Administración del acceso web con un explorador protegido por directiva de Microsoft IntuneManage web access using a Microsoft Intune policy-protected browser

Mediante un explorador protegido por una directiva de Intune (Microsoft Edge o Intune Managed Browser), tendrá la garantía de que el acceso a los sitios web corporativos se hace siempre con las medidas de seguridad adecuadas.Using a browser protected with Intune policy (Microsoft Edge or Intune Managed Browser), you can ensure corporate websites are always accessed with safeguards in place. Cuando se configuran con Intune, los exploradores protegidos presentan estas ventajas:When configured with Intune, protected browsers can take advantage of the following:

  • Directivas de protección de aplicacionesApplication protection policies
  • Acceso condicionalConditional Access
  • Inicio de sesión únicoSingle sign-on
  • Parámetros de configuración de la aplicaciónApplication configuration settings
  • Integración de proxy de la aplicación de AzureAzure application proxy integration

Compatibilidad de Microsoft EdgeMicrosoft Edge support

Puede usar Microsoft Edge para escenarios empresariales en dispositivos iOS y Android.You can use Microsoft Edge for enterprise scenarios on iOS and Android devices. Microsoft Edge admite los mismos escenarios de administración que Intune Managed Browser con la incorporación de mejoras en la experiencia del usuario final.Microsoft Edge supports all of the same management scenarios as the Intune Managed Browser with the addition of improvements to end-user experience. Están disponibles las características empresariales de Microsoft Edge siguientes habilitadas por directivas de Intune:The following Microsoft Edge enterprise features that are enabled by Intune policies include:

  • Identidad dual: los usuarios pueden agregar una cuenta profesional, al igual que una cuenta personal, para realizar la exploración.Dual-Identity - Users can add both a work account, as well as a personal account, for browsing. Hay una separación total entre ambas identidades, que es similar a la arquitectura y experiencia existente en Office 365 y Outlook.There is complete separation between the two identities, which is similar to the architecture and experience in Office 365 and Outlook. Los administradores de Intune podrán establecer las directivas deseadas para lograr una experiencia de exploración protegida dentro de la cuenta profesional.Intune admins will be able to set the desired policies for a protected browsing experience within the work account.
  • Integración de directivas de protección de la aplicación Intune: los administradores ahora pueden dirigir las directivas de protección de aplicación a Microsoft Edge, incluido el control de las acciones de cortar, copiar y pegar, lo que impide las capturas de pantalla y garantiza que los vínculos seleccionados por el usuario solo se abran en otras aplicaciones administradas.Intune app protection policy integration - Admins can now target app protection policies to Microsoft Edge, including the control of cut, copy, and paste, preventing screen captures, and ensuring that user-selected links open only in other managed apps.
  • Integración de proxy de la aplicación de Azure: los administradores pueden controlar el acceso a las aplicaciones web y a las aplicaciones SaaS, lo que permite garantizar que las aplicaciones basadas en explorador solo se ejecuten en el explorador seguro de Microsoft Edge, ya sea que los usuarios finales se conecten desde la red corporativa o desde Internet.Azure Application Proxy integration - Admins can control access to SaaS apps and web apps, helping ensure browser-based apps only run in the secure Microsoft Edge browser, whether end users connect from the corporate network or connect from the Internet.
  • Favoritos administrados y accesos directos a la página principal: para facilitar el acceso, los administradores pueden establecer direcciones URL para que aparezcan en los favoritos cuando los usuarios finales estén en su contexto corporativo.Managed Favorites and Home Page shortcuts - For ease of access, admins can set URLs to appear under favorites when end users are in their corporate context. Los administradores pueden establecer un acceso directo a la página principal, que se mostrará como el acceso directo principal cuando el usuario corporativo abra una página o una pestaña nueva en Microsoft Edge.Admins can set a homepage shortcut, which will show as the primary shortcut when the corporate user opens a new page or a new tab in Microsoft Edge.

Las directivas de protección de Microsoft Intune para Microsoft Edge ayudan a proteger los datos y los recursos de su organización.Microsoft Intune protection policies for Microsoft Edge help to protect your organization’s data and resources. Microsoft Edge protegido por Intune garantiza que los recursos de su empresa están protegidos no solo dentro de las aplicaciones instaladas de manera nativa, sino también cuando se acceden a través del explorador web.Intune-protected Microsoft Edge ensures that your company’s resources are protected not only within natively installed apps, but also when accessed through the web browser.

IntroducciónGetting started

Microsoft Edge e Intune Managed Browser son aplicaciones de explorador web que usted y sus usuarios finales pueden descargar desde las tiendas de aplicaciones públicas para usarlas en la organización.Microsoft Edge and the Intune Managed Browser are web browser apps that you and your end users can download from public app stores for use in your organization.

Requisitos del sistema operativo para las directivas de explorador:Operating system requirements for browser policies:

  • Android 4 y versiones posterioresAndroid 4 and later, or
  • iOS 8.0 y versiones posteriores.iOS 8.0 and later.

Las versiones anteriores de iOS y Android podrán seguir usando Intune Managed Browser, pero no podrán instalar nuevas versiones de la aplicación y es posible que no puedan tener acceso a todas las funcionalidades de la aplicación.Earlier versions of Android and iOS will be able to continue using the Managed Browser, but will be unable to install new versions of the app and might not be able to access all of the app capabilities. Le recomendamos que actualice la versión del sistema operativo de estos dispositivos a una que sea compatible.We encourage you to update these devices to a supported operating system version.

Nota

Managed Browser no es compatible con el protocolo de cifrado de Capa de sockets seguros versión 3 (SSLv3).The Managed Browser does not support the Secure Sockets Layer version 3 (SSLv3) cryptographic protocol.

Directivas de protección de aplicaciones para exploradores protegidosApplication protection policies for protected browsers

Como Microsoft Edge y Managed Browser disponen de integración con el SDK de Intune, también puede aplicarles directivas de protección de aplicaciones, lo que incluye:Because Microsoft Edge and Managed Browser have integration with the Intune SDK, you can also apply app protection policies to them, including:

  • Controlar el uso de cortar, copiar y pegarControlling the use of cut, copy, and paste.
  • Evitar las capturas de pantallaPreventing screen captures.
  • Garantizar que los vínculos corporativas se abren solo en aplicaciones y exploradores administradosEnsuring corporate links open only within managed apps and browsers.

Para obtener detalles, vea ¿Qué son las directivas de protección de aplicaciones?For details, see What are app protection policies?

Puede aplicar esta configuración a:You can apply these settings to:

  • Dispositivos móviles inscritos con IntuneDevices that are enrolled with Intune
  • Inscritos con otro producto de MDMEnrolled with another MDM product
  • Dispositivos no administradosUnmanaged devices

Nota

Si los usuarios instalan Managed Browser desde la tienda de aplicaciones y no lo administra Intune, se puede utilizar como un explorador web básico, con compatibilidad para el inicio de sesión único a través del sitio de Microsoft MyApps.If users install the Managed Browser from the app store and Intune does not manage it, it can be used as a basic web browser, with support for Single Sign-On through the Microsoft MyApps site. A los usuarios se les remite directamente al sitio de MyApps, donde pueden ver todas las aplicaciones SaaS aprovisionadas.Users are taken directly to the MyApps site, where they can see all of their provisioned SaaS applications. Dado que Intune no administra Managed Browser ni Microsoft Edge, no pueden acceder a los datos de otras aplicaciones administradas por Intune.While Managed Browser or Microsoft Edge are not managed by Intune, they cannot access data from other Intune-managed applications.

Acceso condicional para exploradores protegidosConditional Access for protected browsers

Ahora, Managed Browser es una aplicación de cliente aprobada para el acceso condicional.The Managed Browser is now an approved client app for Conditional Access. Esto significa que se puede restringir el acceso de explorador móvil a únicamente las aplicaciones web conectadas a Azure AD donde solo se puede usar Managed Browser, e impedir el acceso desde cualquier otro explorador no protegido, como Safari o Chrome.This means that you can restrict mobile browser access to Azure AD-connected web apps where users can only use the Managed Browser, blocking access from any other unprotected browsers such as Safari or Chrome. Esta protección se puede aplicar a recursos de Azure como Exchange Online y SharePoint Online, el Centro de administración de Microsoft 365 e, incluso, a sitios locales que estén expuestos a usuarios externos a través del proxy de la aplicación de Azure AD.This protection can be applied to Azure resources like Exchange Online and SharePoint Online, the Microsoft 365 admin center, and even on-premises sites that you have exposed to external users via the Azure AD Application Proxy.

Para limitar las aplicaciones web conectadas a Azure AD al uso de Intune Managed Browser en plataformas móviles, puede crear una directiva de acceso condicional que requiera aplicaciones de cliente aprobadas.To restrict Azure AD-connected web apps to use the Intune Managed Browser on mobile platforms, you can create a Conditional Access policy requiring approved client applications.

Sugerencia

Acceso condicional es una tecnología de Azure Active Directory (Azure AD).Conditional Access is an Azure Active Directory (Azure AD) technology. El nodo de acceso condicional al que se accede desde Intune es el mismo nodo al que se accede desde Azure AD.The Conditional Access node accessed from Intune is the same node as accessed from Azure AD.

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager Admin Center.

  2. Seleccione Dispositivos > Acceso condicional > Nueva directiva.Select Devices > Conditional Access > New policy.

  3. En Nombre agregue el nombre de la directiva.Add the policy Name.

  4. En la sección Asignaciones, seleccione Condiciones > Aplicaciones cliente.In the Assignments section, select Conditions > Client apps. Aparecerá el panel Aplicaciones cliente.The Client apps pane is displayed.

  5. Haga clic en en Configurar para aplicar la directiva a aplicaciones cliente específicas.Click Yes under Configure to apply the policy to specific client apps.

  6. Compruebe que Explorador está seleccionado como aplicación cliente.Verify that Browser is selected as a client app.

    Azure AD - Managed Browser - Selección de aplicaciones cliente

    Nota

    Si quiere restringir qué aplicaciones nativas (aplicaciones que no son de explorador) pueden tener acceso a estas aplicaciones en la nube, también puede seleccionar Aplicaciones móviles y aplicaciones de escritorio.If you want to restrict which native apps (non-browser apps) can access these cloud applications, you can also select Mobile apps and desktop clients.

  7. Haga clic en Listo > Listo.Click Done > Done.

  8. En la sección Asignaciones, seleccione Usuarios y grupos y elija los usuarios o grupos a los que quiera asignar esta directiva.In the Assignments section, select Users and groups and choose the users or groups you would like to assign this policy. Haga clic en Listo para cerrar el panel.Click Done to close the pane.

  9. En la sección Asignaciones, seleccione Aplicaciones en la nube o acciones para elegir las aplicaciones que se van a proteger con esta directiva.In the Assignments section, select Cloud apps or actions to choose which apps to protect with this policy. Haga clic en Listo para cerrar el panel.Click Done to close the pane.

  10. Seleccione Conceder en la sección Controles de acceso del panel.Select Grant from the Access controls section of the pane.

  11. Haga clic en Conceder acceso y luego en Requerir aplicación cliente aprobada.Click Grant access and then click Require approved client app.

  12. Haga clic en Seleccionar en el panel Conceder.Click Select on the Grant pane. Esta directiva se debe asignar a las aplicaciones en la nube que quiera que estén accesibles a únicamente la aplicación Intune Managed Browser.This policy must be assigned to the cloud apps that you want to be accessible to only the Intune Managed Browser app.

    Azure AD: Directiva de acceso condicional de Managed Browser

Una vez configurada la directiva, los usuarios deberán usar inexorablemente Intune Managed Browser para tener acceso a las aplicaciones web conectadas a Azure AD que estén protegidas con dicha directiva.Once the above policy is configured, users will be forced to use the Intune Managed Browser to access the Azure AD-connected web apps you have protected with this policy. Si los usuarios intentan usar un explorador no administrado en este escenario, aparecerá un aviso que les indica que deben usar Intune Managed Browser en su lugar.If users attempt to use an unmanaged browser in this scenario, they will see a notice that the Intune Managed Browser must be used instead.

Managed Browser no admite directivas de acceso condicional clásicas.The Managed Browser does not support classic Conditional Access policies. Para obtener más información, vea Migración de directivas clásicas en Azure Portal.For more information, see Migrate classic policies in the Azure portal.

Inicio de sesión único en aplicaciones web conectadas a Azure AD en exploradores protegidos por directivasSingle Sign-on to Azure AD-connected web apps in policy-protected browsers

Microsoft Edge e Intune Managed Browser en iOS y Android pueden aprovechar el inicio de sesión único en todas las aplicaciones web (SaaS y locales) que estén conectadas a Azure AD.Microsoft Edge and Intune Managed Browser on iOS and Android can take advantage of SSO to all web apps (SaaS and on-prem) that are Azure AD-connected. Si la aplicación Microsoft Authenticator está presente en iOS o la aplicación Portal de empresa de Intune lo está en Android, los usuarios de un explorador protegido por directivas podrán acceder a aplicaciones web conectadas a Azure AD sin tener que volver a escribir sus credenciales.When the Microsoft Authenticator app is present on iOS or the Intune Company Portal app on Android, users of a policy-protected browser will be able to access Azure AD-connected web apps without having to re-enter their credentials.

Para el inicio de sesión único hace falta que el dispositivo esté registrado con la aplicación Microsoft Authenticator en iOS o con el Portal de empresa de Intune en Android.SSO requires your device to be registered by the Microsoft Authenticator app on iOS or the Intune Company Portal on Android. Los usuarios que tengan las aplicaciones Authenticator o Portal de empresa de Intune deberán registrar su dispositivo cuando vayan a una aplicación web conectada a Azure AD en un explorador protegido por directivas, si el dispositivo aún no se ha registrado por medio de otra aplicación.Users with the Authenticator app or Intune Company Portal will be prompted to register their device when they navigate to an Azure AD-connected web app in a policy-protected browser, if their device has not already been registered by another application. Una vez que el dispositivo esté registrado con la cuenta administrada por Intune, esa cuenta tendrá habilitado el inicio de sesión único en las aplicaciones web conectadas a Azure AD.Once the device is registered with the account managed by Intune, that account will have SSO enabled for Azure AD-connected web apps.

Nota

El registro de dispositivos consiste en un sencillo registro en el servicio de Azure AD.Device registration is a simple check-in with the Azure AD service. No se requiere una inscripción de dispositivo completa ni se otorga a TI ningún tipo de privilegio extra en el dispositivo.It does not require full device enrollment and does not give IT any additional privileges on the device.

Establecimiento de una configuración de aplicaciones de explorador protegidoCreate a protected browser app configuration

Importante

Para que se apliquen las configuraciones de aplicaciones, el explorador protegido del usuario u otra aplicación del dispositivo ya deben estar administrados mediante directivas de aplicación de IntuneFor app configurations to apply, the user's protected browser or another app on the device must already be managed by Intune app protection policy

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager Admin Center.
  2. Seleccione Aplicaciones > Directivas de configuración de aplicaciones > Agregar > Aplicaciones administradas.Select Apps > App configuration policies > Add > Managed apps.
  3. En la página Aspectos básicos del panel Crear una directiva de configuración de aplicaciones, escriba un nombre y una descripción opcional para las opciones de configuración de aplicaciones.On the Basics page of the Create app configuration policy pane, enter a Name and optional Description for the app configuration settings.
  4. Elija Seleccionar la aplicación pública y elija Managed Browser o Edge para iOS, para Android o para ambos.Choose Select the public app and choose the Managed Browser and/or Edge for iOS, for Android, or for both.
  5. Haga clic en Seleccionar para volver al panel Crear una directiva de configuración de aplicaciones.Click Select to return to the Create app configuration policy pane.
  6. Haga clic en Siguiente para abrir la página Configuración.Click Next to display the Settings page.
  7. En la página Configuración, defina los pares de clave y valor para proporcionar configuraciones para la aplicación.On the Settings page you define key and value pairs to supply configurations for the app. Use las secciones posteriores de este artículo para obtener información sobre los diferentes pares de clave y valor que puede definir.Use the sections later in this article to learn about the different key and value pairs you can define.
  8. Haga clic en Siguiente para mostrar la página Asignación y luego haga clic en Seleccionar grupos para incluir o Seleccionar grupos para excluir.Click Next to display the Assignment page and then click Select groups to include and/or Select groups to exclude.
  9. Elija Siguiente para mostrar la página Revisar y crear.Click Next to display the Review + create page.
  10. Haga clic en Crear después de haber revisado la directiva de configuración de la aplicación.Click Create after you have reviewed the app configuration policy.

Se crea la configuración y se muestra en el panel Directiva de configuración de la aplicación.The new configuration is created, and displayed on the App configuration policy pane.

Asignación de las opciones de configuración creadasAssign the configuration settings you created

Debe asignar la configuración a los grupos de usuarios de Azure AD.You assign the settings to Azure AD groups of users. Si ese usuario tiene instalada la aplicación de explorador protegido, esta se administra mediante la configuración especificada.If that user has the targeted protected browser app installed, then the app is managed by the settings you specified.

  1. En el panel Aplicaciones del panel de administración de aplicaciones móviles de Intune, elija Directiva de configuración de aplicaciones.On the Apps pane of the Intune mobile application management dashboard, choose App configuration policies.
  2. En la lista de configuraciones de aplicación, seleccione la que desea asignar.From the list of app configurations, select the one you want to assign.
  3. En el siguiente panel, elija Asignaciones.On the next pane, choose Assignments.
  4. En el panel Asignaciones, seleccione el grupo de Azure AD al que quiere asignar la configuración de aplicación y después elija Aceptar.On the Assignments pane, select the Azure AD group to which you want to assign the app configuration, and then choose OK.

Establecimiento de Microsoft Edge como explorador protegido para la organizaciónHow to set Microsoft Edge as the protected browser for your organization

Esta configuración le permite configurar si los usuarios se dirigirán a Microsoft Edge o a Intune Managed Browser, suponiendo que ambos exploradores están dirigidos a la directiva de protección de aplicaciones.This setting allows you to configure if your users will be directed to Microsoft Edge or the Intune Managed Browser, assuming both browsers are targeted with app protection policy. Esta configuración de la directiva de configuración de la aplicación debe destinarse a aplicaciones administradas de Intune desde las que se abre el vínculo web.This application configuration policy setting should be targeted to Intune managed Apps from which the web link is opened.

Si este valor se establece en "true":If this setting is set to "True":

  • Los usuarios se dirigirán a Microsoft Edge cuando abran vínculos desde aplicaciones administradas de Intune destinadas a este valor.Your users will directed to Microsoft Edge when opening links from Intune managed apps targeted with this setting.
  • Si aún no tienen la aplicación, se les pedirá que descarguen Microsoft Edge desde la tienda, independientemente de si tienen Intune Managed Browser descargado.If they do not have the app yet, they will be prompted to download Microsoft Edge from the store, regardless of if they have the Intune Managed Browser downloaded.

Si este valor se establece en "false":If this setting is set to "False":

  • Si los usuarios han descargado tanto Managed Browser como Microsoft Edge, se iniciará Managed Browser.If your users have both the Managed Browser and Microsoft Edge downloaded, the Managed Browser will launch.
  • Si los usuarios tienen o bien Managed Browser o Microsoft Edge descargado, se iniciará la aplicación del explorador.If your users have either the Managed Browser or Microsoft Edge downloaded, that browser app will launch.
  • Si los usuarios no tienen una aplicación de explorador descargada, se les pedirá que descarguen Managed Browser.If your users do not have either browser app downloaded, they will be prompted to download the Managed Browser.

Mediante el procedimiento anterior para crear una configuración de la aplicación Microsoft Edge.Using the above procedure to create a Microsoft Edge app configuration. Proporcione el siguiente par de clave y valor al seleccionar Opciones de configuración en el panel Configuración (paso 9):Supply the following key and value pair when selecting the Configuration settings on the Configuration pane (step 9):

KeyKey ValorValue
com.microsoft.intune.useEdgecom.microsoft.intune.useEdge truetrue

Nota

En la directiva de protección de aplicaciones que administra Microsoft Edge y las aplicaciones asociadas especificadas en la configuración de la aplicación, asegúrese de que se establece la siguiente configuración de directiva de protección de datos:In the app protection policy that manages Microsoft Edge and associated apps specified in the app configuration, ensure the following data protection policy settings are set:

  • Envíe datos de la organización a otras aplicaciones: Aplicaciones administradas por directivasSend Org data to other apps: Policy managed apps
  • Restrinja la transferencia de contenido web con otras aplicaciones: Exploradores administrados por directivasRestrict web content transfer with other apps: Policy managed browsers

Configuración del proxy de aplicación para exploradores protegidosHow to configure Application Proxy settings for protected browsers

Microsoft Edge e Intune Managed Browser y Azure Active Directory Application Proxy pueden usarse conjuntamente para admitir los siguientes casos de usuarios de dispositivos iOS y Android:Microsoft Edge and the Intune Managed Browser and Azure AD Application Proxy can be used together to support the following scenarios for users of iOS and Android devices:

  • Un usuario descarga e inicia sesión en la aplicación Microsoft Outlook.A user downloads and signs in to the Microsoft Outlook app. Las directivas de protección de aplicaciones de Intune se aplican automáticamente.Intune app protection policies are automatically applied. Cifran los datos guardados e impiden que el usuario transfiera archivos corporativos a ubicaciones o aplicaciones no administradas en el dispositivo.They encrypt saved data and block the user from transferring corporate files to unmanaged apps or locations on the device. Cuando el usuario hace clic en un vínculo a un sitio de intranet en Outlook, puede especificar que el vínculo se abra en la aplicación de explorador protegido en lugar de en otro explorador.When the user then clicks a link to an intranet site in Outlook, you can specify that the link opens in a protected browser application, rather than another browser. El explorador protegido reconoce que este sitio de intranet se ha expuesto al usuario a través del proxy de aplicación.The protected browser recognizes that this intranet site has been exposed to the user through the Application Proxy. El usuario se enruta automáticamente a través del proxy de la aplicación para que se autentique con una autenticación multifactor y un acceso condicional antes de llegar al sitio de la intranet.The user is automatically routed through the Application Proxy, to authenticate with any applicable multi-factor authentication, and Conditional Access before reaching the intranet site. Este sitio, que anteriormente no se podía encontrar mientras el usuario fuera remoto, ahora es accesible y el vínculo en Outlook funciona según lo previsto.This site, which could previously not be found while the user was remote, is now accessible and the link in Outlook works as expected.
  • Un usuario remoto abre la aplicación de explorador protegido y se desplaza a un sitio de intranet con la dirección URL interna.A remote user opens the protected browser application and navigates to an intranet site using the internal URL. El explorador protegido reconoce que este sitio de intranet se ha expuesto al usuario a través del proxy de aplicación.The protected browser recognizes that this intranet site has been exposed to the user via the Application Proxy. El usuario se enruta automáticamente a través del proxy de la aplicación para que se autentique con una autenticación multifactor y un acceso condicional antes de llegar al sitio de la intranet.The user is automatically routed through the Application Proxy, to authenticate with any applicable multi-factor authentication, and Conditional Access before reaching the intranet site. Este sitio, que anteriormente no se podía encontrar mientras el usuario fuera remoto, ahora es accesible.This site, which could previously not be found while the user was remote, is now accessible.

Antes de empezarBefore you start

  • Configure las aplicaciones internas a través del proxy de aplicación de Azure AD.Set up your internal applications through the Azure AD Application Proxy.

    • Para configurar el proxy de aplicación y publicar aplicaciones, vea la documentación de configuración.To configure Application Proxy and publish applications, see the setup documentation.
    • A los usuarios se les debe asignar la aplicación empresarial para la que se va a producir la redirección.Users must be assigned to the Enterprise Application for which the redirection is to occur. Esto se debe hacer incluso si la aplicación se establece en modo de paso a través para la autenticación previa, y si el requisito de asignación de usuarios se ha desactivado en la configuración del proxy de aplicación.This must be done even if the application is set to Passthrough mode for Pre-Authentication, and if the user assignment requirement has been turned off in the Application Proxy settings.
  • Debe usar como mínimo la versión 1.2.0 de la aplicación Managed Browser.You must be using minimum version 1.2.0 of the Managed Browser app.

  • Los usuarios de las aplicaciones Managed Browser o Microsoft Edge tienen una directiva de protección de aplicaciones de Intune asignada a la aplicación.Users of the Managed Browser or Microsoft Edge app have an Intune app protection policy assigned to the app.

    Nota

    Los datos de redireccionamiento actualizados del proxy de la aplicación pueden tardar hasta 24 horas en aplicarse a Managed Browser y a Microsoft Edge.Updated Application Proxy redirection data can take up to 24 hours to take effect in the Managed Browser and Microsoft Edge.

Paso 1: Habilitar el redireccionamiento automático a un explorador protegido desde Outlook.Step 1: Enable automatic redirection to a protected browser from Outlook

Outlook debe configurarse con una directiva de protección de aplicaciones que habilite el valor Restringir contenido web para mostrar en Managed Browser.Outlook must be configured with an app protection policy that enables the setting Restrict web content to display in the Managed Browser.

Paso 2: Asignación de una directiva de configuración de aplicaciones al explorador protegidoStep 2: Assign an app configuration policy assigned for the protected browser

Este procedimiento configura la aplicación Managed Browser o Microsoft Edge para usar el redireccionamiento del proxy de aplicación.This procedure configures the Managed Browser or Microsoft Edge app to use app proxy redirection.

Abra la pestaña Edge en los valores de configuración de la directiva y seleccione Habilitar para el valor de redirección del proxy de aplicación.Open the Edge tab in the configuration settings for the policy and select Enable for the Application proxy redirection value. Al habilitar esta opción, los usuarios tendrán acceso a los vínculos corporativos y a las aplicaciones web locales publicadas a través del proxy de aplicación de Azure.Enabling this setting will give users access to corporate links and on-premises web apps published through the Azure application proxy.

Para más información sobre cómo usar Managed Browser, Microsoft Edge y Azure AD Application Proxy conjuntamente para tener un acceso fluido (y protegido) a las aplicaciones web locales, consulte la entrada de blog de Enterprise Mobility + Security Better together: Intune and Azure Active Directory team up to improve user access (Juntos mejor: Intune y Azure Active Directory unen fuerzas para mejorar el acceso de usuario).For more information about how the Managed Browser, Microsoft Edge, and Azure AD Application Proxy can be used in tandem for seamless (and protected) access to on-premises web apps, see the Enterprise Mobility + Security blog post Better together: Intune and Azure Active Directory team up to improve user access.

Configuración de la página principal del explorador protegidoHow to configure the homepage for a protected browser

Este valor permite configurar la página principal que ven los usuarios cuando inician un explorador protegido o crean una pestaña nueva.This setting allows you to configure the homepage that users see when they start a protected browser or create a new tab.

  • Esta configuración mostrará la página web en Managed Browser.This setting will show the web page in Managed Browser. En su lugar, Microsoft Edge mostrará un acceso directo a la página principal.Edge will display a homepage shortcut instead.
  • El icono del acceso directo a la página principal aparece como debajo del control de búsqueda.The homepage shortcut icon appears as an icon beneath the search control. No se puede editar ni eliminar.It cannot be edited or deleted.
  • El acceso directo a la página principal mostrará el nombre de la organización para distinguirla.The homepage shortcut will display your organization's name to distinguish it. Siempre aparecerá como el primer icono.It will always appear as the first icon.

Aplicando el procedimiento para crear una configuración de aplicaciones de Microsoft Edge o Managed Browser, proporcione el siguiente par de clave y valor:Using the procedure to create a Microsoft Edge or Managed Browser app configuration, supply the following key and value pair:

KeyKey ValorValue
com.microsoft.intune.mam.managedbrowser.homepagecom.microsoft.intune.mam.managedbrowser.homepage Especifique una dirección URL válida.Specify a valid URL. Las direcciones URL incorrectas se bloquean como medida de seguridad.Incorrect URLs are blocked as a security measure.
Ejemplo: https://www.bing.comExample: https://www.bing.com

Configuración de marcadores para un explorador protegidoHow to configure bookmarks for a protected browser

Este valor permite configurar un conjunto de marcadores disponible para los usuarios de Microsoft Edge o Managed Browser.This setting allows you to configure a set of bookmarks that is available to users of Microsoft Edge or the Managed Browser.

  • Los usuarios no pueden eliminar ni modificar estos marcadoresThese bookmarks cannot be deleted or modified by users
  • Se muestran en la parte superior de la lista.These bookmarks display at the top of the list. Los marcadores creados por los usuarios aparecen debajo de estos marcadores.Any bookmarks that users create are displayed below these bookmarks.
  • Si ha habilitado el redireccionamiento del proxy de aplicación, puede agregar aplicaciones web de proxy de aplicación mediante su dirección URL interna o externa.If you have enabled App Proxy redirection, you can add App Proxy web apps using either their internal or external URL.

Aplicando el procedimiento para crear una configuración de aplicaciones de Microsoft Edge o Managed Browser, proporcione el siguiente par de clave y valor:Using the procedure to create a Microsoft Edge or Managed Browser app configuration, supply the following key and value pair:

KeyKey ValorValue
com.microsoft.intune.mam.managedbrowser.bookmarkscom.microsoft.intune.mam.managedbrowser.bookmarks El valor de esta configuración es una lista de marcadores.The value for this configuration is a list of bookmarks. Cada marcador consta del título y de la dirección URL del marcador.Each bookmark consists of the bookmark title, and the bookmark URL. Separe el título y la dirección URL con el carácter |.Separate the title, and URL with the | character.

Ejemplo:Example:
Microsoft Bing|https://www.bing.com

Para configurar varios marcadores, separe cada par con el carácter doble ||To configure multiple bookmarks, separate each pair with the double character, ||

Ejemplo:Example:
Bing|https://www.bing.com||Contoso|https://www.contoso.com

Especificación de direcciones URL permitidas y bloqueadas para un explorador protegidoHow to specify allowed and blocked URLs for a protected browser

Aplicando el procedimiento para crear una configuración de aplicaciones de Microsoft Edge o Managed Browser, proporcione el siguiente par de clave y valor:Using the procedure to create a Microsoft Edge or Managed Browser app configuration, supply the following key and value pair:

KeyKey ValorValue
Elija de entre las siguientes opciones:Choose from:
  • Especifique direcciones URL permitidas (solo se permiten estas direcciones URL; no se puede acceder a ningún otro sitio):Specify allowed URLs (only these URLs are allowed; no other sites can be accessed):
    com.microsoft.intune.mam.managedbrowser.AllowListURLscom.microsoft.intune.mam.managedbrowser.AllowListURLs

  • Especifique direcciones URL bloqueadas (se puede acceder a todos los demás sitios):Specify blocked URLs (all other sites can be accessed):
    com.microsoft.intune.mam.managedbrowser.BlockListURLscom.microsoft.intune.mam.managedbrowser.BlockListURLs
El valor correspondiente de la clave es una lista de direcciones URL.The corresponding value for the key is a list of URLs. Escriba todas las direcciones URL que quiera permitir o bloquear como un valor único, separadas por un carácter de barra vertical | .You enter all the URLs you want to allow or block as a single value, separated by a pipe | character.

Ejemplos:Examples:

URL1|URL2|URL3
http://.contoso.com/|https://.bing.com/|https://expenses.contoso.com

Importante

No especifique ambas claves.Do not specify both keys. Si las dos claves están destinadas al mismo usuario, se usa la clave permitida, ya que se trata de la opción más restrictiva.If both keys are targeted to the same user, the allow key is used, as it's the most restrictive option. Además, asegúrese de no bloquear páginas importantes como los sitios web de la empresa.Additionally, make sure not to block important pages like your company websites.

Formato de dirección URL para las direcciones URL permitidas y bloqueadasURL format for allowed and blocked URLs

Use la siguiente información para conocer los formatos permitidos y los caracteres comodín que puede usar al especificar direcciones URL en las listas de permitidos y bloqueados:Use the following information to learn about the allowed formats and wildcards that you can use when specifying URLs in the allowed and blocked lists:

  • Puede usar el carácter comodín ( * ) según las reglas de la siguiente lista de patrones permitidos:You can use the wildcard symbol (*) according to the rules in the following permitted patterns list:

  • Asegúrese de anteponer http o https a todas las direcciones URL al introducirlas en la lista.Ensure that you prefix all URLs with http or https when entering them into the list.

  • Puede especificar números de puerto en la dirección.You can specify port numbers in the address. Si no especifica un número de puerto, los valores usados son:If you do not specify a port number, the values used are:

    • Puerto 80 para httpPort 80 for http

    • Puerto 443 para httpsPort 443 for https

    No se admite el uso de caracteres comodín para el número de puerto.Using wildcards for the port number is not supported. Por ejemplo, http://www.contoso.com:; y http://www.contoso.com: /; no se admiten.For example, http://www.contoso.com:; and http://www.contoso.com: /; are not supported.

  • Use la siguiente tabla para obtener información sobre los patrones permitidos que puede usar al especificar direcciones URL:Use the following table to learn about the permitted patterns that you can use when you specify URLs:

Dirección URLURL DetallesDetails CoincideMatches No coincideDoes not match
http://www.contoso.com Coincide con una sola páginaMatches a single page www.contoso.com host.contoso.com

www.contoso.com/images

contoso.com/
http://contoso.com Coincide con una sola páginaMatches a single page contoso.com/ host.contoso.com

www.contoso.com/images

www.contoso.com
http://www.contoso.com/* Coincide con todas las direcciones URL que comienzan por www.contoso.comMatches all URLs that begin with www.contoso.com www.contoso.com

www.contoso.com/images

www.contoso.com/videos/tvshows
host.contoso.com

host.contoso.com/images
http://*.contoso.com/* Coincide con todos los subdominios en contoso.comMatches all subdomains under contoso.com developer.contoso.com/resources

news.contoso.com/images

news.contoso.com/videos
contoso.host.com
http://www.contoso.com/images Coincide con una sola carpetaMatches a single folder www.contoso.com/images www.contoso.com/images/dogs
http://www.contoso.com:80 Coincide con una sola página, con un número de puertoMatches a single page, by using a port number http://www.contoso.com:80
https://www.contoso.com Coincide con una sola página seguraMatches a single, secure page https://www.contoso.com http://www.contoso.com
http://www.contoso.com/images/* Coincide con una sola carpeta y todas sus subcarpetasMatches a single folder and all subfolders www.contoso.com/images/dogs

www.contoso.com/images/cats
www.contoso.com/videos
  • Los siguientes son ejemplos de algunas de las entradas que no se pueden especificar:The following are examples of some of the inputs that you cannot specify:

    • *.com

    • *.contoso/*

    • www.contoso.com/*images

    • www.contoso.com/*images*pigs

    • www.contoso.com/page*

    • Direcciones IPIP addresses

    • https://*

    • http://*

    • http://www.contoso.com:*

    • http://www.contoso.com: /*

Transiciones suaves del trabajo a cuentas personalesSoft transitions from work to personal accounts

La piedra angular de la experiencia para dispositivos móviles de Microsoft Edge es el modelo de identidad dual, lo que significa que Microsoft Edge admite identidades profesionales y personales.The cornerstone of the Microsoft Edge mobile enterprise experience is the dual-identity model, meaning Microsoft Edge supports both work and personal identities. Al igual que con las aplicaciones de Office 365 y Outlook, este modelo de identidad doble permite a los usuarios finales usar Microsoft Edge para todas las necesidades de exploración y moverse fácilmente entre las dos experiencias en función de las directivas de contenido definidas por el administrador.As with the Office 365 and Outlook apps, this dual-identity model allows end users to use Microsoft Edge for all browsing needs and easily move between the two experiences based on the content policies defined by the administrator. La exploración en el contexto personal no se ve afectada y la información corporativa se mantiene completamente incluida en el contexto de trabajo dentro de Microsoft Edge.Browsing in the personal context is unaffected and corporate information is kept completely contained to the work context within Microsoft Edge.

Una de las ventajas de este modelo es que cuando los usuarios intentan abrir un vínculo (por ejemplo, un artículo de periódico, etc.) a un sitio que no está permitido por la organización, pueden hacerlo en su contexto personal, que se mantiene completamente independiente de su contexto de trabajo.One of the benefits of this model is that when users try to open a link (such as a newspaper article, etc.) to a site that is not allowed by your organization, they are able to do so in their personal context, which is kept entirely separate from their work context. Estas transiciones suaves están habilitadas de forma predeterminada.These soft transitions from are enabled by default.

Aplicando el procedimiento para crear una configuración de aplicaciones de Microsoft Edge o Managed Browser, proporcione el siguiente par de clave y valor:Using the procedure to create a Microsoft Edge or Managed Browser app configuration, supply the following key and value pair:

KeyKey ValorValue
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlockcom.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock Un valor de false impide que se produzcan estas transiciones suavesFalse blocks these soft transitions from occurring

Cómo tener acceso a los registros de aplicación administrada con Managed Browser en iOSHow to access to managed app logs using the Managed Browser on iOS

Los usuarios finales que tengan Managed Browser instalado en el dispositivo iOS pueden ver el estado de administración de todas las aplicaciones publicadas de Microsoft.End users with the managed Browser installed on their iOS device can view the management status of all Microsoft published apps. También pueden enviar registros para solucionar problemas con sus aplicaciones iOS administradas.They can send logs for troubleshooting their managed iOS apps.

  1. Abra la Configuración de iOS.Open iOS Settings.
  2. Seleccione la configuración de aplicación de del explorador administrado.Select the managed Browser application settings.
  3. Cambie a Habilitar diagnósticos de Intune para establecer el explorador en modo de solución de problemas.Toggle Enable Intune Diagnostics to set the browser in troubleshooting mode.
  4. Abra el explorador administrado.Open the managed Browser. Haga clic en Ver estado de aplicación Intune para revisar la configuración de directiva de aplicación individual.Click View Intune App Status to review individual application policy settings.
  5. Presione Introducción y Compartir registros o Enviar registros a Microsoft para enviar los registros de solución de problemas al administrador de TI o a Microsoft.Press Get Started and Share Logs or Send Logs to Microsoft to send the troubleshooting logs to your IT administrator or Microsoft.

También puede abrir el explorador en modo de solución de problemas desde dentro de la aplicación.You can also open the Browser in troubleshooting mode from within the app.

  1. Abra Managed Browser.Open the Managed Browser.
  2. Escriba about:intunehelp en el cuadro de dirección.Type about:intunehelp in the address box. El explorador se abre en modo de solución de problemas.The Browser launches troubleshooting mode.

Para obtener una lista de las opciones de configuración almacenadas en los registros de la aplicación, consulte Revisión de los registros de protección de aplicaciones en Managed Browser.For a list of the settings stored in the app logs, see Review app protection logs in the Managed Browser.

Seguridad y privacidad de Managed BrowserSecurity and privacy for the Managed Browser

  • Managed Browser no usa la configuración que realizan los usuarios para el explorador integrado en sus dispositivos.The Managed Browser does not use settings that users make for the built-in browser on their devices. Managed Browser no puede acceder a esta configuración.The Managed Browser cannot access to these settings.

  • Si configura las opciones Requerir PIN sencillo para el acceso o Requerir credenciales corporativas para el acceso en una directiva de protección de aplicaciones asociada a Managed Browser, cuando un usuario seleccione el vínculo de ayuda en la página de autenticación, podrá ir a cualquier sitio de Internet independientemente de si se ha agregado a una lista de bloqueados de la directiva.If you configure the option Require simple PIN for access or Require corporate credentials for access in an app protection policy associated with the Managed Browser, and a user selects the help link on the authentication page, they can browse any Internet sites regardless of whether they were added to a block list in the policy.

  • Managed Browser puede bloquear el acceso a sitios solo cuando se accede a estos directamente.The Managed Browser can block access to sites only when they are accessed directly. No bloquea el acceso cuando se usan servicios intermedios (por ejemplo, un servicio de traducción) para acceder al sitio.It does not block access when intermediate services (such as a translation service) are used to access the site.

  • Para permitir la autenticación y acceder a la documentación de Intune, *.microsoft.com está exento de la configuración de permitidos o bloqueados.To allow authentication, and access to Intune documentation, *.microsoft.com is exempt from the allow or block list settings. Siempre está permitida.It is always allowed.

Desactivar los datos de usoTurn off usage data

Microsoft recopila automáticamente datos anónimos sobre el rendimiento y el uso de Managed Browser para mejorar sus productos y servicios.Microsoft automatically collects anonymous data about the performance and use of the Managed Browser to improve Microsoft products and services. Los usuarios pueden usar en sus dispositivos la configuración de Datos de uso para desactivar la recopilación de datos.Users can turn off data collection by using the Usage Data setting on their devices. No tiene ningún control sobre la recopilación de estos datos.You have no control over the collection of this data.

  • En dispositivos iOS, no se pueden abrir los sitios web que visitan los usuarios y que tienen un certificado expirado o que no es de confianza.On iOS devices, websites that users visit that have an expired or untrusted certificate cannot be opened.

Pasos siguientesNext steps