Správa přístupu k internetu pomocí zásad spravované prohlížeče v Microsoft IntuneManage Internet access using managed browser policies with Microsoft Intune

Platí pro: Intune v klasickém portáluApplies to: Intune in the classic portal
Hledáte dokumentaci o Intune na Azure Portalu?Looking for documentation about Intune in the Azure portal? Přejděte sem.Go here.

Spravovaný prohlížeč je aplikace procházení webu, kterou můžete nasadit v organizaci pomocí Microsoft Intune.The managed browser is a web browsing application that you can deploy in your organization by using Microsoft Intune. Zásady spravovaného prohlížeče konfigurují seznam povolených nebo blokovaných webů. Tyto seznamy omezují weby, které můžou uživatelé spravovaného prohlížeče navštívit.A managed browser policy configures an allow list or a block list that restricts the websites that users of the managed browser can visit.

Vzhledem k tomu, že je tato aplikace integrovaná s Intune SDK, můžete u ní také použít zásady ochrany aplikací.Because this app has integration with the Intune SDK, you can also apply app protection policies to it. Tyto zásady můžou zahrnovat řízení použití operací vyjmutí, kopírování a vložení, prevenci pořizování snímků obrazovky nebo zajištění, že když uživatel klikne na odkaz, otevře se obsah jenom v ostatních spravovaných aplikacích.These policies might include controlling the use of cut, copy, and paste, preventing screen captures, and ensuring that links to content that users select open only in other managed apps. Podrobnosti najdete v tématu Konfigurace a nasazení zásad správy mobilních aplikací v konzole Microsoft Intune.For details, see Configure and deploy mobile application management policies in the Microsoft Intune console.

Důležité

Aplikace Managed Browser načte a použije zásady ochrany aplikací Intune, pouze když zásady ochrany aplikací načte jiná aplikace na zařízení.The Managed Browser app only retrieves and applies Intune app protection policies when another app on the device has retrieved an app protection policy.

Dále pokud uživatelé nainstalují spravovaný prohlížeč z App Storu a Intune ho nespravuje, platí toto chování:Additionally, if users install the managed browser from the app store and Intune does not manage it, the following behavior applies:

iOS – Aplikace spravovaného prohlížeče se dá používat jako základní webový prohlížeč, ale nebudou v ní dostupné některé funkce a nebude moct získat přístup k datům z jiných aplikací spravovaných pomocí Intune. iOS – The managed browser app can be used as a basic web browser, but some features will not be available, and it will not be able to access data from other Intune-managed apps.
Android – Aplikace spravovaného prohlížeče se nedá používat. Android – The managed browser app cannot be used.

Pokud uživatelé sami nainstalují spravovaný prohlížeč na zařízení s iOSem starší verze než iOS 9, nebude prohlížeč spravovaný žádnými zásadami, které vytvoříte.If users install the managed browser themselves on an iOS device with a version earlier than iOS 9, no policies that you create will manage the browser. Aby se zajistilo, že prohlížeč bude spravovat služba Intune, musí uživatelé tuto aplikaci nejdřív odinstalovat a potom jim ji můžete nasadit jako spravovanou aplikaci.To ensure that Intune manages the browser, users must uninstall the app before you can deploy it to them as a managed app. Pokud uživatelé sami nainstalují spravovaný prohlížeč v systému iOS 9 a novějším, zobrazí se jim výzva k povolení správy tohoto prohlížeče na základě zásad.On iOS 9 and later, if users install the managed browser themselves, they will be prompted to allow it to become managed by policy.

Zásady spravovaného prohlížeče můžete vytvořit pro následující typy zařízení:You can create managed browser policies for the following device types:

  • Zařízení se systémem Android 4 nebo novější verzíDevices that run Android 4 and later

  • Zařízení se systémem iOS 8.0 nebo novější verzíDevices that run iOS 8.0 and later

Intune Managed Browser podporuje otevírání webového obsahu od partnerů nabízejících aplikace pro Microsoft Intune.The Intune managed browser supports opening web content from Microsoft Intune application partners.

Vytvoření zásady spravovaného prohlížečeCreate a managed browser policy

  1. V konzole pro správu Microsoft Intune zvolte Zásady > Přidat zásadu.In the Microsoft Intune administration console, choose Policy > Add Policy.

  2. Nakonfigurujte jeden z následujících typů zásad pro Software :Configure one of the following Software policy types:

    • Spravovaný prohlížeč (Android 4 a novější)Managed Browser (Android 4 and later)

    • Spravovaný prohlížeč (iOS 8.0 a novější)Managed Browser (iOS 8.0 and later)

    Další informace o vytvoření a nasazení zásad najdete v tématu Správa nastavení a funkcí v zařízeních pomocí zásad Microsoft Intune.For more information about how to create and deploy policies, see the Manage settings and features on your devices with Microsoft Intune Policies topic.

  3. S konfigurací nastavení zásad spravovaného prohlížeče vám pomůžou následující informace:Use the following to help you configure the managed browser policy settings:

    • Název:Name. Zadejte jedinečný název zásady spravovaného prohlížeče, abyste ji mohli v konzole Intune snadno identifikovat.Enter a unique name for the managed browser policy to help you identify it in the Intune console.
    • Popis:Description. Zadejte popis, který bude shrnovat účel zásady spravovaného prohlížeče, a uveďte jakékoli další důležité informace, které vám pomůžou zásadu najít.Provide a description that gives an overview of the managed browser policy and other relevant information that helps you to locate it.
    • Umožňuje povolit používání seznamu povolených nebo blokovaných aplikací, aby se omezily adresy URL, které může Managed Browser otevírat.Enable an allow list or block list to restrict the URLs the Managed Browser can open. Vyberte jednu z následujících možností:Select one of the following options:
      • Povolit spravovanému prohlížeči otevření jenom dole vypsaných adres URL.Allow the managed browser to open only the URLs listed below. Určete seznam adres URL, které spravovaný prohlížeč může otevřít.Specify a list of URLs that the managed browser can open.
      • Blokovat spravovanému prohlížeči otevření dole vypsaných adres URL.Block the managed browser from opening the URLs listed below. Určete seznam adres URL, u kterých bude ve spravovaném prohlížeči blokované otevření.Specify a list of URLs that the managed browser will be blocked from opening. Poznámka: Do jedné zásady spravovaného prohlížeče nemůžete zahrnout seznam povolených i blokovaných adres URL.Note: You cannot include both allowed and blocked URLs in the same managed browser policy. Další informace o formátech adres URL, které se dají určit, najdete v části Formát adres URL pro povolené a blokované adresy URL v tomto tématu.For more information about the URL formats you can specify, see URL format for allowed and blocked URLs in this topic.
  4. Po dokončení klikněte na Uložit zásadu.When you are finished, choose Save Policy.

Nová zásada se zobrazí v uzlu Zásady konfigurace pracovního prostoru Zásady.The new policy appears in the Configuration Policies node of the Policy workspace.

Vytvoření nasazení pro aplikaci spravovaného prohlížečeCreate a deployment for the managed browser app

Po vytvoření zásady spravovaného prohlížeče můžete vytvořit nasazení softwaru pro aplikaci spravovaného prohlížeče a přidružit ho k zásadě spravovaného prohlížeče, kterou jste vytvořili.After you have created the managed browser policy, you can then create a software deployment for the managed browser app, and associate it with the managed browser policy that you created.

Důležité

Zásady spravovaného prohlížeče se nenasazují stejným způsobem jako ostatní zásady Intune.Managed browser policies are not deployed in the same way as other Intune polices. Tento typ zásad musí být přidružený k softwarovému balíčku spravovaného prohlížeče.This type of policy must be associated with the managed browser software package.

Nasaďte aplikaci a na stránce Správa mobilních aplikací vyberte zásadu spravovaného prohlížeče, kterou chcete k aplikaci přidružit.Deploy the app, ensuring that you select the managed browser policy on the Mobile App Management page to associate the policy with the app.

Další informace o tom, jak nasadit aplikace, najdete v tématu Nasazení aplikací v Microsoft Intune.For more information about how to deploy apps, see Deploy apps in Microsoft Intune.

Zabezpečení a ochrana osobních údajů pro spravovaný prohlížečSecurity and privacy for the managed browser

  • V zařízeních se systémem iOS se nedají otevřít weby, u kterých vypršela platnost certifikátu nebo které mají nedůvěryhodný certifikát.On iOS devices, websites that users visit that have an expired or untrusted certificate cannot be opened.

  • Spravovaný prohlížeč nevyužívá nastavení, která uživatelé použijí pro prohlížeče integrované na jejich zařízeních.The managed browser does not use settings that users make for the built-in browser on their devices. Důvodem je to, že spravovaný prohlížeč nemá k těmto nastavením přístup.This is because the managed browser does not have access to these settings.

  • Pokud v zásadě správy mobilních aplikací přidružené ke spravovanému prohlížeči nakonfigurujete možnost Požadovat pro přístup jednoduchý kód PIN nebo Požadovat pro přístup podnikové přihlašovací údaje a uživatel klikne na stránce ověřování na odkaz nápovědy, bude moct na internetu přejít na libovolný web, i když bude tento web v zásadě spravovaného prohlížeče uvedený v seznamu blokovaných webů.If you configure the option Require simple PIN for access or Require corporate credentials for access in a mobile application management policy associated with the managed browser, and a user selects the help link on the authentication page, they can then browse any Internet sites regardless of whether they were added to a block list in the managed browser policy.

  • Spravovaný prohlížeč může blokovat přístup k webům jenom v případě, že se k nim přistupuje přímo.The managed browser can block access to sites only when they are accessed directly. V případě, že se k webu přistupuje přes zprostředkující služby (třeba překladatelské služby), přístup blokovat nemůže.It cannot block access when intermediate services (such as a translation service) are used to access the site.

  • Kvůli povolení ověřování a kvůli přístupu k dokumentaci Intune adresa *.microsoft.com nefiguruje v seznamech povolených a blokovaných webů.To allow authentication, and to ensure that the Intune documentation can be accessed,*.microsoft.com is exempt from the allow or block list settings. Je vždycky povolená.It is always allowed.

Vypnutí dat o využitíTurn off usage data

Microsoft automaticky shromažďuje anonymní informace o výkonu a využití spravovaného prohlížeče za účelem zlepšení svých produktů a služeb.Microsoft automatically collects anonymous data about the performance and use of the managed browser to improve Microsoft products and services. Uživatelé můžou shromažďování těchto dat na svých zařízeních vypnout pomocí nastavení Data o využití.Users can turn off data collection by using the Usage Data setting on their devices. Nad shromažďováním těchto dat nemáte žádnou kontrolu.You have no control over the collection of this data.

Referenční informaceReference information

Formát adresy URL pro povolené a blokované adresy URLURL format for allowed and blocked URLs

V následující části najdete informace o povolených formátech a zástupných znacích, které můžete použít při zadávání adres URL v seznamech povolených a blokovaných webů:Use the following information to learn about the allowed formats and wildcards that you can use when specifying URLs in the allowed and blocked lists:

  • V souladu s následujícími pravidly můžete v seznamu povolených vzorů použít zástupný znak (*).You can use the wildcard symbol (*) according to the rules in the following permitted patterns list.

  • Při zadávání adres URL do seznamu nezapomeňte u všech uvést předponu http nebo https.Ensure that you prefix all URLs with http or https when entering them into the list.

  • V adrese můžete specifikovat čísla portů.You can specify port numbers in the address. Pokud nezadáte číslo portu, použijí se tyto hodnoty:If you do not specify a port number, the values used will be:

    • Port 80 pro protokol HTTPPort 80 for http

    • Port 443 pro protokol HTTPSPort 443 for https

    Použití zástupných znaků pro číslo portu se nepodporuje.Using wildcards for the port number is not supported. Nepodporují se například http://www.contoso.com:*; a http://www.contoso.com: /*;.For example, http://www.contoso.com:*; and http://www.contoso.com: /*; are not supported.

  • Informace o povolených vzorech, které můžete použít při zadávání adres URL, najdete v následující tabulce:Use the following table to learn about the permitted patterns that you can use when you specify URLs:

Adresa URLURL PodrobnostiDetails OdpovídáMatches NeodpovídáDoes not match
http://www.contoso.comhttp://www.contoso.com Odpovídá jediné stránceMatches a single page www.contoso.comwww.contoso.com host.contoso.comhost.contoso.com

www.contoso.com/imageswww.contoso.com/images

contoso.com/contoso.com/
http://contoso.comhttp://contoso.com Odpovídá jediné stránceMatches a single page contoso.com/contoso.com/ host.contoso.comhost.contoso.com

www.contoso.com/imageswww.contoso.com/images

www.contoso.comwww.contoso.com
http://www.contoso.com/*;http://www.contoso.com/*; Odpovídá všem adresám URL začínajícím na www.contoso.comMatches all URLs that begin with www.contoso.com www.contoso.comwww.contoso.com

www.contoso.com/imageswww.contoso.com/images

www.contoso.com/videos/tvshowswww.contoso.com/videos/tvshows
host.contoso.comhost.contoso.com

host.contoso.com/imageshost.contoso.com/images
http://*.contoso.com/*http://*.contoso.com/* Odpovídá všem dílčím doménám domény contoso.comMatches all subdomains under contoso.com developer.contoso.com/resourcesdeveloper.contoso.com/resources

news.contoso.com/imagesnews.contoso.com/images

news.contoso.com/videosnews.contoso.com/videos
contoso.host.comcontoso.host.com
http://www.contoso.com/imageshttp://www.contoso.com/images Odpovídá jediné složceMatches a single folder www.contoso.com/imageswww.contoso.com/images www.contoso.com/images/dogswww.contoso.com/images/dogs
http://www.contoso.com:80http://www.contoso.com:80 Odpovídá jediné stránce s použitím čísla portuMatches a single page, by using a port number http://www.contoso.com:80http://www.contoso.com:80
https://www.contoso.comhttps://www.contoso.com Odpovídá jediné zabezpečené stránceMatches a single, secure page https://www.contoso.comhttps://www.contoso.com http://www.contoso.comhttp://www.contoso.com
http://www.contoso.com/images/*;http://www.contoso.com/images/*; Odpovídá jediné složce a všem podsložkámMatches a single folder and all subfolders www.contoso.com/images/dogswww.contoso.com/images/dogs

www.contoso.com/images/catswww.contoso.com/images/cats
www.contoso.com/videoswww.contoso.com/videos
  • Tady jsou uvedené příklady některých vstupních hodnot, které nemůžete zadat:The following are examples of some of the inputs that you cannot specify:

    • *.com*.com

    • *.contoso/**.contoso/*

    • www.contoso.com/*imageswww.contoso.com/*images

    • www.contoso.com/*images*pigswww.contoso.com/*images*pigs

    • www.contoso.com/page*www.contoso.com/page*

    • IP adresyIP addresses

    • https://*https://*

    • http://*http://*

    • http://www.contoso.com:*http://www.contoso.com:*

    • http://www.contoso.com: /*http://www.contoso.com: /*

Řešení konfliktů mezi seznamy povolených a blokovaných webůHow conflicts between the allow and block list are resolved

Pokud je na zařízení nasazených víc zásad spravovaného prohlížeče a dojde ke konfliktu nastavení, vyhodnotí se konflikty obou režimů (povoleného i blokovaného) a konflikty seznamů adres URL.If multiple managed browser policies are deployed to a device and the settings conflict, both the mode (allow or block) and the URL lists are evaluated for conflicts. V případě konfliktu platí následující pravidlo:In case of a conflict, the following behavior applies:

  • Pokud je u obou zásad stejný režim, ale liší se seznamy adres URL, příslušné adresy URL se na zařízení neuplatní.If the modes in each policy are the same, but the URL lists are different, the URLs will not be enforced on the device.

  • Pokud má každá zásada jiný režim, ale seznamy adres URL jsou stejné, příslušné adresy URL se na zařízení neuplatní.If the modes in each policy are different, but the URL lists are the same, the URLs will not be enforced on the device.

  • Pokud zařízení obdrží zásady spravovaného prohlížeče poprvé a dojde ke konfliktu dvou zásad, příslušné adresy URL se na zařízení neuplatní.If a device is receiving managed browser policies for the first time and two policies conflict, the URLs will not be enforced on the device. K zobrazení konfliktů použijte uzel Konflikty zásad pracovního prostoru Zásady.Use the Policy Conflicts node of the Policy workspace to view the conflicts.

  • Pokud už zařízení zásady spravovaného prohlížeče obdrželo a nasazuje se druhá zásada s konfliktním nastavením, zůstanou na zařízení původní nastavení.If a device has already received a managed browser policy and a second policy is deployed with conflicting settings, the original settings remain on the device. K zobrazení konfliktů použijte uzel Konflikty zásad pracovního prostoru Zásady.Use the Policy Conflicts node of the Policy workspace to view the conflicts.