非常重要,但确保 Microsoft Edge 是打开公司应用程序所需的必需浏览器也很重要。 否则,用户可能会使用其他不受保护的浏览器来访问公司应用程序,这可能会导致数据泄漏。

组织可以使用 Microsoft Entra 条件访问策略来确保用户只能使用适用于 iOS 和 Android 的 Edge 访问工作或学校内容。 为此,你将需要一个面向所有潜在用户的条件访问策略。 条件访问:需要批准的客户端应用或应用保护策略介绍了这些策略。

请按照“移动设备需要批准的客户端应用或应用保护策略”的步骤进行操作,这将允许使用适用于 iOS 和 Android 的 Edge,但阻止其他移动设备网络浏览器连接到 Microsoft 365 终结点。

注意

此策略可确保移动用户可以从适用于 iOS 和 Android 的 Edge 中访问所有 Microsoft 365 终结点。 此策略还阻止用户使用 InPrivate 访问 Microsoft 365 终结点。

借助条件访问,还可以将通过 Microsoft Entra 应用程序代理向外部用户公开的本地站点作为目标。

注意

To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. 对于 Android 设备,需要 Intune 公司门户应用。 有关详细信息,请参阅使用 Intune 进行基于应用的条件访问

在受策略保护的浏览器中单一登录到与 Microsoft Entra 连接的 Web 应用

适用于 iOS 和 Android 的 Edge 可以利用单一登录 (SSO) 访问与 Microsoft Entra 连接的所有 Web 应用(SaaS 和本地)。 SSO 允许用户通过适用于 iOS 和 Android 的 Edge 访问与 Microsoft Entra 连接的 Web 应用,而无需重新输入其凭据。

SSO 要求设备使用适用于 iOS 设备的 Microsoft Authenticator 应用或 Android 上的 Intune 公司门户注册。 当用户拥有其中任一项,他们在受策略保护的浏览器中转到与 Microsoft Entra 连接的 Web 应用时,系统会提示他们注册其设备(仅当其设备尚未注册时才如此)。 向 Intune 管理的用户帐户注册设备后,该帐户会为与 Microsoft Entra 连接的 Web 应用启用 SSO。

注意

设备注册是使用 Microsoft Entra 服务的简单签入。 它不需要完全设备注册,也不会为 IT 提供设备上的其他任何权限。

使用应用配置管理浏览体验

适用于 iOS 和 Android 的 Edge 支持允许统一终结点管理的应用设置,如 Microsoft Intune 管理员自定义应用的行为。

可以通过已注册设备上的移动设备管理 (MDM) OS 通道(适用于 iOS 的托管应用配置通道或适用于 Android 的企业级 Android通道)或 MAM(移动应用程序管理)通道来传递应用配置。 适用于 iOS 和 Android 的 Edge 支持以下配置方案:

  • 仅允许工作或学校帐户
  • 常规应用配置设置
  • 数据保护设置
  • 托管设备的其他应用配置

重要

对于需要在 Android 上注册设备的配置方案,必须在 Android Enterprise 中注册设备,并且必须通过托管 Google Play 存储部署适用于 Android 的 Edge。 有关详细信息,请参阅设置 Android Enterprise 个人拥有的工作用户配置设备注册为托管 Android Enterprise 设备添加应用配置策略

每个配置方案都突出显示了其特定要求。 例如,配置方案是否需要设备注册,是否由此适用于任何 UEM 提供程序,或者是否需要 Intune 应用保护策略。

重要

应用配置密钥区分大小写。 使用正确的大小写来确保配置生效。

注意

使用 Microsoft Intune,通过 MDM OS 通道传递的应用配置称为托管设备应用配置策略 (ACP);通过 MAM(移动应用程序管理)通道提供的应用配置称为托管应用应用配置策略。

仅允许工作或学校帐户

尊重我们最大的、受严格监管的客户的数据安全和合规政策是 Microsoft 365 价值的关键支柱。 某些公司要求捕获其公司环境中的所有通信信息,并确保设备仅用于公司通信。 为了支持这些要求,可将已注册设备上的适用于 iOS 和 Android 的 Edge 配置为仅允许在应用中预配单个公司帐户。

可在此处详细了解如何配置组织允许的帐户模式设置:

此配置方案仅适用于已注册的设备。 但是,支持任何 UEM 提供程序。 如果不使用 Microsoft Intune,则需要查阅 UEM 文档,了解如何部署这些配置密钥。

常规应用配置方案

适用于 iOS 和 Android 的 Edge 使管理员能够自定义多个应用内设置的默认配置。 当适用于 iOS 和 Android 的 Edge 应用程序配置策略适用于登录到该应用程序的工作或学校帐户时,将提供此功能。

Edge 支持以下配置设置:

  • 新选项卡页体验
  • 书签体验
  • 应用行为体验
  • 展台模式体验

无论设备注册状态如何,都可以将这些设置部署到应用。

新标签页页面布局

鼓舞 人心的 布局是新选项卡页的默认布局。 它显示热门网站快捷方式、壁纸和新闻源。 用户可以根据自己的偏好更改布局。 组织还可以管理布局设置。

com.microsoft.intune.mam.managedbrowser.NewTabPageLayout focused 选择“专注”
鼓舞人心 (选择了“默认) 灵感”
信息 已选择“信息”
习惯 已选择“自定义”,打开顶部网站快捷方式切换,打开壁纸切换,新闻源切换处于打开状态
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom topsites 启用热门网站快捷方式
wallpaper 启用壁纸
newsfeed 启用新闻流
若要使此策略生效,必须将 com.microsoft.intune.mam.managedbrowser.NewTabPageLayout 设置为“custom

默认值为 topsites|wallpaper|newsfeed|
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable true(默认值)用户可以更改页面布局设置
false 用户无法更改页面布局设置。 页面布局由通过策略指定的值确定,否则将使用默认值

重要

NewTabPageLayout 策略旨在设置初始布局。 用户可以根据自己的偏好更改页面布局设置。 因此,仅当用户不更改布局设置时,NewTabPageLayout 策略才会生效。 可以通过配置 UserSelectable=false 来强制实施 NewTabPageLayout 策略。

注意

从版本 129.0.2792.84 开始,默认页面布局已更改为 鼓舞人心

关闭新闻流的示例

  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false

新选项卡页体验

适用于 iOS 和 Android 的 Edge 为组织提供了多种调整新标签页页面体验的选项,包括组织徽标、品牌颜色、主页、热门网站和行业资讯。

组织徽标和品牌颜色

组织徽标和品牌颜色设置允许你在 iOS 和 Android 设备上自定义 Edge 的新选项卡页横幅徽标用作组织的徽标,页面背景色用作组织的品牌颜色。 有关详细信息,请参阅 配置公司品牌

接下来,使用以下键/值对将组织的品牌拉取到适用于 iOS 和 Android 的 Edge 中:

com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo true 显示组织的品牌徽标
false(默认值)不会公开徽标
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor true 显示组织的品牌颜色
false(默认值)不会公开颜色

主页快捷方式

此设置允许你在“新建选项卡”页中为适用于 iOS 和 Android 的 Edge 配置主页快捷方式。 当用户在适用于 iOS 和 Android 的 Edge 中打开新选项卡时,配置的主页快捷方式将显示为搜索栏下的第一个图标。 用户无法在其托管上下文中编辑或删除此快捷方式。 主页快捷方式显示组织的名称以区分它。

com.microsoft.intune.mam.managedbrowser.homepage

此策略名称已替换为 Edge 配置设置下的 “主页”快捷方式 URL 的 UI
指定有效的 URL。 作为安全措施,会阻止不正确的 URL。
例如:https://www.bing.com

多个热门网站快捷方式

与配置主页快捷方式类似,可以在适用于 iOS 和 Android 的 Edge 中的新选项卡页上配置多个热门网站快捷方式。 用户无法在托管上下文中编辑或删除这些快捷方式。 注意:总共可以配置 8 个快捷方式,包括主页快捷方式。 如果已配置主页快捷方式,则该快捷方式将覆盖配置的第一个热门网站。

com.microsoft.intune.mam.managedbrowser.managedTopSites 指定值 URL 集。 每个热门网站快捷方式都由标题和 URL 组成。 使用 | 字符分隔标题和 URL。
例如:GitHub|https://github.com/||LinkedIn|https://www.linkedin.com

行业资讯

可以在适用于 iOS 和 Android 的 Edge 中配置“新建选项卡页”体验,以显示与组织相关的行业新闻。 启用此功能时,适用于 iOS 和 Android 的 Edge 使用组织的域名聚合来自 Web 的有关组织、组织行业和竞争对手的新闻,以便用户可以从适用于 iOS 和 Android 的 Microsoft Edge 内的集中式新选项卡页面中查找相关的外部新闻。 行业新闻默认为关闭。

com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews true 在“新建选项卡”页上显示行业新闻
false(默认)在“新建选项卡”页中隐藏行业新闻

主页而不是新选项卡页体验

适用于 iOS 和 Android 的 Edge 允许组织禁用“新建选项卡页”体验,而是在用户打开新选项卡时启动网站。虽然这是受支持的方案,但 Microsoft 建议组织利用“新建选项卡页”体验来提供与用户相关的动态内容。

com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL 指定有效的 URL。 如果未指定 URL,应用将使用“新建选项卡页”体验。 作为安全措施,会阻止不正确的 URL。
例如:https://www.bing.com

书签体验

适用于 iOS 和 Android 的 Edge 为组织提供了多个用于管理书签的选项。

托管书签

为了便于访问,你可以配置希望用户在使用适用于 iOS 和 Android 的 Edge 时可用的书签。

  • 书签仅显示在工作或学校帐户中,不会向个人帐户公开。
  • 用户无法删除或修改书签。
  • 书签显示在列表顶部。 用户创建的任何书签都显示在这些书签下方。
  • 如果已启用应用程序代理重定向,则可以使用其内部或外部 URL 添加应用程序代理 Web 应用。
  • 书签在以组织名称(在 Microsoft Entra ID 中定义)命名的文件夹中创建。
com.microsoft.intune.mam.managedbrowser.bookmarks

此策略名称已替换为边缘配置设置下的 托管书签 的 UI
此配置的值是书签列表。 每个书签由书签标题和书签 URL 组成。 使用 | 字符分隔标题和 URL。
例如:Microsoft Bing|https://www.bing.com

若要配置多个书签,请使用双字符 || 分隔每个对。
例如:Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com

我的应用书签

默认情况下,用户在适用于 iOS 和 Android 的 Edge 内的组织文件夹中配置了我的应用书签。

com.microsoft.intune.mam.managedbrowser.MyApps true(默认)显示适用于 iOS 和 Android 书签的 Edge 中的我的应用
false 隐藏适用于 iOS 和 Android 的 Edge 中的我的应用

应用行为体验

适用于 iOS 和 Android 的 Edge 为组织提供了多个用于管理应用行为的选项。

Microsoft Entra 密码单一登录

Microsoft Entra ID 提供的 Microsoft Entra 密码单一登录 (SSO) 功能为不支持联合身份验证的 Web 应用程序提供用户访问管理。 默认情况下,适用于 iOS 和 Android 的 Edge 不使用 Microsoft Entra 凭据执行 SSO。 有关详细信息,请参阅将基于密码的单一登录添加到应用程序

com.microsoft.intune.mam.managedbrowser.PasswordSSO true 启用 Microsoft Entra 密码 SSO
false(默认值)禁用 Microsoft Entra 密码 SSO

默认协议处理程序

默认情况下,当用户未在 URL 中指定协议时,适用于 iOS 和 Android 的 Edge 使用 HTTPS 协议处理程序。 通常,这是最佳做法,但可以禁用。

com.microsoft.intune.mam.managedbrowser.defaultHTTPS true(默认)默认协议处理程序为 HTTPS
false 默认协议处理程序为 HTTP

禁用可选诊断数据

默认情况下,用户可以选择从“设置->隐私和安全->诊断数据->可选诊断数据”设置发送可选诊断数据。 组织可以禁用此设置。

com.microsoft.intune.mam.managedbrowser.disableShareUsageData true 已禁用可选诊断数据设置
false(默认值)用户可以打开或关闭该选项

注意

首次运行体验 (FRE) 期间,还会向用户提示可选诊断数据设置。 组织可以使用 MDM 策略 EdgeDisableShareUsageData 跳过此步骤

禁用特定功能

适用于 iOS 和 Android 的 Edge 允许组织禁用默认启用的某些功能。 若要禁用这些功能,请配置以下设置:

com.microsoft.intune.mam.managedbrowser.disabledFeatures password 禁用为最终用户保存密码的提示
inprivate 禁用 InPrivate 浏览
autofill 禁用“保存和填充地址”和“保存并填充付款信息”。 即使对于以前保存的信息,也会禁用自动填充
translator 禁用翻译工具
readaloud 禁用大声朗读
drop 禁用放置
coupons 禁用优惠券
扩展 禁用仅限 Android (Edge 的扩展)
developertools 将生成版本号灰显,以防止用户访问开发人员选项(仅适用于 Android 的 Edge)
UIRAlert 禁止在新选项卡页屏幕中重新验证帐户弹出窗口
共享 禁用菜单下的“共享”
sendtodevices 禁用菜单下的“发送到设备”
weather 禁用 NTP 中的天气 (新选项卡页)

若要禁用多个功能,请使用 | 分隔值。 例如,inprivate|password 禁用 InPrivate 和密码存储。

禁用导入密码功能

适用于 iOS 和 Android 的 Edge 允许用户从密码管理器导入密码。 若要禁用导入密码,请配置以下设置:

com.microsoft.intune.mam.managedbrowser.disableImportPasswords true 禁用导入密码
false(默认值)允许导入密码

注意

在适用于 iOS 的 Edge 密码管理器中,有一个"添加”按钮。 禁用导入密码功能后,“添加”按钮也将被禁用。

你可以控制网站是否可以在适用于 Android 的 Edge 中存储用户的 Cookie。 为此,请配置以下设置:

com.microsoft.intune.mam.managedbrowser.cookieControlsMode 0(默认值)允许 Cookie
1 组织非 Microsoft Cookie
2 在 InPrivate 模式下阻止非 Microsoft Cookie
3 阻止所有 Cookie

注意

适用于 iOS 的 Edge 不支持控制 Cookie。

Android 设备上的展台模式体验

可使用以下设置将适用于 Android 的 Edge 作为展台应用启用:

com.microsoft.intune.mam.managedbrowser.enableKioskMode true 为适用于 Android 的 Edge 启用展台模式
false(默认)禁用展台模式
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode true 在展台模式下显示地址栏
false(默认值)启用展台模式时,隐藏地址栏
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode true 在展台模式下显示底部操作栏
false(默认值)启用展台模式时,隐藏底部栏

注意

iOS 设备不支持展台模式。 但是,你可能希望仅使用锁定视图模式 (MDM 策略) 来实现类似的用户体验,其中用户无法导航到其他网站,因为 URL 地址栏在锁定视图模式下变为只读。

锁定视图模式

可以使用 MDM 策略 EdgeLockedViewModeEnabled 将适用于 iOS 和 Android 的 Edge 启用为锁定视图模式。

EdgeLockedViewModeEnabled false(默认值)禁用锁定视图模式
true 启用锁定视图模式

它允许组织限制各种浏览器功能,提供可控的专注浏览体验。

  • URL 地址栏变为只读,阻止用户更改 Web 地址
  • 不允许用户创建新选项卡
  • 禁用网页上的上下文搜索功能
  • 禁用溢出菜单下的以下按钮
按钮 状态
新建 InPrivate 标签页 Disabled
发送到设备 Disabled
Drop Disabled
添加到手机 (Android) Disabled
下载页面 (Android) Disabled

锁定视图模式通常与 MAM 策略 com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL 或 MDM 策略 EdgeNewTabPageCustomURL 一起使用,可让组织配置在打开 Edge 时自动启动的特定网页。 用户仅可导航到此网页,无法导航到其他网站,从而为特定任务或内容使用提供受控环境。

注意

默认情况下,不允许用户在锁定视图模式下创建新标签页。 若要允许创建标签页,请将 MDM 策略 EdgeLockedViewModeAllowedActions 设置为“newtabs”。

在 Chromium 和 iOS 之间切换网络堆栈

默认情况下,iOS 和 Android Microsoft Edge 使用 Chromium 网络堆栈进行 Microsoft Edge 服务通信,包括同步服务、自动搜索建议和发送反馈。 iOS Microsoft Edge 还提供 iOS 网络堆栈作为 Microsoft Edge 服务通信的可配置选项。

组织可以通过配置以下设置来修改其网络堆栈首选项。

com.microsoft.intune.mam.managedbrowser.NetworkStackPref 0(默认)使用 Chromium 网络堆栈
1 使用 iOS 网络堆栈

注意

建议使用 Chromium 网络堆栈。 如果在向 Chromium 网络堆栈发送反馈时遇到同步问题或失败(例如,使用某些每应用 VPN 解决方案),使用 iOS 网络堆栈可能会解决问题。

设置代理 .pac 文件 URL

组织可以为适用于 iOS 和 Android 的 Microsoft Edge 指定代理自动配置 (PAC) 文件的 URL

com.microsoft.intune.mam.managedbrowser.proxyPacUrl 指定代理 .pac 文件的有效 URL。
例如:https://internal.site/example.pac

PAC 开放支持失败

默认情况下,适用于 iOS 和 Android 的 Microsoft Edge 将阻止具有无效或不可用 PAC 脚本的网络访问。 但是,组织可以将默认行为修改为 PAC 无法打开。

com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled false(默认值)阻止网络访问
true 允许网络访问

配置网络中继

在 iOS 17 上,适用于 iOS 的 Edge 现在支持网络中继。 这些是一种特殊类型的代理,可用于远程访问和隐私解决方案。 它们支持安全透明的流量隧道,在访问内部资源时充当 VPN 的新式替代方案。 有关网络中继的详细信息,请参阅 在 Apple 设备上使用网络中继

组织可以配置中继代理 URL,以基于匹配和排除的域路由流量。

com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl 指定中继配置 json 文件的有效 URL。
例如:https://yourserver/relay_config.json

网络中继的 json 文件示例
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}

供用户在 Android 中登录 Edge 的代理

代理自动配置 (PAC) 通常在 VPN 配置文件中配置。 但是,由于平台限制,在 Edge 登录过程中使用的 Android WebView 无法识别 PAC。 用户可能无法在 Android 中登录 Edge。

组织可以通过 MDM 策略指定专用代理,以便用户在 Android 中登录到 Edge。

EdgeOneAuthProxy 相应的值为字符串
示例http://MyProxy.com:8080

iOS 网站数据存储

适用于 iOS 的 Edge 中的网站数据存储对于管理 Cookie、磁盘和内存缓存以及各种类型的数据至关重要。 但是,适用于 iOS 的 Edge 中只有一个持久性网站数据存储。 默认情况下,此数据存储仅供个人帐户使用,导致工作或学校帐户无法使用它。 因此,工作或学校帐户的浏览数据(不包括 cookie)在每次会话后都会丢失。 为了改进用户体验,组织可以配置供工作或学校帐户使用的网站数据存储,确保浏览数据的持久性。

com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore 0 网站数据存储始终仅由个人帐户使用
1 第一个登录帐户将使用网站数据存储
2(默认值)无论登录顺序如何,工作或学校帐户都使用网站数据存储

注意

随着 iOS 17 的发布,现在支持多个持久存储。 工作和个人帐户具有其自己的指定持久存储。 因此,此策略从版本 122 开始不再有效。

Microsoft Defender SmartScreen

Microsoft Defender SmartScreen 是一项功能,可帮助用户避免恶意网站和下载。 默认情况下处于启用状态。 组织可以禁用此设置。

com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled true(默认)已启用 Microsoft Defender SmartScreen。
false 已禁用 Microsoft Defender SmartScreen。

证书验证

默认情况下,适用于 Android 的 Microsoft Edge 使用内置证书验证程序和 Microsoft 根存储作为公共信任源来验证服务器证书。 组织可以切换到系统证书验证程序和系统根证书。

com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled true(默认值)使用内置证书验证程序和 Microsoft 根存储来验证证书
false 使用系统证书验证程序和系统根证书作为公共信任源来验证证书

注意

此策略的一个用例是,在适用于 Android 的 Edge 中使用Microsoft MAM 隧道时,需要使用系统证书验证程序和系统根证书。

SSL 警告页控件

默认情况下,用户可以单击在导航到存在 SSL 错误的网站时显示的警告页面。 组织可以管理行为。

com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed true(默认值)允许用户单击 SSL 警告页
false 阻止用户单击 SSL 警告页

弹出窗口设置

默认情况下,阻止弹出窗口。 组织可以管理行为。

com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting 1 允许所有网站显示弹出窗口
2(默认值)不允许任何网站显示弹出窗口

在特定网站上允许弹出窗口

如果未配置此策略,则 DefaultPopupsSetting 策略中的值(如果已设置)或用户的个人配置用于所有站点。 组织可以定义可打开弹出窗口的网站列表。

com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls 键的相应值是 URL 列表。 输入要阻止的所有 URL 作为单个值,用管道 | 字符分隔。

示例:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

有关 URL 格式的详细信息,请参阅企业策略 URL 模式格式

在特定网站上阻止弹出窗口

如果未配置此策略,则 DefaultPopupsSetting 策略中的值(如果已设置)或用户的个人配置用于所有站点。 组织可以定义阻止其打开弹出窗口的网站列表。

com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls 键的相应值是 URL 列表。 输入要阻止的所有 URL 作为单个值,用管道 | 字符分隔。

示例:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

有关 URL 格式的详细信息,请参阅企业策略 URL 模式格式

默认搜索提供程序

默认情况下,当用户在地址栏中输入非 URL 文本时,Edge 使用默认搜索提供程序执行搜索。 用户可以更改搜索提供程序列表。 组织可以管理搜索提供程序行为。

com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled true 启用默认搜索提供程序
false 禁用默认搜索提供程序

配置搜索提供程序

组织可以为用户配置搜索提供程序。 若要配置搜索提供程序,首先需要配置策略 DefaultSearchProviderEnabled

com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName 相应的值为字符串
示例My Intranet Search
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL 相应的值为字符串
示例https://search.my.company/search?q={searchTerms}

Copilot

注意

从版本 128 开始,已弃用适用于工作或学校帐户的 Copilot。 因此,以下策略在版本 128 中将不再有效。 如果要阻止访问 Copilot 的 Web 版本,copilot.microsoft.com,可以使用策略 AllowListURLs 或 BlockListURLs。

Copilot 在适用于 iOS 和 Android 的 Microsoft Edge 上可用。 用户可以通过单击底部栏中的 Copilot 按钮启动 Copilot。

设置”->“常规”->“Copilot”中有三个设置。

  • 显示 Copilot - 控制是否在底部栏上显示必应按钮
  • 允许访问任何网页或 PDF - 控制是否允许 Copilot 访问页面内容或 PDF
  • 在选择文本时快速访问 - 控制在选择网页上的文本时是否显示快速聊天面板

可以管理 Copilot 的设置。

com.microsoft.intune.mam.managedbrowser.Chat true(默认值)用户可在底部栏中看到 Copilot 按钮。 “显示 Copilot”设置默认处于启用状态,用户可以将其禁用
false 用户在底部栏中看不到 Copilot 按钮。 “显示 Copilot”设置处于禁用状态,用户无法启用
com.microsoft.intune.mam.managedbrowser.ChatPageContext true(默认值)用户可以启用“允许访问任何网页或 PDF”和“在选择文本时快速访问
false 禁用“允许访问任何网页或 PDF”和“在选择文本时快速访问”,用户无法启用它们

数据保护应用配置方案

适用于 iOS 和 Android 的 Edge 支持以下数据保护设置的应用配置策略:应用由 Microsoft Intune 托管应用管理,应用配置策略应用于已登录到应用的工作或学校帐户:

  • 管理帐户同步
  • 管理受限网站
  • 管理代理配置
  • 管理 NTLM 单一登录站点

无论设备注册状态如何,都可以将这些设置部署到应用。

管理帐户同步

默认情况下,通过 Microsoft Edge 同步,用户可以访问他们所有已登录设备上的浏览数据。 同步支持的数据包括:

  • 收藏夹
  • 密码
  • 地址等(自动填充表单条目)

用户同意后即可启用同步功能,并且用户可以针对上面列出的每种数据类型打开或关闭同步功能。 有关详细信息,请参阅 Microsoft Edge 同步

组织能够在 iOS 和 Android 上禁用 Edge 同步。

com.microsoft.intune.mam.managedbrowser.account.syncDisabled true 禁用 Edge 同步
false(默认)允许 Edge 同步

管理受限网站

组织可以定义用户可以在适用于 iOS 和 Android 的 Edge 中的工作或学校帐户上下文中访问的网站。 如果使用允许列表,则用户只能访问明确列出的网站。 如果使用阻止列表,则用户可以访问除明确阻止的网站之外的所有网站。 应仅强制实施允许列表或阻止列表,而不应同时强制实施两者。 如果两者都强制执行,则仅执行允许列表。

组织还定义当用户尝试导航到受限网站时会发生什么情况。 默认情况下,允许转换。 如果组织允许,可以在个人帐户上下文、Microsoft Entra 帐户的 InPrivate 上下文中打开受限网站,或者选择是否完全阻止该网站。 有关受支持的各种方案的详细信息,请参阅 Microsoft Edge 移动设备中的受限网站转换。 通过允许转换体验,组织的用户将保持受保护,同时确保公司资源的安全。

为了通过减少用户手动切换到个人配置文件或 InPrivate 模式以打开阻止的 URL 来增强配置文件切换体验,我们引入了两个新策略:

  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork

由于这些策略根据其配置和组合带来了不同的结果,因此我们建议尝试下面的策略建议,以便快速评估,在浏览详细文档之前,配置文件切换体验是否与组织的需求保持一致。 建议的配置文件切换配置设置包括以下值:

  • com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
  • com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2

注意

仅当直接访问适用于 iOS 和 Android 的 Edge 时,它们才能阻止对网站的访问。 当用户使用中间服务(如翻译服务)访问站点时,它不会阻止访问。 托管应用的应用配置策略 AllowListURLsBlockListURLs 不支持以 Edge 开头的 URL,例如 Edge://*Edge://flagsEdge://net-export。 可以使用 com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList 禁用这些 URL。

如果设备是托管的,则还可以对托管设备使用应用配置策略 URLAllowListURLBlocklist 。 有关相关信息,请参阅 Microsoft Edge 移动策略

使用以下键/值对为适用于 iOS 和 Android 的 Edge 配置允许或阻止的站点列表。

com.microsoft.intune.mam.managedbrowser.AllowListURLs

此策略名称已替换为边缘配置设置下的 “允许 URL” UI
键的相应值是 URL 列表。 输入要允许的所有 URL 作为单个值,用管道 | 字符进行分隔。

示例:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.BlockListURLs

此策略名称已替换为边缘配置设置下的 阻止 URL 的 UI
键的相应值是 URL 列表。 输入要阻止的所有 URL 作为单个值,用管道 | 字符分隔。

示例:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock true(默认)允许适用于 iOS 和 Android 的 Edge 转换受限站点。 如果未禁用个人帐户,系统会提示用户切换到个人上下文以打开受限网站或添加个人帐户。 如果 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked 设置为 true,则用户可以在 InPrivate 上下文中打开受限网站。
false 防止适用于 iOS 和 Android 的 Edge 转换用户。 用户只会看到一条消息,指出他们尝试访问的站点已被阻止。
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked

此策略名称已替换为 Edge 配置设置下将 受限网站重定向到个人上下文 的 UI
true 允许在 Microsoft Entra 帐户的 InPrivate 上下文中打开受限站点。 如果 Microsoft Entra 帐户是在适用于 iOS 和 Android 的 Edge 中配置的唯一帐户,则受限站点会在 InPrivate 上下文中自动打开。 如果用户配置了个人帐户,则系统会提示用户在打开 InPrivate 或切换到个人帐户之间进行选择。
false(默认)要求在用户的个人帐户中打开受限网站。 如果个人帐户被禁用,则将阻止网站。
若要使此设置生效,必须将 com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock 设置为 true。
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar 输入用户将看到“组织阻止访问此网站”的通知栏通知的秒数。 我们已在 InPrivate 模式下打开它,以便你访问站点。”默认情况下,通知栏通知会显示 7 秒。

无论定义的允许列表或阻止列表设置如何,始终允许以下网站(copilot.microsoft.com 除外):

  • https://*.microsoft.com/*
  • http://*.microsoft.com/*
  • https://microsoft.com/*
  • http://microsoft.com/*
  • https://*.windowsazure.com/*
  • https://*.microsoftonline.com/*
  • https://*.microsoftonline-p.com/*

控制“已阻止站点”弹出窗口的行为

尝试访问阻止的网站时,系统会提示用户切换到 InPrivate 或个人帐户来打开阻止的网站。 可以在 InPrivate 和个人帐户之间选择首选项。

com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock 0:(默认值)始终显示弹出窗口供用户进行选择。
1:登录个人帐户时自动切换到个人帐户。如果未登录个人帐户,则行为更改为值 2。
2:如果 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true 允许 InPrivate 切换,则自动切换到 InPrivate。

控制将个人配置文件切换到工作配置文件的行为

当 Edge 位于个人配置文件下,并且用户尝试从工作配置文件下的 Outlook 或 Microsoft Teams 打开链接时,默认情况下,Intune将使用 Edge 工作配置文件打开链接,因为 Edge、Outlook 和 Microsoft Teams 均由 Intune 管理。 但是,当链接被阻止时,用户将切换到个人配置文件。 这会导致用户的摩擦体验

可以配置策略来增强用户体验。 建议将此策略与 AutoTransitionModeOnBlock 一起使用,因为它可能会根据配置的策略值将用户切换到个人配置文件。

com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork 1: (默认) 切换到工作配置文件,即使 URL 被 Edge 策略阻止也是如此。
2:如果个人配置文件已登录,则阻止的 URL 将在个人配置文件下打开。 如果未登录个人配置文件,则阻止的 URL 将在 InPrivate 模式下打开。

允许和阻止的网站列表的 URL 格式

可以使用各种 URL 格式生成允许/阻止的网站列表。 下表详细介绍了这些允许的模式。

  • 确保在将所有 URL 输入到列表中时使用 http://https:// 作为前缀。

  • 可以根据以下允许模式列表中的规则使用通配符 (*)。

  • 通配符只能匹配主机名的一部分(例如,news-contoso.com)或整个组件(例如,host.contoso.com),或者在斜杠(www.contoso.com/images)分隔时可以匹配路径的整个部分。

  • 可以在地址中指定端口号。 如果未指定端口号,则使用的值为:

    • 用于 http 的端口 80
    • 用于 https 的端口 443
  • 支持对端口号使用通配符。 例如,http://www.contoso.com:*http://www.contoso.com:*/ 不受支持。

    URL 详细信息 匹配 不匹配
    http://www.contoso.com 匹配单页 www.contoso.com host.contoso.com
    www.contoso.com/images
    contoso.com/
    http://contoso.com 匹配单页 contoso.com/ host.contoso.com
    www.contoso.com/images
    www.contoso.com
    http://www.contoso.com/* 匹配以 www.contoso.com 开头的所有 URL www.contoso.com
    www.contoso.com/images
    www.contoso.com/videos/tvshows
    host.contoso.com
    host.contoso.com/images
    http://*.contoso.com/* 匹配 contoso.com 下的所有子域 developer.contoso.com/resources
    news.contoso.com/images
    news.contoso.com/videos
    contoso.host.com
    news-contoso.com
    http://*contoso.com/* 匹配以 contoso.com/ 结尾的所有子域 news-contoso.com
    news-contoso.com/daily
    news-contoso.host.com
    news.contoso.com
    http://www.contoso.com/images 匹配单个文件夹 www.contoso.com/images www.contoso.com/images/dogs
    http://www.contoso.com:80 使用端口号匹配单页 www.contoso.com:80
    https://www.contoso.com 匹配单个安全页面 www.contoso.com www.contoso.com/images
    http://www.contoso.com/images/* 匹配单个文件夹和所有子文件夹 www.contoso.com/images/dogs
    www.contoso.com/images/cats
    www.contoso.com/videos
  • 下面是一些无法指定的输入示例:

    • *.com
    • *.contoso/*
    • www.contoso.com/*images
    • www.contoso.com/*images*pigs
    • www.contoso.com/page*
    • IP 地址
    • https://*
    • http://*
    • http://www.contoso.com:*
    • http://www.contoso.com: /*

禁用 Edge 内部页

可以禁用 Edge 内部页,例如 Edge://flagsEdge://net-export。 可以从 中找到更多页面 Edge://about

com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList 键的相应值是页名称列表。 可以输入要阻止的内部页作为单个值,并用管道 | 字符分隔。

示例:
flags|net-export

管理网站以允许上传文件

在某些情况下,用户可能只可查看网站,而无法上传文件。 组织可以选择指定哪些网站可以接收文件上传。

com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls 键的相应值是 URL 列表。 输入要阻止的所有 URL 作为单个值,用管道 | 字符分隔。

示例:
URL1|URL2|URL3
https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls 键的相应值是 URL 列表。 输入要阻止的所有 URL 作为单个值,用管道 | 字符分隔。

示例:
URL1|URL2|URL3
https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com

阻止所有网站(包括内部网站)上传文件的示例

  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

允许特定网站上传文件的示例

  • com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=https://[*.]contoso.com/|[*.]sharepoint.com/
  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

有关 URL 格式的详细信息,请参阅企业策略 URL 模式格式

注意

对于 iOS 上的 Edge,除了上传之外,还会阻止粘贴操作。 用户不会在操作菜单中看到粘贴选项。

管理代理配置

可以将适用于 iOS 和 Android 的 Edge 与 Microsoft Entra 应用程序代理结合使用,以允许用户访问其移动设备上的 Intranet 站点。 例如:

  • 用户正在使用受 Intune 保护的 Outlook 移动应用。 然后,他们在电子邮件中单击指向 Intranet 站点的链接,而适用于 iOS 和 Android 的 Edge 会识别出此 Intranet 站点已通过应用程序代理向用户公开。 用户会自动通过应用程序代理路由,以便在到达 Intranet 站点之前使用任何适用的多重身份验证和条件访问进行身份验证。 用户现在可以访问内部站点(在其移动设备上也可以访问),并且 Outlook 中的链接会按预期工作。
  • 用户在其 iOS 或 Android 设备上打开适用于 iOS 和 Android 的 Edge。 如果适用于 iOS 和 Android 的 Edge 受 Intune 保护,并且启用了应用程序代理,则用户可以使用它们所用的内部 URL 转到 Intranet 站点。 适用于 iOS 和 Android 的 Edge 会识别出此 Intranet 站点已通过应用程序代理向用户公开。 用户会自动通过应用程序代理路由,以便在到达 Intranet 站点之前进行身份验证。

开始之前:

  • 通过 Microsoft Entra 应用程序代理设置内部应用程序。
    • 若要配置应用程序代理和发布应用程序,请参阅安装文档
    • 确保将用户分配到 Microsoft Entra 应用程序代理应用,即使为应用配置了直通预身份验证类型。
  • 适用于 iOS 和 Android 应用的 Edge 必须分配有 Intune 应用保护策略
  • Microsoft 应用必须具有限制与其他应用的 Web 内容传输的应用保护策略,数据传输设置设为 Microsoft Edge

注意

适用于 iOS 和 Android 的 Edge 基于上次成功的刷新事件更新应用程序代理重定向数据。 每当上次成功刷新事件超过一小时时,就会尝试更新。

使用以下键/值对将适用于 iOS 和 Android 的 Edge 作为目标,以启用应用程序代理。

com.microsoft.intune.mam.managedbrowser.AppProxyRedirection

此策略名称已替换为边缘配置设置下 的应用程序代理重定向 的 UI
true 启用 Microsoft Entra 应用程序代理重定向方案
false(默认值)阻止 Microsoft Entra 应用程序代理方案

有关如何结合使用适用于 iOS 和 Android 的 Edge 以及 Microsoft Entra 应用程序代理以实现对本地 Web 应用的无缝(和受保护)访问的详细信息,请参阅强强联合:Intune 与 Microsoft Entra 协同工作以改进用户访问。 此博客文章引用了 Intune Managed Browser,但内容也适用于适用于 iOS 和 Android 的 Edge。

管理 NTLM 单一登录站点

组织可能要求用户通过 NTLM 进行身份验证才能访问 Intranet 网站。 默认情况下,当用户访问需要 NTLM 身份验证的网站时,系统会提示用户输入凭据,因为 NTLM 凭据缓存已禁用。

组织可以为特定网站启用 NTLM 凭据缓存。 对于这些站点,在用户输入凭据并成功进行身份验证后,默认情况下会缓存凭据 30 天。

注意

如果使用的是代理服务器,请确保使用 NTLMSSOURLs 策略对其进行配置,在该策略中专门将 httpshttp 指定为键值的一部分。

目前,需要在 NTLMSSOURLs 键值中指定 httpshttp 方案。 例如,需要同时 https://your-proxy-server:8080 配置 和 http://your-proxy-server:8080。 目前,将格式指定为 host:port ((如 your-proxy-server:8080) )是不够的。

此外,在 NTLMSSOURLs 策略中配置代理服务器时,不支持通配符 (*) 。

com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs 键的相应值是 URL 列表。 输入要允许的所有 URL 作为单个值,用管道 | 字符进行分隔。

示例:
URL1|URL2
http://app.contoso.com/|https://expenses.contoso.com

有关支持的 URL 格式类型的详细信息,请参阅允许和阻止的站点列表的 URL 格式。
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO 缓存凭据的小时数,默认值为 720 小时

托管设备的其他应用配置

以下策略最初可通过托管应用配置策略进行配置,现在可通过托管设备应用配置策略使用。 使用托管应用的策略时,用户必须登录到 Microsoft Edge。 使用托管设备的策略时,用户无需登录到 Edge 即可应用策略。

由于托管设备的应用配置策略需要设备注册,因此支持任何统一的终结点管理 (UEM)。 若要在 MDM 通道下查找更多策略,请参阅 Microsoft Edge 移动策略

MAM 策略 MDM 策略
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL EdgeNewTabPageCustomURL
com.microsoft.intune.mam.managedbrowser.MyApps EdgeMyApps
com.microsoft.intune.mam.managedbrowser.defaultHTTPS EdgeDefaultHTTPS
com.microsoft.intune.mam.managedbrowser.disableShareUsageData EdgeDisableShareUsageData
com.microsoft.intune.mam.managedbrowser.disabledFeatures EdgeDisabledFeatures
com.microsoft.intune.mam.managedbrowser.disableImportPasswords EdgeImportPasswordsDisabled
com.microsoft.intune.mam.managedbrowser.enableKioskMode EdgeEnableKioskMode
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode EdgeShowAddressBarInKioskMode
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode EdgeShowBottomBarInKioskMode
com.microsoft.intune.mam.managedbrowser.account.syncDisabled EdgeSyncDisabled
com.microsoft.intune.mam.managedbrowser.NetworkStackPref EdgeNetworkStackPref
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled SmartScreenEnabled
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled MicrosoftRootStoreEnabled
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed SSLErrorOverrideAllowed
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting DefaultPopupsSetting
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls PopupsAllowedForUrls
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls PopupsBlockedForUrls
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled DefaultSearchProviderEnabled
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName DefaultSearchProviderName
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL DefaultSearchProviderSearchURL
com.microsoft.intune.mam.managedbrowser.Chat EdgeCopilotEnabled
com.microsoft.intune.mam.managedbrowser.ChatPageContext EdgeChatPageContext

使用 Microsoft Intune 部署应用配置方案

如果使用 Microsoft Intune 作为移动应用管理提供程序,则可通过以下步骤创建托管应用应用配置策略。 创建配置后,可以将其设置分配给用户组。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“应用”,然后选择“应用配置策略”。

  3. 在“应用配置策略”边栏选项卡上,选择“添加”,然后选择“托管应用”。

  4. 在“基本信息”部分,为应用配置设置输入“名称”,以及可选“说明”。

  5. 对于“公共应用”,请选择“选择公共应用”,然后在“目标应用”边栏选项卡上,通过同时选择 iOS 和 Android 平台应用,选择“适用于 iOS 和 Android 的 Edge”。 单击“选择”以保存选定的公共应用。

  6. 单击“下一步”完成应用配置策略的基本设置。

  7. 在“设置”部分,展开“Edge 配置设置”。

  8. 如果要管理数据保护设置,请相应地配置所需的设置:

    • 对于应用程序代理重定向,请从可用选项中进行选择:启用禁用(默认)。

    • 对于主页快捷方式 URL,请指定包含 http://https:// 的前缀的有效 URL。 作为安全措施,会阻止不正确的 URL。

    • 对于托管书签,请指定标题和有效的 URL,其中包括 http://https:// 的前缀。

    • 对于允许的 URL,请指定有效的 URL(仅允许这些 URL;无法访问其他站点)。 有关支持的 URL 格式类型的详细信息,请参阅允许和阻止的站点列表的 URL 格式。

    • 对于阻止的 URL,请指定有效的 URL(仅阻止这些 URL)。 有关支持的 URL 格式类型的详细信息,请参阅允许和阻止的站点列表的 URL 格式。

    • 对于将受限网站重定向到个人上下文,请从可用选项中进行选择:启用(默认)、禁用

    注意

    当同时在策略中定义允许的 URL 和阻止的 URL 时,仅会执行允许的列表。

  9. 如果要在上述策略中未公开其他应用配置设置,请展开“常规配置设置”节点,并相应地输入键值对。

  10. 完成设置配置后,选择“下一步”。

  11. 在“分配”部分,选择“选择要包含的组”。 选择要向其分配应用配置策略的 Microsoft Entra 组,然后选择“选择”。

  12. 完成作业后,选择“下一步”。

  13. 在“创建应用配置策略审阅 + 创建”边栏选项卡上,查看配置的设置,然后选择“创建”。

新创建的配置策略显示在“应用配置”边栏选项卡上。

使用适用于 iOS 和 Android 版 Microsoft Edge 访问托管应用日志

在 iOS 或 Android 设备上安装了 Edge 的用户可以查看所有 Microsoft 发布的应用的管理状态。 他们可以使用以下步骤发送日志,以便对其托管 iOS 或 Android 应用进行故障排除:

  1. 在设备上打开适用于 iOS 和 Android 的 Edge。

  2. 在地址框中键入 edge://intunehelp/

  3. 适用于 iOS 和 Android 的 Edge 启动了故障排除模式。

可以通过向 Microsoft 支持提供用户的事件 ID 来检索日志。

有关应用日志中存储的设置列表,请参阅 查看客户端应用保护日志

诊断日志

除了来自 edge://intunehelp/ 的 Intune 日志,Microsoft 支持可能会要求你提供适用于 iOS 和 Android 的 Microsoft Edge 的诊断日志。 可以将日志下载到本地设备并将其共享到 Microsoft 支持。 若要将日志下载到本地设备,请执行以下操作:

1.从溢出菜单打开“帮助和反馈

2.单击“诊断数据

3.对于适用于 iOS 的 Microsoft Edge,请单击右上角的“共享”图标。 将显示 OS 共享对话框。 可以选择将日志保存到本地或与其他应用共享。 对于适用于 Android 的 Microsoft Edge,请单击右上角的子菜单以保存日志。 日志将存储到文件夹 下载 ->Edge

你可能还需要单击“清除”图标首先清除日志以获取刷新日志。

注意

保存日志也遵循 Intune 应用保护策略。 因此可能不允许将诊断数据保存到本地设备。

后续步骤