Compartir a través de


Administración de Microsoft Edge en iOS y Android con Intune

Edge para iOS y Android está diseñado para permitir que los usuarios naveguen por la Web y admite varias identidades. Los usuarios pueden agregar una cuenta profesional, así como una cuenta personal, para la exploración. Hay una separación completa entre las dos identidades, que es similar a lo que se ofrece en otras aplicaciones móviles de Microsoft.

Esta característica se aplica a:

  • iOS/iPadOS 14.0 o posterior
  • Android 8.0 o posterior para dispositivos inscritos y Android 9.0 o posterior para dispositivos no inscritos

Nota:

Edge para iOS y Android no consume la configuración que los usuarios establecen para el explorador nativo en sus dispositivos, ya que Edge para iOS y Android no puede acceder a esta configuración.

Las funcionalidades de protección más completas y amplias para los datos de Microsoft 365 están disponibles cuando se suscribe al conjunto de Enterprise Mobility + Security, que incluye características de Microsoft Intune y Microsoft Entra ID P1 o P2, como el acceso condicional. Como mínimo, querrá implementar una directiva de acceso condicional que solo permita la conectividad a Edge para iOS y Android desde dispositivos móviles y una directiva de protección de aplicaciones Intune que garantice que la experiencia de exploración está protegida.

Nota:

Los nuevos clips web (aplicaciones web ancladas) en dispositivos iOS se abrirán en Edge para iOS y Android en lugar de Intune Managed Browser cuando sea necesario para abrirlos en un explorador protegido. En el caso de los clips web de iOS anteriores, debe volver a dirigir estos clips web para asegurarse de que se abren en Edge para iOS y Android en lugar de en Managed Browser.

Crear directivas de protección de aplicaciones de Intune

A medida que las organizaciones adoptan cada vez más aplicaciones web y SaaS, los exploradores se han convertido en herramientas esenciales para las empresas. Los usuarios suelen tener que acceder a estas aplicaciones desde exploradores móviles mientras están en viaje. Es fundamental asegurarse de que los datos a los que se accede a través de exploradores móviles están protegidos contra fugas intencionadas o involuntarias. Por ejemplo, los usuarios pueden compartir involuntariamente los datos de las organizaciones con aplicaciones personales, lo que conduce a la pérdida de datos o descargarlos en dispositivos locales, lo que también supone un riesgo.

Las organizaciones pueden proteger los datos de que se filtren cuando los usuarios navegan con Microsoft Edge para dispositivos móviles mediante la configuración de directivas de protección de aplicaciones (APP), que definen qué aplicaciones se permiten y las acciones que pueden realizar con los datos de las organizaciones. Las opciones disponibles en las APP permiten a las organizaciones adaptar la protección a sus necesidades concretas. Para algunas de ellas, puede que no sea obvio qué configuración de directivas es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar la protección del punto de conexión del cliente móvil, Microsoft ha introducido la taxonomía para su marco de protección de datos de APP para la administración de aplicaciones móviles de iOS y Android.

El marco de protección de datos de APP se organiza en tres niveles de configuración distintos, cada uno de ellos basado en el nivel anterior:

  • La protección de datos empresariales básica (nivel 1) garantiza que las aplicaciones estén protegidas con un PIN y cifradas, y realiza operaciones de borrado selectivo. En el caso de los dispositivos Android, este nivel valida la certificación de dispositivos Android. Se trata de una configuración de nivel de entrada que proporciona un control de protección de datos similar en las directivas de buzón de Exchange Online y que introduce tecnologías informáticas y el rellenado de usuarios en APP.
  • La protección de datos empresariales mejorada (nivel 2) incorpora mecanismos para la prevención de la pérdida de datos de APP y requisitos mínimos para el sistema operativo. Esta es la configuración aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos.
  • La protección de datos empresariales alta (nivel 3) incorpora mecanismos avanzados para la protección de datos, configuración de PIN mejorada y defensa contra amenazas móviles de APP. Esta configuración es conveniente para los usuarios que acceden a datos de alto riesgo.

A fin de ver las recomendaciones específicas para cada nivel de configuración y las aplicaciones mínimas que se deben proteger, revise Marco de protección de datos mediante directivas de protección de aplicaciones.

Independientemente de si el dispositivo está inscrito en una solución de administración unificada de puntos de conexión (UEM), es necesario crear una directiva de protección de aplicaciones de Intune para las aplicaciones iOS y Android siguiendo los pasos descritos en Cómo crear y asignar directivas de protección de aplicaciones. Estas directivas, como mínimo, deben cumplir las siguientes condiciones:

  • Incluyen todas las aplicaciones móviles de Microsoft 365, como Edge, Outlook, OneDrive, Office o Teams, ya que esto garantiza que los usuarios puedan acceder y manipular datos profesionales o educativos dentro de cualquier aplicación de Microsoft de forma segura.

  • Se asignan a todos los usuarios. Esto garantiza que todos los usuarios estén protegidos, independientemente de si usan Edge para iOS o Android.

  • Determine qué nivel de marco cumple sus requisitos. La mayoría de las organizaciones deben implementar la configuración definida en Protección de datos mejorada para la empresa (nivel 2), ya que permite controles de requisitos de acceso y protección de datos.

Nota:

Una de las opciones relacionadas con los exploradores es "Restringir la transferencia de contenido web con otras aplicaciones". En Protección de datos mejorada de empresa (nivel 2), el valor de esta configuración está configurado en Microsoft Edge. Cuando Outlook y Microsoft Teams están protegidos por directivas de protección de aplicaciones (APP), Microsoft Edge se usará para abrir vínculos desde estas aplicaciones, lo que garantiza que los vínculos sean seguros y protegidos. Para obtener más información sobre la configuración disponible, consulte Configuración de directivas de protección de aplicaciones Android y Configuración de directivas de protección de aplicaciones iOS.

Importante

Para aplicar directivas de protección de aplicaciones Intune en aplicaciones en dispositivos Android que no están inscritos en Intune, el usuario también debe instalar el Portal de empresa de Intune.

Aplicar el acceso condicional

Aunque es importante proteger Microsoft Edge con directivas de protección de aplicaciones (APP), también es fundamental asegurarse de que Microsoft Edge es el explorador obligatorio para abrir aplicaciones corporativas. De lo contrario, los usuarios podrían usar otros exploradores no protegidos para acceder a las aplicaciones corporativas, lo que podría provocar pérdidas de datos.

Las organizaciones pueden usar directivas de acceso condicional de Microsoft Entra para asegurarse de que los usuarios solo puedan acceder al contenido profesional o educativo mediante Edge para iOS y Android. Para ello, necesitará una directiva de acceso condicional destinada a todos los usuarios potenciales. Estas directivas se describen en Acceso condicional: requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones.

Siga los pasos descritos en Requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones con dispositivos móviles, que permite Edge para iOS y Android, pero impide que otros exploradores web de dispositivos móviles se conecten a los puntos de conexión de Microsoft 365.

Nota:

Esta directiva garantiza que los usuarios móviles puedan acceder a todos los puntos de conexión de Microsoft 365 desde Edge para iOS y Android. Esta directiva también impide que los usuarios usen InPrivate para acceder a los puntos de conexión de Microsoft 365.

Con el acceso condicional, también puede dirigirse a sitios locales que haya expuesto a usuarios externos a través del proxy de aplicación Microsoft Entra.

Nota:

Para aprovechar las directivas de acceso condicional basadas en aplicaciones, la aplicación Microsoft Authenticator debe instalarse en dispositivos iOS. En el caso de los dispositivos Android, se requiere la aplicación Portal de empresa de Intune. Para obtener más información, consulte Acceso condicional basado en aplicaciones con Intune.

Inicio de sesión único en aplicaciones web conectadas a Microsoft Entra en exploradores protegidos por directivas

Edge para iOS y Android puede aprovechar el inicio de sesión único (SSO) para todas las aplicaciones web (SaaS y locales) que están conectadas a Microsoft Entra. El SSO permite a los usuarios acceder a aplicaciones web conectadas a Microsoft Entra a través de Edge para iOS y Android, sin tener que volver a escribir sus credenciales.

El SSO requiere que el dispositivo esté registrado por la aplicación Microsoft Authenticator para dispositivos iOS o por el Portal de empresa de Intune en Android. Cuando los usuarios tienen cualquiera de estos, se les pide que registren su dispositivo cuando vayan a una aplicación web conectada a Microsoft Entra en un explorador protegido por directivas (esto solo es cierto si su dispositivo aún no se ha registrado). Una vez que el dispositivo se registra con la cuenta del usuario administrada por Intune, esa cuenta tiene habilitado el inicio de sesión único para las aplicaciones web conectadas a Microsoft Entra.

Nota:

El registro de dispositivos es una simple comprobación con el servicio de Microsoft Entra. No requiere la inscripción completa del dispositivo y no proporciona a los responsables de TI privilegios adicionales en el dispositivo.

Usar la configuración de la aplicación para administrar la experiencia de exploración

Edge para iOS y Android admite la configuración de la aplicación que permite a los administradores de la administración unificada de puntos de conexión, como Microsoft Intune, personalizar el comportamiento de la aplicación.

La configuración de aplicaciones se puede entregar a través del canal del sistema operativo de administración de dispositivos móviles (MDM) en dispositivos inscritos (canal de Configuración de aplicaciones administradas para iOS o Android en el canal Enterprise para Android) o a través del canal MAM (administración de aplicaciones móviles). Edge para iOS y Android admite los siguientes escenarios de configuración:

  • Permitir solo cuentas profesionales o educativas
  • Opciones de configuración general de la aplicación
  • Configuración de protección de datos
  • Configuración adicional de aplicaciones para dispositivos administrados

Importante

Para escenarios de configuración que requieren la inscripción de dispositivos en Android, los dispositivos deben estar inscritos en Android Enterprise y Edge para Android debe implementarse a través de Google Play Store administrado. Para obtener más información, consulte Configurar la inscripción de dispositivos de perfil de trabajo de propiedad personal de Android Enterprise y Agregar directivas de configuración de aplicaciones para dispositivos de Android Enterprise administrados.

Cada escenario de configuración resalta sus requisitos específicos. Por ejemplo, si el escenario de configuración requiere la inscripción de dispositivos y, por tanto, funciona con cualquier proveedor de UEM, o si requiere directivas de protección de aplicaciones de Intune.

Importante

Las claves de configuración de la aplicación distinguen mayúsculas de minúsculas. Use las mayúsculas y minúsculas de manera adecuada para asegurarse de que la configuración surte efecto.

Nota:

Con Microsoft Intune, la configuración de aplicaciones que se entrega a través del canal del sistema operativo MDM se conoce como una directiva de configuración de dispositivos (ACP) de dispositivos administrados; la configuración de aplicaciones que se entrega a través del canal MAM (administración de aplicaciones móviles) se conoce como una directiva de configuración de aplicaciones de aplicaciones administradas.

Permitir solo cuentas profesionales o educativas

Respetar las directivas de seguridad y el cumplimiento de los datos de nuestros clientes más grandes y altamente regulados es un pilar clave para el valor de Microsoft 365. Algunas empresas tienen un requisito para capturar toda la información de comunicaciones dentro de su entorno corporativo, así como asegurarse de que los dispositivos solo se usan para las comunicaciones corporativas. Para admitir estos requisitos, Edge para iOS y Android en dispositivos inscritos se puede configurar para permitir que solo se aprovisione una sola cuenta corporativa dentro de la aplicación.

Puede obtener más información sobre cómo configurar el valor de modo de cuentas permitidas de la organización aquí:

Este escenario de configuración solo funciona con dispositivos inscritos. Sin embargo, se admite cualquier proveedor de UEM. Si no usa Microsoft Intune, debe consultar la documentación de UEM sobre cómo implementar estas claves de configuración.

Escenarios generales de configuración de la aplicación

Edge para iOS y Android ofrece a los administradores la capacidad de personalizar la configuración predeterminada para varias opciones en la aplicación. Esta funcionalidad se ofrece cuando Edge para iOS y Android tiene una directiva de configuración de aplicaciones de aplicaciones administradas aplicada a la cuenta profesional o educativa que ha iniciado sesión en la aplicación.

Edge admite las siguientes opciones de configuración:

  • Experiencias de Página de nueva pestaña
  • Experiencias de Marcadores
  • Experiencias de comportamiento de aplicaciones
  • Experiencias de modo de quiosco

Esta configuración se puede implementar en la aplicación independientemente del estado de inscripción del dispositivo.

Diseño de página de nueva pestaña

El diseño inspirador es el predeterminado para la nueva página de tabulación. Muestra los accesos directos del sitio superior, fondo de pantalla y fuente de noticias. Los usuarios pueden cambiar el diseño según sus preferencias. Las organizaciones también pueden administrar la configuración de diseño.

Clave Valor
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout prioritario Prioritario está seleccionado
inspirador (predeterminado) La inspiración está seleccionada
informativo Se selecciona Informativo
costumbre Está seleccionada la opción Personalizada, el botón de alternancia de accesos directos del sitio superior está activado, el botón de alternancia del fondo de pantalla está activado y el botón de alternancia de la fuente de noticias está activado
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom sitios principales Activar accesos directos a sitios principales
fondo de pantalla Activar el fondo de pantalla
fuente de noticias Activar la fuente de noticias
Para que esta directiva surta efecto, com.microsoft.intune.mam.managedbrowser.NewTabPageLayout debe establecerse en personalizado

El valor predeterminado es topsites|wallpaper|newsfeed|
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable true (valor predeterminado) Los usuarios pueden cambiar la configuración de diseño de página
false Los usuarios no pueden cambiar la configuración del diseño de página. El diseño de página viene determinado por los valores especificados a través de la directiva o se usarán los valores predeterminados.

Importante

La directiva NewTabPageLayout está pensada para establecer el diseño inicial. Los usuarios pueden cambiar la configuración del diseño de página en función de su referencia. Por lo tanto, la directiva NewTabPageLayout solo surte efecto si los usuarios no cambian la configuración del diseño. Puede aplicar la directiva NewTabPageLayout configurando UserSelectable=false.

Nota:

A partir de la versión 129.0.2792.84, el diseño de página predeterminado se cambia a inspirador.

Un ejemplo de desactivación de las fuentes de noticias

  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false

Experiencias de Página de nueva pestaña

Edge para iOS y Android ofrece a las organizaciones varias opciones para ajustar la experiencia de página de nueva pestaña, incluido el logotipo de la organización, el color de la marca, la página principal, los sitios principales y las noticias del sector.

Logotipo y color de marca de la organización

El logotipo de la organización y la configuración de color de marca le permiten personalizar la nueva página de pestañas para Edge en dispositivos iOS y Android. El logotipo de Banner se usa como logotipo de su organización y el color de fondo de la página se usa como color de marca de su organización. Para obtener más información, consulte Configuración de la personalización de marca de la empresa.

A continuación, use los siguientes pares clave-valor para extraer la personalización de marca de su organización en Edge para iOS y Android:

Clave Valor
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo true muestra el logotipo de marca de su organización
false (valor predeterminado) no expondrá un logotipo
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor true muestra el color de marca de su organización
false (valor predeterminado) no expondrá un color

Acceso directo a la página principal

Este valor le permite configurar un acceso directo a la página principal de Edge para iOS y Android en la Página de nueva pestaña. El acceso directo a la página principal que configure aparecerá como el primer icono debajo de la barra de búsqueda cuando el usuario abra una nueva pestaña en Edge para iOS y Android. El usuario no puede editar ni eliminar este acceso directo en su contexto administrado. El acceso directo a la página principal muestra el nombre de su organización para distinguirla.

Clave Valor
com.microsoft.intune.mam.managedbrowser.homepage

Este nombre de directiva se ha reemplazado por la interfaz de usuario de la dirección URL del acceso directo de la página principal en Configuración perimetral
Especifique una dirección URL válida. Las direcciones URL incorrectas se bloquean como medida de seguridad.
Por ejemplo: https://www.bing.com

Varios accesos directos a sitios principales

De forma similar a la configuración de un acceso directo a la página principal, puede configurar varios accesos directos a sitios principales en las Páginas de nueva pestaña en Edge para iOS y Android. El usuario no puede editar ni eliminar estos accesos directos en un contexto administrado. Nota: Puede configurar un total de 8 accesos directos, incluido un acceso directo a la página principal. Si ha configurado un acceso directo a la página principal, ese acceso directo invalidará el primer sitio principal configurado.

Clave Valor
com.microsoft.intune.mam.managedbrowser.managedTopSites Especifique el conjunto de direcciones URL de valor. Cada acceso directo a un sitio principal consta de un título y una dirección URL. Separe el título y la dirección URL con el carácter |.
Por ejemplo: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com

Noticias del sector

Puede configurar la experiencia de Página de nueva pestaña en Edge para iOS y Android para mostrar las noticias del sector que son relevantes para su organización. Al habilitar esta característica, Edge para iOS y Android usa el nombre de dominio de su organización para agregar noticias de la web sobre su organización, el sector de la organización y la competencia, para que los usuarios puedan encontrar noticias externas relevantes desde las páginas de nueva pestaña centralizadas dentro de Edge para iOS y Android. Noticias del sector está desactivado de manera predeterminada.

Clave Valor
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews true muestra las Noticias del sector en la Página de nueva pestaña
false (valor predeterminado) oculta las Noticias del sector de la Página de nueva pestaña

Página principal en lugar de la experiencia de Página de nueva pestaña

Edge para iOS y Android permite a las organizaciones deshabilitar la experiencia de Página de nueva pestaña y, en su lugar, hacer que se inicie un sitio web cuando el usuario abre una nueva pestaña. Aunque se trata de un escenario admitido, Microsoft recomienda que las organizaciones aprovechen la experiencia de Página de nueva pestaña para proporcionar contenido dinámico que sea relevante para el usuario.

Clave Valor
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL Especifique una dirección URL válida. Si no se especifica ninguna dirección URL, la aplicación usa la experiencia de Página de nueva pestaña. Las direcciones URL incorrectas se bloquean como medida de seguridad.
Por ejemplo: https://www.bing.com

Experiencias de Marcadores

Edge para iOS y Android ofrece a las organizaciones varias opciones para administrar marcadores.

Marcadores administrados

Para facilitar el acceso, puede configurar marcadores que le gustaría que los usuarios tuvieran disponibles cuando usen Edge para iOS y Android.

  • Los marcadores solo aparecen en una cuenta profesional o educativa y no se exponen a cuentas personales.
  • Los usuarios no pueden eliminar ni modificar los marcadores.
  • Los marcadores aparecen en la parte superior de la lista. Los marcadores que crean los usuarios aparecen debajo de estos marcadores.
  • Si ha habilitado el redireccionamiento de Application Proxy, puede agregar aplicaciones web de Application Proxy mediante su dirección URL interna o externa.
  • Los marcadores se crean en una carpeta denominada después del nombre de la organización que se define en el identificador de Microsoft Entra.
Clave Valor
com.microsoft.intune.mam.managedbrowser.bookmarks

Este nombre de directiva se ha reemplazado por la interfaz de usuario de marcadores administrados en Configuración perimetral
El valor de esta configuración es una lista de marcadores. Cada marcador consta del título del marcador y la dirección URL del marcador. Separe el título y la dirección URL con el carácter |.
Por ejemplo: Microsoft Bing|https://www.bing.com

Para configurar varios marcadores, separe cada par con el carácter doble ||.
Por ejemplo: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com

Marcador Mis aplicaciones

De manera predeterminada, los usuarios tienen el marcador Mis aplicaciones configurado dentro de la carpeta de la organización dentro de Edge para iOS y Android.

Clave Valor
com.microsoft.intune.mam.managedbrowser.MyApps true (valor predeterminado) muestra Mis aplicaciones dentro de los marcadores de Edge para iOS y Android
false oculta Mis aplicaciones en Edge para iOS y Android

Experiencias de comportamiento de aplicaciones

Edge para iOS y Android ofrece a las organizaciones varias opciones para administrar el comportamiento de la aplicación.

Inicio de sesión único con contraseña de Microsoft Entra

La funcionalidad de inicio de sesión único (SSO) de Microsoft Entra Password que ofrece Microsoft Entra ID lleva la administración del acceso de los usuarios a las aplicaciones web que no admiten la federación de identidades. De forma predeterminada, Edge para iOS y Android no realiza el inicio de sesión único con las credenciales de Microsoft Entra. Para obtener más información, consulte Agregar inicio de sesión único basado en contraseña a una aplicación.

Clave Valor
com.microsoft.intune.mam.managedbrowser.PasswordSSO true el inicio de sesión único con contraseña de Microsoft Entra está habilitado
false (valor predeterminado) El inicio de sesión único con contraseña de Microsoft Entra está deshabilitado

Controlador de protocolo predeterminado

De manera predeterminada, Edge para iOS y Android usa el controlador de protocolo HTTPS cuando el usuario no especifica el protocolo en la dirección URL. Por lo general, esto se considera un procedimiento recomendado, pero se puede deshabilitar.

Clave Valor
com.microsoft.intune.mam.managedbrowser.defaultHTTPS true (predeterminado) El controlador de protocolo predeterminado es HTTPS
false El controlador de protocolo predeterminado es HTTP

Deshabilitar los datos de diagnóstico opcionales

De manera predeterminada, los usuarios pueden elegir enviar datos de diagnóstico opcionales desde el valor Configuración->Privacidad y seguridad->Datos de diagnóstico->Datos de diagnóstico opcionales. Las organizaciones pueden deshabilitar este valor.

Clave Valor
com.microsoft.intune.mam.managedbrowser.disableShareUsageData true El valor de datos de diagnóstico opcionales está deshabilitado
false (valor predeterminado) Los usuarios pueden activar o desactivar la opción

Nota:

El valor Datos de diagnóstico opcionales también se solicita a los usuarios durante la experiencia de primera ejecución (FRE). Las organizaciones pueden omitir este paso mediante la directiva de MDM EdgeDisableShareUsageData

Deshabilitar características específicas

Edge para iOS y Android permite a las organizaciones deshabilitar determinadas características que están habilitadas de manera predeterminada. Para deshabilitar estas características, configure el siguiente valor:

Clave Valor
com.microsoft.intune.mam.managedbrowser.disabledFeatures password deshabilita las solicitudes que ofrecen guardar contraseñas para el usuario final
inprivate deshabilita la exploración de InPrivate
autofill deshabilita "Guardar y rellenar direcciones" y "Guardar y rellenar información de pago". Autorrellenar se deshabilitará incluso para la información guardada anteriormente
translator deshabilita el Traductor
readaloud deshabilita la Lectura en voz alta
drop deshabilita la anulación
cupones deshabilita los cupones
extensiones deshabilita las extensiones (solo Edge para Android)
developertools atenúa los números de versión de compilación para impedir que los usuarios accedan a las opciones de desarrollador (solo Edge para Android)
UIRAlert suppress re-verify account popups in new tab page screen
share deshabilita El recurso compartido en el menú
sendtodevices deshabilita Enviar a dispositivos en el menú
weather deshabilita el tiempo en NTP (página nueva pestaña)
webinspector deshabilita la configuración de Web Inspector (solo Edge para iOS)

Para deshabilitar varias características, separe los valores con |. Por ejemplo, inprivate|password deshabilita InPrivate y el almacenamiento de contraseñas.

Deshabilitar la característica de importación de contraseñas

Edge para iOS y Android permite a los usuarios importar contraseñas desde el Administrador de contraseñas. Para deshabilitar la importación de contraseñas, configure el siguiente valor:

Clave Valor
com.microsoft.intune.mam.managedbrowser.disableImportPasswords true Deshabilitar la importación de contraseñas
false (valor predeterminado) Permitir la importación de contraseñas

Nota:

En el Administrador de contraseñas de Edge para iOS, hay un botón Agregar. Cuando la característica para importar contraseñas está deshabilitada, también se deshabilitará el botón Agregar.

Puede controlar si los sitios pueden almacenar cookies para los usuarios en Edge para Android. Para ello, configure el siguiente valor:

Clave Valor
com.microsoft.intune.mam.managedbrowser.cookieControlsMode 0 (valor predeterminado) permitir cookies
1 bloquear cookies que no son de Microsoft
2 bloquear cookies que no son de Microsoft en modo InPrivate
3 Bloquear todas las cookies

Nota:

Edge para iOS no admite el control de cookies.

Experiencias de modo de quiosco en dispositivos Android

Edge para Android se puede habilitar como una aplicación de quiosco con la siguiente configuración:

Clave Valor
com.microsoft.intune.mam.managedbrowser.enableKioskMode true habilita el modo de quiosco para Edge para Android
false (valor predeterminado) deshabilita el modo de quiosco
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode true muestra la barra de direcciones en el modo de quiosco
false (valor predeterminado) oculta la barra de direcciones cuando el modo de quiosco está habilitado
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode true muestra la barra de acción inferior en el modo de quiosco
false (valor predeterminado) oculta la barra inferior cuando el modo de quiosco está habilitado

Nota:

El modo de pantalla completa no se admite en dispositivos iOS. Sin embargo, es posible que quiera usar el modo de vista bloqueada (solo directiva MDM) para lograr una experiencia de usuario similar, donde los usuarios no pueden navegar a otros sitios web, ya que la barra de direcciones URL se convierte en de solo lectura en el modo de vista bloqueada.

Modo de vista bloqueado

Edge para iOS y Android se puede habilitar como modo de vista bloqueada con la directiva MDM EdgeLockedViewModeEnabled.

Clave Valor
EdgeLockedViewModeEnabled false (valor predeterminado) El modo de vista bloqueada está deshabilitado
true El modo de vista bloqueada está habilitado

Permite a las organizaciones restringir diversas funcionalidades del explorador, lo que proporciona una experiencia de exploración controlada y centrada.

  • La barra de direcciones URL pasa a ser de solo lectura, lo cual impide que los usuarios realicen cambios en la dirección web.
  • No se permite a los usuarios crear nuevas pestañas
  • La característica de búsqueda contextual en páginas web está deshabilitada
  • Los siguientes botones del menú de desbordamiento están deshabilitados
Botones Estado
Nueva pestaña de InPrivate Deshabilitada
Enviar a dispositivos Deshabilitada
Drop Deshabilitada
Agregar al teléfono (Android) Deshabilitada
Página de descarga (Android) Deshabilitada

El modo de vista bloqueada se suele usar junto con la directiva MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL o la directiva MDM EdgeNewTabPageCustomURL, que permite a las organizaciones configurar una página web específica que se inicia automáticamente cuando se abre Edge. Los usuarios están restringidos a esta página web y no pueden navegar a otros sitios web, lo que proporciona un entorno controlado para tareas específicas o consumo de contenido.

Nota:

De forma predeterminada, los usuarios no pueden crear nuevas pestañas en modo de vista bloqueada. Para permitir la creación de pestañas, establezca la directiva MDM EdgeLockedViewModeAllowedActions en newtabs.

Cambiar la pila de red entre Chromium e iOS

De manera predeterminada, Microsoft Edge para iOS y Android usa la pila de red de Chromium para la comunicación del servicio de Microsoft Edge, incluidos los servicios de sincronización, las sugerencias de búsqueda automática y el envío de comentarios. Microsoft Edge para iOS también proporciona la pila de red de iOS como una opción configurable para la comunicación del servicio de Microsoft Edge.

Las organizaciones pueden modificar su preferencia de pila de red mediante la configuración del siguiente valor.

Clave Valor
com.microsoft.intune.mam.managedbrowser.NetworkStackPref 0 (valor predeterminado) usar la pila de red de Chromium
1 usar la pila de red de iOS

Nota:

Se recomienda usar la pila de red de Chromium. Si experimenta problemas de sincronización o errores al enviar comentarios con la pila de red de Chromium, por ejemplo, con determinadas soluciones de VPN por aplicación, el uso de la pila de red de iOS puede resolver los problemas.

Establecer una dirección URL de archivo .pac de proxy

Las organizaciones pueden especificar una dirección URL a un archivo de configuración automática de proxy (PAC) para Microsoft Edge para iOS y Android.

Clave Valor
com.microsoft.intune.mam.managedbrowser.proxyPacUrl Especifique una dirección URL válida para un archivo .pac de proxy.
Por ejemplo: https://internal.site/example.pac

Compatibilidad con error al abrir el archivo PAC

De forma predeterminada, Microsoft Edge para iOS y Android bloqueará el acceso a la red con un script PAC no válido o no disponible. Sin embargo, las organizaciones pueden modificar el comportamiento predeterminado para que el archivo PAC no se abra.

Clave Valor
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled false (valor predeterminado) Bloquear acceso a la red
true Permitir acceso a la red

Configuración de retransmisiones de red

Edge para iOS ahora admite retransmisiones de red en iOS 17. Se trata de un tipo especial de proxy que se puede usar para soluciones de acceso remoto y privacidad. Admiten la tunelización segura y transparente del tráfico, que actúa como alternativa moderna a las VPN al acceder a los recursos internos. Para obtener más información sobre las retransmisiones de red, consulte Usar retransmisiones de red en dispositivos Apple.

Las organizaciones pueden configurar direcciones URL de proxy de retransmisión para enrutar el tráfico en función de los dominios coincidentes y excluidos.

Clave Valor
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl Especifique una dirección URL válida para un archivo json de configuración de retransmisión.
Por ejemplo: https://yourserver/relay_config.json

Un ejemplo de archivo json para retransmisiones de red
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}

Proxy para que los usuarios inicien sesión en Edge en Android

Una configuración automática de proxy (PAC) se configura normalmente en el perfil de VPN. Sin embargo, debido a la limitación de la plataforma, Android WebView no puede reconocer el PAC, que se usa durante el proceso de inicio de sesión de Edge. Es posible que los usuarios no puedan iniciar sesión en Edge en Android.

Las organizaciones pueden especificar un proxy dedicado a través de la directiva MDM para que los usuarios inicien sesión en Edge en Android.

Clave Valor
EdgeOneAuthProxy El valor correspondiente es una cadena
Ejemplohttp://MyProxy.com:8080

Almacén de datos del sitio web de iOS

El almacén de datos del sitio web en Edge para iOS es esencial para administrar cookies, memorias caché de disco y memoria, y varios tipos de datos. Sin embargo, solo hay un almacén de datos de sitio web persistente en Edge para iOS. De forma predeterminada, este almacén de datos lo usan exclusivamente las cuentas personales, lo que da lugar a una limitación en la que las cuentas profesionales o educativas no pueden usarlo. Por lo tanto, los datos de navegación, excluyendo las cookies, se pierden después de cada sesión para cuentas profesionales o educativas. Para mejorar la experiencia del usuario, las organizaciones pueden configurar el almacén de datos del sitio web para que lo usen las cuentas profesionales o educativas, lo que garantiza la persistencia de los datos de exploración.

Clave Valor
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore 0 La cuenta personal siempre usa el almacén de datos del sitio web
1 La primera cuenta que haya iniciado sesión usará el almacén de datos del sitio web
2 (valor predeterminado) La cuenta profesional o educativa usará el almacén de datos del sitio web independientemente del orden de inicio de sesión.

Nota:

Con el lanzamiento de iOS 17, ahora se admiten varios almacenes persistentes. La cuenta profesional y personal tiene su propio almacén persistente designado. Por lo tanto, esta directiva ya no es válida desde la versión 122.

SmartScreen de Microsoft Defender

SmartScreen de Microsoft Defender es una característica que ayuda a los usuarios a evitar descargas y sitios malintencionados. Está habilitada de forma predeterminada. Las organizaciones pueden deshabilitar este valor.

Clave Valor
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled true (valor predeterminado) SmartScreen de Microsoft Defender está activado.
false SmartScreen de Microsoft Defender está deshabilitado.

Comprobación de certificado

De manera predeterminada, Microsoft Edge para Android comprueba los certificados de servidor mediante el comprobador de certificados integrado y Microsoft Root Store como origen de confianza pública. Las organizaciones pueden cambiar al comprobador de certificados del sistema y a los certificados raíz del sistema.

Clave Valor
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled true (valor predeterminado) Use el comprobador de certificados integrado y Microsoft Root Store para comprobar los certificados
false Use el comprobador de certificados del sistema y los certificados raíz del sistema como origen de confianza pública para comprobar los certificados

Nota:

Un caso de uso para esta directiva es que debe usar el comprobador de certificados del sistema y los certificados raíz del sistema al usar Microsoft Tunnel para MAM en Edge para Android.

Control de página de advertencia de SSL

De forma predeterminada, los usuarios pueden hacer clic en las páginas de advertencia que se muestran cuando los usuarios navegan a sitios que tienen errores SSL. Las organizaciones pueden administrar el comportamiento.

Clave Valor
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed true (valor predeterminado) Permitir a los usuarios hacer clic en las páginas de advertencia de SSL
false Impedir que los usuarios haga clic en las páginas de advertencia de SSL

Configuración de elementos emergentes

De forma predeterminada, los elementos emergentes están bloqueados. Las organizaciones pueden administrar el comportamiento.

Clave Valor
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting 1 Permitir que todos los sitios muestren elementos emergentes
2 (valor predeterminado) No permitir que ningún sitio muestre elementos emergentes

Permitir elementos emergentes en sitios específicos

Si esta directiva no está configurada, el valor de la directiva de DefaultPopupsSetting (si se establece) o la configuración personal del usuario se usa para todos los sitios. Las organizaciones pueden definir una lista de sitios que pueden abrir elementos emergentes.

Clave Valor
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea bloquear como un solo valor, separadas por un carácter de barra vertical |.

Ejemplos:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Para obtener más información sobre el formato de direcciones URL, vea formato de patrón de dirección URL de directiva de empresa.

Bloquear elementos emergentes en sitios específicos

Si esta directiva no está configurada, el valor de la directiva de DefaultPopupsSetting (si se establece) o la configuración personal del usuario se usa para todos los sitios. Las organizaciones pueden definir una lista de sitios a los que se les impide abrir elementos emergentes.

Clave Valor
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea bloquear como un solo valor, separadas por un carácter de barra vertical |.

Ejemplos:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Para obtener más información sobre el formato de direcciones URL, vea formato de patrón de dirección URL de directiva de empresa.

Proveedor de búsquedas predeterminado

De forma predeterminada, Edge usa el proveedor de búsquedas predeterminado para realizar una búsqueda cuando los usuarios escriben textos que no son de dirección URL en la barra de direcciones. Los usuarios pueden cambiar la lista de proveedores de búsquedas. Las organizaciones pueden administrar el comportamiento del proveedor de búsquedas.

Clave Valor
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled true Habilitar el proveedor de búsquedas predeterminado
false deshabilitar el proveedor de búsquedas predeterminado

Configurar proveedor de búsquedas

Las organizaciones pueden configurar un proveedor de búsquedas para los usuarios. Para configurar un proveedor de búsquedas, es necesario configurar primero la directiva DefaultSearchProviderEnabled.

Clave Valor
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName El valor correspondiente es una cadena
EjemploMy Intranet Search
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL El valor correspondiente es una cadena
Ejemplohttps://search.my.company/search?q={searchTerms}

Copilot

Nota:

A partir de la versión 128, Copilot para cuentas profesionales o educativas ha quedado en desuso. Por lo tanto, las directivas siguientes ya no serán válidas en la versión 128. Si desea bloquear el acceso a la versión web de Copilot, copilot.microsoft.com, puede usar las directivas AllowListURLs o BlockListURLs.

Copilot está disponible en Microsoft Edge para iOS y Android. Los usuarios pueden iniciar Copilot haciendo clic en el botón Copilot en la barra inferior.

Hay tres configuraciones en Configuración->General->Copilot.

  • Mostrar Copilot – Controlar si se muestra el botón Bing en la barra inferior
  • Permitir el acceso a cualquier página web o PDF – Controlar si se permite que Copilot acceda al contenido de la página o PDF
  • Acceso rápido en la selección de texto – Controlar si se muestra el panel de chat rápido cuando se selecciona texto en una página web

Puede administrar la configuración de Copilot.

Clave Valor
com.microsoft.intune.mam.managedbrowser.Chat true (valor predeterminado) Los usuarios pueden ver el botón Copilot en la barra inferior. La configuración de Mostrar Copilot está activada de forma predeterminada y los usuarios pueden desactivarla
false Los usuarios no pueden ver el botón Copilot en la barra inferior. La configuración de Mostrar Copilot está deshabilitada y los usuarios no pueden activarlo
com.microsoft.intune.mam.managedbrowser.ChatPageContext true (valor predeterminado) Permitir el acceso a cualquier página web o PDF y el acceso rápido a la selección de texto puede estar activado por los usuarios
falsePermitir el acceso a cualquier página web o PDF y el acceso rápido a la selección de texto se deshabilitará y los usuarios no podrán activarlo.

Escenarios de configuración de aplicaciones de protección de datos

Edge para iOS y Android admite directivas de configuración de aplicaciones para las siguientes opciones de protección de datos cuando la aplicación se administra mediante Microsoft Intune con una directiva de configuración de aplicaciones para aplicaciones administradas aplicada a la cuenta profesional o educativa que ha iniciado sesión en la aplicación:

  • Administrar la sincronización de cuentas
  • Administrar sitios web restringidos
  • Administrar la configuración del proxy
  • Administrar sitios de inicio de sesión único NTLM

Esta configuración se puede implementar en la aplicación independientemente del estado de inscripción del dispositivo.

Administrar la sincronización de cuentas

De manera predeterminada, la sincronización de Microsoft Edge permite a los usuarios acceder a sus datos de exploración en todos sus dispositivos con sesión iniciada. Los datos admitidos por la sincronización incluyen:

  • Favoritos
  • Contraseñas
  • Direcciones y más (entrada de formulario de autorrellenado)

La funcionalidad de sincronización se habilita mediante el consentimiento del usuario y los usuarios pueden activar o desactivar la sincronización para cada uno de los tipos de datos enumerados anteriormente. Para obtener más información, consulte Sincronización de Microsoft Edge.

Las organizaciones tienen la capacidad de deshabilitar la sincronización de Edge en iOS y Android.

Clave Valor
com.microsoft.intune.mam.managedbrowser.account.syncDisabled true deshabilita la sincronización de Edge
false (valor predeterminado) permite la sincronización de Edge

Administrar sitios web restringidos

Las organizaciones pueden definir a qué sitios pueden acceder los usuarios en el contexto de una cuenta profesional o educativa en Edge para iOS y Android. Si usa una lista de permitidos, los usuarios solo podrán acceder a los sitios enumerados explícitamente. Si usa una lista de bloqueados, los usuarios podrán acceder a todos los sitios excepto a los bloqueados explícitamente. Solo debe imponer una lista de permitidos o bloqueados, no ambas. Si impone ambas, solo se respeta la lista de permitidos.

Las organizaciones también definen lo que sucede cuando un usuario intenta navegar a un sitio web restringido. De manera predeterminada, se permiten transiciones. Si la organización lo permite, los sitios web restringidos se pueden abrir en el contexto de la cuenta personal, en el contexto de InPrivate de la cuenta de Microsoft Entra o si el sitio está bloqueado por completo. Para obtener más información sobre los distintos escenarios que se admiten, consulte Transiciones de sitios web restringidos en Microsoft Edge para dispositivo móvil. Al permitir experiencias de transición, los usuarios de la organización permanecen protegidos, a la vez que mantienen seguros los recursos corporativos.

Para mejorar la experiencia de cambio de perfil al reducir la necesidad de que los usuarios cambien manualmente a perfiles personales o al modo InPrivate para abrir direcciones URL bloqueadas, hemos introducido dos nuevas directivas:

  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork

Dado que estas directivas proporcionan resultados diferentes en función de sus configuraciones y combinaciones, se recomienda probar nuestras sugerencias de directiva a continuación para una evaluación rápida para ver si la experiencia de cambio de perfil se alinea bien con las necesidades de su organización antes de explorar documentación detallada. Las opciones de configuración de cambio de perfil sugeridas incluyen los siguientes valores:

  • com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
  • com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2

Nota:

Edge para iOS y Android puede bloquear el acceso a los sitios solo cuando se accede a ellos directamente. No bloquea el acceso cuando los usuarios usan servicios intermedios (como un servicio de traducción) para acceder al sitio. Las direcciones URL que comienzan con Edge, como Edge://*, Edge://flagsy Edge://net-export, no se admiten en la directiva de configuración de aplicaciones AllowListURLs o BlockListURLs para aplicaciones administradas . Puede deshabilitar estas direcciones URL con com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.

Si los dispositivos se administran, también puede usar la directiva de configuración de aplicaciones URLAllowList o URLBlocklist para dispositivos administrados. Para obtener información relacionada, consulte Directivas móviles de Microsoft Edge.

Use los siguientes pares clave-valor para configurar una lista de sitios permitidos o bloqueados para Edge para iOS y Android.

Clave Valor
com.microsoft.intune.mam.managedbrowser.AllowListURLs

Este nombre de directiva se ha reemplazado por la interfaz de usuario de Direcciones URL permitidas en Configuración perimetral
El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea permitir como un solo valor, separadas por un carácter de barra vertical |.

Ejemplos:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.BlockListURLs

Este nombre de directiva se ha reemplazado por la interfaz de usuario de direcciones URL bloqueadas en Configuración perimetral
El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea bloquear como un solo valor, separadas por un carácter de barra vertical |.

Ejemplos:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock

Este nombre de directiva se ha reemplazado por la interfaz de usuario de Redirigir sitios restringidos al contexto personal en Configuración perimetral
true (valor predeterminado) permite que Edge para iOS y Android realice la transición de sitios restringidos. Cuando las cuentas personales no están deshabilitadas, se pide a los usuarios que cambien al contexto personal para abrir el sitio restringido o que agreguen una cuenta personal. Si com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked se establece en true, los usuarios tienen la capacidad de abrir el sitio restringido en el contexto de InPrivate.
false impide que Edge para iOS y Android realice la transición de los usuarios. A los usuarios simplemente se les muestra un mensaje que indica que el sitio al que intentan acceder está bloqueado.
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked true permite abrir sitios restringidos en el contexto de InPrivate de la cuenta de Microsoft Entra. Si la cuenta de Microsoft Entra es la única cuenta configurada en Edge para iOS y Android, el sitio restringido se abre automáticamente en el contexto de InPrivate. Si el usuario tiene configurada una cuenta personal, se le pedirá que elija entre abrir InPrivate o cambiar a la cuenta personal.
False (valor predeterminado) requiere que el sitio restringido se abra en la cuenta personal del usuario. Si las cuentas personales están deshabilitadas, el sitio se bloquea.
Para que este valor surta efecto, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock debe establecerse en true.
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar Escriba el número de segundos que los usuarios verán la notificación de barra emergente “El acceso a este sitio está bloqueado por su organización. Lo hemos abierto en modo InPrivate para que pueda acceder al sitio”. De manera predeterminada, la notificación de barra emergente se muestra durante 7 segundos.

Los siguientes sitios, excepto copilot.microsoft.com, siempre se permiten independientemente de la configuración de lista de permitidos o de lista de bloques definida:

  • https://*.microsoft.com/*
  • http://*.microsoft.com/*
  • https://microsoft.com/*
  • http://microsoft.com/*
  • https://*.windowsazure.com/*
  • https://*.microsoftonline.com/*
  • https://*.microsoftonline-p.com/*

Controlar el comportamiento del elemento emergente Sitio bloqueado

Al intentar acceder a sitios web bloqueados, se pedirá a los usuarios que usen el cambio a InPrivate o a una cuenta personal para abrir los sitios web bloqueados. Puede elegir las preferencias entre InPrivate y la cuenta personal.

Clave Valor
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock 0: (Valor predeterminado) Mostrar siempre la ventana emergente para que el usuario elija.
1: cambiar automáticamente a cuenta personal cuando la cuenta personal haya iniciado sesión. Si la cuenta personal no ha iniciado sesión, el comportamiento cambiará al valor 2.
2: cambiar automáticamente a InPrivate si com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true permite el modificador InPrivate.

Controlar el comportamiento de cambiar el perfil personal al perfil de trabajo

Cuando Edge está en el perfil personal y los usuarios intentan abrir un vínculo desde Outlook o Microsoft Teams que se encuentran en el perfil de trabajo, de forma predeterminada, Intune usará el perfil de trabajo perimetral para abrir el vínculo porque tanto Edge como Outlook y Microsoft Teams se administran mediante Intune. Sin embargo, cuando se bloquea el vínculo, el usuario cambiará al perfil personal. Esto provoca una experiencia de fricción para los usuarios

Puede configurar una directiva para mejorar la experiencia de los usuarios. Se recomienda usar esta directiva junto con AutoTransitionModeOnBlock, ya que puede cambiar a los usuarios al perfil personal según el valor de directiva configurado.

Clave Valor
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork 1: (Valor predeterminado) Cambie al perfil de trabajo incluso si la directiva perimetral bloquea la dirección URL.
2: Las direcciones URL bloqueadas se abrirán bajo perfil personal si el perfil personal ha iniciado sesión. Si el perfil personal no ha iniciado sesión, la dirección URL bloqueada se abrirá en modo InPrivate.

Administrar el bloqueo de subaplicación

De forma predeterminada, AllowListURLs y BlockListURLs solo se aplican en el nivel de navegación. Al insertar direcciones URL bloqueadas (direcciones URL configuradas en BlockListURLs o direcciones URL no configuradas en AllowListURLs) como sub resources dentro de una página web, esas direcciones URL de sub resource no se bloquean.

Para restringir aún más estos recursos secundarios, puede configurar una directiva para bloquear las direcciones URL del sub recurso.

Clave Valor
com.microsoft.intune.mam.managedbrowser.ManageRestrictedSubresourceEnabled false: (Valor predeterminado) Las direcciones URL de sub resource no se bloquearán aunque se bloqueen las direcciones URL del sub recurso.
true: las direcciones URL de sub resource se bloquearán si aparecen como bloqueadas.

Nota:

Se recomienda usar esta directiva junto con BlockListURLs. Si se usa con AllowListURLs, asegúrese de que todas las direcciones URL de sub resource se incluyen en allowListURLs. De lo contrario, es posible que algunos sub recursos no se carguen.

Formatos de dirección URL para la lista de sitios permitidos y bloqueados

Puede usar varios formatos de dirección URL para crear listas de sitios permitidos o bloqueados. Estos patrones permitidos se detallan en la tabla siguiente.

  • Asegúrese de incluir el prefijo http:// o https:// en todas las direcciones URL al escribirlas en la lista.

  • Puede usar el símbolo de carácter comodín (*) según las reglas de la siguiente lista de patrones permitidos.

  • Un carácter comodín solo puede coincidir con una parte (por ejemplo, news-contoso.com) o con un componente completo del nombre de host (por ejemplo, host.contoso.com) o con partes enteras de la ruta de acceso cuando se separan mediante barras diagonales (www.contoso.com/images).

  • Puede especificar números de puerto en la dirección. Si no especifica un número de puerto, los valores usados son:

    • Puerto 80 para http
    • Puerto 443 para https
  • El uso de caracteres comodín para el número de puerto solo se admite en Edge para iOS. Por ejemplo, puede especificar http://www.contoso.com:* y http://www.contoso.com:*/.

  • Se admite la especificación de direcciones IPv4 con notación CIDR. Por ejemplo, puede especificar 127.0.0.1/24 (un intervalo de direcciones IP).

    URL Detalles Coincidencias No coincide
    http://www.contoso.com Coincide con una sola página www.contoso.com host.contoso.com
    www.contoso.com/images
    contoso.com/
    http://contoso.com Coincide con una sola página contoso.com/ host.contoso.com
    www.contoso.com/images
    www.contoso.com
    http://www.contoso.com/* Coincide con todas las direcciones URL que comienzan por www.contoso.com www.contoso.com
    www.contoso.com/images
    www.contoso.com/videos/tvshows
    host.contoso.com
    host.contoso.com/images
    http://*.contoso.com/* Coincide con todos los subdominios en contoso.com developer.contoso.com/resources
    news.contoso.com/images
    news.contoso.com/videos
    contoso.host.com
    news-contoso.com
    http://*contoso.com/* Coincide con todos los subdominios que terminan con contoso.com/ news-contoso.com
    news-contoso.com/daily
    news-contoso.host.com
    news.contoso.com
    http://www.contoso.com/images Coincide con una sola carpeta www.contoso.com/images www.contoso.com/images/dogs
    http://www.contoso.com:80 Coincide con una sola página, mediante un número de puerto www.contoso.com:80
    https://www.contoso.com Coincide con una sola página segura www.contoso.com www.contoso.com/images
    http://www.contoso.com/images/* Coincide con una sola carpeta y todas las subcarpetas www.contoso.com/images/dogs
    www.contoso.com/images/cats
    www.contoso.com/videos
    http://contoso.com:* Coincide con cualquier número de puerto de una sola página contoso.com:80
    contoso.com:8080
    10.0.0.0/24 Coincide con un intervalo de direcciones IP de 10.0.0.0 a 10.0.0.255 10.0.0.0
    10.0.0.100
    192.168.1.1
    • A continuación se muestran ejemplos de algunas de las entradas que no se pueden especificar:
    • *.com
    • *.contoso/*
    • www.contoso.com/*images
    • www.contoso.com/*images*pigs
    • www.contoso.com/page*
    • https://*
    • http://*
    • http://www.contoso.com: /*

Deshabilitar páginas internas de Edge

Puede deshabilitar páginas internas de Edge como Edge://flags y Edge://net-export. Se pueden encontrar más páginas desde Edge://about

Clave Valor
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList El valor correspondiente de la clave es una lista de nombres de página. Puede escribir las páginas internas que desea bloquear como un solo valor, separadas por un carácter de canalización | .

Ejemplos:
flags|net-export

Administrar sitios web para permitir la carga de archivos

Puede haber escenarios en los que los usuarios solo pueden ver sitios web, sin la capacidad de cargar archivos. Las organizaciones tienen la opción de designar qué sitios web pueden recibir cargas de archivos.

Clave Valor
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea bloquear como un solo valor, separadas por un carácter de barra vertical |.

Ejemplos:
URL1|URL2|URL3
https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea bloquear como un solo valor, separadas por un carácter de barra vertical |.

Ejemplos:
URL1|URL2|URL3
https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com

El ejemplo para impedir que todos los sitios web, incluidos los sitios web internos, carguen archivos

  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Ejemplo para permitir que sitios web específicos carguen archivos

  • com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=https://[*.]contoso.com/|[*.]sharepoint.com/
  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Para obtener más información sobre el formato de direcciones URL, vea formato de patrón de dirección URL de directiva de empresa.

Nota:

Para Edge en iOS, la acción de pegar se bloqueará además de las cargas. Los usuarios no verán la opción pegar en el menú de acciones.

Administrar la configuración del proxy

Puede usar Edge para iOS y Android y proxy de aplicación de Microsoft Entra conjuntamente para proporcionar a los usuarios acceso a sitios de intranet en sus dispositivos móviles. Por ejemplo:

  • Un usuario usa la aplicación móvil de Outlook, que está protegida por Intune. A continuación, hacen clic en un vínculo a un sitio de intranet en un correo electrónico y Edge para iOS y Android reconoce que este sitio de intranet se ha expuesto al usuario a través de Application Proxy. El usuario se enruta automáticamente a través de Application Proxy, para autenticarse con cualquier autenticación multifactor y acceso condicional aplicables, antes de llegar al sitio de intranet. El usuario ahora puede acceder a sitios internos, incluso en sus dispositivos móviles, y el vínculo en Outlook funciona según lo esperado.
  • Un usuario abre Edge para iOS y Android en su dispositivo iOS o Android. Si Edge para iOS y Android está protegido con Intune y Application Proxy está habilitado, el usuario puede ir a un sitio de intranet mediante la dirección URL interna a la que está acostumbrado. Edge para iOS y Android reconoce que este sitio de intranet se ha expuesto al usuario a través de Application Proxy. El usuario se enruta automáticamente a través de Application Proxy para autenticarse antes de llegar al sitio de intranet.

Antes de empezar:

  • Configure las aplicaciones internas a través del proxy de aplicación de Microsoft Entra.
    • Para configurar Application Proxy y publicar aplicaciones, consulte la documentación de configuración.
    • Asegúrese de que el usuario está asignado a la aplicación de proxy de aplicación de Microsoft Entra, incluso si la aplicación está configurada con el tipo de autenticación previa de paso a través.
  • La aplicación Edge para iOS y Android debe tener asignada una directiva de protección de aplicaciones de Intune.
  • Las aplicaciones de Microsoft deben tener una directiva de protección de aplicaciones que tenga el valor de transferencia de datos Restringir la transferencia de contenido web con otras aplicaciones establecido en Microsoft Edge.

Nota:

Edge para iOS y Android actualiza los datos de redireccionamiento de Application Proxy en función del último evento de actualización correcto. Las actualizaciones se intentan cada vez que el último evento de actualización correcto es superior a una hora.

Edge de destino para iOS y Android con el siguiente par clave-valor, para habilitar Application Proxy.

Clave Valor
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection

Este nombre de directiva se ha reemplazado por la interfaz de usuario del redireccionamiento del proxy de aplicación en Configuración perimetral
true permite escenarios de redireccionamiento de proxy de aplicación de Microsoft Entra
false (valor predeterminado) impide escenarios de proxy de aplicación de Microsoft Entra

Para obtener más información sobre cómo usar Edge para iOS y Android y el proxy de aplicación de Microsoft Entra conjuntamente para un acceso sin problemas (y protegido) a las aplicaciones web locales, consulte Mejor juntos: Intune y Microsoft Entra se unen para mejorar el acceso de los usuarios. Esta entrada de blog hace referencia a Intune Managed Browser, pero el contenido también se aplica a Edge para iOS y Android.

Administrar sitios de inicio de sesión único NTLM

Las organizaciones pueden requerir que los usuarios se autentiquen con NTLM para acceder a sitios web de intranet. De manera predeterminada, se pide a los usuarios que escriban sus credenciales cada vez que accedan a un sitio web que requiera autenticación NTLM, ya que el almacenamiento en caché de las credenciales NTLM está deshabilitado.

Las organizaciones pueden habilitar el almacenamiento en caché de las credenciales NTLM para determinados sitios web. Para estos sitios, después de que el usuario escriba las credenciales y se autentique correctamente, las credenciales se almacenan en caché de manera predeterminada durante 30 días.

Nota:

Si usa un servidor proxy, asegúrese de que está configurado mediante la directiva NTLMSSOURLs, donde especifica específicamente https y http como parte del valor de clave.

Actualmente, los esquemas https y http deben especificarse en el valor de clave NTLMSSOURLs. Por ejemplo, debe configurar tanto https://your-proxy-server:8080 como http://your-proxy-server:8080. Actualmente, no es suficiente especificar el formato como host:port (como your-proxy-server:8080).

Además, no se admite el símbolo comodín (*) al configurar servidores proxy en la directiva NTLMSSOURLs.

Clave Valor
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs El valor correspondiente de la clave es una lista de direcciones URL. Escriba todas las direcciones URL que desea permitir como un solo valor, separadas por un carácter de barra vertical |.

Ejemplos:
URL1|URL2
http://app.contoso.com/|https://expenses.contoso.com

Para obtener más información sobre los tipos de formatos de dirección URL que se admiten, consulte Formatos de dirección URL para la lista de sitios permitidos y bloqueados.
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO Número de horas para almacenar en caché las credenciales; el valor predeterminado es 720 horas

Configuración adicional de aplicaciones para dispositivos administrados

Las siguientes directivas, que se pueden configurar originalmente a través de la directiva de configuración de aplicaciones de aplicaciones administradas, ahora están disponibles a través de la directiva de configuración de aplicaciones de dispositivos administrados. Al usar directivas para las aplicaciones administradas, los usuarios deben iniciar sesión en Microsoft Edge. Al usar directivas para los dispositivos administrados, no es necesario que los usuarios inicien sesión en Edge para aplicar las directivas.

Como las directivas de configuración de aplicaciones para dispositivos administrados necesitan la inscripción de los dispositivos, se admite cualquier administración unificada de puntos de conexión (UEM). Para encontrar más directivas en el canal MDM, consulte Directivas móviles de Microsoft Edge.

Directiva MAM Directiva MDM
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL EdgeNewTabPageCustomURL
com.microsoft.intune.mam.managedbrowser.MyApps EdgeMyApps
com.microsoft.intune.mam.managedbrowser.defaultHTTPS EdgeDefaultHTTPS
com.microsoft.intune.mam.managedbrowser.disableShareUsageData EdgeDisableShareUsageData
com.microsoft.intune.mam.managedbrowser.disabledFeatures EdgeDisabledFeatures
com.microsoft.intune.mam.managedbrowser.disableImportPasswords EdgeImportPasswordsDisabled
com.microsoft.intune.mam.managedbrowser.enableKioskMode EdgeEnableKioskMode
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode EdgeShowAddressBarInKioskMode
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode EdgeShowBottomBarInKioskMode
com.microsoft.intune.mam.managedbrowser.account.syncDisabled EdgeSyncDisabled
com.microsoft.intune.mam.managedbrowser.NetworkStackPref EdgeNetworkStackPref
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled SmartScreenEnabled
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled MicrosoftRootStoreEnabled
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed SSLErrorOverrideAllowed
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting DefaultPopupsSetting
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls PopupsAllowedForUrls
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls PopupsBlockedForUrls
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled DefaultSearchProviderEnabled
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName DefaultSearchProviderName
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL DefaultSearchProviderSearchURL
com.microsoft.intune.mam.managedbrowser.Chat EdgeCopilotEnabled
com.microsoft.intune.mam.managedbrowser.ChatPageContext EdgeChatPageContext

Implementación de escenarios de configuración de aplicaciones con Microsoft Intune

Si usa Microsoft Intune como proveedor de administración de aplicaciones móviles, los pasos siguientes le permiten crear una directiva de configuración de aplicaciones de aplicaciones administradas. Una vez creada la configuración, puede asignarla a grupos de usuarios.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Aplicaciones y, a continuación, seleccione Directivas de configuración de aplicaciones.

  3. En la hoja Directivas de configuración de aplicaciones, elija Agregar y seleccione Aplicaciones administradas.

  4. En la sección Aspectos básicos, escriba un nombre y una Descripción opcional para las opciones de configuración de la aplicación.

  5. Para las Aplicaciones públicas, elija Seleccionar aplicaciones públicas y, a continuación, en la hoja Aplicaciones de destino, elija Edge para iOS y Android seleccionando las aplicaciones de la plataforma iOS y Android. Haga clic en Seleccionar para guardar las aplicaciones públicas seleccionadas.

  6. Haga clic en Siguiente para completar la configuración básica de la directiva de configuración de aplicaciones.

  7. En la sección Configuración, expanda las Opciones de configuración de Edge.

  8. Si desea administrar la configuración de protección de datos, configure las opciones deseadas en consecuencia:

    • Para el redireccionamiento de Application Proxy, elija entre las opciones disponibles: Habilitar, Deshabilitar (valor predeterminado).

    • Para la dirección URL de acceso directo de la página principal, especifique una dirección URL válida que incluya el prefijo de http:// o https://. Las direcciones URL incorrectas se bloquean como medida de seguridad.

    • Para Marcadores administrados, especifique el título y una dirección URL válida que incluya el prefijo de http:// o https://.

    • Para las direcciones URL permitidas, especifique una dirección URL válida (solo se permiten estas direcciones URL; no se puede tener acceso a ningún otro sitio). Para obtener más información sobre los tipos de formatos de dirección URL que se admiten, consulte Formatos de dirección URL para la lista de sitios permitidos y bloqueados.

    • Para las direcciones URL bloqueadas, especifique una dirección URL válida (solo se bloquean estas direcciones URL). Para obtener más información sobre los tipos de formatos de dirección URL que se admiten, consulte Formatos de dirección URL para la lista de sitios permitidos y bloqueados.

    • Para Redirigir sitios restringidos al contexto personal, elija entre las opciones disponibles: Habilitar (valor predeterminado), Deshabilitar.

    Nota:

    Cuando las direcciones URL permitidas y las direcciones URL bloqueadas se definen en la directiva, solo se respeta la lista de permitidos.

  9. Si desea valores de configuración de aplicación adicionales que no se exponen en la directiva anterior, expanda el nodo Configuración general y escriba los pares clave-valor en consecuencia.

  10. Cuando haya terminado de configurar las opciones, elija Siguiente.

  11. En la sección Asignaciones, elija Seleccionar grupos para incluir. Seleccione el grupo de Microsoft Entra al que desea asignar la directiva de configuración de aplicaciones y, a continuación, elija Seleccionar.

  12. Cuando haya terminado con las asignaciones, elija Siguiente.

  13. En la hoja Crear directiva de configuración de aplicaciones Revisar y crear, revise las opciones configuradas y elija Crear.

La directiva de configuración recién creada se muestra en la hoja Configuración de la aplicación.

Usar Microsoft Edge para iOS y Android para obtener acceso a los registros de las aplicaciones administrados

Los usuarios con Edge para iOS y Android instalado en sus dispositivos iOS o Android pueden ver el estado de administración de todas las aplicaciones publicadas por Microsoft. Pueden enviar registros para solucionar problemas de sus aplicaciones iOS o Android administradas mediante los pasos siguientes:

  1. Abra Edge para iOS y Android en el dispositivo.

  2. Escriba edge://intunehelp/ en el cuadro de dirección:

  3. Edge para iOS y Android inicia el modo de solución de problemas.

Puede recuperar registros del Soporte técnico de Microsoft proporcionándoles el id. de incidente del usuario.

Para obtener una lista de la configuración almacenada en los registros de la aplicación, consulte Revisión de los registros de protección de aplicaciones del cliente.

Registro de diagnóstico

Además de Intune registros de edge://intunehelp/, es posible que Soporte técnico de Microsoft le pida que proporcione registros de diagnóstico de Microsoft Edge para iOS y Android. Puede cargar los registros en Microsoft Server o guardarlos localmente y compartirlos directamente con Soporte técnico de Microsoft.

Carga de registros en Microsoft Server

Siga estos pasos para cargar registros en Microsoft Server:

  1. Reproduzca el problema.
  2. Para abrir el menú de desbordamiento, seleccione el icono de hamburguesa en la esquina inferior derecha.
  3. Deslice el dedo hacia la izquierda y seleccione Ayuda y comentarios.
  4. En la sección Describir lo que sucede, proporcione detalles sobre el problema para que el equipo de soporte técnico pueda identificar los registros pertinentes.
  5. Cargue los registros en microsoft server; para ello, seleccione el botón situado en la esquina superior derecha.

Guardar registros localmente y compartirlos directamente con Soporte técnico de Microsoft

Siga estos pasos para guardar los registros localmente y compartirlos:

  1. Reproduzca el problema.
  2. Para abrir el menú de desbordamiento, seleccione en el menú hamburguesa de la esquina inferior derecha.
  3. Deslice el dedo hacia la izquierda y seleccione Ayuda y comentarios.
  4. Seleccione datos de diagnóstico.
  5. Para Microsoft Edge para iOS, pulse el icono Compartir en la esquina superior derecha. Aparecerá el cuadro de diálogo De uso compartido del sistema operativo, lo que le permite guardar los registros localmente o compartirlos a través de otras aplicaciones. En Microsoft Edge para Android, abra el submenú en la esquina superior derecha y seleccione la opción para guardar los registros. Los registros se guardarán en la carpeta Descargar>edge .

Si desea borrar los registros antiguos, seleccione el icono Borrar en la parte superior derecha al seleccionar datos de diagnóstico. A continuación, vuelva a reproducir el problema para asegurarse de que solo se capturan registros nuevos.

Nota:

Al guardar los registros también se respeta la directiva de Intune App Protection. Por lo tanto, es posible que no tenga permiso para guardar datos de diagnóstico en dispositivos locales.

Pasos siguientes