Gerencie o Microsoft Edge no iOS e Android com o Intune
O Microsoft Edge para iOS e Android foi concebido para permitir que os utilizadores naveguem na Web e suportem várias identidades. Os usuários podem adicionar uma conta corporativa, bem como uma conta pessoal, para navegação. Há uma separação completa entre as duas identidades, semelhante ao que é oferecido em outros aplicativos móveis da Microsoft.
Esse recurso aplica-se a:
- iOS/iPadOS 14.0 ou posterior
- Android 8.0 ou posterior para dispositivos registrados e Android 9.0 ou posterior para dispositivos não registrados
Observação
O Microsoft Edge para iOS e Android não consome definições definidas pelos utilizadores para o browser nativo nos respetivos dispositivos, uma vez que o Edge para iOS e Android não consegue aceder a estas definições.
As funcionalidades de proteção mais avançadas e abrangentes para os dados do Microsoft 365 estão disponíveis quando subscreve o conjunto de Enterprise Mobility + Security, que inclui Microsoft Intune e Microsoft Entra ID funcionalidades P1 ou P2, como o Acesso Condicional. No mínimo, quer implementar uma política de Acesso Condicional que apenas permita a conectividade ao Edge para iOS e Android a partir de dispositivos móveis e uma política de proteção de aplicações Intune que garanta que a experiência de navegação está protegida.
Observação
Os novos clips Web (aplicações Web afixadas) em dispositivos iOS são abertos no Microsoft Edge para iOS e Android em vez do Intune Managed Browser quando necessário para abrir num browser protegido. Para clips Web iOS mais antigos, tem de voltar a obter estes clips Web para garantir que são abertos no Edge para iOS e Android em vez do Managed Browser.
Criar políticas de proteção de aplicativos do Intune
À medida que as organizações adotam cada vez mais aplicações SaaS e Web, os browsers são ferramentas essenciais para as empresas. Muitas vezes, os utilizadores precisam de aceder a estas aplicações a partir de browsers móveis enquanto estão em viagem. Garantir que os dados acedidos através de browsers móveis estão protegidos contra fugas intencionais ou não intencionais é crucial. Por exemplo, os utilizadores podem partilhar inadvertidamente os dados das organizações com aplicações pessoais, o que leva à fuga de dados ou transferi-los para dispositivos locais, o que também representa um risco.
As organizações podem proteger a fuga de dados quando os utilizadores navegam com o Edge para dispositivos móveis ao configurar políticas de proteção de aplicações (APP), que definem que aplicações são permitidas e as ações que podem efetuar com os dados das suas organizações. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção do ponto final de cliente móvel, a Microsoft introduziu a taxonomia para a sua arquitetura de proteção de dados de APLICAÇÕES para gestão de aplicações móveis iOS e Android.
A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:
- A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
- A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
- A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.
Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.
Independentemente de o dispositivo estar inscrito numa solução de gestão unificada de pontos finais (UEM), é necessário criar uma política de proteção de aplicativo do Intune para aplicativos iOS e Android, usando as etapas em Como criar e atribuir políticas de proteção de aplicativo. Essas políticas, no mínimo, devem atender às seguintes condições:
Incluem todas as aplicações móveis do Microsoft 365, como o Microsoft Edge, Outlook, OneDrive, Office ou Teams, uma vez que isto garante que os utilizadores podem aceder e manipular dados escolares ou profissionais em qualquer aplicação microsoft de forma segura.
Eles são atribuídos a todos os usuários. Isto garante que todos os utilizadores estão protegidos, independentemente de utilizarem o Microsoft Edge para iOS ou Android.
Determine qual nível de estrutura atende aos seus requisitos. A maioria das organizações deve implementar as configurações definidas em Proteção de dados aprimorada empresarial (Nível 2), pois isso permite a proteção de dados e controles de requisitos de acesso.
Observação
Uma das definições relacionadas com browsers é "Restringir a transferência de conteúdos Web com outras aplicações". Em Proteção de dados melhorada para Empresas (Nível 2), o valor desta definição está configurado para o Microsoft Edge. Quando o Outlook e o Microsoft Teams estão protegidos por Políticas de Proteção de Aplicações (APP), essas aplicações abrem ligações no Microsoft Edge, garantindo que as ligações estão seguras e protegidas. Para obter mais informações sobre as configurações disponíveis, consulte Configurações da política de proteção de aplicativos Android e Configurações da política de proteção de aplicativos iOS.
Importante
Para aplicar Intune políticas de proteção de aplicações em aplicações em dispositivos Android que não estão inscritos no Intune, o utilizador também tem de instalar o Portal da Empresa do Intune.
Aplicar Acesso Condicional
Embora seja importante proteger o Microsoft Edge com Políticas de Proteção de Aplicações (APP), também é crucial garantir que o Microsoft Edge é o browser obrigatório para abrir aplicações empresariais. De outra forma, os utilizadores poderão utilizar outros browsers desprotegidos para aceder a aplicações empresariais, o que pode levar a fugas de dados.
As organizações podem utilizar Microsoft Entra políticas de Acesso Condicional para garantir que os utilizadores só podem aceder a conteúdos escolares ou profissionais com o Microsoft Edge para iOS e Android. Para tal, precisa de uma política de Acesso Condicional destinada a todos os potenciais utilizadores. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.
Siga os passos em Exigir aplicações cliente aprovadas ou política de proteção de aplicações com dispositivos móveis, o que permite o Microsoft Edge para iOS e Android, mas impede que outros browsers de dispositivos móveis se liguem aos pontos finais do Microsoft 365.
Observação
Esta política garante que os utilizadores móveis podem aceder a todos os pontos finais do Microsoft 365 a partir do Microsoft Edge para iOS e Android. Essa política também impede que os usuários usem o InPrivate para acessar pontos de extremidade do Microsoft 365.
Com o Acesso Condicional, você também pode direcionar sites locais que você expôs a usuários externos por meio do Proxy de Aplicativo do Microsoft Entra.
Observação
Para utilizar políticas de Acesso Condicional com base na aplicação, a aplicação Microsoft Authenticator tem de ser instalada em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso Condicional baseado em aplicativo com Intune.
Logon único em aplicativos Web conectados ao Microsoft Entra em navegadores protegidos por políticas
O Microsoft Edge para iOS e Android pode tirar partido do início de sessão único (SSO) para todas as aplicações Web (SaaS e no local) que estão ligadas Microsoft Entra. O SSO permite que os utilizadores acedam a aplicações Web ligadas Microsoft Entra através do Edge para iOS e Android, sem terem de voltar a introduzir as respetivas credenciais.
O SSO exige que seu dispositivo seja registrado pelo aplicativo Microsoft Authenticator para dispositivos iOS ou pelo Portal da Empresa do Intune no Android. Quando os usuários têm um desses, são solicitados a registar o seu dispositivo quando acessam um aplicativo Web conectado ao Microsoft Entra em um navegador protegido por política (isso só é válido se o dispositivo ainda não estiver registado). Depois que o dispositivo for registrado na conta do usuário gerenciada pelo Intune, essa conta terá o SSO habilitado para aplicativos Web conectados ao Microsoft Entra.
Observação
O registo do dispositivo é um simples check-in no serviço do Microsoft Entra. Ele não exige o registro completo do dispositivo e não concede à TI quaisquer privilégios adicionais no dispositivo.
Use a configuração do aplicativo para gerenciar a experiência de navegação
O Microsoft Edge para iOS e Android suporta definições de aplicações que permitem que a gestão unificada de pontos finais, como Microsoft Intune, os administradores personalizem o comportamento da aplicação.
A configuração do aplicativo pode ser fornecida por meio do canal do sistema operacional de gerenciamento de dispositivos móveis (MDM) nos dispositivos registrados (canal Configuração de Aplicativo Gerenciado para iOS ou canal Android no Enterprise para Android) ou por meio de o canal MAM (Gerenciamento de Aplicativos Móveis). O Edge para iOS e Android oferece suporte aos seguintes cenários de configuração:
- Permitir apenas contas corporativas ou de estudante
- Configurações gerais do aplicativo
- Configurações de proteção de dados
- Configuração adicional de aplicativos para dispositivos gerenciados
Importante
Para cenários de configuração que exijam a inscrição de dispositivos no Android, os dispositivos têm de estar inscritos no Android Enterprise e o Microsoft Edge para Android tem de ser implementado através da Loja Managed Google Play. Para obter mais informações, consulte Configurar a inscrição de dispositivos com perfil de trabalho pessoal do Android Enterprise e Adicionar políticas de configuração de aplicações para dispositivos Android Enterprise geridos.
Cada cenário de configuração destaca seus requisitos específicos. Por exemplo, se o cenário de configuração requer o registro do dispositivo e, portanto, funciona com qualquer provedor de UEM ou requer Políticas de Proteção de Aplicativos do Intune.
Importante
As chaves de configuração do aplicativo diferenciam maiúsculas de minúsculas. Use as maiúsculas e minúsculas adequadas para garantir que a configuração entre em vigor.
Observação
Com o Microsoft Intune, a configuração do aplicativo fornecida por meio do canal do sistema operacional MDM é chamada de Política de Configuração de Aplicativo (ACP) de Dispositivos Gerenciados; a configuração do aplicativo fornecida por meio do canal MAM (Gerenciamento de Aplicativo Móvel) é chamada de Política de Configuração de Aplicativos de Aplicativos Gerenciados.
Permitir apenas contas corporativas ou de estudante
Respeitar as políticas de segurança e conformidade de dados dos nossos maiores e altamente regulamentados clientes é um pilar fundamental do valor do Microsoft 365. Algumas empresas têm o requisito de capturar todas as informações de comunicações no seu ambiente empresarial, bem como garantir que os dispositivos são utilizados apenas para comunicações empresariais. Para suportar estes requisitos, o Microsoft Edge para iOS e Android em dispositivos inscritos só pode ser configurado para permitir que uma única conta empresarial seja aprovisionada na aplicação.
Você pode saber mais sobre como configurar o modo de contas permitidas pela organização aqui:
Esse cenário de configuração funciona apenas com dispositivos registrados. No entanto, qualquer provedor UEM é compatível. Se não estiver a utilizar Microsoft Intune, terá de consultar a documentação do UEM sobre como implementar estas chaves de configuração.
Cenários gerais de configuração de aplicativos
O Microsoft Edge para iOS e Android oferece aos administradores a capacidade de personalizar a configuração predefinida para várias definições na aplicação. Esse recurso é oferecido quando o Edge para iOS e Android tem uma Política de Configuração de Aplicativo de aplicativos gerenciados aplicada à conta corporativa ou de estudante que está conectada ao aplicativo.
O Microsoft Edge suporta as seguintes definições de configuração:
- Novas experiências de Página de Guia
- Experiências de indicador
- Experiências de comportamento de aplicativos
- Experiências no modo quiosque
Essas configurações podem ser implantadas no aplicativo independentemente do status de registro do dispositivo.
Layout da página de nova guia
O esquema inspirador é o predefinido para a nova página de separador. Mostra atalhos de site superior, padrão de fundo e feed de notícias. Os usuários podem alterar o layout de acordo com as suas preferências. As organizações também podem gerenciar as configurações de layout.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
focused Focado está selecionado inspirador (Predefinição) Inspirador está selecionado informativo A opção Informativa está selecionada personalizado Personalizado está selecionado, o botão de alternar de atalhos do site superior está ativado, o botão de alternar de padrão de fundo está ativado e o botão de alternar do feed de notícias está ativado |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
topsites Ativa os atalhos de sites principais wallpaper Ativa papel de parede newsfeed Ativa o news feed Para que esta política entre em vigor, com.microsoft.intune.mam.managedbrowser.NewTabPageLayout deve ser definido como custom. O valor padrão é topsites|wallpaper|newsfeed|. |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
true (padrão) os usuários podem alterar as configurações de layout da página falso Os utilizadores não podem alterar as definições de esquema de página. O esquema de página é determinado pelos valores especificados através da política ou são utilizados valores predefinidos |
Importante
A política NewTabPageLayout se destina a definir o layout inicial. Os usuários podem alterar as configurações de layout da página com base na respetiva referência. Por conseguinte, a política NewTabPageLayout só entra em vigor se os utilizadores não alterarem as definições de esquema. Você pode impor a política NewTabPageLayout ao configurar UserSelectable=false.
Observação
A partir da versão 129.0.2792.84, o esquema de página predefinido é alterado para inspirador.
Um exemplo de desativar news feeds
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
Novas experiências de Página de Guia
O Microsoft Edge para iOS e Android oferece às organizações várias opções para ajustar a experiência Nova Página de Separador, incluindo o logótipo da organização, a cor da marca, a home page, os sites principais e as notícias da indústria.
Logotipo da organização e cor da marca
O logótipo da organização e as definições de cor da marca permitem-lhe personalizar a Nova Página de Separador do Microsoft Edge em dispositivos iOS e Android. O logótipo de Faixa é utilizado como logótipo da sua organização e a Cor de fundo da página é utilizada como a cor da marca da sua organização. Para obter mais informações, veja Configurar a imagem corporativa da sua empresa.
Em seguida, utilize os seguintes pares chave/valor para extrair a imagem corporativa da sua organização para o Microsoft Edge para iOS e Android:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true mostra o logotipo da marca da organização false (padrão) não exporá um logotipo |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true mostra a cor da marca da organização false (padrão) não exporá uma cor |
Atalho da página inicial
Esta definição permite-lhe configurar um atalho de home page para o Microsoft Edge para iOS e Android na Nova Página de Separador. O atalho da página inicial que você configura aparece como o primeiro ícone abaixo da barra de pesquisa quando o usuário abre uma nova guia no Edge para iOS e Android. O usuário não pode editar ou excluir este atalho no contexto gerenciado. O atalho da página inicial exibe o nome da sua organização para distingui-la.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage Este nome de política foi substituído pela IU do URL de atalho da Home page nas definições de Configuração do Edge |
Especifique um URL válido. URLs incorretas são bloqueadas como medida de segurança. Por exemplo: https://www.bing.com |
Vários atalhos de sites principais
De forma semelhante à configuração de um atalho de home page, pode configurar vários atalhos de site superiores em Novas Páginas de Separador no Microsoft Edge para iOS e Android. O usuário não pode editar ou excluir esses atalhos em um contexto gerenciado. Nota: pode configurar um total de oito atalhos, incluindo um atalho de home page. Se tiver configurado um atalho de home page, esse atalho substitui o primeiro site superior configurado.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | Especifique o conjunto de URLs de valor. Cada atalho principal do site consiste em um título e um URL. Separe o título e a URL com o caractere |. Por exemplo: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Notícias do setor
Pode configurar a nova experiência de Página de Separador no Microsoft Edge para iOS e Android para apresentar notícias da indústria relevantes para a sua organização. Quando você habilita esse recurso, o Edge para iOS e Android usa o nome de domínio da sua organização para agregar notícias da Web sobre sua organização, o setor da organização e os concorrentes, para que seus usuários possam encontrar notícias externas relevantes, todas nas novas páginas centralizadas do Edge para iOS e Android. As Notícias do Setor estão desativadas por padrão.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true mostra Notícias do Setor na Página Nova Guia false (padrão) oculta Notícias do Setor na Página Nova Guia |
Página inicial em vez da experiência da Página Nova Guia
O Microsoft Edge para iOS e Android permite que as organizações desativem a experiência Nova Página de Separador e, em vez disso, tenham um web site iniciado quando o utilizador abre um novo separador. Embora este seja um cenário suportado, a Microsoft recomenda que as organizações tirem partido da experiência Nova Página de Separador para fornecer conteúdo dinâmico que seja relevante para o utilizador.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Especifique um URL válido. Se nenhuma URL for especificada, o aplicativo usará a experiência da Página Nova Guia. URLs incorretas são bloqueadas como medida de segurança. Por exemplo: https://www.bing.com |
Experiências de indicador
O Microsoft Edge para iOS e Android oferece às organizações várias opções para gerir marcadores.
Favoritos gerenciados
Para facilitar o acesso, pode configurar marcadores que pretende que os seus utilizadores tenham disponíveis quando estiverem a utilizar o Microsoft Edge para iOS e Android.
- Os favoritos aparecem apenas na conta corporativa ou de estudante e não são expostos a contas pessoais.
- Os favoritos não podem ser excluídos ou modificados pelos usuários.
- Os favoritos aparecem no topo da lista. Todos os favoritos criados pelos usuários aparecem abaixo desses favoritos.
- Se você tiver habilitado o redirecionamento do Proxy de Aplicativo, poderá adicionar aplicativos Web do Proxy de Aplicativo usando sua URL interna ou externa.
- Os favoritos são criados em uma pasta com o nome da organização definida no Microsoft Entra ID.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks Este nome de política foi substituído pela IU dos marcadores geridos nas definições de Configuração do Edge |
O valor para esta configuração é uma lista de favoritos. Cada favorito consiste no título e na URL do favorito. Separe o título e a URL com o caractere |.Por exemplo: Microsoft Bing|https://www.bing.comPara configurar vários favoritos, separe cada par com o caractere duplo ||.Por exemplo: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
Favorito de Meus Aplicativos
Por predefinição, os utilizadores têm o marcador Meus Aplicativos configurado na pasta da organização no Microsoft Edge para iOS e Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps |
true (predefinição) mostra Meus Aplicativos nos marcadores do Microsoft Edge para iOS e Android false oculta Meus Aplicativos no Edge para iOS e Android |
Experiências de comportamento de aplicativos
O Microsoft Edge para iOS e Android oferece às organizações várias opções para gerir o comportamento da aplicação.
Logon único com senha do Microsoft Entra
A funcionalidade de SSO (logon único) com senha do Microsoft Entra oferecida pelo Microsoft Entra ID traz o gerenciamento de acesso do usuário a aplicativos Web que não dão suporte à federação de identidade. Por predefinição, o Microsoft Edge para iOS e Android não executa o SSO com as credenciais Microsoft Entra. Para obter mais informações, consulte Adicionar logon único baseado em senha a um aplicativo.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true o SSO com Senha do Microsoft Entra está habilitado false (padrão) o SSO com Senha do Microsoft Entra está desabilitado |
Manipulador de protocolo padrão
Por predefinição, o Microsoft Edge para iOS e Android utiliza o processador de protocolos HTTPS quando o utilizador não especifica o protocolo no URL. Geralmente, isso é considerado uma prática recomendada, mas pode ser desativado.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (padrão) o manipulador de protocolo padrão é HTTPS false manipulador de protocolo padrão é HTTP |
Desabilitar dados de diagnóstico opcionais
Por padrão, os usuários podem optar por enviar dados de diagnóstico opcionais em Configurações->Privacidade e segurança->Dados de diagnóstico->Configuração opcional de dados de diagnóstico. As organizações podem desabilitar essa configuração.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true A configuração opcional de dados de diagnóstico está desabilitada false (padrão) A opção pode ser habilitada ou desabilitada pelos usuários |
Observação
A configuração Dados de diagnóstico opcionais também é solicitada aos usuários durante a FRE (Primeira Experiência de Execução). As organizações podem pular essa etapa usando a política MDM EdgeDisableShareUsageData
Desabilitar recursos específicos
O Microsoft Edge para iOS e Android permite que as organizações desativem determinadas funcionalidades ativadas por predefinição. Para desabilitar esses recursos, defina a seguinte configuração:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password desabilita prompts que oferecem salvar senhas para o usuário final inprivate desabilita a navegação InPrivate autofill desabilita "Salvar e Preencher Endereços" e "Salvar e Preencher Informações de Pagamento". O preenchimento automático será desabilitado mesmo para informações salvas anteriormente translator desabilita o tradutor readaloud desabilita o ler em voz alta drop desabilita a remoção coupons desabilita cupons as extensões desativam as extensões (apenas no Edge para Android) developertools esmaece os números da versão de build para impedir que os usuários acessem as opções do Desenvolvedor (Edge somente para Android) UIRAlert suprimir novamente os pop-ups da conta no novo ecrã da página de separador partilhar desativa Partilhar no menu sendtodevices desativa Enviar para dispositivos no menu meteorologia desativa a meteorologia no NTP (Nova Página de Separador) webinspector desativa a definição do Inspetor Web (apenas edge para iOS) Para desabilitar vários recursos, separe os valores com |. Por exemplo, inprivate|password desabilita o armazenamento InPrivate e de senha. |
Desabilitar recurso de importação de senhas
O Microsoft Edge para iOS e Android permite que os utilizadores importem palavras-passe do Gestor de Palavras-passe. Para desabilitar a importação de senhas, defina a seguinte configuração:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true Desabilitar senhas de importação false (padrão) Permitir importação de senhas |
Observação
No Gestor de Palavras-passe do Microsoft Edge para iOS, existe um botão Adicionar . Quando a funcionalidade importar palavras-passe está desativada, o botão Adicionar também está desativado.
Controlar o Modo de Cookie
Pode controlar se os sites podem armazenar cookies para os seus utilizadores no Microsoft Edge para Android. Para fazer isso, defina a seguinte configuração:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (padrão) permitir cookies 1 bloquear cookies que não sejam da Microsoft 2 bloquear cookies que não sejam da Microsoft no modo InPrivate 3 bloquear todos os cookies |
Observação
O Microsoft Edge para iOS não suporta o controlo de cookies.
Experiências no modo quiosque em dispositivos Android
O Microsoft Edge para Android pode ser ativado como uma aplicação de quiosque com as seguintes definições:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true habilita o modo quiosque para Edge para Android false (padrão) desabilita o modo quiosque |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true mostra a barra de endereço no modo quiosque false (padrão) oculta a barra de endereço quando o modo quiosque está habilitado |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true mostra a barra de ação inferior no modo quiosque false (padrão) oculta a barra inferior quando o modo quiosque está habilitado |
Observação
O modo de local público não é suportado em dispositivos iOS. No entanto, poderá querer utilizar o Modo de Vista Bloqueada (apenas política MDM) para obter uma experiência de utilizador semelhante, em que os utilizadores não conseguem navegar para outros sites, uma vez que a barra de endereço do URL se torna só de leitura no Modo de Vista Bloqueada.
Modo de visualização bloqueada
O Microsoft Edge para iOS e Android pode ser ativado como modo de vista bloqueada com a política de MDM EdgeLockedViewModeEnabled.
| Chave | Valor |
|---|---|
| EdgeLockedViewModeEnabled |
false (padrão) o modo de visualização bloqueada está desabilitado true o modo de visualização bloqueada está habilitado |
Ele permite que as organizações restrinjam várias funcionalidades do navegador, proporcionando uma experiência de navegação controlada e focada.
- A barra de endereço URL torna-se somente leitura, impedindo que os usuários façam alterações ao endereço web
- Os utilizadores não têm permissão para criar novos separadores
- O recurso de pesquisa contextual em páginas da Web está desabilitado
- Os seguintes botões no menu de texto excedente estão desabilitados
| Botões | Estado |
|---|---|
| Nova guia InPrivate | Desabilitado |
| Enviar para dispositivos | Desabilitado |
| Soltar | Desabilitado |
| Adicionar ao telefone (Android) | Desabilitado |
| Baixar página (Android) | Desabilitado |
O modo de vista bloqueada é frequentemente utilizado em conjunto com a política de MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL ou a política de MDM EdgeNewTabPageCustomURL, que permite às organizações configurar uma página Web específica que é iniciada automaticamente quando o Microsoft Edge é aberto. Os utilizadores estão restritos a esta página Web e não podem navegar para outros sites, fornecendo um ambiente controlado para tarefas específicas ou consumo de conteúdo.
Observação
Por predefinição, os utilizadores não têm permissão para criar novos separadores no modo de vista bloqueada. Para permitir a criação de guias, defina a política de MDM EdgeLockedViewModeAllowedActions como newtabs.
Alternar pilha de rede entre Chromium e iOS
Por predefinição, o Microsoft Edge para iOS e Android utiliza a pilha de rede Chromium para comunicação do serviço Microsoft Edge, incluindo serviços de sincronização, sugestões de pesquisa automática e envio de comentários. O Microsoft Edge para iOS também fornece a pilha de rede do iOS como uma opção configurável para comunicação de serviço do Microsoft Edge.
As organizações podem modificar suas preferências de pilha de rede definindo a configuração a seguir.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (padrão) use a pilha de rede do Chromium 1 use a pilha de rede do iOS |
Observação
É recomendado usar a pilha de rede do Chromium. Se você tiver problemas de sincronização ou falha ao enviar comentários com a pilha de rede do Chromium, por exemplo, com determinadas soluções VPN por aplicativo, usar a pilha de rede do iOS pode resolver os problemas.
Definir uma URL de arquivo proxy .pac
As organizações podem especificar uma URL para um arquivo PAC (configuração automática de proxy) do Microsoft Edge para iOS e Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | Especifique uma URL válida para um arquivo proxy .pac. Por exemplo: https://internal.site/example.pac |
Suporte para falha na abertura do PAC
Por padrão, o Microsoft Edge para iOS e Android bloqueará o acesso à rede com script PAC inválido ou indisponível. No entanto, as organizações podem modificar o comportamento padrão para falha ao abrir o PAC.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (padrão) Bloquear acesso à rede true Permitir acesso à rede |
Configurar retransmissões de rede
O Microsoft Edge para iOS suporta agora reencaminhamentos de rede no iOS 17. Trata-se de um tipo especial de proxy que pode ser usado para soluções de acesso remoto e privacidade. Eles dão suportam ao túnel seguro e transparente do tráfego, servindo como uma alternativa moderna às VPNs ao acessar recursos internos. Para obter mais informações sobre retransmissões de rede, consulte Usar retransmissões de rede em dispositivos Apple.
As organizações podem configurar URLs de proxy de retransmissão para rotear o tráfego com base em domínios correspondentes e excluídos.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | Especifique uma URL válida para um arquivo json de configuração de retransmissão. Por exemplo: https://yourserver/relay_config.json |
Um exemplo de arquivo json para retransmissões de rede
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
Proxy para os utilizadores iniciarem sessão no Microsoft Edge no Android
Normalmente, uma Configuração Automática de Proxy (PAC) é configurada no perfil de VPN. No entanto, devido à limitação da plataforma, o PAC não pode ser reconhecido pelo Android WebView, que é utilizado durante o processo de início de sessão do Microsoft Edge. Os utilizadores poderão não conseguir iniciar sessão no Edge no Android.
As organizações podem especificar o proxy dedicado através da política de MDM para os utilizadores iniciarem sessão no Microsoft Edge no Android.
| Chave | Valor |
|---|---|
| EdgeOneAuthProxy | O valor correspondente é uma cadeia de caracteres Exemplo http://MyProxy.com:8080 |
Armazenamento de dados do site iOS
O arquivo de dados do site no Microsoft Edge para iOS é essencial para gerir cookies, caches de disco e memória e vários tipos de dados. No entanto, existe apenas um arquivo de dados de sites persistente no Microsoft Edge para iOS. Por predefinição, este arquivo de dados é utilizado exclusivamente por contas pessoais, o que leva a uma limitação em que as contas escolares ou profissionais não podem utilizá-lo. Consequentemente, os dados de navegação, excluindo cookies, são perdidos após cada sessão para contas corporativas ou de escola. Para melhorar a experiência do usuário, as organizações podem configurar o repositório de dados do site para uso por contas corporativas ou de escola, garantindo a persistência dos dados de navegação.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 o repositório de dados do site é sempre usado apenas pela conta pessoal 1 O arquivo de dados do site é utilizado pela primeira conta com sessão iniciada 2 (Predefinição) O arquivo de dados do site é utilizado por conta escolar ou profissional, independentemente da ordem de início de sessão |
Observação
Com o lançamento do iOS 17, vários repositórios persistentes agora são agora suportados. A conta corporativa e pessoal tem o seu próprio repositório persistente designado. Portanto, essa política não é mais válida da versão 122.
Microsoft Defender SmartScreen
O Microsoft Defender SmartScreen é um recurso que ajuda os usuários a evitar sites e downloads maliciosos. Está ativado por predefinição. As organizações podem desabilitar essa configuração.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (padrão) O Microsoft Defender SmartScreen está habilitado. false O Microsoft Defender SmartScreen está desabilitado. |
Verificação de certificado
Por padrão, o Microsoft Edge para Android verifica os certificados do servidor usando o verificador de certificado integrado e o Microsoft Root Store como fonte de confiança pública. As organizações podem alternar para o verificador de certificado do sistema e para certificados raiz do sistema.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
true (padrão) use o verificador de certificado integrado e o Microsoft Root Store para verificar certificados false use o verificador de certificado do sistema e os certificados raiz do sistema como fonte de confiança pública para verificar certificados |
Observação
Um caso de uso para esta política é que você precisa usar o verificador de certificado do sistema e os certificados raiz do sistema ao usar o Microsoft MAM Tunnel no Edge para Android.
Controle de página de aviso SSL
Por predefinição, os utilizadores podem clicar em páginas de aviso que mostram quando os utilizadores navegam para sites com erros de SSL. As organizações podem gerenciar o comportamento.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
true (padrão) permitir que os usuários cliquem nas páginas de aviso SSL false impedir que os usuários cliquem nas páginas de aviso SSL |
Configurações de janelas pop-up
Por predefinição, os pop-ups estão bloqueados. As organizações podem gerenciar o comportamento.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 Permitir que todos os sites mostrem janelas pop-up 2 (Predefinição) Não permitir que nenhum site mostre pop-ups |
Permitir janelas pop-up em sites específicos
Se esta política não estiver configurada, o valor da política DefaultPopupsSetting (se definido) ou a configuração pessoal do utilizador é utilizado para todos os sites. As organizações podem definir uma lista de sites que podem abrir pop-up.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja bloquear como um único valor, separados por uma barra vertical |. Exemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Para obter mais informações sobre o formato de URLs, veja Formato de padrão de URL de política empresarial.
Bloquear janelas pop-up em sites específicos
Se esta política não estiver configurada, o valor da política DefaultPopupsSetting (se definido) ou a configuração pessoal do utilizador é utilizado para todos os sites. As organizações podem definir uma lista de sites que estão impedidos de abrir janelas pop-up.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja bloquear como um único valor, separados por uma barra vertical |. Exemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
Para obter mais informações sobre o formato de URLs, veja Formato de padrão de URL de política empresarial.
Provedor de pesquisa padrão
Por predefinição, o Microsoft Edge utiliza o fornecedor de pesquisa predefinido para efetuar uma pesquisa quando os utilizadores introduzem textos não URL na barra de endereço. Os usuários podem alterar a lista de provedores de pesquisa. As organizações podem gerenciar o comportamento do provedor de pesquisa.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
true Habilitar o provedor de pesquisa padrão false Desabilitar o provedor de pesquisa padrão |
Configurar o provedor de pesquisa
As organizações podem configurar um provedor de pesquisa para os usuários. Para configurar um fornecedor de pesquisa, DefaultSearchProviderEnabled tem de ser configurado.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | O valor correspondente é uma cadeia de caracteres Exemplo My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | O valor correspondente é uma cadeia de caracteres Exemplo https://search.my.company/search?q={searchTerms} |
Copilot
Observação
A partir da versão 128, o Copilot para contas escolares ou profissionais foi preterido. Por conseguinte, as seguintes políticas deixarão de ser válidas na versão 128. Se quiser bloquear o acesso à versão Web do Copilot, copilot.microsoft.com, pode utilizar a política AllowListURLs ou BlockListURLs.
O Copilot está disponível no Microsoft Edge para iOS e Android. Os usuários podem iniciar o Copilot clicando no botão Copilot na barra inferior.
Existem três definições em Configurações->Geral->Copilot.
- Mostrar Copilot – controla se deseja mostrar o botão do Bing na barra inferior
- Permitir o acesso a qualquer página da Web ou PDF – controla se deseja permitir que o Copilot acessa o conteúdo da página ou PDF
- Acesso rápido na seleção de texto – controla se deseja mostrar o painel de chat rápido quando o texto em uma página da Web for selecionado
Você pode gerenciar as configurações do Copilot.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat |
true (padrão) os usuários podem ver o botão Copilot na barra inferior. A definição Mostrar Copilot está ativada por padrão e pode ser desativada pelos usuários falso Os utilizadores não conseguem ver o botão Copilot na barra inferior. A definição Mostrar Copilot está desativada e não pode ser ativada pelos utilizadores |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext |
true (padrão) Permitir o acesso a qualquer página da Web ou PDF e o Acesso rápido na seleção de texto pode ser ativado pelos usuários falsoPermitir acesso a qualquer página Web ou PDF e Acesso rápido na seleção de texto será desativado e não pode ser ativado pelos utilizadores |
Cenários de configuração de aplicativos de proteção de dados
O Microsoft Edge para iOS e Android suporta políticas de configuração de aplicações para as seguintes definições de proteção de dados quando a aplicação é gerida por Microsoft Intune com aplicações geridas Configuração de Aplicativos Política aplicada à conta escolar ou profissional que tem sessão iniciada na aplicação:
- Gerenciar sincronização de conta
- Gerenciar sites restritos
- Gerenciar configuração de proxy
- Gerenciar sites de logon único do NTLM
Essas configurações podem ser implantadas no aplicativo independentemente do status de registro do dispositivo.
Gerenciar sincronização de conta
Por padrão, a sincronização do Microsoft Edge permite que os usuários acessem seus dados de navegação em todos os dispositivos conectados. Os dados compatíveis com a sincronização incluem:
- Favoritos
- Senhas
- Endereços e muito mais (entrada de formulário de preenchimento automático)
A funcionalidade de sincronização é habilitada através do consentimento do usuário e os usuários podem ativar ou desativar a sincronização para cada um dos tipos de dados listados acima. Para obter mais informações, consulte Microsoft Edge Sync.
As organizações têm a capacidade de desabilitar a sincronização do Edge no iOS e no Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true desabilita a sincronização do Edge false (padrão) permite sincronização do Edge |
Gerenciar sites restritos
As organizações podem definir a que sites os utilizadores podem aceder no contexto da conta escolar ou profissional no Microsoft Edge para iOS e Android. Se você usar uma lista de permissões, seus usuários só poderão acessar os sites listados explicitamente. Se você usar uma lista de bloqueados, os usuários poderão acessar todos os sites, exceto aqueles explicitamente bloqueados. Você deve impor apenas uma lista de permitidos ou de bloqueados, não ambas. Se você impor ambos, somente a lista permitida será respeitada.
As organizações também definem o que acontece quando um usuário tenta navegar para um site restrito. Por padrão, as transições são permitidas. Se a organização o permitir, os sites restritos podem ser abertos no contexto conta pessoal, no contexto InPrivate da conta Microsoft Entra ou se o site está totalmente bloqueado. Para obter mais informações sobre os vários cenários suportados, consulte Transições restritas de sites no Microsoft Edge para dispositivos móveis. Ao permitir experiências de transição, os usuários da organização permanecem protegidos, ao mesmo tempo que mantêm os recursos corporativos seguros.
Para melhorar a experiência de mudança de perfil ao reduzir a necessidade de os utilizadores mudarem manualmente para perfis pessoais ou modo InPrivate para abrir URLs bloqueados, introduzimos duas novas políticas:
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlockcom.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
Uma vez que estas políticas trazem resultados diferentes com base nas respetivas configurações e combinações, recomendamos que experimente as seguintes sugestões de política para uma avaliação rápida para ver se a experiência de mudança de perfil se alinha bem com as necessidades da sua organização antes de explorar a documentação detalhada. As definições de configuração de mudança de perfil sugeridas incluem os seguintes valores:
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=truecom.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=truecom.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
Observação
O Microsoft Edge para iOS e Android só pode bloquear o acesso a sites quando são acedidos diretamente. Não bloqueia o acesso quando os usuários utilizam serviços intermediários (como um serviço de tradução) para acessar o site. Os URLs que começam com o Edge, como Edge://*, Edge://flagse Edge://net-export, não são suportados na política de configuração de aplicações AllowListURLs ou BlockListURLs para aplicações geridas. Pode desativar estes URLs com com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.
Se os seus dispositivos forem geridos, também pode utilizar o URL da política de configuração da aplicaçãoAllowList ou o URLBlocklist para dispositivos geridos. Para obter informações relacionadas, consulte Políticas para dispositivo móvel do Microsoft Edge.
Utilize os seguintes pares chave/valor para configurar uma lista de sites permitidos ou bloqueados para o Microsoft Edge para iOS e Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs Este nome de política foi substituído pela IU dos URLs Permitidos nas definições de Configuração do Edge |
O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja permitir como um único valor, separadas por uma barra vertical |. Exemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs Este nome de política foi substituído pela IU de URLs Bloqueados nas definições de Configuração do Edge |
O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja bloquear como um único valor, separados por uma barra vertical |. Exemplos: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock Este nome de política foi substituído pela IU de Redirecionar sites restritos para contexto pessoal nas definições de Configuração do Edge |
true (padrão) permite que o Edge para iOS e Android faça a transição de sites restritos. Quando as contas pessoais não estão desabilitadas, os usuários são solicitados a alternar para o contexto pessoal para abrir o site restrito ou a adicionar uma conta pessoal. Se com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked for definido como true, os usuários poderão abrir o site restrito no contexto InPrivate. false impede que o Edge para iOS e Android faça a transição de usuários. É apresentada aos utilizadores uma mensagem a indicar que o site ao qual estão a tentar aceder está bloqueado. |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked |
true permite que sites restritos sejam abertos no contexto InPrivate da conta do Microsoft Entra. Se a conta do Microsoft Entra for a única conta configurada no Edge para iOS e Android, o site restrito é aberto automaticamente no contexto InPrivate. Se o usuário tiver uma conta pessoal configurada, ele será solicitado a escolher entre abrir o InPrivate ou alternar para a conta pessoal. false (padrão) exige que o site restrito seja aberto na conta pessoal do usuário. Se as contas pessoais estiverem desabilitadas, o site será bloqueado. Para que esta configuração entre em vigor, com.microsoft.intune.mam.ownedbrowser.AllowTransitionOnBlock deve ser definido como true. |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | Introduza o número de segundos em que os utilizadores veem a notificação de snack-bar "O acesso a este site está bloqueado pela sua organização. Abrimo-lo no modo InPrivate para que possa aceder ao site." Por predefinição, a notificação do snack-bar é apresentada durante 7 segundos. |
Os seguintes sites, exceto copilot.microsoft.com, são sempre permitidos, independentemente das definições definidas da lista de permissões ou da lista de bloqueios:
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
Controlar o comportamento do Site bloqueou pop-up
Ao tentar aceder a sites bloqueados, é pedido aos utilizadores que utilizem a opção Mudar para InPrivate ou conta pessoal para abrir os sites bloqueados. Você pode escolher preferências entre a conta pessoal e InPrivate.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (padrão) mostrar sempre a janela pop-up para o usuário escolher. 1: Mude automaticamente para conta pessoal quando conta pessoal tiver sessão iniciada. Se conta pessoal não tiver sessão iniciada, o comportamento é alterado para o valor 2. 2: alterne automaticamente para InPrivate se a alternância InPrivate for permitida por com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true. |
Controlar o comportamento do pedido pós-pedido quando a conta mudar
Ao tentar aceder a sites bloqueados, é pedido aos utilizadores que utilizem a opção Mudar para InPrivate ou conta pessoal para abrir os sites bloqueados. Pode escolher preferências sobre como processar o pedido pós-pedido durante o comutador de conta. A política de MAM destina-se apenas ao iOS.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.IgnorePostRequestOnAutoTransition |
false: (Predefinição) Continue o pedido pós-pedido quando o URL bloquear mudar para o modo privado ou conta pessoal. true: ignore o pedido pós-pedido quando o URL bloqueado mudar para o modo privado ou conta pessoal e mostre a mensagem bloqueada. |
Controlar o comportamento de mudar o perfil pessoal para o perfil de trabalho
Quando o Microsoft Edge está no perfil pessoal e os utilizadores estão a tentar abrir uma ligação do Outlook ou do Microsoft Teams que estão no perfil de trabalho, Intune por predefinição utiliza o perfil de trabalho do Edge para abrir a ligação, porque o Microsoft Edge, o Outlook e o Microsoft Teams são geridos por Intune. No entanto, quando a ligação é bloqueada, o utilizador é mudado para um perfil pessoal. Isto causa uma experiência de fricção para os utilizadores.
Pode configurar uma política para melhorar a experiência dos utilizadores. Esta política é recomendada para ser utilizada em conjunto com AutoTransitionModeOnBlock, uma vez que pode mudar os utilizadores para o perfil pessoal de acordo com o valor da política que configurou.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (Predefinição) Mude para o perfil de trabalho, mesmo que o URL esteja bloqueado pela política do Edge. 2: Os URLs bloqueados são abertos no perfil pessoal se o perfil pessoal tiver sessão iniciada. Se um perfil pessoal não tiver sessão iniciada, o URL bloqueado é aberto no modo InPrivate. |
Gerir Bloqueio de Sub-Recursos
Por predefinição, allowListURLs e BlockListURLs aplicam-se apenas ao nível de navegação. Quando incorpora URLs bloqueados (URLs configurados em BlockListURLs ou URLs não configurados em AllowListURLs) como sub-recursos numa página Web, esses URLs de sub-recursos não são bloqueados.
Para restringir ainda mais estes sub-recursos, pode configurar uma política para bloquear os URLs dos sub-recursos.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ManageRestrictedSubresourceEnabled |
false: (Predefinição) Os URLs de sub-recursos não são bloqueados mesmo que os URLs do sub-recurso estejam bloqueados. true: os URLs de sub-recursos são bloqueados se estiverem listados como bloqueados. |
Observação
Recomendamos que utilize esta política em conjunto com BlockListURLs. Se utilizado com AllowListURLs, certifique-se de que todos os URLs de sub-recursos estão incluídos nos AllowListURLs. Caso contrário, alguns subproducionamentos podem falhar ao carregar
Formatos de URL para lista de sites permitidos e bloqueados
Você pode usar vários formatos de URL para criar suas listas de sites permitidos/bloqueados. Esses padrões permitidos são detalhados na tabela a seguir.
Certifique-se de prefixar todos as URLs com http:// ou https:// ao inseri-las na lista.
Você pode usar o símbolo curinga (*) de acordo com as regras da lista de padrões permitidos a seguir.
Um caráter universal só pode corresponder a uma parte (por exemplo,
news-contoso.com) ou a todo o componente do nome do anfitrião (por exemplo,host.contoso.com) ou partes inteiras do caminho quando separados por barras (www.contoso.com/images).Você pode especificar números de porta no endereço. Se não especificar um número de porta, os valores utilizados são:
- Porta 80 para http
- Porta 443 para https
A utilização de carateres universais para o número de porta é suportada apenas no Microsoft Edge para iOS. Por exemplo, pode especificar
http://www.contoso.com:*ehttp://www.contoso.com:*/.A especificação de endereços IPv4 com notação CIDR é suportada. Por exemplo, pode especificar 127.0.0.1/24 (um intervalo de endereços IP).
URL Detalhes Correspondências Não corresponde http://www.contoso.comCorresponde a uma única página www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.comCorresponde a uma única página contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*Corresponde a todos as URLs que começam com www.contoso.comwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*Corresponde a todos os subdomínios em contoso.comdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*Corresponde a todos os subdomínios que terminam em contoso.com/news-contoso.comnews-contoso.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/imagesCorresponde a uma única pasta www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80Corresponde a uma única página, usando um número de porta www.contoso.com:80https://www.contoso.comCorresponde a uma página única e segura www.contoso.comwww.contoso.com/imageshttp://www.contoso.com/images/*Corresponde a uma única pasta e todas as subpastas www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videoshttp://contoso.com:*Corresponde a qualquer número de porta de uma única página contoso.com:80contoso.com:808010.0.0.0/24Corresponde a um intervalo de endereços IP de 10.0.0.0 a 10.0.0.255 10.0.0.010.0.0.100192.168.1.1- A seguir estão exemplos de algumas das entradas que você não pode especificar:
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*https://*http://*http://www.contoso.com: /*
Desativar páginas internas do Microsoft Edge
Pode desativar páginas internas do Microsoft Edge, como Edge://flags e Edge://net-export. Pode encontrar mais páginas a partir de Edge://about
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | O valor correspondente para a chave é uma lista de nomes de página. Pode introduzir as páginas internas que pretende bloquear como um único valor, separadas por um caráter de pipe | . Exemplos: flags|net-export |
Gerenciar sites para permitir o carregamento de arquivos
Pode haver cenários em que os usuários só têm permissão de ver sites, sem a capacidade de carregar arquivos. As organizações têm a opção de designar os sites que podem receber carregamentos de arquivos.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja bloquear como um único valor, separados por uma barra vertical |. Exemplos: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja bloquear como um único valor, separados por uma barra vertical |. Exemplos: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
O exemplo para impedir todos os sites, incluindo sites internos, de carregar arquivos
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Um exemplo para permitir que sites específicos carreguem arquivos
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
Para obter mais informações sobre o formato de URLs, veja Formato de padrão de URL de política empresarial.
Observação
Para o Microsoft Edge no iOS, a ação colar é bloqueada para além dos carregamentos. Os utilizadores não verão a opção colar no menu de ação.
Gerenciar configuração de proxy
Pode utilizar o Microsoft Edge para iOS e Android e Microsoft Entra proxy de aplicações em conjunto para conceder aos utilizadores acesso a sites da intranet nos respetivos dispositivos móveis. Por exemplo:
- Um usuário está usando o aplicativo móvel Outlook, que é protegido pelo Intune. Em seguida, clicam numa ligação para um site da intranet num e-mail e o Microsoft Edge para iOS e Android reconhece que este site da intranet foi exposto ao utilizador através de Proxy de Aplicativo. O utilizador é automaticamente encaminhado através de Proxy de Aplicativo, para autenticar com qualquer autenticação multifator aplicável e Acesso Condicional, antes de aceder ao site da intranet. O usuário agora pode acessar sites internos, mesmo em seus dispositivos móveis, e o link no Outlook funciona conforme o esperado.
- Um utilizador abre o Microsoft Edge para iOS e Android no respetivo dispositivo iOS ou Android. Se o Edge para iOS e Android estiver protegido com Intune e Proxy de Aplicativo estiver ativado, o utilizador pode aceder a um site da intranet com o URL interno ao qual está habituado. O Edge para iOS e Android reconhece que este site da intranet foi exposto ao usuário por meio do Proxy de Aplicativo. O usuário é roteado automaticamente por meio do Proxy de Aplicativo, para autenticar antes de chegar ao site da intranet.
Antes de começar:
- Configure seus aplicativos internos por meio do proxy de aplicativo do Microsoft Entra.
- Para configurar o Proxy de Aplicativo e publicar aplicativos, consulte a documentação de configuração.
- Verifique se o usuário está atribuído ao aplicativo de proxy de aplicativo do Microsoft Entra, mesmo se o aplicativo estiver configurado com o tipo de pré-autenticação de passagem.
- A aplicação Microsoft Edge para iOS e Android tem de ter uma política de proteção de aplicações Intune atribuída.
- Os aplicativos da Microsoft devem ter uma política de proteção de aplicativos com a configuração de transferência de dados Restringir transferência de conteúdo da Web com outros aplicativos definida como Microsoft Edge.
Observação
O Microsoft Edge para iOS e Android atualiza os dados de redirecionamento Proxy de Aplicativo com base no último evento de atualização bem-sucedido. As atualizações são tentadas sempre que o último evento de atualização bem-sucedido for superior a uma hora.
Direcionar o Edge para iOS e Android com o seguinte par chave/valor para habilitar Proxy de Aplicativo.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Este nome de política foi substituído pela IU do redirecionamento do proxy de aplicações nas definições de Configuração do Edge |
true permite cenários de redirecionamento do proxy de aplicativo do Microsoft Entra false (padrão) impede cenários de proxy de aplicativo do Microsoft Entra |
Para obter mais informações sobre como utilizar o Microsoft Edge para iOS e Android e Microsoft Entra proxy de aplicações em conjunto para acesso totalmente integrado (e protegido) a aplicações Web no local, consulte Melhor em conjunto: Intune e Microsoft Entra equipa para melhorar o acesso dos utilizadores. Essa postagem do blog faz referência ao Navegador Gerenciado do Intune, mas o conteúdo também se aplica ao Edge para iOS e Android.
Gerenciar sites de logon único do NTLM
As organizações podem exigir que os usuários se autentiquem com NTLM para acessar sites da intranet. Por padrão, os usuários são solicitados a inserir credenciais sempre que acessam um site que requer autenticação NTLM, pois o cache de credenciais NTLM está desabilitado.
As organizações podem habilitar o cache de credenciais NTLM para sites específicos. Para esses sites, depois que o usuário insere as credenciais e se autentica com êxito, as credenciais são armazenadas em cache por padrão por 30 dias.
Observação
Se estiver a utilizar um servidor proxy, certifique-se de que está configurado com a política NTLMSSOURLs, onde especifica especificamente https e http como parte do valor da chave.
Atualmente, os esquemas https e http têm de ser especificados no valor da chave NTLMSSOURLs. Por exemplo, tem de configurar e https://your-proxy-server:8080http://your-proxy-server:8080. Atualmente, especificar o formato como host:port (como your-proxy-server:8080) não é suficiente.
Além disso, o símbolo de caráter universal (*) não é suportado ao configurar servidores proxy na política NTLMSSOURLs.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | O valor correspondente para a chave é uma lista de URLs. Você insere todos as URLs que deseja permitir como um único valor, separadas por uma barra vertical |. Exemplos: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Para obter mais informações sobre os tipos de formatos de URL com suporte, consulte Formatos de URL para lista de sites permitidos e bloqueados. |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | Número de horas para armazenar credenciais em cache, o padrão é 720 horas |
Configuração adicional de aplicativos para dispositivos gerenciados
As seguintes políticas, originalmente configuráveis através da política de configuração de aplicações para aplicações geridas, estão agora disponíveis através da política de configuração de aplicações de dispositivos geridos. Ao usar políticas para aplicativos gerenciados, os usuários deverão entrar no Microsoft Edge. Ao usar políticas para dispositivos gerenciados, os usuários não são obrigados a iniciar sessão no Edge para aplicar as políticas.
Como as políticas de configuração de aplicativos para dispositivos gerenciados precisam de registro de dispositivos, qualquer gerenciamento unificado de pontos de extremidade (UEM) tem suporte. Para localizar mais políticas no canal MDM, consulte Políticas para Dispositivo Móvel do Microsoft Edge.
| Política MAM | Política MDM |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Implantar cenários de configuração de aplicativos com o Microsoft Intune
Se estiver a utilizar Microsoft Intune como fornecedor de gestão de aplicações móveis, os passos seguintes permitem-lhe criar uma política de configuração de aplicações geridas. Depois que a configuração for criada, você poderá atribuir suas configurações a grupos de usuários.
Selecione Aplicativos e depois selecione Políticas de configuração de aplicativos.
Na folha Políticas de Configuração de aplicativos, escolha Adicionar e selecione Aplicativos gerenciados.
Na seção Básico, insira um Nome e uma Descrição opcional para as definições de configuração do aplicativo.
Para Aplicativos públicos, escolha Selecionar aplicativos públicos e, em seguida, na folha Aplicativos direcionados, escolha Edge para iOS e Android selecionando os aplicativos da plataforma iOS e Android. Clique em Selecionar para salvar os aplicativos públicos selecionados.
Clique em Avançar para concluir as configurações básicas da política de configuração do aplicativo.
Na seção Configurações, expanda as Definições de configuração do Edge.
Se você quiser gerenciar as configurações de proteção de dados, defina as configurações desejadas de acordo:
Para Redirecionamento de proxy de aplicativo, escolha uma das opções disponíveis: Ativar, Desabilitar (padrão).
Para URL de atalho da página inicial, especifique um URL válido que inclua o prefixo http:// ou https://. URLs incorretas são bloqueadas como medida de segurança.
Para Favoritos gerenciados, especifique o título e um URL válido que inclua o prefixo http:// ou https://.
Para URLs permitidas, especifique um URL válido (somente esses URLs são permitidos; nenhum outro site pode ser acessado). Para obter mais informações sobre os tipos de formatos de URL com suporte, consulte Formatos de URL para lista de sites permitidos e bloqueados.
Para URLs bloqueadas, especifique uma URL válida (somente essas URLs são bloqueadas). Para obter mais informações sobre os tipos de formatos de URL com suporte, consulte Formatos de URL para lista de sites permitidos e bloqueados.
Para Redirecionar sites restritos para contexto pessoal, escolha uma das opções disponíveis: Habilitar (padrão), Desabilitar.
Observação
Quando URLs permitidas e URLs bloqueadas são definidas na política, apenas a lista permitida é respeitada.
Se desejar configurações adicionais do aplicativo não expostas na política acima, expanda o nó Configurações gerais e insira os pares de chave-valor adequadamente.
Quando terminar de configurar as definições, selecione Seguinte.
Na seção Tarefas, escolha Selecionar grupos a serem incluídos. Selecione o grupo do Microsoft Entra ao qual deseja atribuir a política de configuração do aplicativo e escolha Selecionar.
Quando terminar as tarefas, selecione Seguinte.
Na folha Examinar + Criar política de configuração de aplicativo, examine as configurações definidas e escolha Criar.
A política de configuração recém-criada é exibida na folha Configuração do aplicativo.
Use o Microsoft Edge para iOS e Android para acessar logs de aplicativos gerenciados
Os utilizadores com o Microsoft Edge para iOS e Android instalados nos respetivos dispositivos iOS ou Android podem ver a gestão status de todas as aplicações publicadas pela Microsoft. Eles podem enviar logs para solucionar problemas de aplicativos iOS ou Android gerenciados usando as seguintes etapas:
Abra o Edge para iOS e Android no seu dispositivo.
Digite
edge://intunehelp/na caixa de endereço.Edge para iOS e Android inicia modo de solução de problemas.
Você pode recuperar logs do Suporte da Microsoft fornecendo a ID do incidente do usuário.
Para obter uma lista das configurações armazenadas nos registros do aplicativo, consulte Examinar registros de proteção do aplicativo cliente.
Logs de diagnóstico
Além disso, para Intune registos do edge://intunehelp/, poderá ser-lhe pedido por Suporte da Microsoft para fornecer registos de diagnóstico do Microsoft Edge para iOS e Android. Pode carregar os registos para o servidor microsoft ou guardá-los localmente e partilhá-los diretamente com Suporte da Microsoft.
Carregar registos para o servidor Microsoft
Siga estes passos para carregar registos para o servidor Microsoft:
- Reproduza o problema.
- Abra o menu de excesso ao selecionar o ícone de hambúrguer no canto inferior direito.
- Percorra para a esquerda e selecione Ajuda e feedback.
- Na secção Descrever o que está a acontecer, forneça detalhes sobre o problema para que a equipa de suporte possa identificar os registos relevantes.
- Carregue os registos para o servidor Microsoft ao selecionar o botão no canto superior direito.
Guardar registos localmente e partilhar diretamente com Suporte da Microsoft
Siga estes passos para guardar registos localmente e partilhá-los:
- Reproduza o problema.
- Abra o menu de capacidade excedida ao selecionar no menu de opções no canto inferior direito.
- Percorra para a esquerda e selecione Ajuda e feedback.
- Selecione dados de diagnóstico.
- Para o Microsoft Edge para iOS, toque no ícone Partilhar no canto superior direito. É apresentada a caixa de diálogo de partilha do SO, permitindo-lhe guardar os registos localmente ou partilhá-los através de outras aplicações. Para o Microsoft Edge para Android, abra o submenu no canto superior direito e selecione a opção para guardar registos. Os registos são guardados na pasta Transferir>Edge .
Se quiser limpar os registos antigos, selecione o ícone Limpar no canto superior direito ao selecionar dados de diagnóstico. Em seguida, reproduza novamente o problema para garantir que apenas são capturados novos registos.
Observação
Salvar registos também respeita a Política de Proteção de Aplicativo do Intune. Portanto, você pode não ter permissão para salvar dados de diagnóstico em dispositivos locais.