Gestire Microsoft Edge su iOS e Android con Intune
Microsoft Edge per iOS e Android è progettato per consentire agli utenti di esplorare il Web e supporta più identità. Gli utenti possono aggiungere un account aziendale e uno personale per la navigazione. C'è una completa separazione tra le due identità, come in altre applicazioni mobili di Microsoft.
Questa funzionalità si applica a:
- iOS/iPadOS 14.0 o versione successiva
- Android 8.0 o versione successiva per i dispositivi registrati e Android 9.0 o versione successiva per i dispositivi non registrati.
Nota
Microsoft Edge per iOS e Android non usa le impostazioni impostate dagli utenti per il browser nativo nei propri dispositivi, perché Edge per iOS e Android non può accedere a queste impostazioni.
Le funzionalità di protezione più avanzate e più ampie per i dati di Microsoft 365 sono disponibili quando si effettua la sottoscrizione alla suite Enterprise Mobility + Security, che include funzionalità Microsoft Intune e Microsoft Entra ID P1 o P2, ad esempio l'accesso condizionale. Si vuole distribuire almeno un criterio di accesso condizionale che consenta la connettività solo a Edge per iOS e Android da dispositivi mobili e un criterio di protezione delle app Intune che garantisce la protezione dell'esperienza di esplorazione.
Nota
I nuovi clip Web (app Web aggiunte) nei dispositivi iOS si aprono in Microsoft Edge per iOS e Android anziché nel Intune Managed Browser quando necessario per l'apertura in un browser protetto. Per i clip Web iOS meno recenti, è necessario reindirizzare questi clip Web per assicurarsi che si aprano in Edge per iOS e Android anziché in Managed Browser.
Creare i criteri di protezione delle app Intune
Man mano che le organizzazioni adottano sempre più applicazioni SaaS e Web, i browser sono strumenti essenziali per le aziende. Gli utenti spesso devono accedere a queste applicazioni dai browser per dispositivi mobili mentre sono in viaggio. Garantire che i dati a cui si accede tramite i browser per dispositivi mobili siano protetti da perdite intenzionali o involontarie è fondamentale. Ad esempio, gli utenti potrebbero condividere inavvertitamente i dati aziendali con app personali, causando la fuga di dati, o scaricarli in dispositivi locali, che comporta in sé un rischio.
Le organizzazioni possono proteggere i dati da perdite quando gli utenti esplorano Edge per dispositivi mobili configurando i criteri di protezione delle app (APP), che definiscono quali app sono consentite e le azioni che possono eseguire con i dati delle organizzazioni. Le scelte disponibili nella APP consentono alle organizzazioni di adattare la protezione alle loro esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le organizzazioni a definire la priorità della protezione avanzata degli endpoint client per dispositivi mobili, Microsoft ha introdotto la tassonomia per il framework di protezione dei dati app per la gestione di app per dispositivi mobili iOS e Android.
Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:
- La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
- La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
- La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.
Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.
Indipendentemente dal fatto che il dispositivo sia iscritto a una soluzione di gestione unificata degli endpoint (UEM), è necessario creare un criterio di protezione delle app Intune sia per le app iOS che per quelle Android, seguendo la procedura descritta in Come creare e assegnare i criteri di protezione delle app. È necessario che questi criteri soddisfino le seguenti condizioni:
Includono tutte le applicazioni per dispositivi mobili di Microsoft 365, ad esempio Microsoft Edge, Outlook, OneDrive, Office o Teams, in quanto ciò garantisce che gli utenti possano accedere e modificare i dati aziendali o dell'istituto di istruzione all'interno di qualsiasi app Microsoft in modo sicuro.
Vengono assegnati a tutti gli utenti. In questo modo tutti gli utenti vengono protetti, indipendentemente dal fatto che usino Microsoft Edge per iOS o Android.
Determinare quale livello di framework soddisfa i requisiti. La maggior parte delle organizzazioni dovrebbe implementare le impostazioni definite in Protezione avanzata dei dati aziendali (livello 2), in quanto consentono di controllare la protezione dei dati e i requisiti di accesso.
Nota
Una delle impostazioni correlate ai browser è "Limita il trasferimento di contenuto Web con altre app". In Protezione dei dati aziendali avanzata (livello 2) il valore di questa impostazione è configurato su Microsoft Edge. Quando Outlook e Microsoft Teams sono protetti da criteri di protezione delle app (APP), tali app aprono collegamenti in Microsoft Edge, assicurandosi che i collegamenti siano protetti e protetti. Per ulteriori informazioni sulle impostazioni disponibili, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS.
Importante
Per applicare Intune criteri di protezione delle app alle app nei dispositivi Android non registrati in Intune, l'utente deve installare anche il Portale aziendale Intune.
Applicare l'accesso condizionale
Anche se è importante proteggere Microsoft Edge con i criteri di protezione delle app (APP), è anche fondamentale assicurarsi che Microsoft Edge sia il browser obbligatorio per l'apertura delle applicazioni aziendali. In caso contrario, gli utenti potrebbero usare altri browser non protetti per accedere alle applicazioni aziendali, causando potenzialmente perdite di dati.
Le organizzazioni possono usare Microsoft Entra criteri di accesso condizionale per garantire che gli utenti possano accedere solo ai contenuti aziendali o dell'istituto di istruzione usando Microsoft Edge per iOS e Android. A tale scopo, è necessario un criterio di accesso condizionale destinato a tutti i potenziali utenti. Questi criteri sono descritti in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app.
Seguire la procedura descritta in Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili, che consente a Microsoft Edge per iOS e Android, ma impedisce ad altri Web browser per dispositivi mobili di connettersi agli endpoint di Microsoft 365.
Nota
Questo criterio garantisce che gli utenti mobili possano accedere a tutti gli endpoint di Microsoft 365 da Microsoft Edge per iOS e Android. Questo criterio impedisce inoltre agli utenti di utilizzare InPrivate per accedere agli endpoint di Microsoft 365.
Con l'accesso condizionale, è possibile indirizzare anche i siti locali che sono stati esposti agli utenti esterni tramite Microsoft Entra Application Proxy.
Nota
Per usare i criteri di accesso condizionale basato su app, l'app Microsoft Authenticator deve essere installata nei dispositivi iOS. Per i dispositivi Android è necessaria l'applicazione Intune Company Portal. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.
Accesso singolo alle app web collegate a Microsoft Entra nei browser protetti da policy
Microsoft Edge per iOS e Android può sfruttare i vantaggi dell'accesso Single Sign-On (SSO) a tutte le app Web (SaaS e locali) connesse Microsoft Entra. L'accesso SSO consente agli utenti di accedere alle app Web connesse Microsoft Entra tramite Edge per iOS e Android, senza dover immettere nuovamente le credenziali.
L'accesso SSO richiede che il dispositivo sia registrato tramite l'app Microsoft Authenticator per i dispositivi iOS o il portale aziendale Intune per Android. Quando gli utenti dispongono di uno di questi due elementi, viene loro richiesto di registrare il dispositivo quando accedono a un'applicazione web connessa a Microsoft Entra in un browser protetto da criteri (questo è vero solo se il dispositivo non è già stato registrato). Dopo che il dispositivo è stato registrato con l'account dell'utente gestito da Intune, tale account ha l'SSO abilitato per le app web collegate a Microsoft Entra.
Nota
La registrazione del dispositivo è un semplice check-in con il servizio Microsoft Entra. Non richiede la registrazione completa del dispositivo e non conferisce all'IT alcun privilegio aggiuntivo sul dispositivo.
Utilizzare la configurazione delle app per gestire l'esperienza di navigazione
Microsoft Edge per iOS e Android supporta le impostazioni delle app che consentono agli amministratori di gestire gli endpoint unificati, ad esempio Microsoft Intune, di personalizzare il comportamento dell'app.
La configurazione delle app può essere fornita attraverso il canale di gestione dei dispositivi mobili (MDM) sui dispositivi iscritti (canale Managed App Configuration per iOS o canale Android in the Enterprise per Android) o attraverso il canale MAM (Mobile Application Management). Edge per iOS e Android supporta i seguenti scenari di configurazione:
- Consentire solo account aziendali o dell'istituto di istruzione
- Impostazioni generali di configurazione dell'app
- Impostazioni di protezione dei dati
- Configurazione aggiuntiva dell'app per i dispositivi gestiti
Importante
Per gli scenari di configurazione che richiedono la registrazione dei dispositivi in Android, i dispositivi devono essere registrati in Android Enterprise e Microsoft Edge per Android deve essere distribuito tramite Google Play Store gestito. Per altre informazioni, vedere Configurare la registrazione dei dispositivi del profilo di lavoro di proprietà personale android enterprise e Aggiungere criteri di configurazione delle app per i dispositivi Android Enterprise gestiti.
Ogni scenario di configurazione evidenzia i suoi requisiti specifici. Ad esempio, se lo scenario di configurazione richiede l'iscrizione del dispositivo, e quindi funziona con qualsiasi provider UEM, o se richiede i criteri di Intune App Protection.
Importante
Le chiavi di configurazione dell'app sono sensibili alle maiuscole e alle minuscole. Usare la combinazione di maiuscole e minuscole appropriata per assicurarsi che la configurazione sia efficace.
Nota
Con Microsoft Intune, la configurazione delle app fornita attraverso il canale MDM OS è denominata Managed Devices App Configuration Policy (ACP); la configurazione delle app fornita attraverso il canale MAM (Mobile Application Management) è denominata Managed Apps App Configuration Policy.
Consentire solo account aziendali o dell'istituto di istruzione
Il rispetto dei criteri di sicurezza dei dati e di conformità dei nostri clienti più grandi e altamente regolamentati è un pilastro fondamentale del valore di Microsoft 365. Alcune aziende hanno l'obbligo di acquisire tutte le informazioni sulle comunicazioni all'interno dell'ambiente aziendale, nonché di garantire che i dispositivi vengano usati solo per le comunicazioni aziendali. Per supportare questi requisiti, Microsoft Edge per iOS e Android nei dispositivi registrati può essere configurato in modo da consentire il provisioning di un singolo account aziendale all'interno dell'app.
Per ulteriori informazioni sulla configurazione dell'impostazione della modalità di organizzazione degli account consentiti, vedere qui:
Questo scenario di configurazione funziona solo con i dispositivi registrati. Tuttavia, è supportato qualsiasi provider UEM. Se non si usa Microsoft Intune, è necessario consultare la documentazione di UEM su come distribuire queste chiavi di configurazione.
Scenari generali di configurazione delle app
Microsoft Edge per iOS e Android offre agli amministratori la possibilità di personalizzare la configurazione predefinita per diverse impostazioni in-app. Questa funzionalità è offerta quando Edge per iOS e Android ha un criterio di configurazione delle applicazioni gestite applicato all'account di lavoro o scolastico che è stato firmato nell'applicazione.
Microsoft Edge supporta le impostazioni seguenti per la configurazione:
- Esperienze della pagina della nuova scheda
- Esperienze dei segnalibri
- Esperienze di comportamento delle app
- Esperienze in modalità chiosco
Queste impostazioni possono essere distribuite all'app indipendentemente dallo stato di registrazione del dispositivo.
Layout di pagina della nuova scheda
Il layout ispiratore è quello predefinito per la nuova scheda. Mostra i principali collegamenti al sito, lo sfondo e il feed di notizie. Gli utenti possono modificare il layout in base alle proprie preferenze. Le organizzazioni possono anche gestire le impostazioni di layout.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
In evidenza Lo stato in evidenza è selezionato inspirational (Default) Inspirational è selezionato Informativo L'opzione Informational è selezionata costume È selezionata l'opzione Personalizzata, i tasti di scelta rapida del sito principali sono attivati, l'interruttore dello sfondo è attivato e l'interruttore del feed di notizie è attivato |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
topsites Attiva i collegamenti ai siti principali sfondo Attiva lo sfondo Newsfeed Attivare il feed di notizie Affinché questa impostazione abbia effetto, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock deve essere impostato su personalizzato Il valore predefinito è topsites|wallpaper|newsfeed| |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
vero (impostazione predefinita) Gli utenti possono modificare le impostazioni del layout di pagina falso Gli utenti non possono modificare le impostazioni del layout di pagina. Il layout di pagina è determinato dai valori specificati tramite i criteri o i valori predefiniti. |
Importante
I criteri NewTabPageLayout hanno lo scopo di impostare il layout iniziale. Gli utenti possono modificare le impostazioni del layout di pagina in base al riferimento. Di conseguenza, i criteri NewTabPageLayout diventano effettivi solo se gli utenti non modificano le impostazioni di layout. Puoi applicare i criteri NewTabPageLayout configurando UserSelectable=falso.
Nota
A partire dalla versione 129.0.2792.84, il layout di pagina predefinito viene modificato in inspirational.
Esempio di disattivazione dei feed di notizie
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites|wallpaper
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Esperienze della pagina della nuova scheda
Microsoft Edge per iOS e Android offre alle organizzazioni diverse opzioni per modificare l'esperienza Nuova pagina scheda, tra cui il logo dell'organizzazione, il colore del marchio, la home page, i siti principali e le notizie del settore.
Logo dell'organizzazione e colore del marchio
Le impostazioni del logo e del colore del marchio dell'organizzazione consentono di personalizzare la pagina Nuova scheda per Microsoft Edge nei dispositivi iOS e Android. Il logo banner viene usato come logo dell'organizzazione e il colore di sfondo della pagina viene usato come colore del marchio dell'organizzazione. Per altre informazioni, vedi Configura il marchio aziendale.
Usare quindi le coppie chiave/valore seguenti per eseguire il pull della personalizzazione dell'organizzazione in Microsoft Edge per iOS e Android:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true mostra il logo dell'organizzazione false (impostazione predefinita) non esporrà un logo |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true mostra il colore del marchio dell'organizzazione false (impostazione predefinita) non esporrà un colore |
Collegamento alla home page
Questa impostazione consente di configurare un collegamento alla home page per Microsoft Edge per iOS e Android nella pagina Nuova scheda. Il collegamento alla homepage configurato appare come prima icona sotto la barra di ricerca quando l'utente apre una nuova scheda in Edge per iOS e Android. L'utente non può modificare o eliminare questo collegamento nel proprio contesto gestito. Il collegamento alla homepage visualizza il nome dell'organizzazione per distinguerla.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage Questo nome di criterio è stato sostituito dall'interfaccia utente dell'URL del collegamento alla home page nelle impostazioni di configurazione di Edge |
Specificare un URL valido. Gli URL non corretti vengono bloccati come misura di sicurezza. Ad esempio: https://www.bing.com |
Più collegamenti ai siti principali
Analogamente alla configurazione di un collegamento alla home page, è possibile configurare più collegamenti ai siti principali in Nuove schede in Microsoft Edge per iOS e Android. L'utente non può modificare o eliminare questi collegamenti in un contesto gestito. Nota: è possibile configurare un totale di otto scorciatoie, incluso un collegamento alla home page. Se è stato configurato un collegamento alla home page, tale collegamento sostituisce il primo sito principale configurato.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | Specificare il set di URL dei valori. Ogni collegamento al sito principale è costituito da un titolo e un URL. Separare il titolo e l'URL con il carattere |. Ad esempio: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Notizie del settore
È possibile configurare l'esperienza Nuova pagina scheda in Microsoft Edge per iOS e Android per visualizzare le notizie del settore rilevanti per l'organizzazione. Quando si attiva questa funzione, Edge per iOS e Android utilizza il nome di dominio dell'organizzazione per aggregare le notizie dal Web relative all'organizzazione, al settore di appartenenza e ai concorrenti, in modo che gli utenti possano trovare notizie esterne rilevanti dalle pagine centralizzate delle nuove schede di Edge per iOS e Android. Le notizie di settore sono disattivate per impostazione predefinita.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true mostra le novità del settore nella pagina Nuove scheda false (impostazione predefinita) nasconde Le notizie di settore dalla pagina Nuova scheda |
Home page invece dell'esperienza Nuova scheda
Microsoft Edge per iOS e Android consente alle organizzazioni di disabilitare l'esperienza Nuova pagina scheda e di avviare invece un sito Web quando l'utente apre una nuova scheda. Anche se si tratta di uno scenario supportato, Microsoft consiglia alle organizzazioni di sfruttare l'esperienza Nuova pagina scheda per fornire contenuto dinamico rilevante per l'utente.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Specificare un URL valido. Se non viene specificato alcun URL, l'app utilizza l'esperienza della pagina Nuova scheda. Gli URL non corretti vengono bloccati come misura di sicurezza. Ad esempio: https://www.bing.com |
Esperienze dei segnalibri
Microsoft Edge per iOS e Android offre alle organizzazioni diverse opzioni per la gestione dei segnalibri.
Segnalibri gestiti
Per semplificare l'accesso, è possibile configurare segnalibri che gli utenti devono avere a disposizione quando usano Microsoft Edge per iOS e Android.
- I segnalibri vengono visualizzati solo nell'account aziendale o dell'istituto di istruzione e non sono esposti agli account personali.
- I segnalibri non possono essere eliminati o modificati dagli utenti.
- I segnalibri vengono visualizzati nella parte superiore dell'elenco. Tutti i segnalibri creati dall'utente vengono visualizzati sotto questi segnalibri.
- Se si è abilitato il reindirizzamento Application Proxy, è possibile aggiungere le web app Application Proxy utilizzando il loro URL interno o esterno.
- I segnalibri vengono creati in una cartella denominata in base al nome dell'organizzazione definita in Microsoft Entra ID.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks Questo nome di criterio è stato sostituito dall'interfaccia utente dei segnalibri gestiti nelle impostazioni di Configurazione edge |
Il valore di questa configurazione è un elenco di segnalibri. Ogni segnalibro è costituito dal titolo del segnalibro e dall'URL del segnalibro. Separare il titolo e l'URL con il carattere |.Ad esempio: Microsoft Bing|https://www.bing.comPer configurare più segnalibri, separare ogni coppia con il carattere doppio ||.Ad esempio: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Segnalibro Le mie app
Per impostazione predefinita, gli utenti hanno il segnalibro App personali configurato all'interno della cartella dell'organizzazione all'interno di Microsoft Edge per iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps |
true (impostazione predefinita) mostra App personali all'interno dei segnalibri di Microsoft Edge per iOS e Android false nasconde Le mie app in Edge per iOS e Android |
Esperienze di comportamento delle app
Microsoft Edge per iOS e Android offre alle organizzazioni diverse opzioni per la gestione del comportamento dell'app.
Microsoft Entra password single sign-on
La funzionalità Microsoft Entra Password single sign-on (SSO) offerta da Microsoft Entra ID consente di gestire l'accesso degli utenti alle applicazioni web che non supportano la federazione delle identità. Per impostazione predefinita, Microsoft Edge per iOS e Android non esegue l'accesso SSO con le credenziali di Microsoft Entra. Per altre informazioni, vedere Aggiungere l'accesso Single Sign-On basato su password a un'applicazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true Microsoft Entra Password SSO è abilitato false (impostazione predefinita) Microsoft Entra Password SSO è disabilitato |
Gestore del protocollo predefinito
Per impostazione predefinita, Microsoft Edge per iOS e Android usa il gestore del protocollo HTTPS quando l'utente non specifica il protocollo nell'URL. In genere, questa procedura è considerata una procedura consigliata, ma può essere disabilitata.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (impostazione predefinita) il gestore del protocollo predefinito è HTTPS false il gestore di protocollo predefinito è HTTP |
Disabilitare i dati di diagnostica facoltativi
Per impostazione predefinita, gli utenti possono scegliere di inviare dati di diagnostica facoltativi da Impostazioni->Privacy e sicurezza->Dati di diagnostica facoltativi->Impostazione dei dati di diagnostica facoltativi. Le organizzazioni possono disabilitare questa impostazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true L'impostazione dei dati di diagnostica facoltativa è disabilitata false (impostazione predefinita) L'opzione può essere attivata o disattivata dagli utenti |
Nota
L'impostazione dei dati di diagnostica facoltativi viene richiesta agli utenti anche durante la Prima esperienza di funzionamento (FRE). Le organizzazioni possono ignorare questo passaggio usando i criteri MDM EdgeDisableShareUsageData
Disabilitare funzionalità specifiche
Microsoft Edge per iOS e Android consente alle organizzazioni di disabilitare determinate funzionalità abilitate per impostazione predefinita. Per disabilitare queste funzionalità, configurare l'impostazione seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password disabilita i prompt che offrono di salvare le password per l'utente finale inprivate disabilita la navigazione InPrivate il riempimento automatico disabilita "Salva e compila indirizzi" e "Salva e compila informazioni di pagamento". Il riempimento automatico verrà disabilitato anche per le informazioni salvate in precedenza translator disabilita traduttore readaloud disabilita la lettura ad alta voce drop disabilita il rilascio coupon disabilita i coupon estensioni disabilita le estensioni (solo Edge per Android) developertools oscura i numeri di versione della build per impedire agli utenti di accedere alle opzioni per sviluppatori (solo Edge per Android) UIRAlert elimina i popup per la nuova verifica dell'account nella schermata della nuova scheda condivisione disabilita Condivisione nel menu sendtodevices disabilita Invia ai dispositivi nel menu meteo disabilita il tempo in NTP (nuova scheda) webinspector disabilita l'impostazione controllo Web (solo Edge per iOS) Per disabilitare più funzionalità, separare i valori con |. Ad esempio, inprivate|password disabilita sia InPrivate che l'archiviazione delle password. |
Disabilita la funzionalità importa password
Microsoft Edge per iOS e Android consente agli utenti di importare password da Gestione password. Per disabilitare l'importazione delle password, configurare l'impostazione seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true Disabilita le password di importazione false (impostazione predefinita) Consenti l'importazione delle password |
Nota
In Gestione password di Microsoft Edge per iOS è disponibile un pulsante Aggiungi . Quando la funzionalità Importa password è disabilitata, viene disabilitato anche il pulsante Aggiungi .
Modalità Cookie di controllo
È possibile controllare se i siti possono archiviare i cookie per gli utenti all'interno di Microsoft Edge per Android. A tale scopo, configurare l'impostazione seguente:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (impostazione predefinita) Consenti cookie 1 blocco di cookie non Microsoft 2 blocchi di cookie non Microsoft in modalità InPrivate 3 blocca tutti i cookie |
Nota
Microsoft Edge per iOS non supporta il controllo dei cookie.
Esperienze in modalità kiosk su dispositivi Android
Microsoft Edge per Android può essere abilitato come app in modalità tutto schermo con le impostazioni seguenti:
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true abilita la modalità kiosk per Edge per Android false (impostazione predefinita) disabilita la modalità kiosk |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true mostra la barra degli indirizzi in modalità kiosk false (impostazione predefinita) nasconde la barra degli indirizzi quando è abilitata la modalità kiosk |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true mostra la barra delle azioni inferiore in modalità kiosk false (impostazione predefinita) nasconde la barra inferiore quando è abilitata la modalità kiosk |
Nota
La modalità tutto schermo non è supportata nei dispositivi iOS/iPadOS. Tuttavia, è possibile usare la modalità visualizzazione bloccata (solo criteri MDM) per ottenere un'esperienza utente simile, in cui gli utenti non sono in grado di passare ad altri siti Web, poiché la barra degli indirizzi URL diventa di sola lettura in modalità visualizzazione bloccata.
Modalità di visualizzazione bloccata
Microsoft Edge per iOS e Android può essere abilitato come modalità di visualizzazione bloccata con i criteri MDM EdgeLockedViewModeEnabled.
| Chiave | Valore |
|---|---|
| EdgeLockedViewModeEnabled |
false (impostazione predefinita) La modalità di visualizzazione bloccata è disabilitata true La modalità di visualizzazione bloccata è abilitata |
Consente alle organizzazioni di limitare varie funzionalità del browser, offrendo un'esperienza di esplorazione controllata e mirata.
- La barra degli indirizzi URL diventa di sola lettura, impedendo agli utenti di apportare modifiche all'indirizzo Web
- Agli utenti non è consentito creare nuove schede
- La funzionalità di ricerca contestuale nelle pagine Web è disabilitata
- I pulsanti seguenti nel menu di overflow sono disabilitati
| Pulsanti | Stato |
|---|---|
| Nuova scheda InPrivate | Disabilitato |
| Invia ai dispositivi | Disabilitato |
| Rilascia | Disabilitato |
| Aggiungi al telefono (Android) | Disabilitato |
| Pagina di download (Android) | Disabilitato |
La modalità di visualizzazione bloccata viene spesso usata insieme ai criteri MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL o ai criteri MDM EdgeNewTabPageCustomURL, che consentono alle organizzazioni di configurare una pagina Web specifica che viene avviata automaticamente all'apertura di Microsoft Edge. Gli utenti sono limitati a questa pagina Web e non possono passare ad altri siti Web, fornendo un ambiente controllato per attività specifiche o utilizzo di contenuto.
Nota
Per impostazione predefinita, agli utenti non è consentito creare nuove schede in modalità visualizzazione bloccata. Per consentire la creazione di schede, impostare il criterio MDM EdgeLockedViewModeAllowedActions su newtabs.
Cambiare lo stack di rete tra Chromium e iOS
Per impostazione predefinita, Microsoft Edge per iOS e Android usa lo stack di rete Chromium per la comunicazione del servizio Microsoft Edge, inclusi i servizi di sincronizzazione, i suggerimenti per la ricerca automatica e l'invio di commenti e suggerimenti. Microsoft Edge per iOS offre anche lo stack di rete iOS come opzione configurabile per la comunicazione dei servizi Microsoft Edge.
Le organizzazioni possono modificare le preferenze dello stack di rete configurando l'impostazione seguente.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (impostazione predefinita) usare lo stack di rete Chromium 1 usare lo stack di rete iOS |
Nota
È consigliabile usare lo stack di rete Chromium. Se si riscontrano problemi di sincronizzazione o di invio di feedback con lo stack di rete Chromium, ad esempio con alcune soluzioni VPN per-app, l'utilizzo dello stack di rete iOS potrebbe risolvere i problemi.
Impostare l'URL di un file .pac proxy
Le organizzazioni possono specificare un URL a un file di configurazione automatica del proxy (PAC) per Microsoft Edge per iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Specificare un URL valido per un file .pac proxy. Ad esempio: https://internal.site/example.pac |
Supporto pac-open non riuscito
Per impostazione predefinita, Microsoft Edge per iOS e Android blocca l'accesso alla rete con script PAC non validi o non disponibili. Tuttavia, le organizzazioni possono modificare il comportamento predefinito per aprire il PAC fallito.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (impostazione predefinita) Blocca l'accesso alla rete Vero Consentire l'accesso alla rete |
Configura gli inoltri di rete
Microsoft Edge per iOS supporta ora gli inoltri di rete in iOS 17. Si tratta di un tipo speciale di proxy che può essere usato per le soluzioni di accesso remoto e privacy. Supporta il tunneling sicuro e trasparente del traffico, che funge da alternativa moderna alle VPN quando si accede alle risorse interne. Per altre informazioni sugli inoltri di rete, vedi Uso degli inoltri di rete nei dispositivi Apple.
Le organizzazioni possono configurare gli URL del proxy di inoltro per instradare il traffico in base ai domini corrispondenti ed esclusi.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | Specifica un URL valido per un file json di configurazione dell'inoltro. Ad esempio: https://yourserver/relay_config.json |
Esempio di file json per gli inoltri di rete
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
Proxy per consentire agli utenti di accedere a Microsoft Edge in Android
Una configurazione automatica del proxy (PAC) viene in genere configurata nel profilo VPN. Tuttavia, a causa di una limitazione della piattaforma, il PAC non può essere riconosciuto da Android WebView, che viene usato durante il processo di accesso di Microsoft Edge. Gli utenti potrebbero non essere in grado di accedere a Edge in Android.
Le organizzazioni possono specificare un proxy dedicato tramite i criteri MDM per consentire agli utenti di accedere a Microsoft Edge in Android.
| Chiave | Valore |
|---|---|
| EdgeOneAuthProxy | Il valore corrispondente è una stringa Esempio http://MyProxy.com:8080 |
Archivio dati del sito web iOS
L'archivio dati del sito Web in Microsoft Edge per iOS è essenziale per la gestione di cookie, cache di dischi e memoria e vari tipi di dati. Tuttavia, in Microsoft Edge per iOS è presente un solo archivio dati di siti Web persistente. Per impostazione predefinita, questo archivio dati viene usato esclusivamente dagli account personali, determinando una limitazione in cui gli account aziendali o dell'istituto di istruzione non possono usarlo. Di conseguenza, i dati di navigazione, esclusi i cookie, vengono persi dopo ogni sessione per gli account aziendali o dell'istituto di istruzione. Per migliorare l'esperienza utente, le organizzazioni possono configurare l'archivio dati del sito Web per l'uso da parte degli account aziendali o dell'istituto di istruzione, garantendo la persistenza dei dati di esplorazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 L'archivio dati del sito Web viene sempre usato in modo statico solo dall'account personale 1 L'archivio dati del sito Web viene usato dal primo account connesso 2 (impostazione predefinita) L'archivio dati del sito Web viene usato dall'account aziendale o dell'istituto di istruzione indipendentemente dall'ordine di accesso |
Nota
Con il rilascio di iOS 17, sono ora supportati più archivi permanenti. L'account aziendale e quello personale hanno un proprio archivio persistente designato. Pertanto, questo criterio non è più valido a partire dalla versione 122.
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen è una funzionalità che consente agli utenti di evitare siti e download dannosi. È abilitato per impostazione predefinita. Le organizzazioni possono disabilitare questa impostazione.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (impostazione predefinita) Microsoft Defender SmartScreen è abilitato. false Microsoft Defender SmartScreen è disabilitato. |
Verifica del certificato
Per impostazione predefinita, Microsoft Edge per Android verifica i certificati del server usando il verificatore di certificati predefinito e Microsoft Root Store come origine dell'attendibilità pubblica. Le organizzazioni possono passare al verificatore di certificati di sistema e ai certificati radice di sistema.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
vero (impostazione predefinita) Usare il verificatore di certificati predefinito e Microsoft Root Store per verificare i certificati. falso Usare il verificatore di certificati di sistema e i certificati radice di sistema come origine dell'attendibilità pubblica per verificare i certificati |
Nota
Un caso d'uso per questo criterio è la necessità di utilizzare il verificatore di certificati di sistema e i certificati root di sistema quando si utilizza Microsoft MAM Tunnel in Edge per Android.
Controllo pagina di avviso SSL
Per impostazione predefinita, gli utenti possono fare clic su pagine di avviso che mostrano quando gli utenti passano a siti con errori SSL. Le organizzazioni possono gestire il comportamento.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
vero (impostazione predefinita) Consente agli utenti di fare clic su pagine di avviso SSL. falso Impedisce agli utenti di fare clic sulle pagine di avviso SSL. |
Impostazioni popup
Per impostazione predefinita, i popup vengono bloccati. Le organizzazioni possono gestire il comportamento.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 Consenti a tutti i siti di visualizzare i popup 2 (impostazione predefinita) Non consentire a nessun sito di visualizzare i popup |
Consenti popup in siti specifici
Se questo criterio non è configurato, il valore del criterio DefaultPopupsSetting (se impostato) o la configurazione personale dell'utente viene usato per tutti i siti. Le organizzazioni possono definire un elenco di siti che possono aprire il popup.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Per altre informazioni sul formato degli URL, vedi Formato del modello di URL dei criteri aziendali.
Blocca popup in siti specifici
Se questo criterio non è configurato, il valore del criterio DefaultPopupsSetting (se impostato) o la configurazione personale dell'utente viene usato per tutti i siti. Le organizzazioni possono definire un elenco di siti a cui viene impedita l'apertura di popup.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Per altre informazioni sul formato degli URL, vedi Formato del modello di URL dei criteri aziendali.
Provider di ricerca predefinito
Per impostazione predefinita, Microsoft Edge usa il provider di ricerca predefinito per eseguire una ricerca quando gli utenti immettono testi non URL nella barra degli indirizzi. Gli utenti possono modificare l'elenco dei provider di ricerca. Le organizzazioni possono gestire il comportamento del provider di ricerca.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
vero Abilita il provider di ricerca predefinito falso Disabilita il provider di ricerca predefinito |
Configura il provider di ricerca
Le organizzazioni possono configurare un provider di ricerca per gli utenti. Per configurare un provider di ricerca, è necessario configurare DefaultSearchProviderEnabled .
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | Il valore corrispondente è una stringa Esempio My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | Il valore corrispondente è una stringa Esempio https://search.my.company/search?q={searchTerms} |
Copilot
Nota
Se si vuole bloccare l'accesso alla versione Web di Copilot, copilot.microsoft.com, è possibile usare i criteri AllowListURLs o BlockListURLs.
Copilot è disponibile su Microsoft Edge per iOS e Android. Gli utenti possono avviare Copilot facendo clic sul pulsante Copilot nella barra inferiore.
In Impostazioni ->Generali ->Copilot sono presenti tre impostazioni.
- Mostra Copilot- controllare se mostrare o meno il pulsante Bing sulla barra inferiore
- Consentire l'accesso a qualsiasi pagina web o PDF - Controllare se consentire a Copilot di accedere al contenuto della pagina o del PDF.
- Accesso rapido sulla selezione del testo - controllare se visualizzare il pannello della chat rapida quando è selezionato il testo in una pagina Web
È possibile gestire le impostazioni di Copilot.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat |
true (impostazione predefinita). Gli utenti visualizzano il pulsante Copilot nella barra inferiore. L'impostazione Mostra Copilot è attivata per impostazione predefinita e può essere disattivata dagli utenti falso Gli utenti non possono visualizzare il pulsante Copilot nella barra inferiore. L'impostazione Mostra Copilot è disabilitata e non può essere attivata dagli utenti |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext |
true (impostazione predefinita). Gli utenti possono attivare le opzioni Consenti accesso a qualsiasi pagina web o PDF e Accesso rapido alla selezione del testo falseConsente l'accesso a qualsiasi pagina Web o PDF e l'accesso rapido alla selezione del testo verrà disabilitato e non potrà essere attivato dagli utenti |
Scenari di configurazione delle app per la protezione dei dati
Microsoft Edge per iOS e Android supporta i criteri di configurazione delle app per le impostazioni di protezione dei dati seguenti quando l'app viene gestita da Microsoft Intune con un'app gestita Configurazione app criteri applicati all'account aziendale o dell'istituto di istruzione connesso all'app:
- Gestire la sincronizzazione degli account
- Gestire siti Web con restrizioni
- Gestire la configurazione del proxy
- Gestire i siti NTLM single sign-on
Queste impostazioni possono essere distribuite all'app indipendentemente dallo stato di registrazione del dispositivo.
Gestire la sincronizzazione degli account
Per impostazione predefinita, la sincronizzazione Microsoft Edge consente agli utenti di accedere ai dati di esplorazione in tutti i dispositivi connessi. I dati supportati dalla sincronizzazione includono:
- Preferiti
- Password
- Indirizzi e altro ancora (voce del modulo di riempimento automatico)
La funzionalità di sincronizzazione è abilitata tramite il consenso dell'utente e gli utenti possono attivare o disattivare la sincronizzazione per ognuno dei tipi di dati elencati in precedenza. Per altre informazioni, vedere Sincronizzazione di Microsoft Edge.
Le organizzazioni hanno la possibilità di disabilitare la sincronizzazione Edge su iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true disabilita la sincronizzazione edge false (impostazione predefinita) consente la sincronizzazione Edge |
Gestire siti Web con restrizioni
Le organizzazioni possono definire i siti a cui gli utenti possono accedere nel contesto dell'account aziendale o dell'istituto di istruzione in Microsoft Edge per iOS e Android. Se si utilizza un elenco di permessi, gli utenti possono accedere solo ai siti esplicitamente elencati. Se si utilizza un elenco di siti bloccati, gli utenti possono accedere a tutti i siti tranne a quelli esplicitamente bloccati. Si dovrebbe imporre solo un elenco di permessi o un elenco di blocchi, non entrambi. Se si impongono entrambi, viene rispettato solo l'elenco consentito.
Le organizzazioni definiscono anche cosa succede quando un utente tenta di navigare in un sito web con restrizioni. Per impostazione predefinita, le transizioni sono consentite. Se l'organizzazione lo consente, i siti Web con restrizioni possono essere aperti nel contesto dell'account personale, nel contesto InPrivate dell'account Microsoft Entra o se il sito è completamente bloccato. Per altre informazioni sui vari scenari supportati, vedere Transizioni di siti web con restrizioni in Microsoft Edge per dispositivi mobili. Consentendo esperienze di transizione, gli utenti dell'organizzazione rimangono protetti e le risorse aziendali sono al sicuro.
Per migliorare l'esperienza di cambio di profilo riducendo la necessità per gli utenti di passare manualmente ai profili personali o alla modalità InPrivate per aprire gli URL bloccati, sono stati introdotti due nuovi criteri:
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlockcom.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
Poiché questi criteri portano risultati diversi in base alle configurazioni e alle combinazioni, è consigliabile provare i suggerimenti di criteri seguenti per una valutazione rapida per verificare se l'esperienza di cambio di profilo è perfettamente allineata alle esigenze dell'organizzazione prima di esplorare la documentazione dettagliata. Le impostazioni di configurazione suggerite per il cambio di profilo includono i valori seguenti:
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=truecom.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=truecom.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
Nota
Microsoft Edge per iOS e Android può bloccare l'accesso ai siti solo quando sono accessibili direttamente. Non blocca l'accesso quando gli utenti utilizzano servizi intermedi (come un servizio di traduzione) per accedere al sito. Gli URL che si avviano con Edge, ad esempio Edge://*, Edge://flags e Edge://net-export, non sono supportati nei criteri di configurazione delle app AllowListURLs o blockListURLs per le app gestite. È possibile disabilitare questi URL con com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.
Se i dispositivi sono gestiti, è anche possibile usare i criteri di configurazione dell'app URLAllowList o URLBlocklist per i dispositivi gestiti. Per informazioni correlate, vedere Criteri per dispositivi mobili di Microsoft Edge.
Usare le coppie chiave/valore seguenti per configurare un elenco di siti consentito o bloccato per Microsoft Edge per iOS e Android.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs Questo nome di criterio è stato sostituito dall'interfaccia utente degli URL consentiti nelle impostazioni di configurazione edge |
Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera consentire come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs Questo nome di criterio è stato sostituito dall'interfaccia utente degli URL bloccati nelle impostazioni di configurazione edge |
Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock Questo nome di criterio è stato sostituito dall'interfaccia utente di Reindirizzare i siti con restrizioni al contesto personale nelle impostazioni di Configurazione edge |
true (impostazione predefinita) consente a Edge per iOS e Android di passare ai siti con restrizioni. Quando gli account personali non sono disabilitati, agli utenti viene richiesto di passare al contesto personale per aprire il sito riservato, oppure di aggiungere un account personale. Se com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked è impostato su true, gli utenti hanno la possibilità di aprire il sito riservato nel contesto InPrivate. false impedisce la transizione degli utenti di Edge per iOS e Android. Agli utenti viene visualizzato un messaggio che indica che il sito a cui stanno tentando di accedere è bloccato. |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked |
true consente l'apertura di siti con restrizioni nel contesto InPrivate dell'account Microsoft Entra. Se l'account Microsoft Entra è l'unico configurato in Edge per iOS e Android, il sito riservato viene aperto automaticamente nel contesto InPrivate. Se l'utente ha configurato un account personale, gli viene chiesto di scegliere se aprire InPrivate o passare all'account personale. false (impostazione predefinita) richiede l'apertura del sito con restrizioni nell'account personale dell'utente. Se gli account personali sono disabilitati, il sito è bloccato. Affinché questa impostazione abbia effetto, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock deve essere impostato su true. |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Immettere il numero di secondi in cui gli utenti visualizzano la notifica di snack bar "L'accesso a questo sito è bloccato dall'organizzazione. L'abbiamo aperto in modalità InPrivate per accedere al sito." Per impostazione predefinita, la notifica dello snack bar viene visualizzata per 7 secondi. |
I siti seguenti, ad eccezione di copilot.microsoft.com, sono sempre consentiti indipendentemente dalle impostazioni definite dell'elenco consentiti o dell'elenco di blocchi:
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
Controllare il comportamento del popup Sito bloccato
Quando si tenta di accedere ai siti Web bloccati, agli utenti viene richiesto di usare il passaggio a InPrivate o l'account personale per aprire i siti Web bloccati. È possibile scegliere le preferenze tra InPrivate e l'account personale.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (Impostazione predefinita) mostrare sempre la finestra popup per la scelta da parte dell'utente. 1: passare automaticamente all'account personale quando è stato eseguito l'accesso. Se l'account personale non è connesso, il comportamento viene modificato in valore 2. 2: passare automaticamente a InPrivate se l'opzione InPrivate è consentita da com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true. |
Controllare il comportamento della richiesta post quando l'opzione dell'account
Quando si tenta di accedere ai siti Web bloccati, agli utenti viene richiesto di usare il passaggio a InPrivate o l'account personale per aprire i siti Web bloccati. È possibile scegliere le preferenze su come gestire la richiesta post durante l'opzione dell'account. I criteri MAM sono solo per iOS.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.IgnorePostRequestOnAutoTransition |
false: (impostazione predefinita) Continuare la richiesta post quando l'URL bloccato passa alla modalità privata o all'account personale. true: ignorare la richiesta post quando l'URL bloccato passa alla modalità privata o all'account personale e visualizza il messaggio bloccato. |
Controllare il comportamento del passaggio del profilo personale al profilo di lavoro
Quando Microsoft Edge è sotto il profilo personale e gli utenti tentano di aprire un collegamento da Outlook o Microsoft Teams che si trova sotto il profilo di lavoro, Intune per impostazione predefinita usa il profilo di lavoro Edge per aprire il collegamento, perché Microsoft Edge, Outlook e Microsoft Teams sono gestiti da Intune. Tuttavia, quando il collegamento viene bloccato, l'utente viene passato a un profilo personale. Ciò causa un'esperienza di attrito per gli utenti.
È possibile configurare un criterio per migliorare l'esperienza degli utenti. È consigliabile usare questo criterio insieme a AutoTransitionModeOnBlock perché può passare gli utenti al profilo personale in base al valore del criterio configurato.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (impostazione predefinita) Passare al profilo di lavoro anche se l'URL è bloccato dai criteri Edge. 2: gli URL bloccati si aprono nel profilo personale se il profilo personale è connesso. Se un profilo personale non è connesso, l'URL bloccato viene aperto in modalità InPrivate. |
Gestire il blocco delle risorse secondarie
Per impostazione predefinita, AllowListURLs e BlockListURLs si applicano solo a livello di spostamento. Quando si incorporano URL bloccati (URL configurati in BlockListURLs o URL non configurati in AllowListURLs) come risorse secondarie all'interno di una pagina Web, tali URL delle sotto risorse non vengono bloccati.
Per limitare ulteriormente queste risorse secondarie, è possibile configurare un criterio per bloccare gli URL delle sotto risorse.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ManageRestrictedSubresourceEnabled |
false: (impostazione predefinita) Gli URL delle sotto risorse non vengono bloccati anche se gli URL delle sotto risorse sono bloccati. true: gli URL delle risorse secondarie vengono bloccati se sono elencati come bloccati. |
Nota
È consigliabile usare questo criterio in combinazione con BlockListURLs. Se usato con AllowListURLs, assicurarsi che tutti gli URL delle sotto risorse siano inclusi in AllowListURLs. In caso contrario, il caricamento di alcune risorse secondarie potrebbe non riuscire
Formati URL per l'elenco dei siti consentiti e bloccati
È possibile utilizzare vari formati di URL per creare gli elenchi dei siti consentiti/bloccati. I modelli consentiti sono illustrati nella tabella seguente.
Assicurarsi di anteporre a tutti gli URL il prefisso http:// o https:// quando li si inserisce nell'elenco.
È possibile utilizzare il simbolo jolly (*) secondo le regole del seguente elenco di modelli consentiti.
Un carattere jolly può corrispondere solo a una parte (ad esempio,
news-contoso.com) o all'intero componente del nome host (ad esempio ,host.contoso.com) o a intere parti del percorso se separate da barre in avanti (www.contoso.com/images).È possibile specificare i numeri di porta nell'indirizzo. Se non si specifica un numero di porta, i valori usati sono:
- Porta 80 per http
- Porta 443 per https
L'uso di caratteri jolly per il numero di porta è supportato solo in Microsoft Edge per iOS. Ad esempio, è possibile specificare
http://www.contoso.com:*ehttp://www.contoso.com:*/.È supportata la specifica di indirizzi IPv4 con notazione CIDR. Ad esempio, è possibile specificare 127.0.0.1/24 (un intervallo di indirizzi IP).
URL Dettagli Corrispondenze Non corrisponde http://www.contoso.comCorrisponde a una singola pagina www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.comCorrisponde a una singola pagina contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*Corrisponde a tutti gli URL che iniziano con www.contoso.comwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*Corrisponde a tutti i sottodomini in contoso.comdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*Corrisponde a tutti i sottodomini che terminano con contoso.com/news-contoso.comnews-contoso.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/imagesCorrisponde a una singola cartella www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80Corrisponde a una singola pagina, usando un numero di porta www.contoso.com:80https://www.contoso.comCorrisponde a una singola pagina sicura www.contoso.comwww.contoso.com/imageshttp://www.contoso.com/images/*Corrisponde a una singola cartella e a tutte le sottocartelle www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videoshttp://contoso.com:*Corrisponde a qualsiasi numero di porta per una singola pagina contoso.com:80contoso.com:808010.0.0.0/24Corrisponde a un intervallo di indirizzi IP compreso tra 10.0.0.0 e 10.0.0.255 10.0.0.010.0.0.100192.168.1.1- Di seguito sono riportati alcuni esempi di input che non è possibile specificare:
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*https://*http://*http://www.contoso.com: /*
Disabilitare le pagine interne di Microsoft Edge
È possibile disabilitare le pagine interne di Microsoft Edge, ad Edge://flags esempio e Edge://net-export. Altre pagine sono disponibili da Edge://about
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | Il valore corrispondente per la chiave è un elenco di nomi di pagine. È possibile inserire le pagine interne da bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: flags|net-export |
Gestire i siti web per consentire il caricamento dei file
Può capitare che gli utenti siano autorizzati solo a visualizzare i siti web, senza la possibilità di caricare i file. Le organizzazioni hanno la possibilità di designare i siti web che possono ricevere il caricamento dei file.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
L'esempio per bloccare tutti i siti web, compresi quelli interni, dal caricare file.
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Un esempio per consentire a siti web specifici di caricare file
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Per altre informazioni sul formato degli URL, vedi Formato del modello di URL dei criteri aziendali.
Nota
Per Microsoft Edge in iOS, l'azione incolla viene bloccata oltre ai caricamenti. Gli utenti non visualizzeranno l'opzione incolla nel menu azione.
Gestire la configurazione del proxy
È possibile usare Microsoft Edge per iOS e Android e Microsoft Entra proxy di applicazione insieme per consentire agli utenti di accedere ai siti Intranet nei propri dispositivi mobili. Ad esempio:
- Un utente utilizza l'applicazione mobile di Outlook, protetta da Intune. Quindi fanno clic su un collegamento a un sito Intranet in un messaggio di posta elettronica e Microsoft Edge per iOS e Android riconosce che questo sito Intranet è stato esposto all'utente tramite Application Proxy. L'utente viene instradato automaticamente attraverso Application Proxy, per eseguire l'autenticazione con qualsiasi autenticazione a più fattori applicabile e l'accesso condizionale, prima di raggiungere il sito Intranet. L'utente è ora in grado di accedere ai siti interni, anche sui propri dispositivi mobili, e il collegamento in Outlook funziona come previsto.
- Un utente apre Microsoft Edge per iOS e Android nel dispositivo iOS o Android. Se Edge per iOS e Android è protetto con Intune e Application Proxy è abilitato, l'utente può accedere a un sito Intranet usando l'URL interno a cui è abituato. Edge per iOS e Android riconosce che questo sito intranet è stato esposto all'utente tramite Application Proxy. L'utente viene automaticamente instradato attraverso Application Proxy, per autenticarsi prima di raggiungere il sito intranet.
Prima di iniziare:
- Configurare le applicazioni interne tramite il Microsoft Entra Application Proxy.
- Per configurare Application Proxy e pubblicare le applicazioni, consultare la documentazione di configurazione.
- Assicurarsi che l'utente sia assegnato all'applicazione Microsoft Entra Application Proxy, anche se l'applicazione è configurata con il tipo di pre-autenticazione Passthrough.
- L'app Microsoft Edge per iOS e Android deve avere un criterio di protezione delle app Intune assegnato.
- Le applicazioni Microsoft devono avere un criterio di protezione delle applicazioni con l'impostazione Limita il trasferimento di contenuti web con altre app su Microsoft Edge.
Nota
Microsoft Edge per iOS e Android aggiorna i dati di reindirizzamento Application Proxy in base all'ultimo evento di aggiornamento riuscito. Gli aggiornamenti vengono tentati ogni volta che l'ultimo evento di aggiornamento riuscito è superiore a un'ora.
Selezionare su Edge per iOS e Android con la seguente coppia chiave/valore, per abilitare Application Proxy.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Questo nome di criterio è stato sostituito dall'interfaccia utente del reindirizzamento del proxy dell'applicazione nelle impostazioni di Configurazione edge |
true abilita gli scenari di reindirizzamento di Microsoft Entra Application Proxy false (impostazione predefinita)gli scenari di reindirizzamento di Microsoft Entra Application Proxy |
Per altre informazioni su come usare Microsoft Edge per iOS e Android e Microsoft Entra proxy di applicazione in combinazione per l'accesso facile (e protetto) alle app Web locali, vedere Insieme meglio: Intune e Microsoft Entra collaborare per migliorare l'accesso degli utenti. Questo blog post fa riferimento al browser gestito da Intune, ma il contenuto si applica anche a Edge per iOS e Android.
Gestire i siti NTLM single sign-on
Le organizzazioni possono richiedere agli utenti di autenticarsi con NTLM per accedere ai siti Web intranet. Per impostazione predefinita, agli utenti viene richiesto di inserire le credenziali ogni volta che accedono a un sito Web che richiede l'autenticazione NTLM, poiché la cache delle credenziali NTLM è disabilitata.
Le organizzazioni possono abilitare la memorizzazione nella cache delle credenziali NTLM per determinati siti web. Per questi siti, dopo che l'utente ha inserito le credenziali e si è autenticato con successo, le credenziali vengono memorizzate nella cache per impostazione predefinita per 30 giorni.
Nota
Se si usa un server proxy, assicurarsi che sia configurato usando il criterio NTLMSSOURLs in cui si specificano in modo specifico sia https che http come parte del valore della chiave.
Attualmente, sia gli schemi https che http devono essere specificati nel valore della chiave NTLMSSOURLs. Ad esempio, è necessario configurare sia che https://your-proxy-server:8080http://your-proxy-server:8080. Attualmente, specificare il formato host:port (ad your-proxy-server:8080esempio ) non è sufficiente.
Inoltre, il simbolo di carattere jolly (*) non è supportato durante la configurazione dei server proxy nei criteri NTLMSSOURLs.
| Chiave | Valore |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera consentire come un unico valore, separato da un carattere barra verticale|. Esempi: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Per ulteriori informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco dei siti consentiti e bloccati. |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Numero di ore per la memorizzazione nella cache delle credenziali; l'impostazione predefinita è 720 ore. |
Configurazione aggiuntiva dell'app per i dispositivi gestiti
I criteri seguenti, originariamente configurabili tramite i criteri di configurazione delle app per le app gestite, sono ora disponibili tramite i criteri di configurazione delle app per dispositivi gestiti. Quando si utilizzano i criteri per le app gestite, gli utenti devono accedere a Microsoft Edge. Quando si utilizzano i criteri per i dispositivi gestiti, agli utenti non viene richiesto di accedere a Edge per applicare i criteri.
Poiché i criteri di configurazione delle app per i dispositivi gestiti richiedono l'iscrizione del dispositivo, è supportata qualsiasi gestione unificata degli endpoint (UEM). Per trovare altri criteri nel canale MDM, vedere Criteri per dispositivi mobili di Microsoft Edge.
| Criteri MAM | Criteri MDM |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Distribuire scenari di configurazione delle app con Microsoft Intune
Se si usa Microsoft Intune come provider di gestione delle app per dispositivi mobili, la procedura seguente consente di creare un criterio di configurazione delle app delle app gestite. Dopo aver creato la configurazione, è possibile assegnare le relative impostazioni a gruppi di utenti.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare App e quindi Criteri di configurazione delle app.
Nel pannello dei Criteri Configurazione app scegliere Aggiungi e selezionare App gestite.
Nella sezione Informazioni di base immettere un Nomee una Descrizione facoltativa per le impostazioni di configurazione dell'app.
Per App pubbliche scegliere Seleziona app pubbliche e quindi nel pannello App di destinazione scegliere Edge per iOS e Android selezionando entrambe le app della piattaforma iOS e Android. Fare clic su Seleziona per salvare le app pubbliche selezionate.
Fare clic su Avanti per completare le impostazioni di base dei criteri di configurazione dell'app.
Nella sezione Impostazioni espandere le Impostazioni di configurazione di Edge.
Per gestire le impostazioni di protezione dei dati, configurare di conseguenza le impostazioni desiderate:
Per il Reindirizzamento del proxy dell'applicazione, scegliere tra le opzioni disponibili: Abilita, Disabilita (impostazione predefinita).
Per URL di collegamento alla homepage, specificare un URL valido che includa il prefisso http:// o https://. Gli URL non corretti vengono bloccati come misura di sicurezza.
Per Segnalibri gestiti specificare il titolo e un URL valido che include il prefisso di http:// o https://.
Per URL consentiti specificare un URL valido (sono consentiti solo questi URL; non è possibile accedere ad altri siti). Per ulteriori informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco dei siti consentiti e bloccati.
Per URL bloccati specificare un URL valido (solo questi URL sono bloccati). Per altre informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco di siti consentiti e bloccati.
Per Reindirizzare i siti con restrizioni al contesto personale, scegliere tra le opzioni disponibili: Abilita (impostazione predefinita), Disabilita.
Nota
Quando nel criterio sono definiti sia URL consentiti che URL bloccati, viene rispettato solo l'elenco consentito.
Se si desidera aggiungere impostazioni di configurazione dell'app non esposte nei criteri precedenti, espandere il nodo Impostazioni di configurazione generale e immettere di conseguenza le coppie di valori chiave.
Al termine della configurazione delle impostazioni, scegliere Avanti.
Nella sezione Assegnazioni scegliere Seleziona gruppi da includere. Selezionare il gruppo Microsoft Entra a cui assegnare il criterio di configurazione dell'applicazione, quindi scegliere Seleziona.
Al termine delle assegnazioni, scegliere Avanti.
Nella pagina Creare un criterio di configurazione dell'app Revisione + Creazione, rivedere le impostazioni configurate e scegliere Crea.
Il criterio di configurazione appena creato viene visualizzato nel pannello di Configurazione delle applicazioni.
Usare Microsoft Edge per iOS e Android per accedere ai registri delle app gestite.
Gli utenti con Microsoft Edge per iOS e Android installato nel dispositivo iOS o Android possono visualizzare lo stato di gestione di tutte le app pubblicate da Microsoft. Possono inviare i log per la risoluzione dei problemi delle applicazioni iOS o Android gestite utilizzando i seguenti passaggi:
Aprire Edge per iOS e Android nel dispositivo.
Digitare
edge://intunehelp/nella casella dell'indirizzo.Edge per iOS e Android avvia la modalità di risoluzione dei problemi.
È possibile recuperare i log dall'assistenza Microsoft fornendo l'ID dell’evento imprevisto dell'utente.
Per un elenco delle impostazioni memorizzate nei registri delle applicazioni, vedere Revisione dei registri di protezione delle applicazioni client.
Registri diagnostici
Oltre a Intune log da edge://intunehelp/, è possibile che supporto tecnico Microsoft richieda di fornire i log di diagnostica di Microsoft Edge per iOS e Android. È possibile caricare i log nel server Microsoft o salvarli in locale e condividerli direttamente con supporto tecnico Microsoft.
Caricare i log nel server Microsoft
Seguire questa procedura per caricare i log nel server Microsoft:
- Riprodurre il problema.
- Aprire il menu di overflow selezionando l'icona hamburger nell'angolo inferiore destro.
- Scorri rapidamente verso sinistra e seleziona Guida e feedback.
- Nella sezione Descrivere ciò che accade specificare i dettagli sul problema in modo che il team di supporto possa identificare i log pertinenti.
- Caricare i log nel server Microsoft selezionando il pulsante nell'angolo in alto a destra.
Salvare i log in locale e condividerli direttamente con supporto tecnico Microsoft
Seguire questa procedura per salvare i log in locale e condividerli:
- Riprodurre il problema.
- Aprire il menu overflow selezionando il menu hamburger nell'angolo in basso a destra.
- Scorri rapidamente verso sinistra e seleziona Guida e feedback.
- Selezionare dati di diagnostica.
- Per Microsoft Edge per iOS, toccare l'icona Condividi nell'angolo in alto a destra. Viene visualizzata la finestra di dialogo di condivisione del sistema operativo che consente di salvare i log in locale o condividerli tramite altre app. Per Microsoft Edge per Android, aprire il sottomenu nell'angolo in alto a destra e selezionare l'opzione per salvare i log. I log vengono salvati nella cartella Download>Edge .
Se si desidera cancellare i log precedenti, selezionare l'icona Cancella in alto a destra quando si selezionano i dati di diagnostica. Riprodurre quindi di nuovo il problema per assicurarsi che vengano acquisiti solo i log aggiornati.
Nota
Il salvataggio dei log rispetta anche i criteri di Protezione app di Intune. Di conseguenza, potrebbe non essere consentito salvare i dati di diagnostica nei dispositivi locali.