使用 Intune 管理 iOS 和 Android 上的 Microsoft Edge
iOS 和 Android 版 Edge 的設計目的是要讓使用者瀏覽網頁並支援多重身分識別。 使用者可以新增工作帳戶和個人帳戶以進行瀏覽。 這兩個身分之間有完整的區別,就像其他 Microsoft 行動應用程式所提供的那樣。
本功能適用於:
- iOS/iPadOS 14.0 或更新版本
- 已註冊裝置的 Android 8.0 或更新版本,以及未註冊裝置的 Android 9.0 或更新版本
注意事項
iOS 和 Android 版 Edge 不會取用使用者在其裝置上為原生瀏覽器設定的設定,因為適用于 iOS 和 Android 的 Edge 無法存取這些設定。
當您訂閱 Enterprise Mobility + Security 套件時,可以使用Microsoft 365 數據最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件式存取。 您至少會想要部署條件式存取原則,只允許從行動裝置連線到iOS和Android版Edge,以及可確保瀏覽體驗受到保護的 Intune 應用程式保護原則。
注意事項
iOS 裝置上的新網頁剪輯 (已釘選 Web 應用程式),將會在 iOS 和 Android 版 Edge 中開啟,而不是在需要在受保護的瀏覽器中開啟時開啟 Intune Managed Browser。 對於較舊的 iOS 網頁剪輯,您必須重新設定這些網頁剪輯的目標,以確保它們在 iOS 和 Android 版 Edge 中開啟,而非在 Managed Browser 中開啟。
建立 Inunte 應用程式防護原則
隨著組織逐漸採用 SaaS 和 Web 應用程式,瀏覽器已成為企業不可或缺的工具。 使用者通常需要在外出時從行動瀏覽器存取這些應用程式。 確保透過行動瀏覽器存取的資料受到保護,免於遭到刻意或無意的外洩非常重要。 例如,使用者可能會不小心與個人應用程式共用組織的資料,導致資料外洩,或下載到本機裝置,這也會造成風險。
組織可以在使用者透過行動裝置版 Microsoft Edge 瀏覽時,保護資料避免外洩,方法是藉由設定應用程式保護原則 (APP),其中可以定義哪些應用程式獲得允許使用,以及可以對組織資料採取的動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動裝置用戶端端點強化的優先順序,Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。
APP 資料保護架構會組織成三個不同的設定層級,其中每個層級會根據上一個層級來建置:
- 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
- 企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
- 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP 行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。
若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構。
無論裝置是否已在整合端點管理 (UEM) 解決方案中註冊,都必須使用 如何建立和指派應用程式防護原則 中的步驟,為 iOS 和 Android 應用程式建立 Intune 應用程式防護原則。 這些原則至少必須符合下列條件:
它們包含所有 Microsoft 365 行動應用程式,例如 Edge、Outlook、OneDrive、Office 或 Teams,因為這可確保使用者可以安全的方式存取及操作任何 Microsoft 應用程式內的工作或學校資料。
它們會指派給所有使用者。 這可確保所有使用者都受到保護,不論他們是否使用 iOS 或 Android 版 Edge。
判斷哪個架構層級符合您的需求。 大部分的組織都應該實作 企業增強型資料保護 (層級 2) 中定義的設定,以啟用資料保護和存取需求控制。
注意事項
其中一個與瀏覽器相關的設定是「限制與其他應用程式的 Web 內容傳輸」。 在 企業增強型資料保護 (層級 2) 中,此設定的值會設定為 Microsoft Edge。 當 Outlook 和 Microsoft Teams 受到應用程式保護原則 (APP) 保護時,系統會使用 Microsoft Edge 開啟這些應用程式的連結,確保這些連結受到保護。 如需可用設定的詳細資訊,請參閱 Android 應用程式防護原則設定 和 iOS 應用程式防護原則設定。
重要事項
若要對 Intune 中已註冊 Android 裝置上的應用程式套用 Intune 應用程式防護原則,使用者也必須安裝 Intune Company Portal。
套用條件式存取
雖然使用應用程式保護原則 (APP) 來保護 Microsoft Edge 是非常的重要,但務必確保Microsoft Edge 是開啟公司應用程式的必要瀏覽器。 否則,使用者可能會使用其他未受保護的瀏覽器來存取公司應用程式,這可能會導致資料外洩。
組織可以使用 Microsoft Entra 條件式存取原則,以確保使用者只能使用 iOS 和 Android 版 Edge 存取公司或學校內容。 若要這樣做,您需要以所有潛在用戶為目標的條件式存取原則。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。
請遵循 使用行動裝置要求核准的用戶端應用程式或應用程式防護原則 中的步驟,這會允許 iOS 和 Android 版 Edge,但會封鎖其他行動裝置網頁瀏覽器連線到 Microsoft 365 端點。
注意事項
此原則可確保行動裝置使用者可以從 iOS 和 Android 版 Edge 記憶體取所有 Microsoft 365 端點。 此原則也會防止使用者使用 InPrivate 存取 Microsoft 365 端點。
使用條件式存取,您也可以透過 Microsoft Entra 應用程式 Proxy 將向外部使用者公開的內部部署網站設為目標。
注意事項
若要利用應用程式型條件式存取原則,Microsoft驗證器應用程式必須安裝在iOS裝置上。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取。
在受原則保護的瀏覽器中單一登入至 Microsoft Entra 連結的 Web 應用程式
iOS 和 Android 版 Edge 可以利用單一登入 (SSO) 來登入連線到 Microsoft Entra 的所有 Web 應用程式 (SaaS 和內部部署)。 SSO 可讓使用者透過 iOS 和 Android 版 Edge 存取 Microsoft Entra 連線的 Web 應用程式,而不需要重新輸入其認證。
SSO 要求您的裝置必須註冊 iOS 裝置用 Microsoft Authenticator 應用程式,或 Android 上的 Intune 公司入口網站。 當使用者有上述任一項時,系統會在使用者前往受原則保護瀏覽器中的 Microsoft Entra 連線 Web 應用程式時,提示他們註冊其裝置 (只有當他們的裝置尚未註冊時,才適用此情況)。 在裝置向 Intune 管理的使用者帳戶註冊之後,該帳戶已針對 Microsoft Entra 連線的 Web 應用程式啟用 SSO。
注意事項
裝置註冊是使用 Microsoft Entra 服務的簡單簽入。 它不需要完整裝置註冊,也不會在裝置上為 IT 提供任何額外的權限。
使用應用程式組態來管理瀏覽體驗
iOS 和 Android 版 Edge 支援允許整合端點管理的應用程式設定,例如 Microsoft Intune 系統管理員自訂應用程式的行為。
應用程式組態可以透過已註冊裝置上的行動裝置管理 (MDM) 作業系統通道 (適用于 iOS 的 受控應用程式組態 通道或適用于 Android 的 Android 企業版 通道) 或透過 MAM (行動應用程式管理) 通道傳遞。 iOS 和 Android 版 Edge 支援下列設定案例:
- 只允許公司或學校帳戶
- 一般應用程式組態設定
- 資料保護設定
- 受控裝置的其他應用程式組態
重要事項
針對需要在 Android 上註冊裝置的設定案例,必須在 Android Enterprise 中註冊裝置,而 Android 版 Edge 必須透過受控 Google Play 商店部署。 如需詳細資訊,請參閱 設定 Android Enterprise 個人擁有工作設定檔裝置的註冊 和 新增受控 Android Enterprise 裝置的應用程式組態原則。
每個設定案例都會強調其特定需求。 例如,設定案例是否需要裝置註冊,因此可與任何 UEM 提供者搭配使用,或需要 Intune 應用程式防護原則。
重要事項
應用程式組態金鑰會區分大小寫。 使用適當的大小寫以確保設定生效。
注意事項
使用 Microsoft Intune,透過 MDM 作業系統通道傳遞的應用程式組態稱為 受控裝置 應用程式組態原則 (ACP);透過 MAM (行動應用程式管理) 通道傳遞的應用程式組態稱為 受控應用程式 應用程式組態原則。
只允許公司或學校帳戶
遵守我們最大且高度管制客戶的資料安全性與合規性原則是 Microsoft 365 價值的重要要素。 有些公司需要擷取其公司環境中的所有通訊資訊,以及確保裝置僅用於公司通訊。 為了支援這些需求,在已註冊裝置上的 iOS 和 Android 版 Edge 可以設定為只允許在應用程式內佈建單一公司帳戶。
您可以在這裡深入瞭解如何設定組織允許的帳戶模式設定:
此設定案例僅適用于已註冊的裝置。 不過,支援任何 UEM 提供者。 如果您非使用 Microsoft Intune,您必須參閱 UEM 文件,以瞭解如何部署這些設定金鑰。
一般應用程式組態案例
iOS 和 Android 版 Edge 允許系統管理員自訂數個應用程式內設定的預設設定。 當 iOS 和 Android 版 Edge 將受控應用程式 [應用程式組態原則] 套用至已登入應用程式的公司或學校帳戶時,就會提供這項功能。
Edge 支援下列組態的設定:
- 新索引標籤頁面體驗
- 書簽體驗
- 應用程式行為體驗
- Kiosk 模式體驗
不論裝置註冊狀態為何,這些設定都可以部署到應用程式。
新索引標籤頁面版面配置
新索引標籤面的預設配置是 靈感式 配置。 它會顯示熱門網站快捷方式、背景布和新聞摘要。 使用者可以根據其喜好設定來變更版面配置。 組織也可以管理版面配置設定。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
焦點 已選取 [焦點] 已 選取 (預設) 靈感 資訊 已選取 [資訊] 習慣 選取 [自定義]、開啟熱門網站快捷方式切換、開啟桌布切換,以及開啟新聞摘要切換 |
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
topsites 開啟最常用網站捷徑 桌布 開啟桌布 newsfeed 開啟新聞摘要 若要讓此原則生效,必須將 com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock 設定為 自訂 預設值為 topsites|wallpaper|newsfeed| |
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
true (預設) 使用者可以變更網頁版面配置設定 false 使用者無法變更網頁版面配置設定。 網頁版面配置是由透過將使用的原則或預設值所指定的值來決定的 |
重要事項
NewTabPageLayout 原則旨在設定初始版面配置。 使用者可以根據其參考來變更網頁版面配置設定。 因此,只有在使用者未變更版面配置設定時, NewTabPageLayout 原則才會生效。 您可以藉由設定 UserSelectable=false 來強制執行 NewTabPageLayout 原則。
注意事項
從 129.0.2792.84 版開始,預設的版面配置會變更為 靈感。
關閉新聞摘要的範例
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
新索引標籤頁面體驗
iOS 和 Android 版 Edge 為組織提供數個選項供調整新索引標籤頁面體驗,其中包括組織標誌、品牌色彩、首頁、最常用網站和產業新聞。
組織標誌和品牌色彩
組織標誌和品牌色彩設定可讓您在iOS和Android裝置上自定義Edge 的新索引標籤面 。 橫幅標誌會作為您組織的標誌,而頁面背景色彩則會作為組織的品牌色彩。 如需詳細資訊, 請參閱設定公司商標。
接下來,使用下列金鑰/值組,將組織的標誌提取到 iOS 和 Android 版 Edge:
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true 顯示組織的品牌標誌 false (預設) 不會公開標誌 |
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true 顯示組織的品牌色彩 false (預設) 不會公開色彩 |
首頁快捷方式
此設定可讓您在 [新索引標籤頁面] 中設定 iOS 和 Android 版 Edge 首頁快捷方式。 當使用者在 iOS 和 Android 版 Edge 中開啟新索引標籤時,您設定的首頁快捷方式會顯示為搜尋列下的第一個圖示。 使用者無法在其受控內容中編輯或刪除此快捷方式。 首頁快捷方式會顯示貴組織的名稱來加以區別。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.homepage 此原則名稱已由Edge組態設定下的 [首頁快捷方式 URL ] UI 取代 |
指定有效的 URL。 不正確的 URL 會作為安全性措施封鎖。 例如: https://www.bing.com |
多個熱門網站快捷方式
與設定首頁快捷方式類似,您可以在 iOS 和 Android 版 Edge 的新索引標籤頁面上設定多個熱門網站快捷方式。 使用者無法在受控內容中編輯或刪除這些快捷方式。 請注意: 您總共可以設定 8 個快捷方式,包括首頁快捷方式。 如果您已設定首頁快捷方式,該快捷方式將會覆寫所設定的第一個熱門網站。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.managedTopSites | 指定一組值 URL。 每個熱門網站快捷方式都包含標題和 URL。 使用 | 字元分隔標題和 URL。 例如: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
產業新聞
您可以在 iOS 和 Android 版 Edge 內設定新索引標籤頁面體驗,以顯示與貴組織相關的產業新聞。 當您啟用這項功能時,iOS 和 Android 版 Edge 會使用組織的網域名稱,從網路匯總有關組織、組織產業和競爭對手的新聞,讓您的使用者可以從 iOS 和 Android 版 Edge 內的集中式新索引標籤頁面找到相關的外部新聞。 產業新聞預設為關閉。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true 在新索引標籤頁面上顯示產業新聞 false (預設) 會從新索引標籤頁面隱藏產業新聞 |
首頁,而非新索引標籤頁面體驗
iOS 和 Android 版 Edge 可讓組織停用 [新索引標籤頁面] 體驗,並在使用者開啟新索引標籤時,改為啟動網站。雖然這是支援的案例,但 Microsoft 建議組織利用 [新索引標籤頁面] 體驗來提供與使用者相關的動態內容。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | 指定有效的 URL。 如果未指定 URL,應用程式會使用 [新索引標籤頁面] 體驗。 不正確的 URL 會作為安全性措施封鎖。 例如: https://www.bing.com |
書簽體驗
iOS 和 Android 版 Edge 為組織提供數個管理書簽的選項。
受控書簽
為了方便存取,您可以設定您希望使用者在使用 iOS 和 Android 版 Edge 時可以使用的書簽。
- 書簽只會出現在公司或學校帳戶中,且不會公開給個人帳戶。
- 使用者無法刪除或修改書簽。
- 書簽會出現在清單頂端。 使用者建立的任何書簽都會出現在這些書簽下方。
- 如果您已啟用應用程式 Proxy 重新導向,您可以使用 Web 應用程式的內部或外部 URL 來新增應用程式 Proxy Web 應用程式。
- 書籤會建立在以 Microsoft Entra ID 中定義的組織名稱命名的資料夾中。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.bookmarks 此原則名稱已由Edge組態設定下的受控 書籤 UI取代 |
此設定的值是書簽清單。 每個書簽都包含書簽標題和書簽 URL。 使用 | 字元分隔標題和 URL。例如: Microsoft Bing|https://www.bing.com 若要設定多個書簽,請使用雙字元 || 分隔每個配對。例如: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
我的應用程式書簽
根據預設,使用者會在 iOS 和 Android 版 Edge 內的組織資料夾內設定我的應用程式書簽。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.MyApps |
true (預設) 在 iOS 和 Android 版 Edge 書簽內顯示我的應用程式 false 會在 iOS 和 Android 版 Edge 內隱藏我的應用程式 |
應用程式行為體驗
iOS 和 Android 版 Edge 為組織提供數個管理應用程式行為的選項。
Microsoft Entra 密碼單一登入
Microsoft Entra ID 提供的 Microsoft Entra 密碼單一登入 (SSO) 功能,可將使用者存取管理帶入不支援身分識別同盟的 Web 應用程式。 根據預設,iOS 和 Android 版 Edge 不會使用 Microsoft Entra 認證執行 SSO。 如需詳細資訊,請參閱 將密碼型單一登入新增至一個應用程式。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true 啟用 Microsoft Entra 密碼 SSO false (預設) 停用 Microsoft Entra 密碼 SSO |
預設通訊協定處理常式
根據預設,當使用者未在 URL 中指定通訊協定時,iOS 和 Android 版 Edge 會使用 HTTPS 通訊協定處理常式。 一般而言,這是最佳做法,但可以停用。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (預設) 通訊協定處理常式為 HTTPS false 預設通訊協定處理常式為 HTTP |
停用選擇性診斷資料
根據預設,使用者可以選擇從 [設定]->隱私權和安全性->診斷資料->選擇性診斷資料設定,傳送選擇性診斷資料。 組織可以停用此設定。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true 已停用選擇性診斷資料設定 false (預設) 使用者可以開啟或關閉選項 |
注意事項
在初次執行體驗 (FRE) 期間,系統也會提示使用者 選擇性診斷資料 設定。 組織可以使用 MDM 原則 EdgeDisableShareUsageData 以略過此步驟
停用特定功能
iOS 和 Android 版 Edge 可讓組織停用預設為啟用的特定功能。 若要停用這些功能,請設定下列設定:
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password 會停用提供為終端使用者儲存密碼的提示 inprivate 會停用 InPrivate 瀏覽 autofill 會停用「儲存和填入位址」和「儲存並填入付款資訊」。 即使針對先前已儲存的資訊,自動填寫也會遭到停用 translator 會停用翻譯工具 readaloud 會停用大聲朗讀 drop 會停用置放 優待券 停用優惠券 擴充功能 會停用擴充功能 (僅適用於Android 版 Edge) developertools 會將組建版本號碼呈現灰色,以防止使用者存取開發人員選項 (僅限 Android 版 Edge) UIRAlert 會在新的索引標籤面畫面中隱藏重新驗證帳戶快顯 共用 停用功能表下的共用 sendtodevices 停用功能表下的 [傳送至裝置] 天氣 停用 NTP 中的天氣 (新索引標籤面) webinspector 僅停用 iOS 版 Edge (Web 偵測器設定) 若要停用多個功能,請使用 | 分隔值。 例如,inprivate|password 會停用 InPrivate 和密碼儲存空間。 |
停用匯入密碼功能
iOS 和 Android 版 Edge 可讓使用者從密碼管理員匯入密碼。 若要停用匯入密碼,請設定下列設定:
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true 停用匯入密碼 false (預設) 允許匯入密碼 |
注意事項
在 iOS 版 Edge 的密碼管理員中,有 [新增] 按鈕。 當系統停用匯入密碼功能時,也會停用 [新增] 按鈕。
控制 Cookie 模式
您可以控制網站是否可以在 Android 版 Edge 中儲存使用者的 Cookie。 若要這樣做,請設定下列設定:
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (預設) 允許 Cookie 1 封鎖非 Microsoft Cookie 2 在 InPrivate 模式中封鎖非 Microsoft Cookie 3 封鎖所有 Cookie |
注意事項
iOS 版 Edge 不支援控制 Cookie。
Android 裝置上的 Kiosk 模式體驗
您可以使用下列設定,將 Android 版 Edge 啟用為 kiosk 應用程式:
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true 會啟用 Android 版 Edge 的 kiosk 模式 false (預設) 會停用 kiosk 模式 |
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true 顯示 kiosk 模式的網址列 false (預設) 啟用 kiosk 模式時,會隱藏網址列 |
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true 顯示 kiosk 模式的底部動作列 false (預設) 啟用 kiosk 模式時,會隱藏底部列 |
注意事項
iOS 裝置不支援 Kiosk 模式。 不過,您可能只想使用鎖定檢視模式 (MDM 原則) 達到類似的使用者體驗,因為 URL 網址列在鎖定檢視模式中變成只讀。用戶無法流覽至其他網站。
鎖定檢視模式
iOS 和 Android 版 Edge 可以使用 MDM 原則 EdgeLockedViewModeEnabled 啟用為鎖定的檢視模式。
機碼 | 值 |
---|---|
EdgeLockedViewModeEnabled |
FALSE (預設) 鎖定檢視模式已停用 TRUE 鎖定檢視模式已啟用 |
它可讓組織限制各種瀏覽器功能,提供受控制且專注的瀏覽體驗。
- URL 網址列會變成唯讀,讓使用者無法變更網址
- 不允許使用者建立新的索引標籤
- 網頁上的內容搜尋功能已停用
- 溢位選單底下的下列按鈕已停用
按鈕 | 狀態 |
---|---|
新 InPrivate 索引標籤 | 已停用 |
傳送到裝置 | 已停用 |
Drop | 已停用 |
新增至電話 (Android) | 已停用 |
下載頁面 (Android) | 已停用 |
鎖定檢視模式通常與 MAM 原則 com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL 或 MDM 原則 EdgeNewTabPageCustomURL 一起搭配使用,可讓組織設定在開啟 Edge 時自動啟動的特定網頁。 使用者受到限制只能存取此網頁,且無法瀏覽其他網站,為特定工作或內容使用提供受管理的環境。
注意事項
根據預設,系統不允許使用者在鎖定的檢視模式中建立新索引標籤。 若要允許索引頁面建立,請將 MDM 原則 EdgeLockedViewModeAllowedActions 設定為newtabs。
在 Chromium 與 iOS 之間切換網路堆疊
根據預設,iOS 和 Android 版 Microsoft Edge 會使用 Chromium 網路堆疊進行 Microsoft Edge 服務通訊,包括同步處理服務、自動搜尋建議和傳送意見反應。 iOS 版 Microsoft Edge 也提供 iOS 網路堆疊作為 Microsoft Edge 服務通訊的可設定選項。
組織可以藉由設定下列設定來修改其網路堆疊喜好設定。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (預設) 使用 Chromium 網路堆疊 1 使用 iOS 網路堆疊 |
注意事項
建議使用 Chromium 網路堆疊。 如果您在使用 Chromium 網路堆疊傳送意見反應時遇到同步問題或失敗,例如針對特定的個別應用程式 VPN 解決方案,使用 iOS 網路堆疊可能可以解決問題。
設定 Proxy .pac 檔案 URL
組織可以針對 iOS 和 Android 版 Microsoft Edge 指定 Proxy 自動設定 (PAC) 檔案的 URL。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.proxyPacUrl | 指定 Proxy .pac 檔案的有效 URL。 例如: https://internal.site/example.pac |
PAC 開啟失敗支援
根據預設,iOS 和 Android 版 Microsoft Edge 會以無效或無法使用的 PAC 指令碼封鎖網路存取。 不過,組織可以將預設行為修改為 PAC 開啟失敗。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (預設) 封鎖網路存取 true 允許網路存取 |
設定網路轉送
iOS 版 Edge 現在支援 iOS 17 上的網路轉送。 這些是一種特殊的 Proxy 類型,可用於遠端存取和隱私權解決方案。 它們支援安全且透明的流量通道,作為存取內部資源時 VPN 的新式替代方案。 如需網路轉送的詳細資訊,請參閱 在 Apple 裝置上使用網路轉送。
組織可以設定轉送 Proxy URL,根據相符和排除的網域來路由傳送流量。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | 指定轉送設定 JSON 檔案的有效 URL。 例如: https://yourserver/relay_config.json |
網路轉送的 JSON 檔案範例
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
使用者在 Android 中登入 Edge 的 Proxy。
通常會在 VPN 設定檔中設定 Proxy 自動設定 (PAC)。 不過,由於平台限制,Android WebView 無法辨識在 Edge 登入程式期間使用的 PAC。 使用者可能無法在 Android 中登入Edge。
組織可以透過 MDM 原則指定專用 Proxy,讓使用者在 Android 中登入 Edge。
機碼 | 值 |
---|---|
EdgeOneAuthProxy | 對應的值為字串 範例 http://MyProxy.com:8080 |
iOS 網站資料存放區
iOS 版 Edge 中的網站資料存放區對於管理 Cookie、磁碟和記憶體快取,以及各種類型的資料而言是不可或缺的。 不過,iOS 版 Edge 中只有一個持續性網站資料存放區。 根據預設,此資料存放區僅供個人帳戶使用,因而導致公司或學校帳戶無法使用它的限制。 因此,在每個工作階段之後,除了 Cookie 之外的公司或學校帳戶瀏覽資料都會遺失。 為了改善用戶體驗,組織可以設定網站資料存放區以供公司或學校帳戶使用,以確保瀏覽資料的持續性。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 網站資料存放區一律只由個人帳戶使用 1 第一個登入的帳戶將使用網站資料存放區 2 (預設) 無論登入順序為何,公司或學校帳戶都可以先使用網站資料存放區 |
注意事項
隨著 iOS 17 的發行,現在已支援多個持續性儲存體。 公司和個人帳戶有自己的指定持續性儲存體。 因此,此原則從版本 122 起不再有效。
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen 是一項功能,可協助使用者避免惡意網站和下載。 預設會加以啟用。 組織可以停用此設定。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (預設) 已啟用 Microsoft Defender SmartScreen。 false 已停用 Microsoft Defender SmartScreen。 |
憑證驗證
根據預設,Android 版 Microsoft Edge 會使用內建的憑證驗證器和 Microsoft Root Store 作為公用信任來源來驗證伺服器憑證。 組織可以切換至系統憑證驗證器和系統根憑證。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
true (預設) 使用內建憑證驗證器和 Microsoft Root Store 來驗證憑證 false 使用系統憑證驗證器和系統根憑證作為公用信任的來源來驗證憑證 |
注意事項
此原則的使用案例是,在使用 Android 版 Edge 中的 Microsoft MAM 通道 時,您必須使用系統憑證驗證器和系統根憑證。
SSL 警告頁面控制項
依預設,使用者可以在使用者瀏覽至有 SSL 錯誤的網站時點按顯示警告頁面。 組織可以管理該行為。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
true (預設值) 允許使用者點擊通過 SSL 警告頁面 false 防止使用者點擊通過 SSL 警告頁面 |
快顯視窗設定
根據預設,快顯視窗會遭到封鎖。 組織可以管理該行為。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 允許所有網站顯示快顯視窗 2 (預設) 不允許任何網站顯示快顯視窗 |
允許特定網站上的快顯視窗
如果未設定此原則,則會對所有網站使用 DefaultPopupsSetting 原則 (如有設定) 中的值或使用者個人設定的值。 組織可以定義可開啟快顯視窗的網站清單。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | 金鑰的對應值是 URL 清單。 您可以輸入您想要封鎖的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
如需 URL 格式的詳細資訊,請參閱企業原則 URL 模式格式。
封鎖特定網站上的快顯視窗
如果未設定此原則,則會對所有網站使用 DefaultPopupsSetting 原則 (如有設定) 中的值或使用者個人設定的值。 組織可以定義遭到封鎖而無法開啟快顯視窗的網站清單。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | 金鑰的對應值是 URL 清單。 您可以輸入您想要封鎖的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
如需 URL 格式的詳細資訊,請參閱企業原則 URL 模式格式。
預設搜尋提供者
根據預設,當使用者在網址列中輸入非 URL 文字時,Edge 會使用預設搜尋提供者來執行搜尋。 使用者可以變更搜尋提供者清單。 組織可以管理搜尋提供者行為。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
true 啟用預設搜尋提供者 false 停用預設搜尋提供者 |
設定搜尋提供者
組織可以為使用者設定搜尋提供者。 若要設定搜尋提供者,必須先設定原則 DefaultSearchProviderEnabled。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | 對應的值為字串 範例 My Intranet Search |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | 對應的值為字串 範例 https://search.my.company/search?q={searchTerms} |
Copilot
注意事項
自 128 版起,公司或學校帳戶的 Copilot 已被取代。 因此,下列原則在128版中將不再有效。 如果您想要封鎖對 Web 版本 Copilot 的存取,copilot.microsoft.com,您可以使用原則 AllowListURLs 或 BlockListURLs。
Copilot 可在 iOS 版和 Android 版的 Microsoft Edge 上使用。 使用者可以按一下底部列中的 Copilot 按鈕來啟動 Copilot。
設定->一般->Copilot 中有三個設定。
- 顯示 Copilot - 控制是否要在底部列上顯示 Bing 按鈕
- 允許存取任何網頁或 PDF – 控制是否允許 Copilot 存取頁面內容或 PDF
- 文字選取上的快速存取 - 控制選取網頁上的文字時是否要顯示快速聊天面板
您可以管理 Copilot 的設定。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.Chat |
TRUE (預設) 使用者會在底部列中看到 Copilot 按鈕。 預設會開啟 顯示 Copilot,且使用者可以關閉此設定。 FALSE 使用者無法在底部列中看到 Copilot 按鈕。 設定 顯示 Copilot 已停用且使用者無法開啟 |
com.microsoft.intune.mam.managedbrowser.ChatPageContext |
TRUE (預設) 使用者可以開啟 允許存取任何網頁或 PDF 和 文字選取上的快速存取 FALSE允許存取任何網頁或 PDF 和 文字選取上的快速存取 選項將會停用,而且使用者無法關閉 |
資料保護應用程式組態案例
當應用程式由 Microsoft Intune 管理,且受控應用程式 [應用程式組態原則] 已套用至已登入應用程式的公司或學校帳戶時,iOS 和 Android 版 Edge 支援下列資料保護設定的應用程式組態原則:
- 管理帳戶同步處理
- 管理受限制的網站
- 管理 Proxy 設定
- 管理 NTLM 單一登入網站
不論裝置註冊狀態為何,這些設定都可以部署到應用程式。
管理帳戶同步處理
根據預設,Microsoft Edge 同步可讓使用者在其所有已登入的裝置上存取其瀏覽資料。 同步處理支援的資料包括:
- 我的最愛
- 密碼
- 位址和更多內容 (自動填寫表單項目)
同步處理功能是透過使用者同意來啟用,且使用者可以開啟或關閉上述每個資料類型的同步處理。 如需詳細資訊,請參閱 Microsoft Edge 同步處理。
組織能夠在 iOS 和 Android 版 Edge 上停用同步處理。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true 會停用 Edge 同步處理 false (預設) 允許 Edge 同步處理 |
管理受限制的網站
組織可以定義使用者可以在 iOS 和 Android 版 Edge 的工作或學校帳戶內容中存取哪些網站。 如果您使用允許清單,您的使用者就只能存取明確列出的網站。 如果您使用封鎖清單,使用者可以存取所有網站,但明確封鎖的網站除外。 您應該只強制使用允許或封鎖清單,而非兩者。 如果您同時強制使用這兩者,則系統只會接受允許清單。
組織也可定義當使用者嘗試瀏覽至受限制的網站時會發生什麼情況。 根據預設,允許轉換。 如果組織允許,則可在個人帳戶內容、Microsoft Entra 帳戶的 InPrivate 內容中開啟受限制的網站,或是否完全封鎖該網站。 如需支援之各種案例的詳細資訊,請參閱 Microsoft Edge 行動裝置版中受限制的網站轉換。 藉由允許轉換體驗,組織的使用者會持續受到保護,同時也可保護公司資源的安全。
為了藉由減少使用者手動切換至個人配置檔或 InPrivate 模式以開啟封鎖 URL 的需求來增強配置檔切換體驗,我們引進了兩個新原則:
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
由於這些原則會根據其設定和組合來帶來不同的結果,因此建議您嘗試下列原則建議以進行快速評估,以查看配置檔切換體驗是否與貴組織的需求完全一致,然後再探索詳細檔。 建議的設定檔切換組態設定包含下列值:
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
注意事項
iOS 和 Android 版 Edge 只有在直接存取網站時,才能封鎖其存取。 當使用者使用中繼服務 (例如翻譯服務) 存取網站時,它不會封鎖存取。 對於受管理的應用程式,應用程式組態原則 AllowListURLs 或 BlockListURLs 不支援使用 Edge 啟動的 URL,例如 Edge://*
、Edge://flags
和 Edge://net-export
。 您可以使用 com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList 停用這些 URL。
如果您的裝置受到管理,您也可以針對受管理的裝置使用應用程式設定原則 URLAllowList 或 URLBlocklist。 如需相關資訊,請參閱 Microsoft Edge 行動裝置原則。
使用下列金鑰/值組,為 iOS 和 Android 版 Edge 設定允許或封鎖的網站清單。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.AllowListURLs 此原則名稱已由Edge組態設定下 [允許的URL] 的 UI取代 |
金鑰的對應值是 URL 清單。 您可以輸入您想要允許的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
com.microsoft.intune.mam.managedbrowser.BlockListURLs 此原則名稱已由Edge組態設定下 [封鎖的URL ] 的UI取代 |
金鑰的對應值是 URL 清單。 您可以輸入您想要封鎖的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock 此原則名稱已由Edge組態設定下的 [將受限制的網站重新導向至個人內容 ] 的 UI 取代 |
true (預設) 允許 iOS 和 Android 版 Edge 轉換受限制的網站。 當個人帳戶未停用時,系統會提示使用者切換至個人內容以開啟受限制的網站,或新增個人帳戶。 如果 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked 設定為 true,使用者就能夠在 InPrivate 內容中開啟受限制的網站。 false 可防止 iOS 和 Android 版 Edge 轉換使用者。 使用者只會看到一則訊息,指出他們嘗試存取的網站遭到封鎖。 |
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked |
true 允許在 Microsoft Entra 帳戶的 InPrivate 內容中開啟受限制的網站。 如果 Microsoft Entra 帳戶是 iOS 和 Android 版 Edge 中設定的唯一帳戶,則會在 InPrivate 內容中自動開啟受限制的網站。 如果使用者已設定個人帳戶,系統會提示使用者選擇開啟 InPrivate 或切換至個人帳戶。 false (預設) 需要在使用者的個人帳戶中開啟受限制的網站。 如果停用個人帳戶,則會封鎖該網站。 若要讓此設定生效,com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock 必須設定為 true。 |
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | 輸入秒數,使用者會看到 Snackbar 通知「貴組織已封鎖此網站的存取權。 我們已在 InPrivate 模式中開啟它,以讓您存取該網站。」根據預設,系統會顯示 7 秒的 Snackbar 通知。 |
不論定義的允許清單或封鎖清單設定為何,一律允許 copilot.microsoft.com 以外的下列網站:
https://*.microsoft.com/*
http://*.microsoft.com/*
https://microsoft.com/*
http://microsoft.com/*
https://*.windowsazure.com/*
https://*.microsoftonline.com/*
https://*.microsoftonline-p.com/*
控制網站封鎖快顯的行為
嘗試存取封鎖的網站時,系統會提示使用者切換至 InPrivate 或個人帳戶來開啟封鎖的網站。 您可以選擇 InPrivate 與個人帳戶之間的喜好設定。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (預設) 一律顯示快顯視窗供用戶選擇。 1: 在個人帳戶登入時自動切換至個人帳戶。如果個人帳戶未登入,行為將會變更為值 2。 2:如果 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true 允許 InPrivate 切換,則自動切換至 InPrivate。 |
控制將個人配置檔切換至工作配置文件的行為
當 Edge 位於個人設定檔下,且用戶嘗試從工作配置檔下的 Outlook 或 Microsoft Teams 開啟連結時,根據預設,Intune 會使用 Edge 工作設定檔來開啟連結,因為 Edge、Outlook 和 Microsoft Teams 都是由 Intune 管理。 不過,當連結遭到封鎖時,用戶會切換到個人配置檔。 這會對使用者造成摩擦體驗
您可以設定原則來增強用戶的體驗。 建議將此原則與 AutoTransitionModeOnBlock 搭配使用,因為它可能會根據您設定的原則值,將使用者切換至個人配置檔。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (預設) 切換至工作配置檔,即使 URL 遭到 Edge 原則封鎖也一樣。 2:如果個人配置檔登入,封鎖的 URL 會在個人配置檔下開啟。 如果個人配置檔未登入,封鎖的URL將會以InPrivate模式開啟。 |
管理子資源封鎖
根據預設,AllowListURLs 和 BlockListURLs 僅適用於瀏覽層級。 當您將封鎖的 URL 內嵌 (在 BlockListURL 中設定的 URL 或在 AllowListURLs 中未設定的 URL) 為網頁內的子資源時,這些子資源 URL 不會遭到封鎖。
若要進一步限制這些子資源,您可以設定原則來封鎖子資源 URL。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.ManageRestrictedSubresourceEnabled |
false: (即使封鎖子資源 URL,預設) 子資源 URL 也不會遭到封鎖。 true:子資源 URL 如果列為已封鎖,將會遭到封鎖。 |
注意事項
建議您將此原則與 BlockListURL 搭配使用。 如果與 AllowListURLs 搭配使用,請確定 AllowListURLs 中包含所有子資源 URL。 否則,某些子資源可能無法載入
允許和封鎖網站清單的 URL 格式
您可以使用各種 URL 格式來建置允許/封鎖的網站清單。 下表詳細說明這些允許的模式。
請確定您在將所有 URL 輸入清單時,以 http:// or https:// 為所有 URL 的前置詞。
您可以根據下列允許模式清單中的規則,使用萬用字元符號 (*)。
萬用字元只能比對部分 (例如,
news-contoso.com
) 或主機名稱的整個元件 (例如,host.contoso.com
) 或路徑的整個部分,以正斜線分隔 (www.contoso.com/images
)。您可以在位址中指定連接埠號碼。 如果您未指定連接埠號碼,則使用的值為:
- 連接埠 80,用於 http
- 連接埠 443,用於 https
僅適用於 iOS 的 Edge 支援針對埠號碼使用通配符。 例如,您可以指定
http://www.contoso.com:*
和http://www.contoso.com:*/
。支援使用 CIDR 表示法指定 IPv4 位址。 例如,您可以指定 127.0.0.1/24 (IP 位址範圍) 。
URL 詳細資料 相符 不相符 http://www.contoso.com
符合單一頁面 www.contoso.com
host.contoso.com
www.contoso.com/images
contoso.com/
http://contoso.com
符合單一頁面 contoso.com/
host.contoso.com
www.contoso.com/images
www.contoso.com
http://www.contoso.com/*
符合開頭為 www.contoso.com
的所有 URLwww.contoso.com
www.contoso.com/images
www.contoso.com/videos/tvshows
host.contoso.com
host.contoso.com/images
http://*.contoso.com/*
符合 contoso.com
底下的所有子網域developer.contoso.com/resources
news.contoso.com/images
news.contoso.com/videos
contoso.host.com
news-contoso.com
http://*contoso.com/*
符合以 contoso.com/
結尾的所有子網域news-contoso.com
news-contoso.com/daily
news-contoso.host.com
news.contoso.com
http://www.contoso.com/images
符合單一資料夾 www.contoso.com/images
www.contoso.com/images/dogs
http://www.contoso.com:80
符合單一頁面 (透過使用連接埠號碼) www.contoso.com:80
https://www.contoso.com
符合單一且安全的頁面 www.contoso.com
www.contoso.com/images
http://www.contoso.com/images/*
符合單一資料夾和所有子資料夾 www.contoso.com/images/dogs
www.contoso.com/images/cats
www.contoso.com/videos
http://contoso.com:*
比對單一頁面的任何埠號碼 contoso.com:80
contoso.com:8080
10.0.0.0/24
符合從 10.0.0.0 到 10.0.0.255 的 IP 位址範圍 10.0.0.0
10.0.0.100
192.168.1.1
- 以下是您無法指定的一些輸入範例:
*.com
*.contoso/*
www.contoso.com/*images
www.contoso.com/*images*pigs
www.contoso.com/page*
https://*
http://*
http://www.contoso.com: /*
停用 Edge 內部頁面
您可以停用 Edge 內部頁面,例如 Edge://flags
與 Edge://net-export
。 您可以從 Edge://about
中找到更多頁面
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | 金鑰的對應值是頁面名稱的清單。 您可以輸入您想要封鎖的內部頁面作為單一值,並以分隔號 | 字元分隔。 範例: flags|net-export |
管理網站以允許上傳檔案
在某些情況下,使用者只能檢視網站,但無法上傳檔案。 組織可以選擇指定哪些網站能夠接收檔案上傳。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | 金鑰的對應值是 URL 清單。 您可以輸入您想要封鎖的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | 金鑰的對應值是 URL 清單。 您可以輸入您想要封鎖的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
封鎖所有網站 (包括內部網站) 上傳檔案的範例
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
允許特定網站上傳檔案的範例
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
如需 URL 格式的詳細資訊,請參閱企業原則 URL 模式格式。
注意事項
針對 iOS 上的 Edge,除了上傳之外,也會封鎖貼上動作。 使用者將不會在動作功能表中看到貼上選項。
管理 Proxy 設定
您可以將 iOS 和 Android 版 Edge 和 Microsoft Entra 應用程式 Proxy 搭配使用,讓使用者能夠存取其行動裝置上的內部網路網站。 例如:
- 使用者正在使用受 Intune 保護的 Outlook 行動裝置應用程式。 然後他們會在電子郵件中點擊內部網路網站的連結,而 iOS 和 Android 版 Edge 會透過應用程式 Proxy 辨識此內部網路網站已向使用者公開。 使用者會透過應用程式 Proxy 自動路由傳送,以使用任何適用的多重要素驗證和條件式存取進行驗證,然後再連線到內部網路網站。 使用者現在可以存取內部網站,即使是在其行動裝置上也可以,且 Outlook 中的連結也能如預期般運作。
- 使用者在其 iOS 或 Android 裝置上開啟 iOS 和 Android 版 Edge。 如果 iOS 和 Android 版 Edge 受到 Intune 保護,且已啟用應用程式 Proxy,則使用者可以使用其使用的內部 URL 移至內部網路網站。 iOS 和 Android 版 Edge 會透過應用程式 Proxy 辨識此內部網路網站已向使用者公開。 使用者會自動透過應用程式 Proxy 路由傳送,以在到達內部網路網站之前進行驗證。
前置作業:
- 透過 Microsoft Entra 應用程式 Proxy 來設定內部應用程式。
- 若要設定應用程式 Proxy 並發佈應用程式,請參閱 設定文件。
- 確定已將使用者指派給 Microsoft Entra 應用程式 Proxy 應用程式 (即使該應用程式已使用傳遞預先驗證類型進行設定)。
- iOS 和 Android 版 Edge 應用程式必須已指派 Intune 應用程式防護原則。
- Microsoft 應用程式的應用程式防護原則必須將[使用其他應用程式限制 Web 內容傳輸] 資料傳輸的設定設為 [Microsoft Edge]。
注意事項
iOS 和 Android 版 Edge 會根據上次成功的重新整理事件,更新應用程式 Proxy 重新導向資料。 每當上次成功的重新整理事件大於一小時時,就會嘗試更新。
使用下列金鑰/值組來鎖定 iOS 版和 Androind 版 Edge 為目標,以啟用應用程式 Proxy。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection 此原則名稱已由Edge組態設定下的應用程式 Proxy 重新導向 UI取代 |
true 會啟用 Microsoft Entra 應用程式 Proxy 重新導向案例 false (預設) 禁止 Microsoft Entra 應用程式 Proxy 案例 |
如需如何將 iOS 和 Android 版 Edge 和 Microsoft Entra 應用程式 Proxy 搭配使用,以提供順暢 (和受保護) 的內部部署 Web 應用程式的存取的詳細資訊,請參閱搭配使用更好: Intune 和 Microsoft Entra 小組合作以改善使用者存取。 此部落格文章參考Intune Managed Browser,但內容也適用于 iOS 和 Android 版 Edge。
管理 NTLM 單一登入網站
組織可能需要使用者向 NTLM 進行驗證,才能存取內部網路網站。 根據預設,系統會提示使用者在每次存取需要 NTLM 驗證的網站時輸入認證,因為 NTLM 認證快取已停用。
組織可以為特定網站啟用 NTLM 認證快取。 針對這些網站,在使用者輸入認證並成功驗證之後,預設會快取認證 30 天。
注意事項
如果您使用 Proxy 伺服器,請確定其已使用 NTLMSSOURLs 原則進行設定,其中您會特別指定 HTTPs 和 HTTP 作為密鑰值的一部分。
目前,必須在 NTLMSSOURLs 索引鍵值中指定 HTTPs 和 HTTP 配置。 例如,您必須同時 https://your-proxy-server:8080
設定 和 http://your-proxy-server:8080
。 目前,將格式指定為 host:port (例如 your-proxy-server:8080
) 並不夠。
此外,在 NTLMSSOURLs 原則中設定 Proxy 伺服器時,不支援通配符符號 (*) 。
機碼 | 值 |
---|---|
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | 金鑰的對應值是 URL 清單。 您可以輸入您想要允許的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com 如需支援的 URL 格式類型的詳細資訊,請參閱 允許和封鎖網站清單的 URL 格式。 |
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | 快取認證的時數,預設值為 720 小時 |
受控裝置的其他應用程式組態
下列原則原本可透過受控應用程式應用程式組態原則設定,現在可透過受控裝置應用程式組態原則來使用。 針對受控應用程式使用原則時,使用者必須登入 Microsoft Edge。 針對受控裝置使用原則時,使用者不需要登入 Edge 即可套用原則。
由於受控裝置的應用程式組態原則需要裝置註冊,因此支援任何整合端點管理 (UEM)。 若要在 MDM 通道下尋找更多原則,請參閱 Microsoft Edge 行動裝置原則。
MAM 原則 | MDM 原則 |
---|---|
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
使用 Microsoft Intune 部署應用程式組態案例
如果您使用 Microsoft Intune 作為行動裝置應用程式管理提供者,下列步驟可讓您建立受控應用程式應用程式組態原則。 建立設定之後,您可以將其設定指派給使用者群組。
選取 [應用程式],然後選取 [應用程式組態原則]。
在 [應用程式組態原則] 刀鋒視窗中,選擇 [新增],然後選取 [受控應用程式]。
在 [基本] 區段上,輸入應用程式組態設定的 [名稱] 和選擇性 [描述]。
針對 [公用應用程式],選擇 [選取公用應用程式],然後在 [目標應用程式] 刀鋒視窗上,透過選取 iOS 和 Android 平臺應用程式,選擇 [iOS 和 Android 版 Edge]。 按一下 [選取] 以儲存選取的公用應用程式。
按一下 [下一步] 以完成應用程式組態原則的基本設定。
在 [設定] 區段上,展開 [Edge 組態設定]。
如果您想要管理資料保護設定,請據以設定所需的設定:
針對 [應用程式 Proxy 重新導向],請從可用的選項中選擇: [啟用]、[停用](預設)。
針對 [首頁快捷 URL],指定包含前置詞 http:// 或 https:// 的有效 URL。 不正確的 URL 會作為安全性措施封鎖。
針對 [受控書簽],指定標題和包含前置詞 http:// 或 https:// 的有效 URL。
針對 [允許的 URL],指定有效的 URL (只允許這些 URL;無法存取其他網站)。 如需支援的 URL 格式類型的詳細資訊,請參閱 允許和封鎖網站清單的 URL 格式。
針對 [封鎖的 URL],指定有效的 URL (只有這些 URL 會被封鎖)。 如需支援的 URL 格式類型的詳細資訊,請參閱 允許和封鎖網站清單的 URL 格式。
針對 [將受限制的網站重新導向至個人內容],請從可用的選項中選擇: [啟用(預設)、][停用]。
注意事項
當原則中同時定義允許的 URL 和封鎖的 URL 時,只會接受允許的清單。
如果您想要使用上述原則中未公開的其他應用程式組態設定,請展開 [一般組態設定] 節點,並相應地輸入金鑰值組。
當您完成設定後,請選擇 [下一步]。
在 [指派] 區段上,選擇 [選取要包含的群組]。 選取您要指派應用程式設定原則的 Microsoft Entra 群組,然後選擇 [選取]。
當您完成指派後,請選擇 [下一步]。
在 [建立應用程式組態原則檢閱 + 建立] 刀鋒視窗上,檢閱已設定的設定,然後選擇 [建立]。
新建立的組態原則會顯示在 [應用程式組態] 刀鋒視窗上。
使用 iOS 和 Android 版 Microsoft Edge 來存取受控應用程式記錄
在其 iOS 或 Android 裝置上安裝 iOS 和 Android 版 Edge 的使用者可以檢視所有 Microsoft 已發佈應用程式的管理狀態。 他們可以使用下列步驟傳送記錄,以針對受控 iOS 或 Android 應用程式進行疑難排解:
在裝置上開啟 iOS 和 Android 版 Edge。
在 [位址] 方塊中輸入
edge://intunehelp/
。iOS 和 Android 版 Edge 會在疑難排解模式中啟動。
您可以藉由提供使用者的事件識別碼,從Microsoft 支援服務擷取記錄。
如需儲存在應用程式記錄中的設定清單,請參閱[檢閱用戶端應用程式防護記錄]。
診斷記錄
除了從 edge://intunehelp/
Intune 記錄,Microsoft 支援服務 可能會要求您提供適用於 iOS 和 Android 的 Microsoft Edge 診斷記錄。 您可以將記錄上傳至Microsoft伺服器,或將其儲存在本機,並直接與 Microsoft 支援服務 共用。
將記錄上傳至Microsoft伺服器
請遵循下列步驟,將記錄上傳至Microsoft伺服器:
- 重現問題。
- 選取右下角的漢堡圖示,以開啟溢位功能表。
- 向左撥動,然後選取 [說明和意見反應]。
- 在描述 發生什麼情況一節中,提供問題的詳細數據,讓支援小組可以識別相關的記錄。
- 選取右上角的按鈕,將記錄上傳至Microsoft伺服器。
將記錄儲存在本機,並直接與 Microsoft 支援服務 共用
請遵循下列步驟,在本機儲存記錄並共享記錄:
- 重現問題。
- 選取右下角的漢堡功能表,以開啟溢位功能表。
- 向左撥動,然後選取 [說明和意見反應]。
- 選取 診斷數據。
- 針對 Microsoft Edge for iOS,點選右上角的 共享 圖示。 [OS 共用] 對話框隨即出現,可讓您將記錄儲存在本機,或透過其他應用程式共享記錄。 針對 Microsoft Edge for Android,請開啟右上角的子功能表,然後選取儲存記錄的選項。 記錄會儲存在 [下載>Edge ] 資料夾中。
如果您想要清除舊的記錄,選取診斷數據時,請選取右上方的 [清除] 圖示。 然後,再次重現問題,以確保只會擷取新的記錄。
注意事項
儲存記錄也會遵守 Intune 應用程式保護原則。 因此系統可能不會允許您將診斷資料儲存到本機裝置。