Správa Microsoft Edge v iOSu a Androidu pomocí Intune
Edge pro iOS a Android je navržený tak, aby uživatelům umožňoval procházení webu a podporuje více identit. Uživatelé můžou přidat pracovní i osobní účet pro procházení webu. Tyto dvě identity jsou naprosto oddělené, což je podobné tomu, co se nabízí v jiných mobilních aplikacích Microsoftu.
Tato funkce platí pro:
- iOS/iPadOS 14.0 nebo novější
- Android 8.0 nebo novější pro zaregistrovaná zařízení a Android 9.0 nebo novější pro nezaregistrovaná zařízení
Poznámka
Edge pro iOS a Android nevyužívá nastavení, která si uživatelé na svých zařízeních nastavili pro nativní prohlížeč, protože Edge pro iOS a Android k těmto nastavením nemá přístup.
Bohatší a nejširší možnosti ochrany dat Microsoftu 365 jsou k dispozici, když si předplatíte sadu Enterprise Mobility + Security, která zahrnuje funkce Microsoft Intune a Microsoft Entra ID P1 nebo P2, jako je podmíněný přístup. Minimálně budete chtít nasadit zásadu podmíněného přístupu, která umožňuje připojení k Edgi jenom pro iOS a Android z mobilních zařízení, a zásady ochrany aplikací Intune, které zajistí ochranu prostředí procházení.
Poznámka
Nové webové klipy (připnuté webové aplikace) na zařízeních s iOSem se otevřou v Edgi pro iOS a Android místo Intune Managed Browser, pokud bude potřeba je otevřít v chráněném prohlížeči. U starších webových klipů pro iOS je nutné tyto webové klipy znovu zacílit, aby se otevíraly v Edgi pro iOS a Android a ne ve spravovaném prohlížeči.
Vytvoření zásad ochrany aplikací Intune
V souvislosti s tím, jak organizace stále častěji zavádějí SaaS a webové aplikace, se prohlížeče staly nezbytnými nástroji pro firmy. Uživatelé často potřebují přístup k těmto aplikacím z mobilních prohlížečů za pochodu. Zásadní je zajistit, aby data přístupná prostřednictvím mobilních prohlížečů byla chráněna před úmyslným nebo neúmyslným únikem. Uživatelé mohou například neúmyslně sdílet data organizací s osobními aplikacemi, což vede k úniku dat, nebo si je stáhnout do místních zařízení, což také představuje riziko.
Organizace můžou chránit data před únikem informací, když uživatelé procházejí v Microsoft Edgi pro mobilní zařízení, a to konfigurací zásad ochrany aplikací (APP), jež definují, které aplikace jsou povolené a jaké akce můžou s daty vaší organizace provádět. Možnosti dostupné v aplikaci APP umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře. Microsoft zavedl taxonomii pro svoji architekturu ochrany dat APP pro správu mobilních aplikací pro správu mobilních aplikací pro iOS a Android, aby organizacím pomohl prioritizovat posílení zabezpečení koncových bodů mobilních klientů.
Architektura ochrany dat APP je uspořádaná do tří různých úrovní konfigurace, přičemž každá úroveň vychází z předchozí úrovně:
- Základní ochrana podnikových dat (úroveň 1) zajišťuje, že aplikace jsou chráněné kódem PIN a šifrované, a provádí operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Jedná se o konfiguraci základní úrovně, která poskytuje podobné řízení ochrany dat v zásadách poštovních schránek Exchange Online a zavádí IT a populaci uživatelů do APP.
- Rozšířená ochrana podnikových dat (úroveň 2) zavádí mechanismy ochrany dat APP a minimální požadavky na operační systém. Toto je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
- Vysoká ochrana podnikových dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami pro APP. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.
Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.
Bez ohledu na to, jestli je zařízení zaregistrované v řešení sjednocené správy koncových bodů (UEM), je potřeba vytvořit zásady ochrany aplikací Intune pro aplikace pro iOS i Android pomocí kroků v tématu Vytvoření a přiřazení zásad ochrany aplikací. Tyto zásady musí splňovat minimálně následující podmínky:
Zahrnují všechny mobilní aplikace Microsoft 365, jako je Edge, Outlook, OneDrive, Office nebo Teams, protože to zajišťuje, aby uživatelé mohli bezpečně přistupovat k pracovním nebo školním datům v libovolné aplikaci Microsoftu a manipulovat s nimi.
Jsou přiřazené všem uživatelům. Tím se zajistí, že všichni uživatelé budou chráněni bez ohledu na to, jestli používají Edge pro iOS nebo Android.
Určete, která úroveň architektury splňuje vaše požadavky. Většina organizací by měla implementovat nastavení definovaná v části Rozšířená ochrana podnikových dat (úroveň 2), která umožňují řízení požadavků na ochranu dat a přístup.
Poznámka
Jedním z nastavení souvisejících s prohlížeči je „Omezit přenos webového obsahu jinými aplikacemi“. V rozšířené ochraně podnikových dat (úroveň 2) je hodnota tohoto nastavení nakonfigurovaná na Microsoft Edge. Když jsou Outlook a Microsoft Teams chráněné zásadami ochrany aplikací (APP), Microsoft Edge se bude používat k otevírání odkazů z těchto aplikací, aby se zajistilo, že jsou odkazy zabezpečené a chráněné. Další informace o dostupných nastaveních najdete v tématu Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS.
Důležité
Pokud chce uživatel použít zásady ochrany aplikací Intune u aplikací na zařízeních s Androidem, která nejsou zaregistrovaná v Intune, musí také nainstalovat Portál společnosti Intune.
Použít podmíněný přístup
I když je důležité chránit Microsoft Edge pomocí zásad ochrany aplikací (APP), je také důležité zajistit, aby byl Microsoft Edge povinným prohlížečem pro otevírání podnikových aplikací. Uživatelé by jinak mohli pro přístup k podnikovým aplikacím používat jiné nechráněné prohlížeče, což může vést k úniku dat.
Organizace můžou pomocí zásad podmíněného přístupu Microsoft Entra zajistit, aby uživatelé měli prostřednictvím Edge pro iOS a Android přístup jenom k pracovnímu nebo školnímu obsahu. K tomu budete potřebovat zásadu podmíněného přístupu, která cílí na všechny potenciální uživatele. Tyto zásady jsou popsané v tématu Podmíněný přístup: Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací.
Postupujte podle kroků v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací u mobilních zařízení, které povolují Edge pro iOS a Android, ale blokují připojení jiných webových prohlížečů mobilních zařízení ke koncovým bodům Microsoft 365.
Poznámka
Tato zásada zajišťuje, aby mobilní uživatelé mohli přistupovat ke všem koncovým bodům Microsoft 365 z Edge pro iOS a Android. Tato zásada také zabraňuje uživatelům používat anonymní režim pro přístup ke koncovým bodům Microsoft 365.
Pomocí podmíněného přístupu můžete také cílit na místní weby, které jste prostřednictvím proxy aplikací Microsoft Entra zpřístupnili externím uživatelům.
Poznámka
Pokud chcete využívat zásady podmíněného přístupu založené na aplikacích, musí být aplikace Microsoft Authenticator nainstalovaná na zařízeních s iOSem. U zařízení s Androidem se vyžaduje aplikace Portál společnosti Intune. Další informace najdete v tématu Podmíněný přístup založený na aplikacích pro Intune.
Jednotné přihlašování k webovým aplikacím připojeným k Microsoft Entra v prohlížečích chráněných zásadami
Edge pro iOS a Android může využívat jednotné přihlašování (SSO) ke všem webovým aplikacím (SaaS i místním), které jsou připojené k Microsoft Entra. Jednotné přihlašování umožňuje uživatelům přistupovat k webovým aplikacím připojeným k Microsoft Entra přes Edge pro iOS a Android, aniž by museli znovu zadávat svoje přihlašovací údaje.
Jednotné přihlašování vyžaduje, aby vaše zařízení zaregistrovala aplikace Microsoft Authenticator pro zařízení s iOSem nebo Portál společnosti Intune na Androidu. Jestliže uživatelé využijí jednu z těchto možností, zobrazí se jim výzva k registraci zařízení, když přejdou do webové aplikace připojené k Microsoft Entra v prohlížeči chráněném zásadami (to platí jenom v případě, že jejich zařízení ještě není zaregistrované). Po registraci zařízení pomocí účtu uživatele spravovaného službou Intune má tento účet povolené jednotné přihlašování pro webové aplikace připojené k Microsoft Entra.
Poznámka
Registrace zařízení je jednoduchá kontrola ve službě Microsoft Entra. Nevyžaduje úplnou registraci zařízení a neposkytuje IT na zařízení žádná další oprávnění.
Použití konfigurace aplikace ke správě prostředí procházení
Edge pro iOS a Android podporuje nastavení aplikací, která umožňují jednotné správě koncových bodů, jako jsou správci Microsoft Intune, přizpůsobit chování aplikace.
Konfiguraci aplikace je možné provádět buď prostřednictvím kanálu správy mobilních zařízení (MDM) operačního systému na zaregistrovaných zařízeních (Konfigurace spravovaných aplikací kanál pro iOS nebo Android v kanálu Enterprise pro Android), nebo prostřednictvím kanálu MAM (Správa mobilních aplikací). Edge pro iOS a Android podporuje následující scénáře konfigurace:
- Povolit jenom pracovní nebo školní účty
- Obecná nastavení konfigurace aplikací
- Nastavení ochrany dat
- Další konfigurace aplikací pro spravovaná zařízení
Důležité
V případě konfiguračních scénářů, které vyžadují registraci zařízení v Androidu, musí být zařízení zaregistrovaná v Androidu Enterprise a Edge pro Android musí být nasazený prostřednictvím spravovaného obchodu Google Play. Další informace najdete v tématech Nastavení registrace zařízení s pracovním profilem Android Enterprise v osobním vlastnictví a Přidání zásad konfigurace aplikací pro spravovaná zařízení s Androidem Enterprise.
Každý scénář konfigurace zvýrazňuje své specifické požadavky. Například zda scénář konfigurace vyžaduje registraci zařízení, a proto funguje s jakýmkoli poskytovatelem UEM, nebo zda vyžaduje zásady Intune App Protection.
Důležité
U konfiguračních klíčů aplikací se rozlišují velká a malá písmena. Aby se konfigurace projevila, použijte správně velká a malá písmena.
Poznámka
V Microsoft Intune se konfigurace aplikací doručovaná prostřednictvím kanálu MDM OS označuje jako Zásady konfigurace aplikací (ACP) pro spravovaná zařízení. Konfigurace aplikací doručovaná prostřednictvím kanálu MAM (Správa mobilních aplikací) se označuje jako Zásady konfigurace aplikací prospravované aplikace.
Povolit jenom pracovní nebo školní účty
Klíčovým pilířem hodnoty Microsoft 365 je dodržování zásad zabezpečení dat a dodržování předpisů našich největších a vysoce regulovaných zákazníků. Některé společnosti mají požadavek na zachytávání všech komunikačních informací ve svém podnikovém prostředí a také potřebují zajistit, aby se zařízení používala jenom pro firemní komunikaci. Aby bylo možné tyto požadavky splnit, je možné Edge pro iOS a Android na zaregistrovaných zařízeních nakonfigurovat tak, aby v aplikaci bylo možné zřizovat jenom jeden podnikový účet.
Další informace o konfiguraci nastavení režimu povolených účtů organizace najdete tady:
Tento scénář konfigurace funguje jenom s zaregistrovanými zařízeními. Podporuje se ale jakýkoli poskytovatel UEM. Pokud nepoužíváte Microsoft Intune, musíte si prohlédnout dokumentaci k UEM, jak tyto konfigurační klíče nasadit.
Obecné scénáře konfigurace aplikací
Edge pro iOS a Android nabízí správcům možnost přizpůsobit výchozí konfiguraci pro několik nastavení v aplikaci. Tato možnost je nabízena, pokud má Edge pro iOS a Android u pracovního nebo školního účtu, který je přihlášen do aplikace, uplatněnou politiku konfigurace spravovaných aplikací.
Edge podporuje následující nastavení konfigurace:
- Prostředí stránky Nová karta
- Možnosti záložek
- Chování aplikací
- Prostředí celoobrazovkového režimu
Tato nastavení je možné nasadit do aplikace bez ohledu na stav registrace zařízení.
Rozložení stránky Nová karta
Inspirační rozložení je výchozím rozložením pro stránku nové karty. Zobrazuje zástupce nejlepších webů, tapetu a informační kanál. Uživatelé můžou změnit rozložení podle svých preferencí. Organizace můžou také spravovat nastavení rozložení.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
prioritní Je vybraná možnost Prioritní Je vybraná možnost inspirační (výchozí) Inspirační informační Je vybraná možnost Informační. zvyk Je vybraná možnost Vlastní, zapnutý přepínač zástupci horního webu, zapnutý přepínač tapety a přepínač informačního kanálu je zapnutý. |
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
přední weby Zapnout možnost zástupců předních webů tapeta Zapnout tapetu informační kanál Zapnout informační kanál Aby se tyto zásady projevily, musí být hodnota com.microsoft.intune.mam.managedbrowser.NewTabPageLayout nastavená na hodnotu vlastní Výchozí hodnota je topsites|wallpaper|newsfeed| |
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
true (výchozí) Uživatelé můžou změnit nastavení rozložení stránky. false Uživatelé nemůžou změnit nastavení rozložení stránky. Rozložení stránky je určeno hodnotami zadanými prostřednictvím zásad nebo se použijí výchozí hodnoty. |
Důležité
Zásada NewTabPageLayout slouží k nastavení počátečního rozložení. Uživatelé můžou změnit nastavení rozložení stránky na základě svých referencí. Proto se zásady NewTabPageLayout projeví pouze v případě, že uživatelé nezmění nastavení rozložení. Zásady NewTabPageLayout můžete vynutit konfigurací UserSelectable=false.
Poznámka
Od verze 129.0.2792.84 se výchozí rozložení stránky změnilo na inspirující.
Příklad vypnutí informačních kanálů
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Prostředí stránky Nová karta
Edge pro iOS a Android nabízí organizacím několik možností pro úpravu prostředí stránky Nová karta, včetně loga organizace, barvy značky, domovské stránky, předních webů a novinek z oboru.
Logo organizace a barva značky
Nastavení loga organizace a barvy značky umožňuje přizpůsobit stránku Nová karta pro Edge na zařízeních s iOS a Androidem. Logo banneru se použije jako logo vaší organizace a barva pozadí stránky se použije jako barva značky vaší organizace. Další informace najdete v tématu Konfigurace firemního brandingu.
Potom pomocí následujících párů klíč/hodnota přetáhněte branding vaší organizace do Edge pro iOS a Android:
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true zobrazuje logo značky organizace false (výchozí) nezpřístupňuje logo |
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true zobrazuje barvu značky organizace false (výchozí) nezobrazí barvu |
Zástupce domovské stránky
Toto nastavení umožňuje nakonfigurovat zástupce domovské stránky pro Edge pro iOS a Android na stránce Nová karta. Zástupce domovské stránky, kterého nakonfigurujete, se zobrazí jako první ikona pod panelem hledání, když uživatel otevře novou kartu v Edgi pro iOS a Android. Uživatel nemůže tohoto zástupce ve svém spravovaném kontextu upravit ani odstranit. Zástupce domovské stránky zobrazí název vaší organizace, aby se odlišil.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.homepage Tento název zásady byl nahrazen uživatelským rozhraním adresy URL zástupce domovské stránky v nastavení konfigurace edge. |
Zadejte platnou adresu URL. Nesprávné adresy URL se blokují z bezpečnostních důvodů. Například: https://www.bing.com |
Více zástupců webu na nejvyšší úrovni
Podobně jako když konfigurujete zástupce domovské stránky, můžete v Edgi pro iOS a Android nakonfigurovat několik hlavních zástupců webů na stránce Nové karty. Uživatel nemůže tyto zástupce ve spravovaném kontextu upravovat ani odstraňovat. Poznámka: Můžete nakonfigurovat celkem 8 zástupců, včetně zástupce domovské stránky. Pokud jste nakonfigurovali zástupce domovské stránky, přepíše tento zástupce první nakonfigurovaný horní web.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.managedTopSites | Zadejte sadu adres URL hodnot. Každý zástupce horního webu se skládá z názvu a adresy URL. Název a adresu URL oddělte znakem | . Například: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Novinky z oboru
V Edgi pro iOS a Android můžete nakonfigurovat prostředí stránky Nová karta tak, aby zobrazovalo novinky z odvětví, které jsou relevantní pro vaši organizaci. Když tuto funkci povolíte, Edge pro iOS a Android použije název domény vaší organizace k agregaci zpráv z webu o vaší organizaci, oboru a konkurentech organizace, aby vaši uživatelé mohli najít relevantní externí zprávy na všech stránkách centralizovaných nových karet v Edgi pro iOS a Android. Industry News je ve výchozím nastavení vypnuté.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true zobrazí Zprávy z oboru na stránce Nová karta false (výchozí) skryje Zprávy z oboru na stránce Nová karta |
Domovská stránka místo prostředí Nová karta
Edge pro iOS a Android umožňuje organizacím zakázat prostředí stránky Nová karta a místo toho nechat web spustit, když uživatel otevře novou kartu. I když se jedná o podporovaný scénář, Microsoft doporučuje organizacím, aby k poskytování dynamického obsahu, který je pro uživatele relevantní, využily možnosti stránky Nová karta.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Zadejte platnou adresu URL. Pokud není zadaná žádná adresa URL, aplikace použije prostředí stránky Nová karta. Nesprávné adresy URL se blokují z bezpečnostních důvodů. Například: https://www.bing.com |
Možnosti záložek
Edge pro iOS a Android nabízí organizacím několik možností správy záložek.
Spravované záložky
Pro usnadnění přístupu můžete nakonfigurovat záložky, které mají mít uživatelé při používání Edge pro iOS a Android k dispozici.
- Záložky se zobrazují jenom v pracovním nebo školním účtu a nejsou přístupné pro osobní účty.
- Záložky nemůžou uživatelé odstranit ani upravit.
- Záložky se zobrazí v horní části seznamu. Všechny záložky, které uživatelé vytvoří, se zobrazí pod těmito záložkami.
- Pokud jste povolili přesměrování proxy aplikací, můžete přidat proxy aplikací webové aplikace pomocí jejich interní nebo externí adresy URL.
- Záložky se vytvářejí ve složce pojmenované podle názvu organizace, který je definován v Microsoft Entra ID.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.bookmarks Tento název zásady byl nahrazen uživatelským rozhraním spravovaných záložek v nastavení konfigurace Edge. |
Hodnota této konfigurace je seznam záložek. Každá záložka se skládá z názvu záložky a adresy URL záložky. Název a adresu URL oddělte znakem | .Například: Microsoft Bing|https://www.bing.com Pokud chcete nakonfigurovat více záložek, oddělte každý pár dvojitým znakem || .Například: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Záložka Moje aplikace
Ve výchozím nastavení mají uživatelé záložku Moje aplikace nakonfigurovanou ve složce organizace v Edgi pro iOS a Android.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.MyApps |
true (výchozí) zobrazuje Moje aplikace v záložkách Edge pro iOS a Android. false skrývá Moje aplikace v Edgi pro iOS a Android |
Chování aplikací
Edge pro iOS a Android nabízí organizacím několik možností pro správu chování aplikace.
Jednotné přihlašování pomocí hesla Microsoft Entra
Funkce jednotného přihlašování (SSO) pomocí hesla Microsoft Entra, kterou nabízí Microsoft Entra ID, přenáší správu přístupu uživatelů do webových aplikací, které nepodporují federaci identit. Edge pro iOS a Android ve výchozím nastavení neprovádí jednotné přihlašování s přihlašovacími údaji Microsoft Entra. Další informace najdete v tématu Přidání jednotného přihlašování založeného na heslech do aplikace.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true znamená, že jednotné přihlašování pomocí hesla Microsoft Entra je povolené false (výchozí) znamená, že jednotné přihlašování pomocí hesla Microsoft Entra je zakázané |
Výchozí obslužná rutina protokolu
Edge pro iOS a Android ve výchozím nastavení používá obslužnou rutinu protokolu HTTPS, když uživatel nezadá protokol v adrese URL. Obecně se to považuje za osvědčený postup, ale dá se zakázat.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (výchozí) výchozí obslužná rutina protokolu je HTTPS false výchozí obslužná rutina protokolu je HTTP |
Zakázání volitelných diagnostických dat
Ve výchozím nastavení můžou uživatelé odesílat volitelná diagnostická data takto: Nastavení->Ochrana osobních údajů a zabezpečení->Diagnostická data->Nepovinná diagnostická data. Organizace můžou toto nastavení zakázat.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true Volitelné nastavení diagnostických dat je zakázané false (výchozí) Uživatelé můžou tuto možnost zapnout nebo vypnout |
Poznámka
Nastavení nepovinných diagnostických dat se uživatelům zobrazí také při prvním spuštění (FRE). Organizace můžou tento krok přeskočit pomocí zásad MDM EdgeDisableShareUsageData.
Zakázání konkrétních funkcí
Edge pro iOS a Android umožňuje organizacím zakázat určité funkce, které jsou ve výchozím nastavení povolené. Pokud chcete tyto funkce zakázat, nakonfigurujte následující nastavení:
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password zakáže výzvy, které nabízejí ukládání hesel pro koncového uživatele Inprivate zakáže anonymní procházení InPrivate autofill zakáže "Uložit a vyplnit adresy" a "Uložit a vyplnit platební údaje". Automatické vyplňování bude zakázané i pro dříve uložené informace translator zakáže překladač readaloud zakáže čtení nahlas drop zakáže zahození kupóny zakazuje kupóny rozšíření zakazuje rozšíření (jenom Edge pro Android) developertools zobrazí čísla verzí buildu šedě, aby uživatelé nemohli získat přístup k možnostem pro vývojáře (jenom Edge pro Android). UIRAlert potlačit překryvná okna pro opětovné ověření účtu na stránce nová karta sdílení zakáže sdílení v nabídce sendtodevices deaktivuje funkci Odeslat do zařízení v nabídce weather disables weather in NTP (New Tab Page) Webinspector zakáže nastavení Webového inspektoru (jenom Edge pro iOS). Pokud chcete zakázat více funkcí, oddělte hodnoty pomocí | . Například zakáže jak inPrivate, inprivate|password tak úložiště hesel. |
Zakázání funkce importu hesel
Edge pro iOS a Android umožňuje uživatelům importovat hesla ze Správce hesel. Pokud chcete zakázat import hesel, nakonfigurujte následující nastavení:
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true Zákaz importu hesel false (výchozí) Povolit import hesel |
Poznámka
Ve Správci hesel Edge pro iOS je tlačítko Přidat. Pokud je funkce importu hesel zakázaná, zakáže se také tlačítko Přidat.
Řízení režimu souborů cookie
Můžete určit, jestli můžou weby ukládat soubory cookie pro vaše uživatele v Edgi pro Android. Chcete-li to provést, nakonfigurujte následující nastavení:
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (výchozí) povolit soubory cookie 1 blokování souborů cookie jiných společností než Microsoft 2 blokování souborů cookie jiných společností než Microsoft v režimu InPrivate 3 blokovat všechny soubory cookie |
Poznámka
Edge pro iOS nepodporuje řízení souborů cookie.
Prostředí celoobrazovkového režimu na zařízeních s Androidem
Edge pro Android je možné povolit jako celoobrazovkovou aplikaci s následujícím nastavením:
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true povoluje celoobrazovkový režim pro Edge pro Android false (výchozí) zakáže celoobrazovkový režim |
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true zobrazuje panel Adresa v celoobrazovkovém režimu false (výchozí) skryje panel Adresa, když je povolený celoobrazovkový režim. |
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true zobrazuje dolní panel akcí v celoobrazovkovém režimu false (výchozí) skryje dolní panel, když je povolený celoobrazovkový režim. |
Poznámka
Celoobrazovkový režim není na zařízeních s iOSem podporovaný. Můžete ale použít režim uzamčeného zobrazení (pouze zásady MDM), abyste dosáhli podobného uživatelského prostředí, kdy uživatelé nebudou moct přejít na jiné weby, protože panel Adresa adresy URL se v režimu uzamčeného zobrazení změní na jen pro čtení.
Režim uzamčeného zobrazení
Edge pro iOS a Android je možné povolit jako režim uzamčeného zobrazení se zásadami MDM EdgeLockedViewModeEnabled.
Klíč | Hodnota |
---|---|
EdgeLockedViewModeEnabled |
false (výchozí): Režim uzamčeného zobrazení je zakázaný. true: Režim uzamčeného zobrazení je povolený. |
Umožňuje organizacím omezit různé funkce prohlížeče a poskytovat tak řízené a cílené procházení.
- Panel adresy URL je jen pro čtení, což uživatelům znemožňuje provádět změny webové adresy.
- Uživatelé nemůžou vytvářet nové karty.
- Funkce kontextového vyhledávání na webových stránkách je zakázaná.
- Následující tlačítka v nabídce přetečení jsou zakázaná.
Tlačítka | Stav |
---|---|
Nová karta InPrivate | Zakázáno |
Odeslat do zařízení | Zakázáno |
Pustit | Zakázáno |
Přidat do telefonu (Android) | Zakázáno |
Stáhnout stránku (Android) | Zakázáno |
Režim uzamčeného zobrazení se často používá společně se zásadami MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL nebo zásadami MDM EdgeNewTabPageCustomURL, které organizacím umožňují nakonfigurovat konkrétní webovou stránku, která se automaticky spustí při otevření Edge. Uživatelé jsou omezeni na tuto webovou stránku a nemohou přejít na jiné weby, takže mají k dispozici řízené prostředí pro konkrétní úlohy nebo spotřebu obsahu.
Poznámka
Ve výchozím nastavení uživatelé nemůžou vytvářet nové karty v režimu uzamčeného zobrazení. Pokud chcete povolit vytváření karet, nastavte zásadu MDM EdgeLockedViewModeAllowedActions na newtabs.
Přepínání zásobníku sítě mezi Chromium a iOSem
Microsoft Edge pro iOS i Android ve výchozím nastavení používá zásobník Chromium sítě pro komunikaci služby Microsoft Edge, včetně synchronizačních služeb, návrhů automatického vyhledávání a odesílání zpětné vazby. Microsoft Edge pro iOS také poskytuje síťový zásobník iOS jako konfigurovatelnou možnost pro komunikaci služby Microsoft Edge.
Organizace můžou upravit předvolby zásobníku sítě konfigurací následujícího nastavení.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (výchozí) použití zásobníku sítě Chromium 1 Použití zásobníku sítě pro iOS |
Poznámka
Doporučuje se použít zásobník sítě Chromium. Pokud při odesílání zpětné vazby se zásobníkem sítě Chromium dochází k problémům se synchronizací nebo selhání, například u některých řešení VPN pro jednotlivé aplikace, může se problémy vyřešit použitím zásobníku sítě iOS.
Nastavení adresy URL proxy souboru .pac
Organizace můžou zadat adresu URL souboru PAC (Automatická konfigurace proxy serveru) pro Microsoft Edge pro iOS a Android.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Zadejte platnou adresu URL proxy souboru .pac. Například: https://internal.site/example.pac |
Podpora neúspěšného otevření PAC
Microsoft Edge pro iOS a Android ve výchozím nastavení blokuje síťový přístup pomocí neplatného nebo nedostupného skriptu PAC. Organizace ale můžou upravit výchozí chování tak, aby se nepodařilo otevřít pac.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (výchozí) Blokování přístupu k síti true Povolení síťového přístupu |
Konfigurace síťových přenosů
Edge pro iOS teď podporuje síťová relé v iOSu 17. Jedná se o speciální typ proxy serveru, který je možné použít pro řešení vzdáleného přístupu a ochrany osobních údajů. Podporují zabezpečené a transparentní tunelování provozu a slouží jako moderní alternativa k sítím VPN při přístupu k interním prostředkům. Další informace o síťových přenosech najdete v tématu Použití síťových přenosů na zařízeních Apple.
Organizace můžou nakonfigurovat adresy URL relay proxy tak, aby směrovaly provoz na základě odpovídajících a vyloučených domén.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | Zadejte platnou adresu URL konfiguračního souboru JSON přenosu. Například: https://yourserver/relay_config.json |
Příklad souboru JSON pro síťové přenosy
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
Proxy, aby se uživatelé mohli přihlásit do Edge z Androidu
Automatická konfigurace proxy serveru (PAC) se obvykle konfiguruje v profilu sítě VPN. Kvůli omezení platformy nástroj Android WebView, který se používá během procesu přihlašování do Edge, nedokáže PAC rozpoznat. Uživatelé se z Androidu možná nebudou moct přihlásit do Edge.
Organizace můžou určit vyhrazený proxy server prostřednictvím zásad MDM, aby se uživatelé mohli přihlásit do Edge z Androidu.
Klíč | Hodnota |
---|---|
EdgeOneAuthProxy | Odpovídající hodnota je řetězec. Příklad http://MyProxy.com:8080 |
Úložiště dat webu iOS
Webové úložiště dat v Edgi pro iOS je nezbytné pro správu souborů cookie, diskových a paměťových mezipamětí a různých typů dat. V Edgi pro iOS je ale jenom jedno trvalé úložiště dat webu. Ve výchozím nastavení je toto úložiště dat používáno výhradně osobními účty, což vede k omezení, kdy ho pracovní nebo školní účty nemohou využívat. V důsledku toho jsou údaje o procházení, s výjimkou souborů cookie, ztraceny po každé relaci pro pracovní nebo školní účty. Aby organizace zlepšily uživatelské prostředí, můžou nakonfigurovat úložiště dat webu pro použití pracovními nebo školními účty a zajistit tak trvalost údajů o procházení.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 Webové úložiště dat je vždy staticky používáno pouze osobním účtem. 1 Úložiště dat webu bude používat první přihlášený účet. 2 (Výchozí) Webové úložiště dat bude nejprve použito pracovním nebo školním účtem bez ohledu na pořadí přihlášení. |
Poznámka
Ve verzi iOS 17 se teď podporuje několik trvalých úložišť. Pracovní a osobní účet mají vlastní vyhrazené trvalé úložiště. Proto tato zásada už není platná od verze 122.
Filtr SmartScreen v programu Microsoft Defender
Microsoft Defender SmartScreen je funkce, která uživatelům pomáhá vyhnout se škodlivým webům a souborům ke stažení. Moderní ověřování je ve výchozím nastavení povoleno. Organizace můžou toto nastavení zakázat.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (výchozí) filtr Microsoft Defender SmartScreen je povolený. false filtr Microsoft Defender SmartScreen je zakázaný. |
Ověření certifikátu
Microsoft Edge pro Android ve výchozím nastavení ověřuje certifikáty serveru pomocí integrovaného ověřovatele certifikátů a kořenového úložiště Microsoftu jako zdroje veřejného vztahu důvěryhodnosti. Organizace můžou přepnout na ověřovatele systémových certifikátů a kořenové certifikáty systému.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
true (výchozí) K ověření certifikátů použijte integrovaný ověřovatel certifikátů a Microsoft Root Store. false Jako zdroj veřejného vztahu důvěryhodnosti k ověření certifikátů použijte ověřovatel systémových certifikátů a kořenové systémové certifikáty. |
Poznámka
Případem použití této zásady je, že při použití tunelu Microsoft MAM v Edgi pro Android potřebujete použít nástroj pro ověření systémového certifikátu a kořenové certifikáty systému.
Řízení stránky s varováním SSL
Ve výchozím nastavení můžou uživatelé prokliknout stránky s varováním, které se zobrazí, když uživatelé přejdou na weby s chybami SSL. Organizace můžou spravovat její chování.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
true (výchozí) Umožňuje uživatelům prokliknout stránky s varováním SSL. false Zabrání uživatelům prokliknout stránky s varováním SSL. |
Nastavení automaticky otevíraných oken
Ve výchozím nastavení jsou automaticky otevíraná okna blokovaná. Organizace můžou spravovat její chování.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 Povolit všem webům zobrazovat automaticky otevíraná okna 2 (výchozí) Nepovolit žádnému webu zobrazovat automaticky otevíraná okna |
Povolit automaticky otevírané okno na konkrétních webech
Pokud tato zásada není nakonfigurovaná, použije se pro všechny weby hodnota ze zásady DefaultPopupsSetting (pokud je nastavená) nebo osobní konfigurace uživatele. Organizace můžou definovat seznam webů, které můžou otevřít automaticky otevírané okno.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry | . Příklady: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Další informace o formátu adres URL najdete v tématu Formát vzoru adresy URL zásad podniku.
Blokovat automaticky otevírané okno na konkrétních webech
Pokud tato zásada není nakonfigurovaná, použije se pro všechny weby hodnota ze zásady DefaultPopupsSetting (pokud je nastavená) nebo osobní konfigurace uživatele. Organizace můžou definovat seznam webů, u kterých je zablokované otevírání automaticky otevíraných oken.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry | . Příklady: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Další informace o formátu adres URL najdete v tématu Formát vzoru adresy URL zásad podniku.
Výchozí poskytovatel vyhledávání
Ve výchozím nastavení používá Edge výchozího poskytovatele vyhledávání k vyhledávání, když uživatelé zadají do adresního řádku texty, které nejsou adresami URL. Uživatelé můžou změnit seznam poskytovatelů vyhledávání. Organizace můžou spravovat chování poskytovatele vyhledávání.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
true Povolení výchozího poskytovatele vyhledávání false Zakázání výchozího poskytovatele vyhledávání |
Konfigurace poskytovatele vyhledávání
Organizace můžou nakonfigurovat poskytovatele vyhledávání pro uživatele. Pokud chcete nakonfigurovat poskytovatele vyhledávání, musíte nejprve nakonfigurovat zásadu DefaultSearchProviderEnabled.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | Odpovídající hodnota je řetězec. Příklad My Intranet Search |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | Odpovídající hodnota je řetězec. Příklad https://search.my.company/search?q={searchTerms} |
Copilot
Poznámka
Od verze 128 je funkce Copilot pro pracovní nebo školní účty zastaralá. Proto následující zásady už nebudou ve verzi 128 platné. Pokud chcete blokovat přístup k webové verzi Copilotu, copilot.microsoft.com, můžete použít zásady AllowListURLs nebo BlockListURLs.
Copilot je k dispozici v prohlížeči Microsoft Edge pro iOS a Android. Uživatelé můžou spustit Copilot kliknutím na tlačítko Copilot v dolním panelu.
V Nastavení–>Obecné–>Copilot jsou k dispozici tři nastavení.
- Zobrazit Copilot – Určuje, jestli se má na dolním panelu zobrazit tlačítko Bingu.
- Povolit přístup k libovolné webové stránce nebo PDF – Určete, jestli se má mít Copilot povolen přístup k obsahu stránky nebo PDF.
- Rychlý přístup při výběru textu – Určuje, jestli se má zobrazit panel rychlého chatu, když je vybrán text na webové stránce.
Můžete spravovat nastavení pro Copilot.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.Chat |
true (výchozí) Uživatelé uvidí tlačítko Copilot na dolním panelu. Nastavení Zobrazit Copilota je ve výchozím nastavení zapnuté a uživatelé ho můžou vypnout. false Uživatelé nevidí tlačítko Copilot na dolním panelu. Nastavení Zobrazit Copilota je zakázané a uživatelé ho nemůžou zapnout. |
com.microsoft.intune.mam.managedbrowser.ChatPageContext |
true (výchozí) Uživatelé můžou zapnout přístup k libovolné webové stránce nebo souboru PDF a Rychlý přístup při výběru textu. falseMožnost Povolit přístup k libovolné webové stránce nebo souboru PDF a Rychlý přístup při výběru textu se zakáže a uživatelé ji nebudou moct zapnout. |
Scénáře konfigurace aplikací pro ochranu dat
Edge pro iOS a Android podporuje zásady konfigurace aplikací pro následující nastavení ochrany dat, pokud je aplikace spravována nástrojem Microsoft Intune se zásadami konfigurace spravovaných aplikací aplikovanými na pracovní nebo školní účet, který je do aplikace přihlášen:
- Správa synchronizace účtů
- Správa webů s omezeným přístupem
- Správa konfigurace proxy serveru
- Správa webů jednotného přihlašování NTLM
Tato nastavení je možné nasadit do aplikace bez ohledu na stav registrace zařízení.
Správa synchronizace účtů
Synchronizace Microsoft Edge ve výchozím nastavení umožňuje uživatelům přístup k údajům o procházení na všech přihlášených zařízeních. Mezi data podporovaná synchronizací patří:
- Oblíbené
- Hesla
- Adresy a další (položka formuláře automatického vyplňování)
Funkce synchronizace je povolená na základě souhlasu uživatele a uživatelé můžou synchronizaci zapnout nebo vypnout pro každý z výše uvedených datových typů. Další informace najdete v tématu Synchronizace Microsoft Edge.
Organizace mají možnost zakázat synchronizaci Edge v iOSu a Androidu.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true zakáže synchronizaci Edge false (výchozí) umožňuje synchronizaci Edge |
Správa webů s omezeným přístupem
Organizace můžou definovat, ke kterým webům budou mít uživatelé přístup v kontextu pracovního nebo školního účtu v Edgi pro iOS a Android. Pokud použijete seznam povolených, budou mít uživatelé přístup jenom k webům, které jsou explicitně uvedené. Pokud použijete seznam blokovaných položek, budou mít uživatelé přístup ke všem webům s výjimkou těch, které jsou explicitně zablokované. Měli byste uložit buď seznam povolených, nebo blokovaných, ne oba. Pokud uložíte obojí, bude se dodržovat jenom seznam povolených položek.
Organizace také definují, co se stane, když se uživatel pokusí přejít na web s omezeným přístupem. Ve výchozím nastavení jsou přechody povolené. Pokud to organizace povolí, je možné weby s omezeným přístupem otevírat v kontextu osobního účtu nebo v kontextu InPrivate účtu Microsoft Entra, případně přístup na dané weby zcela blokovat. Další informace o různých podporovaných scénářích najdete v tématu Omezené přechody webů v Microsoft Edge Mobile. Když povolíte prostředí pro přechod, uživatelé organizace zůstanou chráněni a zároveň budou mít firemní prostředky v bezpečí.
Abychom zlepšili prostředí pro přepínání profilů tím, že uživatelé nemusí ručně přecházet na osobní profily nebo v režimu InPrivate otevírat blokované adresy URL, zavedli jsme dvě nové zásady:
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
Vzhledem k tomu, že tyto zásady přinášejí různé výsledky v závislosti na jejich konfiguracích a kombinacích, doporučujeme před prozkoumáním podrobné dokumentace vyzkoušet naše níže uvedené návrhy zásad, abyste zjistili, jestli přepínání profilů odpovídá potřebám vaší organizace. Navrhovaná nastavení konfigurace přepínání profilů zahrnují následující hodnoty:
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
Poznámka
Edge pro iOS a Android může blokovat přístup k webům jenom v případě, že k nim přistupujete přímo. Neblokuje přístup, když uživatelé pro přístup k webu používají zprostředkující služby (například překladatelské služby). Adresy URL, které spouští Edge, jako jsou , a Edge://*
, nejsou podporované v zásadách konfigurace aplikací Edge://flags
AllowListURLsEdge://net-export
ani BlockListURLs pro spravované aplikace. Tyto adresy URL můžete zakázat pomocí com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.
Pokud jsou vaše zařízení spravovaná, můžete pro spravovaná zařízení použít také zásadu konfigurace aplikací adresu URLAllowList nebo URLBlocklist. Související informace najdete v tématu Zásady Microsoft Edge pro mobilní zařízení.
Pomocí následujících párů klíč/hodnota nakonfigurujte seznam povolených nebo blokovaných webů pro Edge pro iOS a Android.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.AllowListURLs Tento název zásady byl nahrazen uživatelským rozhraním povolených adres URL v nastavení konfigurace Edge. |
Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete povolit, zadáte jako jednu hodnotu oddělenou znakem svislé čáry | . Příklady: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
com.microsoft.intune.mam.managedbrowser.BlockListURLs Tento název zásady byl nahrazen uživatelským rozhraním blokovaných adres URL v nastavení konfigurace Edge. |
Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry | . Příklady: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock Tento název zásady byl nahrazen uživatelským rozhraním přesměrování webů s omezeným přístupem do osobního kontextu v nastavení konfigurace Edge. |
true (výchozí) umožňuje Edgi pro iOS a Android přechod na weby s omezeným přístupem. Pokud osobní účty nejsou zakázané, zobrazí se uživatelům výzva, aby buď přepnuli na osobní kontext a otevřeli web s omezeným přístupem, nebo aby přidali osobní účet. Pokud je hodnota com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked nastavená na hodnotu true, uživatelé mají možnost otevřít web s omezeným přístupem v kontextu InPrivate. false zabraňuje Edgi pro iOS a Android v přechodu uživatelů. Uživatelům se jednoduše zobrazí zpráva, že web, ke kterému se pokouší získat přístup, je zablokovaný. |
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked |
true umožňuje otevírat weby s omezeným přístupem v kontextu InPrivate účtu Microsoft Entra. Pokud je účet Microsoft Entra jediným účtem nakonfigurovaným v Edgi pro iOS a Android, web s omezeným přístupem se otevře automaticky v kontextu InPrivate. Pokud má uživatel nakonfigurovaný osobní účet, zobrazí se mu výzva k výběru mezi otevřením InPrivate nebo přepnutím na osobní účet. false (výchozí) vyžaduje, aby byl web s omezeným přístupem otevřen v osobním účtu uživatele. Pokud jsou osobní účty zakázané, web se zablokuje. Aby se toto nastavení projevilo, musí být hodnota com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock nastavená na hodnotu true. |
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Zadejte počet sekund, po které se uživatelům zobrazí oznámení "Přístup k tomuto webu blokuje vaše organizace. Otevřeli jsme ho v režimu InPrivate pro přístup k webu." Ve výchozím nastavení se oznámení zobrazuje po dobu 7 sekund. |
Následující weby s výjimkou copilot.microsoft.com jsou vždy povolené bez ohledu na definovaný seznam povolených nebo blokovaných nastavení:
https://*.microsoft.com/*
http://*.microsoft.com/*
https://microsoft.com/*
http://microsoft.com/*
https://*.windowsazure.com/*
https://*.microsoftonline.com/*
https://*.microsoftonline-p.com/*
Řízení chování automaticky otevíraného okna Blokovaný web
Při pokusu o přístup k blokovaným webovým stránkám budou uživatelé vyzváni, aby k otevření blokovaných webových stránek použili buď přepnutí na InPrivate, nebo osobní účet. Můžete zvolit předvolby mezi InPrivate a osobním účtem.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (Výchozí) Vždy zobrazit automaticky otevírané okno, které si uživatel může vybrat. 1: Automaticky přepnout na osobní účet, když je přihlášený osobní účet. Pokud osobní účet přihlášený není, chování se změní na hodnotu 2. 2: Automaticky přepnout na InPrivate, pokud je přepnutí na InPrivate povoleno pomocí com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true. |
Řízení chování přepnutí osobního profilu na pracovní profil
Pokud je Edge pod osobním profilem a uživatelé se pokoušejí otevřít odkaz z Outlooku nebo Microsoft Teams, které jsou pod pracovním profilem, Intune ve výchozím nastavení použije k otevření odkazu pracovní profil Edge, protože Edge, Outlook i Microsoft Teams spravuje Intune. Pokud je ale odkaz zablokovaný, uživatel se přepne na osobní profil. To uživatelům způsobí třecí prostředí.
Zásadu můžete nakonfigurovat tak, aby se zlepšilo uživatelské prostředí. Tuto zásadu doporučujeme používat společně s funkcí AutoTransitionModeOnBlock, protože může přepnout uživatele na osobní profil podle hodnoty zásady, kterou jste nakonfigurovali.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (Výchozí) Přepněte na pracovní profil i v případě, že je adresa URL blokovaná zásadami Edge. 2: Blokované adresy URL se otevřou pod osobním profilem, pokud je osobní profil přihlášený. Pokud osobní profil není přihlášený, blokovaná adresa URL se otevře v režimu InPrivate. |
Správa blokování dílčího prostředku
Ve výchozím nastavení se hodnoty AllowListURLs a BlockListURLs používají pouze na úrovni navigace. Pokud v rámci webové stránky vložíte blokované adresy URL (adresy URL nakonfigurované v blockListURLs nebo adresy URL, které nejsou nakonfigurované v allowListURLs) jako dílčí prostředky na webové stránce, nebudou tyto adresy URL dílčích prostředků blokované.
Pokud chcete tyto dílčí prostředky dále omezit, můžete nakonfigurovat zásadu tak, aby blokovala adresy URL dílčích prostředků.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.ManageRestrictedSubresourceEnabled |
false: (Výchozí) Adresy URL dílčích prostředků nebudou blokovány, ani když jsou adresy URL dílčích prostředků blokované. true: Adresy URL dílčích prostředků se zablokují, pokud jsou uvedené jako blokované. |
Poznámka
Tuto zásadu doporučujeme používat ve spojení s blokovými seznamy. Pokud se používá s allowListURLs, ujistěte se, že všechny adresy URL dílčích prostředků jsou zahrnuté v seznamu AllowListURLs. V opačném případě se některé dílčí prostředky nemusí podařit načíst.
Formáty adres URL pro seznam povolených a blokovaných webů
Seznamy povolených/blokovaných webů můžete vytvořit pomocí různých formátů adres URL. Tyto povolené vzory jsou podrobně popsány v následující tabulce.
Při zadávání do seznamu nezapomeňte před všechny adresy URL zadat předponu http:// nebo https://.
Zástupný symbol (*) můžete použít podle pravidel v následujícím seznamu povolených vzorů.
Zástupný znak může odpovídat pouze části (např.
news-contoso.com
) nebo celé součásti názvu hostitele (např. ) nebo celých částí cesty,host.contoso.com
pokud jsou oddělené lomítky (www.contoso.com/images
).V adrese můžete zadat čísla portů. Pokud nezadáte číslo portu, použijí se následující hodnoty:
- Port 80 pro http
- Port 443 pro https
Použití zástupných znaků pro číslo portu je podporováno pouze v Edgi pro iOS. Můžete například zadat
http://www.contoso.com:*
ahttp://www.contoso.com:*/
.Podporuje se zadávání IPv4 adres s notací CIDR. Můžete například zadat 127.0.0.1/24 (rozsah IP adres).
URL Podrobnosti Odpovídá Neodpovídá http://www.contoso.com
Odpovídá jedné stránce www.contoso.com
host.contoso.com
www.contoso.com/images
contoso.com/
http://contoso.com
Odpovídá jedné stránce contoso.com/
host.contoso.com
www.contoso.com/images
www.contoso.com
http://www.contoso.com/*
Odpovídá všem adresám URL, které začínají na www.contoso.com
www.contoso.com
www.contoso.com/images
www.contoso.com/videos/tvshows
host.contoso.com
host.contoso.com/images
http://*.contoso.com/*
Odpovídá všem subdoménám v části contoso.com
developer.contoso.com/resources
news.contoso.com/images
news.contoso.com/videos
contoso.host.com
news-contoso.com
http://*contoso.com/*
Odpovídá všem subdoménám končícím na contoso.com/
news-contoso.com
news-contoso.com/daily
news-contoso.host.com
news.contoso.com
http://www.contoso.com/images
Odpovídá jedné složce www.contoso.com/images
www.contoso.com/images/dogs
http://www.contoso.com:80
Odpovídá jedné stránce - s využitím čísla portu www.contoso.com:80
https://www.contoso.com
Odpovídá jedné zabezpečené stránce www.contoso.com
www.contoso.com/images
http://www.contoso.com/images/*
Odpovídá jedné složce a všem podsložkám www.contoso.com/images/dogs
www.contoso.com/images/cats
www.contoso.com/videos
http://contoso.com:*
Odpovídá libovolnému číslu portu pro jednu stránku. contoso.com:80
contoso.com:8080
10.0.0.0/24
Odpovídá rozsahu IP adres od 10.0.0.0 do 10.0.0.255. 10.0.0.0
10.0.0.100
192.168.1.1
- Tady jsou příklady některých vstupů, které nemůžete zadat:
*.com
*.contoso/*
www.contoso.com/*images
www.contoso.com/*images*pigs
www.contoso.com/page*
https://*
http://*
http://www.contoso.com: /*
Zakázání interních stránek Edge
Interní stránky Edge, jako jsou Edge://flags
a Edge://net-export
, můžete zakázat. Další stránky najdete na Edge://about
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | Odpovídající hodnota klíče je seznam názvů stránek. Všechny interní stránky, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry | . Příklady: flags|net-export |
Správa webů pro povolení nahrávání souborů
Můžou nastat situace, kdy uživatelé můžou zobrazovat jenom weby, aniž by mohli nahrávat soubory. Organizace mají možnost určit, na které weby lze soubory nahrávat.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry | . Příklady: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry | . Příklady: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
Příklad blokování nahrávání souborů na všechny weby, včetně interních webů
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Příklad povolení konkrétním webům nahrávat soubory
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Další informace o formátu adres URL najdete v tématu Formát vzoru adresy URL zásad podniku.
Poznámka
V prohlížeči Edge na iOSu se kromě nahrávání zablokuje i akce vložení. Uživatelům se v nabídce akcí nezobrazí možnost vložení.
Správa konfigurace proxy serveru
Pomocí Edge pro iOS a Android a proxy aplikací Microsoft Entra můžete uživatelům udělit přístup k intranetových webům na mobilních zařízeních. Příklady:
- Uživatel používá mobilní aplikaci Outlook, která je chráněná službou Intune. Potom kliknou na odkaz na intranetový web v e-mailu a Edge pro iOS a Android rozpozná, že tento intranetový web byl uživateli zpřístupněn prostřednictvím proxy aplikací. Uživatel se před přístupem na intranetový web automaticky přesměruje přes proxy aplikací, aby se ověřil pomocí příslušného vícefaktorového ověřování a podmíněného přístupu. Uživatel teď má přístup k interním webům, a to i na mobilních zařízeních, a odkaz v Outlooku funguje podle očekávání.
- Uživatel otevře Edge pro iOS a Android na svém zařízení s iOSem nebo Androidem. Pokud je Edge pro iOS a Android chráněný službou Intune a je povolená proxy aplikace, může uživatel přejít na intranetový web pomocí interní adresy URL, na kterou je zvyklý. Edge pro iOS a Android rozpozná, že tento intranetový web byl uživateli zpřístupněn prostřednictvím proxy aplikací. Uživatel je automaticky směrován přes proxy aplikací, aby se ověřil před dosažením intranetového webu.
Než začnete:
- Nastavte interní aplikace prostřednictvím proxy aplikací Microsoft Entra.
- Informace o konfiguraci proxy aplikací a publikování aplikací najdete v dokumentaci k instalaci.
- Ujistěte se, že je uživatel přiřazený k aplikaci proxy aplikací Microsoft Entra, i když je aplikace nakonfigurovaná s typem předběžného předávacího ověřování.
- Aplikace Edge pro iOS a Android musí mít přiřazenou zásadu ochrany aplikací Intune.
- Aplikace Microsoftu musí mít zásady ochrany aplikací, které mají nastavení Omezit přenos webového obsahu s jinými aplikacemi nastavené na Microsoft Edge.
Poznámka
Edge pro iOS a Android aktualizuje data přesměrování proxy aplikací na základě poslední úspěšné události aktualizace. Aktualizace se pokusí spustit pokaždé, když je poslední úspěšná událost obnovení delší než jedna hodina.
Pokud chcete povolit proxy aplikaci, zacilte Edge pro iOS a Android s následujícím párem klíč/hodnota.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Tento název zásady byl nahrazen uživatelským rozhraním přesměrování proxy aplikací v nastavení konfigurace Edge. |
True povolí scénáře přesměrování proxy aplikací Microsoft Entra. False (výchozí) brání scénářům proxy aplikací Microsoft Entra. |
Další informace o tom, jak používat Edge pro iOS a Android a proxy aplikací Microsoft Entra společně za účelem bezproblémového (a chráněného) přístupu k místním webovým aplikacím, najdete v článku Společně lépe: Intune a Microsoft Entra se spojily a zlepšily uživatelský přístup. Tento blogový příspěvek odkazuje na Intune Managed Browser, ale obsah platí i pro Edge pro iOS a Android.
Správa webů jednotného přihlašování NTLM
Organizace mohou vyžadovat, aby se uživatelé pro přístup k intranetovým webům ověřili pomocí protokolu NTLM. Ve výchozím nastavení jsou uživatelé vyzváni k zadání přihlašovacích údajů při každém přístupu k webu, který vyžaduje ověřování NTLM, protože ukládání přihlašovacích údajů NTLM do mezipaměti je zakázáno.
Organizace můžou povolit ukládání přihlašovacích údajů NTLM do mezipaměti pro konkrétní weby. U těchto webů se po zadání přihlašovacích údajů uživatelem a úspěšném ověření přihlašovacích údajů ve výchozím nastavení ukládají do mezipaměti po dobu 30 dnů.
Poznámka
Pokud používáte proxy server, ujistěte se, že je nakonfigurovaný pomocí zásady NTLMSSOURLs, kde jako součást hodnoty klíče výslovně zadáte jak https , tak http .
V současné době je potřeba v hodnotě klíče NTLMSSOURLs zadat schémata https i http . Potřebujete například nakonfigurovat i https://your-proxy-server:8080
http://your-proxy-server:8080
. V současné době není nastavení formátu hostitel:port (například your-proxy-server:8080
) dostatečné.
Zástupný symbol (*) navíc není podporován při konfiguraci proxy serverů v zásadách NTLMSSOURLs.
Klíč | Hodnota |
---|---|
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete povolit, zadáte jako jednu hodnotu oddělenou znakem svislé čáry | . Příklady: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Další informace o podporovaných typech formátů adres URL najdete v tématu Formáty adres URL pro seznam povolených a blokovaných webů. |
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Počet hodin ukládání přihlašovacích údajů do mezipaměti, výchozí hodnota je 720 hodin. |
Další konfigurace aplikací pro spravovaná zařízení
Následující zásady, původně konfigurovatelné prostřednictvím zásad konfigurace aplikací spravovaných aplikací, jsou nyní dostupné prostřednictvím zásad konfigurace aplikací spravovaných zařízení. Při používání zásad pro spravované aplikace se uživatelé musí přihlásit k Microsoft Edgi. Při použití zásad pro spravovaná zařízení se uživatelé nemusí přihlašovat k Edgi, aby je mohli použít.
Vzhledem k tomu, že zásady konfigurace aplikací pro spravovaná zařízení vyžadují registraci zařízení, podporuje se jakákoli sjednocená správa koncových bodů (UEM). Další zásady v kanálu MDM najdete v tématu Zásady Microsoft Edge Mobile.
Zásady MAM | Zásady MDM |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Nasazení scénářů konfigurace aplikací pomocí Microsoft Intune
Pokud jako poskytovatele správy mobilních aplikací používáte Microsoft Intune, následující kroky vám umožní vytvořit zásady konfigurace aplikací spravovaných aplikací. Po vytvoření konfigurace můžete přiřadit její nastavení skupinám uživatelů.
Přihlaste se do Centra pro správu Microsoft Intune.
Vyberte Aplikace a pak vyberte Zásady konfigurace aplikací.
V okně Zásady konfigurace aplikací zvolte Přidat a vyberte Spravované aplikace.
V části Základy zadejte Název a volitelně Popis nastavení konfigurace aplikace.
V části Veřejné aplikace zvolte Vybrat veřejné aplikace a pak v okně Cílové aplikace vyberte Edge pro iOS a Android výběrem aplikací platformy pro iOS i Android. Kliknutím na Vybrat vybrané veřejné aplikace uložte.
Kliknutím na Další dokončete základní nastavení zásad konfigurace aplikace.
V části Nastavení rozbalte nastavení konfigurace Edge.
Pokud chcete spravovat nastavení ochrany dat, nakonfigurujte požadovaná nastavení odpovídajícím způsobem:
V části Přesměrování proxy aplikací zvolte některou z dostupných možností: Povolit, Zakázat (výchozí).
Jako Adresa URL zástupce domovské stránky zadejte platnou adresu URL, která obsahuje předponu http:// nebo https://. Nesprávné adresy URL se blokují z bezpečnostních důvodů.
V části Spravované záložky zadejte název a platnou adresu URL, která obsahuje předponu http:// nebo https://.
V části Povolené adresy URL zadejte platnou adresu URL (jsou povoleny pouze tyto adresy URL, žádné jiné weby nejsou přístupné). Další informace o podporovaných typech formátů adres URL najdete v tématu Formáty adres URL pro seznam povolených a blokovaných webů.
V části Blokované adresy URL zadejte platnou adresu URL (pouze tyto adresy URL jsou blokované). Další informace o podporovaných typech formátů adres URL najdete v tématu Formáty adres URL pro seznam povolených a blokovaných webů.
V části Přesměrovat weby s omezeným přístupem do osobního kontextu zvolte některou z dostupných možností: Povolit (výchozí), Zakázat.
Poznámka
Pokud jsou v zásadách definované povolené i blokované adresy URL, bude se dodržovat jenom seznam povolených adres.
Pokud chcete provést další nastavení konfigurace aplikací, která nejsou zpřístupněna ve výše uvedených zásadách, rozbalte uzel Obecné nastavení konfigurace a zadejte odpovídající páry hodnot klíčů.
Po dokončení konfigurace nastavení zvolte Další.
V části Přiřazení zvolte Vybrat skupiny, které chcete zahrnout. Vyberte skupinu Microsoft Entra, ke které chcete přiřadit zásady konfigurace aplikace, a pak zvolte Vybrat.
Po dokončení zadání zvolte Další.
V okně Vytvořit zásadu konfigurace aplikace Zkontrolovat a vytvořit zkontrolujte nakonfigurovaná nastavení a zvolte Vytvořit.
Nově vytvořené zásady konfigurace se zobrazí v okně Konfigurace aplikace.
Přístup k protokolům spravovaných aplikací pomocí Microsoft Edge pro iOS a Android
Uživatelé, kteří mají Edge pro iOS a Android nainstalovaný na svém zařízení s iOSem nebo Androidem, můžou zobrazit stav správy všech publikovaných aplikací Microsoftu. Pomocí následujícího postupu můžou odesílat protokoly pro řešení potíží se spravovanými aplikacemi pro iOS nebo Android:
Na zařízení otevřete Edge pro iOS a Android.
Zadejte
edge://intunehelp/
do pole adresa.Edge pro iOS a Android spustí režim řešení potíží.
Protokoly z podpora Microsoftu můžete načíst tak, že jim poskytnete ID incidentu uživatele.
Seznam nastavení uložených v protokolech aplikací najdete v tématu Kontrola protokolů ochrany klientských aplikací.
Diagnostické protokoly
Kromě Intune protokolů z edge://intunehelp/
aplikace vás může podpora Microsoftu požádat o poskytnutí diagnostických protokolů Microsoft Edge pro iOS a Android. Protokoly můžete buď nahrát na server Microsoftu, nebo je uložit místně a sdílet je přímo s podpora Microsoftu.
Nahrání protokolů na server Microsoftu
Pokud chcete nahrát protokoly na server Microsoftu, postupujte následovně:
- Reprodukujte problém.
- Výběrem ikony hamburgeru v pravém dolním rohu otevřete nabídku přetečení.
- Potáhněte prstem doleva a vyberte Nápověda a zpětná vazba.
- V části Popište, co se děje, zadejte podrobnosti o problému, aby tým podpory mohl identifikovat relevantní protokoly.
- Nahrajte protokoly na server Microsoftu tak, že vyberete tlačítko v pravém horním rohu.
Ukládání protokolů místně a přímé sdílení s podpora Microsoftu
Pokud chcete protokoly ukládat místně a sdílet je, postupujte následovně:
- Reprodukujte problém.
- Výběrem hamburgerové nabídky v pravém dolním rohu otevřete nabídku přetečení.
- Potáhněte prstem doleva a vyberte Nápověda a zpětná vazba.
- Vyberte diagnostická data.
- V microsoft Edgi pro iOS klepněte na ikonu Sdílet v pravém horním rohu. Zobrazí se dialogové okno sdílení operačního systému, které vám umožní ukládat protokoly místně nebo je sdílet prostřednictvím jiných aplikací. Pro Microsoft Edge pro Android otevřete podnabídku v pravém horním rohu a vyberte možnost pro uložení protokolů. Protokoly se uloží do složky Stáhnout Edge>.
Pokud chcete vymazat staré protokoly, vyberte při výběru diagnostických dat ikonu Vymazat v pravém horním rohu. Potom problém znovu reprodukujte, abyste zajistili, že se zachytávají jenom nové protokoly.
Poznámka
Ukládání protokolů také respektuje zásady ochrany aplikací Intune. Proto nemusíte mít povolenou možnost ukládat diagnostická data do místních zařízení.