Gérer Microsoft Edge sur iOS et Android avec Intune
Edge pour iOS et Android est conçu pour permettre aux utilisateurs de parcourir le web et prend en charge les identités multiples. Les utilisateurs peuvent ajouter un compte professionnel, ainsi qu’un compte personnel, pour la navigation. Il existe une séparation complète entre les deux identités, à l’instar de ce qui est proposé dans d’autres applications mobiles Microsoft.
Cette fonctionnalité s’applique à :
- iOS/iPadOS 14.0 ou version ultérieure
- Android 8.0 ou version ultérieure pour les appareils inscrits et Android 9.0 ou version ultérieure pour les appareils non inscrits
Remarque
Edge pour iOS et Android ne consomme pas les paramètres définis par les utilisateurs pour le navigateur natif sur leurs appareils, car Edge pour iOS et Android ne peut pas accéder à ces paramètres.
Les fonctionnalités de protection les plus riches et les plus étendues pour les données Microsoft 365 sont disponibles lorsque vous vous abonnez à la suite Enterprise Mobility + Security, qui inclut des fonctionnalités Microsoft Intune et Microsoft Entra ID P1 ou P2, telles que l’accès conditionnel. Au minimum, vous souhaiterez déployer une stratégie d’accès conditionnel qui autorise uniquement la connectivité à Edge pour iOS et Android à partir d’appareils mobiles et une stratégie de protection des applications Intune qui garantit la protection de l’expérience de navigation.
Remarque
Les nouveaux clips web (applications web épinglées) sur les appareils iOS s’ouvrent dans Edge pour iOS et Android au lieu du Intune Managed Browser si nécessaire pour s’ouvrir dans un navigateur protégé. Pour les clips web iOS plus anciens, vous devez les cibler à nouveau pour vous assurer qu’ils s’ouvrent dans Edge pour iOS et Android plutôt que dans le Managed Browser.
Créer des stratégies de protection des applications Intune
À mesure que les organisations adoptent de plus en plus les applications SaaS et web, les navigateurs sont devenus des outils essentiels pour les entreprises. Les utilisateurs doivent souvent accéder à ces applications à partir de navigateurs mobiles lorsqu’ils sont en déplacement. Il est essentiel de s’assurer que les données accessibles via les navigateurs mobiles sont protégées contre les fuites intentionnelles ou involontaires. Par instance, les utilisateurs peuvent partager par inadvertance les données d’une organisation avec des applications personnelles, ce qui entraîne une fuite de données, ou les télécharger sur des appareils locaux, ce qui pose également un risque.
Les organisations peuvent protéger les données contre les fuites lorsque les utilisateurs naviguent avec Microsoft Edge pour appareils mobiles en configurant des stratégies de protection des applications (APP), qui définissent les applications autorisées et les actions qu’ils peuvent effectuer avec les données de votre organisation. Les choix disponibles dans SPA permettent aux organisations d’adapter la protection à leurs besoins spécifiques. Pour certaines, il peut être difficile d’identifier les paramètres de stratégie nécessaires pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser le renforcement de la sécurité des points de terminaison des clients mobiles, Microsoft a introduit une taxonomie pour son framework de protection des données des stratégies de protection des applications pour la gestion des applications mobiles iOS et Android.
Le framework de protection des données des stratégies de protection des applications est organisé en trois niveaux de configuration distincts, chaque niveau s’appuyant sur le niveau précédent :
- La protection de base des données d’entreprise (niveau 1) garantit que les applications sont protégées par un code PIN et chiffrées, et effectue des opérations de réinitialisation sélective. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Il s’agit d’une configuration de niveau d’entrée qui fournit un contrôle de protection des données similaire dans les stratégies de boîte aux lettres Exchange Online et présente l’informatique ainsi que le nombre des utilisateurs aux stratégies de protection des applications.
- La protection améliorée des données d’entreprise (niveau 2) présente les mécanismes de prévention des fuites de données des stratégies de protection des applications et les exigences minimales du système d’exploitation. Il s’agit de la configuration qui s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires.
- La protection élevée des données d’entreprise (niveau 3) présente les mécanismes avancés de protection des données, une configuration de code PIN améliorée et une protection contre les menaces mobiles pour les stratégies de protection des applications. Cette configuration est souhaitable pour les utilisateurs qui accèdent à des données à risque élevé.
Pour afficher les recommandations spécifiques pour chaque niveau de configuration et les applications minimales à protéger, consultez Framework de protection des données à l’aide de stratégies de protection des applications.
Que l’appareil soit inscrit ou non dans une solution de gestion unifiée des points de terminaison (UEM), une stratégie de protection des applications Intune doit être créée pour les applications iOS et Android, en suivant les étapes décrites dans Comment créer et attribuer des stratégies de protection des applications. Ces stratégies doivent au minimum remplir les conditions suivantes :
Elles incluent toutes les applications mobiles Microsoft 365, telles que Edge, Outlook, OneDrive, Office ou Teams, car cela garantit que les utilisateurs peuvent accéder aux données professionnelles ou scolaires et les manipuler dans n’importe quelle application Microsoft de manière sécurisée.
Ils sont attribués à tous les utilisateurs. Cela garantit que tous les utilisateurs sont protégés, qu’ils utilisent Edge pour iOS ou Android.
Déterminez le niveau d’infrastructure qui répond à vos besoins. La plupart des organisations doivent implémenter les paramètres définis dans la protection améliorée des données d’entreprise (niveau 2), car cela permet de contrôler la protection des données et les exigences d’accès.
Remarque
L’un des paramètres liés aux navigateurs est « Restreindre le transfert de contenu web avec d’autres applications ». Dans Protection améliorée des données d’entreprise (niveau 2), la valeur de ce paramètre est configurée sur Microsoft Edge. Quand Outlook et Microsoft Teams sont protégés par des stratégies de protection des applications (APP), Microsoft Edge est utilisé pour ouvrir des liens à partir de ces applications, ce qui garantit que les liens sont sécurisés et protégés. Pour plus d’informations sur les paramètres disponibles, consultez Paramètres de stratégie de protection des applications Android et Paramètres de stratégie de protection des applications iOS.
Importante
Pour appliquer les stratégies de protection des applications Intune pour les applications des appareils Android non inscrits dans Intune, l'utilisateur doit également installer le portail d'entreprise Intune.
Appliquer l’accès conditionnel
Bien qu’il soit important de protéger Microsoft Edge avec des stratégies de protection des applications (APP), il est également essentiel de s’assurer que Microsoft Edge est le navigateur obligatoire pour l’ouverture d’applications d’entreprise. Les utilisateurs peuvent utiliser d’autres navigateurs non protégés pour accéder aux applications d’entreprise, ce qui peut entraîner des fuites de données.
Les organisations peuvent utiliser les stratégies d'accès conditionnel de Microsoft Entra pour s'assurer que les utilisateurs ne peuvent accéder qu'au contenu professionnel ou scolaire en utilisant Edge pour iOS et Android. Pour ce faire, vous avez besoin d’une stratégie d’accès conditionnel qui cible tous les utilisateurs potentiels. Ces stratégies sont décrites dans Accès conditionnel : exiger des applications clientes approuvées ou une stratégie de protection des applications.
Suivez les étapes décrites dans Exiger des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles, ce qui permet à Edge pour iOS et Android, mais empêche d’autres navigateurs web d’appareils mobiles de se connecter à Microsoft 365 points de terminaison.
Remarque
Cette stratégie garantit que les utilisateurs mobiles peuvent accéder à tous les points de terminaison Microsoft 365 à partir de Edge pour iOS et Android. Cette stratégie empêche également les utilisateurs d’utiliser InPrivate pour accéder à Microsoft 365 points de terminaison.
Avec l'accès conditionnel, vous pouvez également cibler des sites sur site que vous avez exposés à des utilisateurs externes via le proxy d'application Microsoft Entra.
Remarque
Pour tirer parti des stratégies d’accès conditionnel basées sur l’application, l’application Microsoft Authenticator doit être installée sur les appareils iOS. Pour les appareils Android, l’application Portail d'entreprise Intune est obligatoire. Pour en savoir plus, consultez l'article Accès conditionnel basé sur l'application avec Intune.
Connexion unique aux applications web connectées de Microsoft Entra dans des navigateurs protégés par des règles.
Edge pour iOS et Android peut tirer parti de l'authentification unique (SSO) pour toutes les applications web (SaaS et sur site) qui sont connectées à Microsoft Entra. Le SSO permet aux utilisateurs d'accéder aux applications web connectées Microsoft Entra via Edge pour iOS et Android, sans avoir à saisir à nouveau leurs informations d'identification.
L’authentification unique exige que votre appareil soit inscrit par l’application Microsoft Authenticator pour les appareils iOS ou par le Portail d'entreprise Intune sur Android. Lorsque les utilisateurs disposent de l'un ou l'autre de ces éléments, ils sont invités à enregistrer leur appareil lorsqu'ils accèdent à une application web connectée à Microsoft Entra dans un navigateur protégé par une politique (cela n'est vrai que si leur appareil n'a pas déjà été enregistré). Une fois l'appareil enregistré dans le compte de l'utilisateur géré par Intune, le SSO de ce compte est activé pour les applications web connectées à Microsoft Entra.
Notes
L'enregistrement de l'appareil se fait simplement par l'intermédiaire du service Microsoft Entra. Il ne nécessite pas d’inscription complète des appareils et ne donne pas de privilèges supplémentaires au service informatique sur l’appareil.
Utiliser la configuration de l’application pour gérer l’expérience de navigation
Edge pour iOS et Android prend en charge les paramètres d’application qui permettent aux administrateurs de gérer les points de terminaison unifiés, comme Microsoft Intune, de personnaliser le comportement de l’application.
La configuration de l’application peut être fournie via le canal du système d’exploitation de gestion des appareils mobiles (GPM) sur (le canal de Configuration d’application gérée des appareils inscrits pour iOS ou le canal Android dans l’entreprise pour Android) ou via le canal GAM (Gestion des applications mobiles). Edge pour iOS et Android prend en charge les scénarios de configuration suivants :
- Autoriser uniquement les comptes professionnels ou scolaires
- Paramètres généraux de configuration d’application
- Paramètres de protection des données
- Configuration d’application supplémentaire pour les appareils gérés
Importante
Pour les scénarios de configuration qui nécessitent l’inscription d’appareils sur Android, les appareils doivent être inscrits dans Android Enterprise et Edge pour Android doit être déployé via Google Play store géré. Pour plus d’informations, consultez Configurer l’inscription des appareils de profil professionnel personnellement détenus d’Android Entreprise et Ajouter des stratégies de configuration d’application pour les appareils Android Enterprise gérés.
Chaque scénario de configuration met en évidence ses exigences spécifiques. Par exemple, si le scénario de configuration nécessite une inscription d’appareil et fonctionne donc avec n’importe quel fournisseur UEM, ou nécessite des stratégies Intune App Protection.
Importante
Les clés de configuration d’application respectent la casse. Utilisez la casse appropriée pour vous assurer que la configuration prend effet.
Remarque
Avec Microsoft Intune, la configuration de l’application fournie par le biais du canal du système d’exploitation GPM est appelée Stratégie de configuration des applications (SCA) pour les Appareils gérés. La configuration de l’application fournie via le canal GAM (Gestion des applications mobiles) est appelée Stratégie de configuration des applications pour les Applications gérées.
Autoriser uniquement les comptes professionnels ou scolaires
Le respect des stratégies de sécurité et de conformité des données de nos clients les plus grands et hautement réglementés est un pilier clé de la valeur Microsoft 365. Certaines entreprises ont besoin de capturer toutes les informations de communication au sein de leur environnement d’entreprise, ainsi que de s’assurer que les appareils sont utilisés uniquement pour les communications d’entreprise. Pour prendre en charge ces exigences, Edge pour iOS et Android sur les appareils inscrits peut être configuré pour autoriser uniquement l’approvisionnement d’un seul compte d’entreprise dans l’application.
Pour en savoir plus sur la configuration du paramètre du mode comptes autorisés de l’organisation, cliquez ici :
Ce scénario de configuration fonctionne uniquement avec les appareils inscrits. Toutefois, tout fournisseur UEM est pris en charge. Si vous n’utilisez pas Microsoft Intune, vous devez consulter votre documentation UEM pour savoir comment déployer ces clés de configuration.
Scénarios généraux de configuration des applications
Edge pour iOS et Android offre aux administrateurs la possibilité de personnaliser la configuration par défaut pour plusieurs paramètres dans l’application. Cette fonctionnalité est proposée lorsque Edge pour iOS et Android dispose d’une application gérée App Configuration stratégie appliquée au compte professionnel ou scolaire connecté à l’application.
Edge prend en charge les paramètres suivants pour la configuration :
- Expériences de la Nouvelle page d’onglet
- Expériences de signet
- Expériences de comportement d’application
- Expériences en mode plein écran
Ces paramètres peuvent être déployés sur l’application, quel que soit l’état d’inscription de l’appareil.
Mise en page du nouvel onglet
La disposition d’inspiration est celle par défaut pour la nouvelle page d’onglet. Il affiche les principaux raccourcis du site, le papier peint et le flux d’actualités. Les utilisateurs peuvent modifier la présentation en fonction de leurs préférences. Les organisations peuvent également gérer les paramètres de mise en page.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
Concentré Focus est sélectionné inspirational (par défaut) Inspirational est sélectionné informationnel Informational est sélectionné coutume Personnalisé est sélectionné, le bouton bascule des raccourcis principaux du site est activé, le bouton bascule de papier peint est activé et le bouton bascule de flux d’actualités est activé |
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
topsites Activer les raccourcis des sites principaux papier peint Activer le papier peint newsfeed Activer le flux d'informations Pour que cette stratégie prenne effet, com.microsoft.intune.mam.managedbrowser.NewTabPageLayout doit être défini comme étant personnalisé La valeur par défaut est topsites|wallpaper|newsfeed| . |
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
vrai (par défaut) Les utilisateurs peuvent modifier les paramètres de mise en page. faux Les utilisateurs ne peuvent pas modifier les paramètres de mise en page. La mise en page est déterminée par les valeurs spécifiées dans la stratégie ou par les valeurs par défaut. |
Importante
La stratégie NewTabPageLayout est destinée à définir la structure initiale. Les utilisateurs peuvent modifier les paramètres de disposition des pages en fonction de leur référence. Par conséquent, la stratégie NewTabPageLayout ne prend effet que si les utilisateurs ne modifient pas les paramètres de disposition. Vous pouvez appliquer la stratégie NewTabPageLayout en configurant UserSelectable =false.
Remarque
À partir de la version 129.0.2792.84, la mise en page par défaut est remplacée par inspiration.
Exemple de désactivation des fils d'actualité
- om.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Expériences de la Nouvelle page d’onglet
Edge pour iOS et Android offre aux organisations plusieurs options pour ajuster l'expérience de la nouvelle page d'onglet, y compris le logo de l'organisation, la couleur de la marque, votre page d'accueil, les principaux sites et les actualités du secteur.
Logo de l’organisation et couleur de la marque
Les paramètres organization logo et couleur de marque vous permettent de personnaliser la page Nouvel onglet pour Edge sur les appareils iOS et Android. Le logo Bannière est utilisé comme logo de votre organization et la couleur d’arrière-plan page est utilisée comme couleur de marque de votre organization. Pour plus d’informations, consultez Configurer la personnalisation de votre entreprise.
Ensuite, utilisez les paires clé/valeur suivantes pour tirer (pull) la personnalisation de votre organisation dans Edge pour iOS et Android :
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
vrai affiche le logo de la marque de l’organisation faux (valeur par défaut) n’expose pas de logo |
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
vrai affiche la couleur de la marque de l’organisation faux (valeur par défaut) n’expose pas de couleur |
Raccourci de la page d’accueil
Ce paramètre vous permet de configurer un raccourci de page d’accueil pour Edge pour iOS et Android sur la Nouvelle page d’onglet. Le raccourci de page d’accueil que vous configurez apparaît en tant que première icône sous la barre de recherche lorsque l’utilisateur ouvre un nouvel onglet dans Edge pour iOS et Android. L’utilisateur ne peut pas modifier ou supprimer ce raccourci dans son contexte managé. Le raccourci de la page d’accueil affiche le nom de votre organisation pour le distinguer.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.homepage Ce nom de stratégie a été remplacé par l’interface utilisateur de l’URL de raccourci de la page d’accueil sous Paramètres de configuration Edge |
Spécifiez une URL valide. Les URL incorrectes sont bloquées en tant que mesure de sécurité. Par exemple : https://www.bing.com |
Raccourcis de site principaux multiples
De même que pour configurer un raccourci de la page d’accueil, vous pouvez configurer plusieurs raccourcis de site principaux sur les Nouvelles pages d’onglets dans Edge pour iOS et Android. L’utilisateur ne peut pas modifier ou supprimer ces raccourcis dans un contexte managé. Remarque : vous pouvez configurer un total de 8 raccourcis, y compris un raccourci de page d’accueil. Si vous avez configuré un raccourci de la page d’accueil, ce raccourci remplacera le premier site supérieur configuré.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.managedTopSites | Spécifiez un ensemble d’URL de valeur. Chaque raccourci de site principal se compose d’un titre et d’une URL. Séparez le titre et l’URL par le caractère | . Par exemple : GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Actualités du secteur d’activité
Vous pouvez configurer l’expérience de Nouvelle page d’onglet dans Edge pour iOS et Android afin d’afficher les actualités du secteur d’activité pertinentes pour votre organisation. Lorsque vous activez cette fonctionnalité, Edge pour iOS et Android utilise le nom de domaine de votre organisation pour agréger les actualités du web concernant votre organisation, le secteur d’activité et les concurrents, afin que vos utilisateurs puissent trouver des actualités externes pertinentes à partir des nouvelles pages d’onglet centralisées dans Edge pour iOS et Android. Les actualités du secteur d’activité sont désactivées par défaut.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryInformation |
vrai affiche les actualités du secteur d’activité sur la nouvelle page d’onglet faux (valeur par défaut) masque les actualités du secteur d’activité sur la Nouvelle page d’onglet |
Page d’accueil au lieu de l’expérience de la Nouvelle page d’onglet
Edge pour iOS et Android permet aux organisations de désactiver l’expérience de la Nouvelle page d’onglet et de lancer un site web lorsque l’utilisateur ouvre un nouvel onglet. Bien qu’il s’agit d’un scénario pris en charge, Microsoft recommande aux organisations de tirer parti de l’expérience Nouvelle page d’onglet pour fournir du contenu dynamique pertinent pour l’utilisateur.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Spécifiez une URL valide. Si aucune URL n’est spécifiée, l’application utilise l’expérience de la Nouvelle page d’onglet. Les URL incorrectes sont bloquées en tant que mesure de sécurité. Par exemple : https://www.bing.com |
Expériences de signet
Edge pour iOS et Android offre aux organisations plusieurs options de gestion des signets.
Signets gérés
Pour faciliter l’accès, vous pouvez configurer des signets que vous souhaitez que vos utilisateurs aient disponibles lorsqu’ils utilisent Edge pour iOS et Android.
- Les signets apparaissent uniquement dans le compte professionnel ou scolaire et ne sont pas exposés à des comptes personnels.
- Les signets ne peuvent pas être supprimés ou modifiés par les utilisateurs.
- Les signets apparaissent en haut de la liste. Tous les signets créés par les utilisateurs apparaissent sous ces signets.
- Si vous avez activé Proxy d'application redirection, vous pouvez ajouter Proxy d'application applications web à l’aide de leur URL interne ou externe.
- Les signets sont créés dans un dossier nommé d'après le nom de l'organisation qui est défini dans Microsoft Entra ID.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.bookmarks Ce nom de stratégie a été remplacé par l’interface utilisateur des signets managés sous paramètres de configuration Edge |
La valeur de cette configuration est une liste de signets. Chaque signet se compose du titre du signet et de l’URL du signet. Séparez le titre et l’URL par le caractère | .Par exemple : Microsoft Bing|https://www.bing.com Pour configurer plusieurs signets, séparez chaque paire par le caractère double || .Par exemple : Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Signet Mes applications
Par défaut, les utilisateurs ont configuré le signet Mes applications dans le dossier de l’organisation dans Edge pour iOS et Android.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.MyApps |
vrai (valeur par défaut) affiche Mes applications dans les signets Edge pour iOS et Android false masque Mes applications dans Edge pour iOS et Android |
Expériences de comportement d’application
Edge pour iOS et Android offre aux organisations plusieurs options pour gérer le comportement de l’application.
Mot de passe Microsoft Entra pour l'authentification unique
La fonctionnalité d'authentification unique (SSO) de Microsoft Entra mot de passe offerte par Microsoft Entra ID permet de gérer l'accès des utilisateurs aux applications Web qui ne prennent pas en charge la fédération d'identité. La fonctionnalité d'authentification unique (SSO) de Microsoft Entra Mot de passe offerte par Microsoft Entra ID permet de gérer l'accès des utilisateurs aux applications Web qui ne prennent pas en charge la fédération d'identité. Pour plus d’informations, consultez Ajouter l’authentification unique par mot de passe à une application.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.PasswordSSO |
vrai Microsoft Entra Mot de passe SSO est activé faux (par défaut) Microsoft Entra Mot de passe SSO est désactivé |
Gestionnaire de protocole par défaut
Par défaut, Edge pour iOS et Android utilise le gestionnaire de protocole HTTPS lorsque l’utilisateur ne spécifie pas le protocole dans l’URL. En règle générale, il s’agit d’une bonne pratique, mais elle peut être désactivée.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
vrai (valeur par défaut) le gestionnaire du protocole par défaut est HTTPS faux le gestionnaire du protocole par défaut est HTTP |
Désactiver les données de diagnostic facultatives
Par défaut, les utilisateurs peuvent choisir d’envoyer des données de diagnostic facultatives à partir de Paramètres->Confidentialité et sécurité ->Données de diagnostic- paramètre des>Données de diagnostic facultatives Les organisations peuvent désactiver ce paramètre.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
Vrai Le paramètre de données de diagnostic facultatif est désactivé faux (valeur par défaut) L’option peut être activée ou désactivée par les utilisateurs |
Remarque
Le paramètre de Données de diagnostic facultatives est également présenté aux utilisateurs lors de l’expérience de première exécution (EPE). Les organisations peuvent ignorer cette étape à l’aide de la stratégie GPM EdgeDisableShareUsageData
Désactiver des fonctionnalités spécifiques
Edge pour iOS et Android permet aux organisations de désactiver certaines fonctionnalités activées par défaut. Pour désactiver ces fonctionnalités, configurez le paramètre suivant :
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.disabledFeatures |
mot de passe désactive les invites qui proposent d’enregistrer des mots de passe pour l’utilisateur final inprivate désactive la navigation InPrivate Le remplissage automatique désactive la fonction « Enregistrer et remplir les adresses » et « Enregistrer et remplir les informations de paiement ». Le remplissage automatique est désactivé même pour les informations enregistrées précédemment Traducteur désactive traducteur readaloud désactive la lecture à voix haute déposer désactive le dépôt coupons désactive les coupons les extensions désactivent les extensions (Edge pour Android uniquement) developertools grise les numéros de version de build pour empêcher les utilisateurs d’accéder aux options développeur (Edge pour Android uniquement) UIRAlert supprimer les fenêtres contextuelles de nouveau compte dans l’écran de la page nouvel onglet share désactive Le partage sous le menu sendtodevices désactive Envoyer aux appareils sous le menu météo désactive la météo dans NTP (page Nouvel onglet) webinspector désactive le paramètre Web Inspector (Edge pour iOS uniquement) Pour désactiver plusieurs fonctionnalités, séparez les valeurs par | . Par exemple, inprivate|password désactive le stockage InPrivate et le stockage par mot de passe. |
Désactiver la fonctionnalité d’importation des mots de passe
Edge pour iOS et Android permet aux utilisateurs d’importer des mots de passe à partir du Gestionnaire de mots de passe. Pour désactiver l’importation des mots de passe, configurez le paramètre suivant :
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
Vrai Désactiver l’importation des mots de passe faux (valeur par défaut) Autoriser l’importation des mots de passe |
Remarque
Le Gestionnaire de mots de passe de Edge pour iOS comporte un bouton Ajouter . Lorsque la fonctionnalité d’importation des mots de passe est désactivée, le bouton Ajouter est également désactivé.
Mode cookie de contrôle
Vous pouvez contrôler si les sites peuvent stocker des cookies pour vos utilisateurs dans Edge pour Android. Pour ce faire, configurez le paramètre suivant :
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (valeur par défaut) autoriser les cookies 1 Bloquer les cookies non-Microsoft 2 bloquer les cookies non-Microsoft en mode InPrivate 3 bloquer tous les cookies |
Remarque
Edge pour iOS ne prend pas en charge le contrôle des cookies.
Expériences en mode plein écran sur les appareils Android
Edge pour Android peut être activé en tant qu’application kiosque avec les paramètres suivants :
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.enableKioskMode |
vrai active le mode plein écran pour Edge pour Android faux (valeur par défaut) désactive le mode plein écran |
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
vrai affiche la barre d’adresse en mode plein écran faux (valeur par défaut) masque la barre d’adresses lorsque le mode plein écran est activé |
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
vrai affiche la barre d’action inférieure en mode plein écran faux (valeur par défaut) masque la barre inférieure lorsque le mode plein écran est activé |
Remarque
Le mode plein écran n’est pas pris en charge sur les appareils iOS. Toutefois, vous pouvez utiliser le mode Affichage verrouillé (stratégie MDM uniquement) pour obtenir une expérience utilisateur similaire, où les utilisateurs ne peuvent pas accéder à d’autres sites web, car la barre d’adresses URL devient en lecture seule en mode Affichage verrouillé.
Mode d’affichage verrouillé
Edge pour iOS et Android peut être activé en mode d’affichage verrouillé avec la stratégie MDM EdgeLockedViewModeEnabled.
Clé | Valeur |
---|---|
EdgeLockedViewModeEnabled |
Faux (par défaut) Le mode d'affichage verrouillé est désactivé. vrai Le mode d’affichage verrouillé est activé |
Il permet aux organisations de restreindre diverses fonctionnalités du navigateur, offrant ainsi une expérience de navigation contrôlée et ciblée.
- La barre d'adresse URL devient en lecture seule, ce qui empêche les utilisateurs de modifier l'adresse web.
- Les utilisateurs ne sont pas autorisés à créer de nouveaux onglets
- La fonction de recherche contextuelle sur les pages web est désactivée
- Les boutons suivants du menu de débordement sont désactivés
Boutons | État |
---|---|
Nouvel onglet InPrivate | Désactivé |
Envoyer aux appareils | Désactivé |
Lettrine | Désactivé |
Ajouter au téléphone (Android) | Désactivé |
Page de téléchargement (Android) | Désactivé |
Le mode d'affichage verrouillé est souvent utilisé avec la stratégie MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL ou la stratégie MDM EdgeNewTabPageCustomURL , qui permettent aux organisations de configurer une page web spécifique qui est automatiquement lancée à l'ouverture d' Edge. Les utilisateurs sont limités à cette page web et ne peuvent pas naviguer vers d'autres sites web, ce qui offre un environnement contrôlé pour des tâches spécifiques ou la consommation de contenu.
Notes
Par défaut, les utilisateurs ne sont pas autorisés à créer de nouveaux onglets en mode verrouillé. Pour autoriser la création d'onglets, définissez la stratégie MDM EdgeLockedViewModeAllowedActions sur newtabs .
Basculer la pile réseau entre Chromium et iOS
Par défaut, Microsoft Edge pour iOS et Android utilisent la pile réseau Chromium pour Microsoft Edge communication de service, notamment les services de synchronisation, les suggestions de recherche automatique et l’envoi de commentaires. Microsoft Edge pour iOS fournit également la pile réseau iOS comme option configurable pour Microsoft Edge communication de service.
Les organisations peuvent modifier leurs préférences de pile réseau en configurant le paramètre suivant.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (valeur par défaut) utiliser la pile réseau Chromium 1 utiliser la pile réseau iOS |
Remarque
L’utilisation de la pile réseau Chromium est recommandée. Si vous rencontrez des problèmes de synchronisation ou un échec lors de l’envoi de commentaires avec la pile réseau Chromium, par exemple avec certaines solutions VPN par application, l’utilisation de la pile réseau iOS peut résoudre les problèmes.
Définir une URL de fichier .pac proxy
Les organisations peuvent spécifier une URL vers un fichier PAC (proxy auto-config) pour Microsoft Edge pour iOS et Android.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Spécifiez une URL valide pour un fichier .pac proxy. Par exemple : https://internal.site/example.pac |
Échec de la prise en charge de l’ouverture PAC
Par défaut, Microsoft Edge pour iOS et Android bloque l'accès au réseau avec un script PAC invalide ou indisponible. Toutefois, les organisations peuvent modifier le comportement par défaut en cas d’échec de l’ouverture du PAC.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
faux (valeur par défaut) Bloquer l’accès réseau Vrai Autoriser l’accès réseau |
Configurer les relais réseau
Edge pour iOS prend désormais en charge les relais réseau sur iOS 17 Il s'agit d'un type particulier de proxy qui peut être utilisé pour l'accès à distance et les solutions de protection de la vie privée. Ils prennent en charge le passage sécurisé et transparent du trafic, servant d'alternative moderne aux VPN pour l'accès aux ressources internes. Pour plus d'informations sur les relais réseau, voir Utiliser les relais réseau sur les appareils Apple .
Les organisations peuvent configurer des URL de proxy relais pour acheminer le trafic en fonction des domaines correspondants et exclus.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | Spécifiez une URL valide vers un fichier json de configuration de relais. Par exemple : https://yourserver/relay_config.json |
Un exemple de fichier json pour les relais réseau
{
« default » : [{
« proxy_type » : « http »,
« host_name » : « 170.200.50.300 »,
« port » : « 3128 »,
« failover_allowed » :0,
« match_domains » : [
« domain1.com »,
« domain2.com » ],
« excluded_domains » : [
« domain3.com »,
« domain4.com » ]
} ]
}
Proxy permettant aux utilisateurs de se connecter à Edge sous Android
Une configuration automatique du proxy (PAC) est généralement configurée dans le profil VPN. Cependant, en raison de la limitation de la plateforme, le PAC ne peut pas être reconnu par Android WebView, qui est utilisé pendant le processus de connexion Edge. Il se peut que les utilisateurs ne puissent pas se connecter à Edge sous Android.
Les entreprises peuvent spécifier un proxy dédié via une stratégie MDM pour que les utilisateurs se connectent à Edge sous Android.
Clé | Valeur |
---|---|
EdgeOneAuthProxy | La valeur correspondante est une chaîne de caractères Exemple http://MyProxy.com:8080 |
Magasin de données du site web iOS
Le magasin de données du site web dans Edge pour iOS est essentiel pour gérer les cookies, les caches de disque et de mémoire, et divers types de données. Cependant, il n'y a qu'un seul magasin de données de site web persistant dans Edge pour iOS. Par défaut, ce magasin de données est exclusivement utilisé par les comptes personnels, ce qui limite son utilisation par les comptes professionnels ou scolaires. Par conséquent, les données de navigation, à l'exclusion des cookies, sont perdues après chaque session pour les comptes professionnels ou scolaires. Pour améliorer l'expérience de l'utilisateur, les organisations peuvent configurer le magasin de données du site web pour qu'il soit utilisé par des comptes professionnels ou scolaires, ce qui garantit la persistance des données de navigation.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 La base de données du site web est toujours utilisée uniquement par le compte personnel. 1 Le magasin de données du site web sera utilisé par le premier compte connecté 2 (Par défaut) Le magasin de données du site web sera utilisé par le compte du travail ou de l'école, quel que soit l'ordre d'ouverture de session. |
Notes
Avec la sortie d' iOS 17, plusieurs magasins persistants sont désormais pris en charge. Le compte professionnel et le compte personnel ont leur propre magasin persistant. Par conséquent, cette stratégie n'est plus valable à partir de la version 122.
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen est une fonctionnalité qui permet aux utilisateurs d’éviter les sites malveillants et les téléchargements. Elle est activée par défaut. Les organisations peuvent désactiver ce paramètre.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
vrai (valeur par défaut) Microsoft Defender SmartScreen est activé. faux Microsoft Defender SmartScreen est désactivé. |
Vérification du certificat
Par défaut, Microsoft Edge pour Android vérifie les certificats de serveur à l’aide du vérificateur de certificat intégré et du Microsoft Root Store comme source de confiance publique. Les organisations peuvent basculer vers le vérificateur de certificats système et les certificats racines système.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
vrai (par défaut) Utiliser le vérificateur de certificats intégré et le Microsoft Root Store pour vérifier les certificats. faux Utiliser le vérificateur de certificats du système et les certificats racine du système comme source de confiance publique pour vérifier les certificats. |
Remarque
Un cas d’usage pour cette stratégie est que vous devez utiliser le vérificateur de certificats système et les certificats racine système lors de l’utilisation du Tunnel GAM Microsoft dans Edge pour Android.
Contrôle de la page d'avertissement SSL
Par défaut, les utilisateurs peuvent cliquer sur les pages d'avertissement qui s'affichent lorsqu'ils naviguent vers des sites présentant des erreurs SSL. Les organisations peuvent gérer le comportement.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
vrai (par défaut) Autorise les utilisateurs à cliquer sur les pages d'avertissement SSL faux Empêcher les utilisateurs de cliquer sur les pages d'avertissement SSL |
Paramètres des fenêtres contextuelles
Par défaut, les fenêtres contextuelles sont bloquées. Les organisations peuvent gérer le comportement.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 Autoriser tous les sites à afficher des fenêtres contextuelles 2 (Par défaut) N'autoriser aucun site à afficher des fenêtres contextuelles. |
Autoriser les fenêtres contextuelles sur des sites spécifiques
Si cette stratégie n'est pas configurée, la valeur de la stratégie DefaultPopupsSetting (si elle est définie) ou la configuration personnelle de l'utilisateur est utilisée pour tous les sites. Les organisations peuvent définir une liste de sites qui peuvent ouvrir des fenêtres contextuelles.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Pour plus d'informations sur le format des URL, voir Format du modèle d'URL de la stratégie d'entreprise .
Bloquer les fenêtres contextuelles sur des sites spécifiques
Si cette stratégie n'est pas configurée, la valeur de la stratégie DefaultPopupsSetting (si elle est définie) ou la configuration personnelle de l'utilisateur est utilisée pour tous les sites. Les organisations peuvent définir une liste de sites dont l'ouverture de fenêtres contextuelles est bloquée.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Pour plus d'informations sur le format des URL, voir Format du modèle d'URL de la stratégie d'entreprise .
Fournisseur de recherche par défaut
Par défaut, Edge utilise le fournisseur de recherche par défaut pour effectuer une recherche lorsque les utilisateurs saisissent des textes autres que des URL dans la barre d'adresse. Les utilisateurs peuvent modifier la liste des fournisseurs de recherche. Les organisations peuvent gérer le comportement des fournisseurs de recherche.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
vrai Activer le fournisseur de recherche par défaut faux Désactiver le fournisseur de recherche par défaut |
Configurer le fournisseur de recherche
Les organisations peuvent configurer un fournisseur de recherche pour les utilisateurs. Pour configurer un fournisseur de recherche, il faut d'abord configurer la stratégie DefaultSearchProviderEnabled.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | La valeur correspondante est une chaîne de caractères Exemple My Intranet Search |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | La valeur correspondante est une chaîne de caractères Exemple https://search.my.company/search?q={searchTerms} |
Copilot
Notes
Depuis la version 128, Copilot pour les comptes professionnels ou scolaires est déprécié. Par conséquent, les stratégies suivantes ne seront plus valides dans la version 128. Si vous souhaitez bloquer l’accès à la version web de Copilot, copilot.microsoft.com, vous pouvez utiliser la stratégie AllowListURLs ou BlockListURLs.
Copilot est disponible sur Microsoft Edge pour iOS et Android. Les utilisateurs peuvent lancer Copilot en cliquant sur le bouton Copilot dans la barre inférieure.
Il existe trois paramètres dans Réglages – >Général – >Copilote .
- Afficher le Copilot – Permet d'afficher ou non le bouton Bing dans la barre inférieure.
- Autoriser l'accès à n'importe quelle page web ou PDF – Autoriser ou non Copilot à accéder au contenu d'une page ou d'un PDF.
- Accès rapide lors de la sélection de texte – Permet d'afficher ou non le panneau de discussion rapide lors de la sélection de texte sur une page web.
Vous pouvez gérer les paramètres de Copilot.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.Chat |
vrai (par défaut) Les utilisateurs peuvent voir le bouton Copilote dans la barre inférieure. Le paramètre Afficher le Copilot est activé par défaut et peut être désactivé par les utilisateurs. faux Les utilisateurs ne peuvent pas voir le bouton Copilote dans la barre inférieure. Le paramètre Afficher Copilot est désactivé et ne peut pas être activé par les utilisateurs |
com.microsoft.intune.mam.managedbrowser.ChatPageContext |
vrai (par défaut) L'accès à n'importe quelle page web ou PDF et l'accès rapide à la sélection de texte peuvent être activés par les utilisateurs. faux L'accès à n'importe quelle page web ou PDF et l'accès rapide à la sélection de texte seront désactivés et ne pourront pas être activés par les utilisateurs. |
Scénarios de configuration des applications de protection des données
Edge pour iOS et Android prend en charge les stratégies de configuration des applications pour les paramètres de protection des données suivants lorsque l’application est gérée par Microsoft Intune avec une stratégie d’application gérée App Configuration appliquée au compte professionnel ou scolaire connecté à l’application :
- Gérer la synchronisation de compte
- Gérer les sites web restreints
- Gérer la configuration du proxy
- Gérer les sites d’authentification unique NTLM
Ces paramètres peuvent être déployés sur l’application, quel que soit l’état d’inscription de l’appareil.
Gérer la synchronisation de compte
Par défaut, Microsoft Edge synchronisation permet aux utilisateurs d’accéder à leurs données de navigation sur tous leurs appareils connectés. Les données prises en charge par la synchronisation incluent :
- Favoris
- Mots de passe
- Adresses et plus encore (entrée du remplissage automatiquement du formulaire)
La fonctionnalité de synchronisation est activée via le consentement de l’utilisateur et les utilisateurs peuvent activer ou désactiver la synchronisation pour chacun des types de données répertoriés ci-dessus. Pour plus d’informations, consultez Synchronisation Microsoft Edge.
Les organisations ont la possibilité de désactiver la synchronisation Edge sur iOS et Android.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
vai désactive la synchronisation Edge faux (valeur par défaut) autorise la synchronisation Edge |
Gérer les sites web restreints
Les organisations peuvent définir les sites auxquels les utilisateurs peuvent accéder dans le contexte de compte professionnel ou scolaire dans Edge pour iOS et Android. Si vous utilisez une liste verte, vos utilisateurs ne peuvent accéder qu’aux sites explicitement répertoriés. Si vous utilisez une liste bloquée, les utilisateurs peuvent accéder à tous les sites, à l’exception de ceux qui sont explicitement bloqués. Vous devez uniquement imposer une liste autorisée ou bloquée, et non les deux. Si vous imposez les deux, seule la liste autorisée est respectée.
Les organisations définissent également ce qui se passe lorsqu’un utilisateur tente d’accéder à un site web restreint. Par défaut, les transitions sont autorisées. Si l'organisation l'autorise, les sites web à accès restreint peuvent être ouverts dans le contexte du compte personnel, dans le contexte InPrivate du compte Microsoft Entra ou si le site est entièrement bloqué. Pour plus d’informations sur les différents scénarios pris en charge, consultez Transitions de sites web restreints dans Microsoft Edgemobile . En autorisant les expériences de transition, les utilisateurs de l’organisation restent protégés, tout en préservant la sécurité des ressources de l’entreprise.
Pour améliorer l’expérience de changement de profil en réduisant la nécessité pour les utilisateurs de basculer manuellement vers des profils personnels ou le mode InPrivate pour ouvrir des URL bloquées, nous avons introduit deux nouvelles stratégies :
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
Étant donné que ces stratégies apportent des résultats différents en fonction de leurs configurations et combinaisons, nous vous recommandons d’essayer nos suggestions de stratégie ci-dessous pour une évaluation rapide afin de voir si l’expérience de changement de profil s’aligne bien sur les besoins de votre organization avant d’explorer la documentation détaillée. Les paramètres de configuration de changement de profil suggérés incluent les valeurs suivantes :
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
Remarque
Edge pour iOS et Android ne peut bloquer l’accès aux sites que lorsqu’ils sont directement accessibles. Il ne bloque pas l’accès lorsque les utilisateurs utilisent des services intermédiaires (tels qu’un service de traduction) pour accéder au site. Les URL qui commencent par Edge, telles que Edge://*
, Edge://flags
et Edge://net-export
, ne sont pas prises en charge dans la stratégie de configuration d’application AllowListURLs ou BlockListURLs pour les applications gérées. Vous pouvez désactiver ces URL avec com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.
Si vos appareils sont gérés, vous pouvez également utiliser la stratégie de configuration d’application URLAllowList ou URLBlocklist pour les appareils gérés. Pour plus d'informations, voir les stratégies mobiles de Microsoft Edge .
Utilisez les paires clé/valeur suivantes pour configurer une liste de sites autorisée ou bloquée pour Edge pour iOS et Android.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.AllowListURLs Ce nom de stratégie a été remplacé par l’interface utilisateur des URL autorisées sous paramètres de configuration Edge |
La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez autoriser en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
com.microsoft.intune.mam.managedbrowser.BlockListURLs Ce nom de stratégie a été remplacé par l’interface utilisateur des URL bloquées sous paramètres de configuration Edge |
La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock Ce nom de stratégie a été remplacé par l’interface utilisateur de Rediriger les sites restreints vers le contexte personnel sous paramètres de configuration Edge |
vrai (valeur par défaut) permet à Edge pour iOS et Android de migrer des sites restreints. Lorsque les comptes personnels ne sont pas désactivés, les utilisateurs sont invités à basculer vers le contexte personnel pour ouvrir le site restreint ou à ajouter un compte personnel. Si com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked a la valeur vrai, les utilisateurs peuvent ouvrir le site restreint dans le contexte InPrivate. faux empêche Edge pour iOS et Android de migrer les utilisateurs. Les utilisateurs reçoivent simplement un message indiquant que le site auquel ils tentent d’accéder est bloqué. |
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked |
vrai permet d'ouvrir des sites restreints dans le contexte InPrivate du compte Microsoft Entra. Si le compte Microsoft Entra est le seul compte configuré dans Edge pour iOS et Android, le site restreint est ouvert automatiquement dans le contexte InPrivate. Si un compte personnel est configuré pour l’utilisateur, il est invité à choisir entre ouvrir InPrivate ou basculer vers le compte personnel. faux (valeur par défaut) nécessite l’ouverture du site restreint dans le compte personnel de l’utilisateur. Si les comptes personnels sont désactivés, le site est bloqué. Pour que ce paramètre prenne effet, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock doit avoir la valeur vrai. |
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Entrez le nombre de secondes pendant lesquelles les utilisateurs verront la notification « L’accès à ce site est bloqué par votre organisation. Nous l’avons ouvert en mode InPrivate pour vous permettre d’accéder au site. » Par défaut, la notification de barre de collation s’affiche pendant 7 secondes. |
Les sites suivants, à l’exception de copilot.microsoft.com, sont toujours autorisés, quels que soient les paramètres de liste verte ou de liste bloquée définis :
https://*.microsoft.com/*
http://*.microsoft.com/*
https://microsoft.com/*
http://microsoft.com/*
https://*.windowsazure.com/*
https://*.microsoftonline.com/*
https://*.microsoftonline-p.com/*
Contrôler le comportement de la fenêtre contextuelle Site bloqué
Lorsqu'ils tentent d'accéder aux sites web bloqués, les utilisateurs sont invités à passer à InPrivate ou à utiliser leur compte personnel pour accéder aux sites web bloqués. Vous pouvez choisir les préférences entre InPrivate et le compte personnel.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0 : (Par défaut) Affiche toujours la fenêtre contextuelle pour que l'utilisateur puisse choisir. 1 : Basculer automatiquement vers le compte personnel lorsque le compte personnel est connecté. Si le compte personnel n'est pas connecté, le comportement sera modifié à la valeur 2. 2 :Bascule automatiquement vers InPrivate si le basculement InPrivate est autorisé par com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true. |
Contrôler le comportement du changement de profil personnel en profil professionnel
Lorsque Edge se trouve sous le profil personnel et que les utilisateurs tentent d’ouvrir un lien à partir d’Outlook ou de Microsoft Teams qui se trouvent sous le profil professionnel, par défaut, Intune utilise le profil professionnel Edge pour ouvrir le lien, car Edge, Outlook et Microsoft Teams sont gérés par Intune. Toutefois, lorsque le lien est bloqué, l’utilisateur passe au profil personnel. Cela entraîne une expérience de friction pour les utilisateurs
Vous pouvez configurer une stratégie pour améliorer l’expérience des utilisateurs. Il est recommandé d’utiliser cette stratégie avec AutoTransitionModeOnBlock, car elle peut basculer les utilisateurs vers le profil personnel en fonction de la valeur de stratégie que vous avez configurée.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1 : (par défaut) Basculer vers le profil professionnel même si l’URL est bloquée par la stratégie Edge. 2 : Les URL bloquées s’ouvrent sous profil personnel si le profil personnel est connecté. Si le profil personnel n’est pas connecté, l’URL bloquée s’ouvre en mode InPrivate. |
Gérer le blocage des sous-ressources
Par défaut, AllowListURLs et BlockListURLs s’appliquent uniquement au niveau de la navigation. Lorsque vous incorporez des URL bloquées (url configurées dans BlockListURLs ou URL non configurées dans AllowListURLs) en tant que sous-ressources dans une page web, ces URL de sous-ressource ne sont pas bloquées.
Pour restreindre davantage ces sous-ressources, vous pouvez configurer une stratégie pour bloquer les URL des sous-ressources.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.ManageRestrictedSubresourceEnabled |
false : (par défaut) Les URL de sous-ressource ne sont pas bloquées même si les URL de sous-ressource sont bloquées. true : les URL de sous-ressource sont bloquées si elles sont répertoriées comme bloquées. |
Remarque
Il est recommandé d’utiliser cette stratégie conjointement avec BlockListURLs. Si elles sont utilisées avec AllowListURLs, vérifiez que toutes les URL de sous-ressource sont incluses dans les AllowListURLs. Dans le cas contraire, le chargement de certaines sous-ressources risque d’échouer
Formats d’URL pour la liste des sites autorisés et bloqués
Vous pouvez utiliser différents formats d’URL pour créer vos listes de sites autorisés/bloqués. Ces modèles autorisés sont détaillés dans le tableau suivant.
Veillez à préfixer toutes les URL avec http:// ou https:// lors de leur entrée dans la liste.
Vous pouvez utiliser le symbole générique (*) conformément aux règles de la liste des modèles autorisés suivants.
Un caractère générique ne peut correspondre qu’à une partie (par exemple,
news-contoso.com
) ou à un composant entier du nom d’hôte (par exemple,host.contoso.com
) ou à des parties entières du chemin d’accès lorsqu’il est séparé par des barres obliques (www.contoso.com/images
).Vous pouvez spécifier des numéros de port dans l’adresse. Si vous ne spécifiez pas de numéro de port, les valeurs utilisées sont les suivantes :
- Port 80 pour http
- Port 443 pour https
L’utilisation de caractères génériques pour le numéro de port est prise en charge dans Edge pour iOS uniquement. Par exemple, vous pouvez spécifier
http://www.contoso.com:*
ethttp://www.contoso.com:*/
.La spécification d’adresses IPv4 avec la notation CIDR est prise en charge. Par exemple, vous pouvez spécifier 127.0.0.1/24 (plage d’adresses IP).
URL Détails Correspondances Ne correspond pas http://www.contoso.com
Correspond à une seule page www.contoso.com
host.contoso.com
www.contoso.com/images
contoso.com/
http://contoso.com
Correspond à une seule page contoso.com/
host.contoso.com
www.contoso.com/images
www.contoso.com
http://www.contoso.com/*
Correspond à toutes les URL qui commencent par www.contoso.com
www.contoso.com
www.contoso.com/images
www.contoso.com/videos/tvshows
host.contoso.com
host.contoso.com/images
http://*.contoso.com/*
Correspond à tous les sous-domaines sous contoso.com
developer.contoso.com/resources
news.contoso.com/images
news.contoso.com/videos
contoso.host.com
news-contoso.com
http://*contoso.com/*
Correspond à tous les sous-domaines se terminant par contoso.com/
news-contoso.com
news-contoso.com/daily
news-contoso.host.com
news.contoso.com
http://www.contoso.com/images
Correspond à un dossier unique www.contoso.com/images
www.contoso.com/images/dogs
http://www.contoso.com:80
Correspond à une seule page, à l’aide d’un numéro de port www.contoso.com:80
https://www.contoso.com
Correspond à une seule page sécurisée www.contoso.com
www.contoso.com/images
http://www.contoso.com/images/*
Correspond à un dossier unique et à tous les sous-dossiers www.contoso.com/images/dogs
www.contoso.com/images/cats
www.contoso.com/videos
http://contoso.com:*
Correspond à n’importe quel numéro de port pour une seule page contoso.com:80
contoso.com:8080
10.0.0.0/24
Correspond à une plage d’adresses IP comprise entre 10.0.0.0 et 10.0.0.255 10.0.0.0
10.0.0.100
192.168.1.1
- Voici quelques exemples d’entrées que vous ne pouvez pas spécifier :
*.com
*.contoso/*
www.contoso.com/*images
www.contoso.com/*images*pigs
www.contoso.com/page*
https://*
http://*
http://www.contoso.com: /*
Désactiver les pages internes Edge
Vous pouvez désactiver les pages internes Edge telles que Edge://flags
et Edge://net-export
. Vous trouverez d’autres pages à partir de Edge://about
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | La valeur correspondante de la clé est une liste de noms de pages. Vous pouvez entrer les pages internes que vous souhaitez bloquer en tant que valeur unique, séparées par un caractère de canal | . Exemples : flags|net-export |
Gérer les sites web pour permettre le téléchargement de fichiers
Il peut arriver que les utilisateurs ne soient autorisés qu'à consulter des sites web, sans avoir la possibilité de télécharger des fichiers. Les organisations ont la possibilité de désigner les sites web qui peuvent recevoir des téléchargements de fichiers.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
L'exemple permet d'empêcher tous les sites web, y compris les sites web internes, de télécharger des fichiers.
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Un exemple pour permettre à des sites web spécifiques de télécharger des fichiers
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Pour plus d'informations sur le format des URL, voir Format du modèle d'URL de la stratégie d'entreprise .
Notes
Pour Edge sur iOS, l'action de coller sera bloquée en plus des téléchargements. Les utilisateurs ne verront pas l'option coller dans le menu d'action.
Gérer la configuration du proxy
Vous pouvez utiliser Edge pour iOS et Android et le proxy d'application Microsoft Entra ensemble pour permettre aux utilisateurs d'accéder aux sites intranet sur leurs appareils mobiles. Par exemple :
- Un utilisateur utilise l’application mobile Outlook, qui est protégée par Intune. Ils cliquent ensuite sur un lien vers un site intranet dans un e-mail, et Edge pour iOS et Android reconnaît que ce site intranet a été exposé à l’utilisateur via Proxy d'application. L’utilisateur est automatiquement routé via Proxy d'application, pour s’authentifier auprès de toute authentification multifacteur applicable et d’un accès conditionnel, avant d’atteindre le site intranet. L’utilisateur est désormais en mesure d’accéder aux sites internes, même sur ses appareils mobiles, et le lien dans Outlook fonctionne comme prévu.
- Un utilisateur ouvre Edge pour iOS et Android sur son appareil iOS ou Android. Si Edge pour iOS et Android est protégé avec Intune et que Proxy d'application est activé, l’utilisateur peut accéder à un site intranet à l’aide de l’URL interne à laquelle il est habitué. Edge pour iOS et Android reconnaît que ce site intranet a été exposé à l’utilisateur via Proxy d'application. L’utilisateur est automatiquement routé via Proxy d'application, pour s’authentifier avant d’atteindre le site intranet.
Avant de commencer :
- Configurez vos applications internes via le proxy d'application Microsoft Entra.
- Pour configurer Proxy d'application et publier des applications, consultez la configurer la documentation.
- Assurez-vous que l'utilisateur est assigné à l'application proxy de Microsoft Entra, même si l'application est configurée avec le type de pré-authentification Passthrough.
- Une stratégie de protection d’application Intune doit être affectée à l’application Edge pour iOS et Android.
- Les applications Microsoft doivent avoir une stratégie de protection des applications où l’optionRestreindre le transfert de contenu web avec d’autres applications paramètre de transfert de données est définie sur Microsoft Edge.
Remarque
Edge pour iOS et Android met à jour les données de redirection Proxy d'application en fonction du dernier événement d’actualisation réussi. Des mises à jour sont tentées chaque fois que la dernière actualisation réussie est supérieure à une heure.
Ciblez Edge pour iOS et Android avec la paire clé/valeur suivante, pour activer le proxy d'application.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Ce nom de stratégie a été remplacé par l’interface utilisateur de la redirection du proxy d’application sous paramètres de configuration Edge |
vrai active les scénarios de redirection de proxy d'application Microsoft Entra faux (par défaut) empêche les scénarios de proxy d'application Microsoft Entra |
Pour plus d'informations sur la façon d'utiliser Edge pour iOS et Android et le proxy d'application Microsoft Entra en tandem pour un accès transparent (et protégé) aux applications Web sur site, voir Mieux ensemble : Intune et Microsoft Entra s'associent pour améliorer l'accès des utilisateurs . Ce billet de blog fait référence aux Intune Managed Browser, mais le contenu s’applique également à Edge pour iOS et Android.
Gérer les sites d’authentification unique NTLM
Les organisations peuvent demander aux utilisateurs de s’authentifier auprès de NTLM pour accéder aux sites web intranet. Par défaut, les utilisateurs sont invités à entrer des informations d’identification chaque fois qu’ils accèdent à un site web qui nécessite une authentification NTLM, car la mise en cache des informations d’identification NTLM est désactivée.
Les organisations peuvent activer la mise en cache des informations d’identification NTLM pour des sites web particuliers. Pour ces sites, une fois que l’utilisateur a entré les informations d’identification et s’est correctement authentifié, les informations d’identification sont mises en cache par défaut pendant 30 jours.
Remarque
Si vous utilisez un serveur proxy, vérifiez qu’il est configuré à l’aide de la stratégie NTLMSSOURLs où vous spécifiez spécifiquement https et http dans le cadre de la valeur de clé.
Actuellement, les schémas https et http doivent être spécifiés dans la valeur de clé NTLMSSOURLs. Par exemple, vous devez configurer et https://your-proxy-server:8080
http://your-proxy-server:8080
. Actuellement, la spécification du format host :port (tel que your-proxy-server:8080
) n’est pas suffisante.
En outre, le symbole générique (*) n’est pas pris en charge lors de la configuration des serveurs proxy dans la stratégie NTLMSSOURLs.
Clé | Valeur |
---|---|
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez autoriser en tant que valeur unique, séparées par un canal | caractère. Exemples : URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Pour plus d’informations sur les types de formats d’URL pris en charge, consultez Formats d’URL pour la liste de sites autorisés et bloqués. |
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Nombre d’heures de mise en cache des informations d’identification, la valeur par défaut est 720 heures |
Configuration d’application supplémentaire pour les appareils gérés
Les stratégies suivantes, configurables à l’origine via la stratégie de configuration des applications gérées, sont désormais disponibles via la stratégie de configuration des applications des appareils gérés. Lors de l’utilisation de stratégies pour les applications gérées, les utilisateurs doivent se connecter à Microsoft Edge. Lorsque vous utilisez des stratégies pour les appareils gérés, les utilisateurs ne sont pas tenus de se connecter à Edge pour appliquer les stratégies.
Étant donné que les stratégies de configuration des applications pour les appareils gérés nécessitent une inscription d’appareil, toute gestion unifiée des points de terminaison (UEM) est prise en charge. Pour trouver d’autres stratégies sous le canal GPM, consultez Stratégies mobiles Microsoft Edge.
Stratégie GAM | Stratégie GPM |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Déployer des scénarios de configuration d’application avec Microsoft Intune
Si vous utilisez Microsoft Intune comme fournisseur de gestion des applications mobiles, les étapes suivantes vous permettent de créer une stratégie de configuration des applications gérées. Une fois que la configuration est créée, vous pouvez affecter ses paramètres à des groupes d'utilisateurs.
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Applications, puis sélectionnez Stratégies de configuration d’application.
Dans le panneau Stratégies de configuration d’applications, choisissez Ajouter, puis sélectionnez Applications gérées.
Dans la section Informations de base , entrez un Nom, une Description facultative pour les paramètres de configuration de l’application.
Pour les Applications publiques, choisissez Sélectionner des applications publiques, puis, dans le panneau des Applications ciblées, choisissez Edge pour iOS et Android en sélectionnant les applications de plateforme iOS et Android. Cliquez sur Sélectionner pour enregistrer les applications publiques sélectionnées.
Cliquez sur Suivant pour terminer les paramètres de base de la stratégie de configuration de l’application.
Dans la section Paramètres, développez les Paramètres de configuration Edge.
Si vous souhaitez gérer les paramètres de protection des données, configurez les paramètres souhaités en conséquence :
Pour la Redirection du proxy d’application, choisissez parmi les options disponibles : Activer, Désactiver (par défaut).
Pour l’URL du raccourci de la page d’accueil, spécifiez une URL valide qui inclut le préfixe de http:// ou https://. Les URL incorrectes sont bloquées en tant que mesure de sécurité.
Pour les Signets gérés, spécifiez le titre et une URL valide qui inclut le préfixe de http:// ou https://.
Pour lesURL autorisées, spécifiez une URL valide (seules ces URL sont autorisées; aucun autre site n’est accessible). Pour plus d’informations sur les types de formats d’URL pris en charge, consultez Formats d’URL pour la liste de sites autorisés et bloqués.
Pour les URL bloquées, spécifiez une URL valide (seules ces URL sont bloquées). Pour plus d’informations sur les types de formats d’URL pris en charge, consultez Formats d’URL pour la liste de sites autorisés et bloqués.
Pour Rediriger les sites restreints vers le contexte personnel, choisissez parmi les options disponibles : Activer (par défaut), Désactiver.
Remarque
Lorsque les URL autorisées et les URL bloquées sont définies dans la stratégie, seule la liste autorisée est respectée.
Si vous souhaitez ajouter des paramètres de configuration d’application non exposés dans la stratégie ci-dessus, développez le nœud du Paramètres de configuration général, puis entrez les paires de valeurs clé en conséquence.
Lorsque vous avez terminé la configuration des paramètres, choisissez Suivant.
Dans la section Attributions, choisissez Sélectionner les groupes à inclure. Sélectionnez le groupe Microsoft Entra auquel vous souhaitez affecter la stratégie de configuration de l'application, puis sélectionnez Sélectionner .
Lorsque vous avez terminé les attributions, choisissez Suivant.
Dans le panneau Créer une stratégie de configuration d’application Réviser + Créer, révisez les paramètres configurés, puis choisissez Créer.
La stratégie de configuration nouvellement créée s’affiche dans le panneau Configuration de l’application.
Utiliser Microsoft Edge pour iOS et Android pour accéder aux journaux des applications gérées
Les utilisateurs ayant Edge pour iOS et Android installés sur leur appareil iOS ou Android peuvent afficher l’état de gestion de toutes les applications publiées par Microsoft. Ils peuvent envoyer des journaux pour résoudre les problèmes liés à leurs applications iOS ou Android gérées en procédant comme suit :
Ouvrir Edge pour iOS et Android sur votre appareil.
Taper
edge://intunehelp/
dans la zone d’adresse.Microsoft Edge pour iOS et Android lance le mode de dépannage.
Vous pouvez récupérer les journaux du Support Microsoft en leur donnant l’ID d’incident de l’utilisateur.
Pour obtenir la liste des paramètres stockés dans les journaux d’activité des applications, consultez Examiner les journaux de protection des applications clientes.
Journaux de diagnostic
En plus de Intune journaux à partir de edge://intunehelp/
, Support Microsoft peut vous demander de fournir des journaux de diagnostic de Microsoft Edge pour iOS et Android. Vous pouvez charger les journaux sur le serveur Microsoft ou les enregistrer localement et les partager directement avec Support Microsoft.
Charger des journaux sur un serveur Microsoft
Procédez comme suit pour charger les journaux sur le serveur Microsoft :
- Reproduisez le problème.
- Ouvrez le menu de dépassement en sélectionnant l’icône hamburger dans le coin inférieur droit.
- Balayez vers la gauche et sélectionnez Aide et commentaires.
- Dans la section Décrire ce qui se passe, fournissez des détails sur le problème afin que l’équipe de support puisse identifier les journaux pertinents.
- Chargez les journaux sur le serveur Microsoft en sélectionnant le bouton en haut à droite.
Enregistrer les journaux localement et les partager directement avec Support Microsoft
Procédez comme suit pour enregistrer les journaux localement et les partager :
- Reproduisez le problème.
- Ouvrez le menu de dépassement en sélectionnant le menu hamburger dans le coin inférieur droit.
- Balayez vers la gauche et sélectionnez Aide et commentaires.
- Sélectionnez données de diagnostic.
- Pour Microsoft Edge pour iOS, appuyez sur l’icône Partager en haut à droite. La boîte de dialogue de partage du système d’exploitation s’affiche, ce qui vous permet d’enregistrer les journaux localement ou de les partager via d’autres applications. Pour Microsoft Edge pour Android, ouvrez le sous-menu dans le coin supérieur droit et sélectionnez l’option permettant d’enregistrer les journaux. Les journaux sont enregistrés dans le dossier Télécharger>Edge .
Si vous souhaitez effacer les anciens journaux, sélectionnez l’icône Effacer en haut à droite lors de la sélection des données de diagnostic. Ensuite, reproduisez le problème à nouveau pour vous assurer que seuls les journaux d’activité sont capturés.
Remarque
L'enregistrement des journaux respecte également la stratégie de protection des applications Intune. Par conséquent, il se peut que vous ne soyez pas autorisé à enregistrer les données de diagnostic sur des appareils locaux.