iOSとAndroidに対して Edge を使用して Web アクセスを管理するMicrosoft Intune
iOSとAndroidのエッジは、ユーザーが Web を参照できるように設計されており、マルチ ID をサポートします。 ユーザーは、閲覧用に仕事用アカウントと個人用アカウントを追加できます。 2 つの ID は完全に分離されています。これは、他の Microsoft モバイル アプリで提供されているものと似ています。
この機能は、以下に適用されます。
- iOS/iPadOS 14.0 以降
- Android 8.0 以降 (登録済みデバイスの場合は 8.0 以降)、登録されていないデバイスの場合は 9.0 以降Android
注意
iOSとAndroidのエッジでは、ユーザーがデバイス上のネイティブ ブラウザーに設定した設定は使用されません。これは、iOSおよびAndroid用の Edge はこれらの設定にアクセスできないためです。
Microsoft 365 データの最も豊富で広範な保護機能は、Microsoft Intune機能とAzure Active Directory Premium機能を含むEnterprise Mobility + Security スイートをサブスクライブするときに使用できます。条件付きアクセスなど。 少なくとも、モバイル デバイスからのiOSとAndroidに対してのみ Edge への接続を許可する条件付きアクセス ポリシーと、閲覧エクスペリエンスを確実に保護するIntuneアプリ保護ポリシーをデプロイする必要があります。
注意
iOS デバイス上の新しい Web クリップ (ピン留めされた Web アプリ) は、保護されたブラウザーで開く必要がある場合、Intune Managed Browserの代わりに、iOSおよびAndroid用に Edge で開きます。 古いiOS Web クリップの場合は、これらの Web クリップを再ターゲットにして、マネージド ブラウザーではなく、iOSおよびAndroid用に Edge で開く必要があります。
条件付きアクセスを適用する
組織は、Azure AD 条件付きアクセス ポリシーを使用して、ユーザーが Edge を使用して職場または学校のコンテンツにのみアクセスできるように、iOSとAndroid。 これを行うには、可能性のあるすべてのユーザーを対象とする条件付きアクセス ポリシーが必要です。 これらのポリシーについては、「 条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーが必要」で説明されています。
モバイル デバイスで承認済みのクライアント アプリまたはアプリ保護ポリシーを要求するの手順に従います。これにより、Edge でiOSとAndroidが可能になりますが、他のモバイル デバイス Web ブラウザーが Microsoft 365 エンドポイントに接続できなくなります。
注意
このポリシーにより、モバイル ユーザーは、iOSとAndroidのために Edge 内からすべてのMicrosoft 365 エンドポイントにアクセスできるようになります。 また、このポリシーにより、ユーザーは InPrivate を使用してMicrosoft 365エンドポイントにアクセスできなくなります。
条件付きアクセスを使用すると、Azure AD アプリケーション プロキシを使用して外部ユーザーに公開したオンプレミス サイトをターゲットにすることもできます。
注意
アプリベースの条件付きアクセス ポリシーを活用するには、iOS デバイスに Microsoft Authenticator アプリをインストールする必要があります。 Android デバイスでは、Intune ポータル サイト アプリが必要です。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。
アプリ保護ポリシー Intune作成する
App Protection Policies (APP) では、許可されるアプリと、組織のデータに対して実行できるアクションを定義します。 APP で使用できる選択肢により、組織は特定のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。
APP データ保護フレームワークは 3 つの異なる構成レベルに編成されており、各レベルは前のレベルを基に構築されています。
- エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
- エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
- エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。
各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。
デバイスが統合エンドポイント管理 (UEM) ソリューションに登録されているかどうかに関係なく、「アプリ保護ポリシーを作成して割り当てる方法」の手順を使用して、iOS アプリとAndroid アプリの両方に対してIntuneアプリ保護ポリシーを作成する必要があります。 これらのポリシーは、少なくとも次の条件を満たす必要があります。
これには、Edge、Outlook、OneDrive、Office、Teamsなど、すべてのMicrosoft 365モバイル アプリケーションが含まれます。これにより、ユーザーは安全な方法で任意の Microsoft アプリ内の職場または学校のデータにアクセスして操作できます。
すべてのユーザーに割り当てられる。 これにより、iOSまたはAndroidに対して Edge を使用するかどうかに関係なく、すべてのユーザーが確実に保護されます。
要件を満たすフレームワーク レベルを決定します。 ほとんどの組織では、データ保護とアクセス要件の制御を可能に Enterprise強化されたデータ保護 (レベル 2) で定義された設定を実装する必要があります。
使用可能な設定の詳細については、「アプリ保護ポリシーの設定Android iOSアプリ保護ポリシー設定」を参照してください。
重要
Intune に登録していない Android デバイスでアプリに対して Intune App Protection ポリシーを適用するには、Intune ポータル サイトもインストールする必要があります。
ポリシーで保護されたブラウザーで Azure AD に接続された Web アプリにシングル サインオンする
iOSとAndroidのエッジでは、Azure AD に接続されているすべての Web アプリ (SaaS とオンプレミス) にシングル サインオン (SSO) を利用できます。 SSO を使用すると、ユーザーは資格情報を再入力しなくても、IOSとAndroidのために Edge を介して Azure AD に接続された Web アプリにアクセスできます。
SSO では、iOS デバイスのMicrosoft Authenticator アプリまたはAndroidのIntune ポータル サイトによってデバイスを登録する必要があります。 ユーザーがこれらのいずれかを使用している場合、ポリシーで保護されたブラウザーで Azure AD に接続された Web アプリに移動するときにデバイスを登録するように求められます (これは、デバイスがまだ登録されていない場合にのみ当てはまります)。 デバイスがIntuneによって管理されているユーザーのアカウントに登録されると、そのアカウントで Azure AD に接続された Web アプリの SSO が有効になります。
注意
デバイスの登録は、Azure AD サービスを使用した簡単なチェックインです。 完全なデバイス登録は必要ありません。また、IT にデバイスに対する追加の特権は付与されません。
アプリの構成を使用して閲覧環境を管理する
iOSおよびAndroid用のエッジでは、Microsoft エンドポイント マネージャーなどの統合エンドポイント管理を許可するアプリ設定がサポートされています。管理者は、アプリの動作をカスタマイズできます。
アプリ構成は、登録済みデバイス上のモバイル デバイス管理 (MDM) OS チャネル (iOS用のマネージド App Configuration チャネル、またはAndroidのEnterprise チャネルのAndroid) またはIntune App Protection Policy (APP) を介して配信できます。チャネル。 iOSとAndroidのエッジでは、次の構成シナリオがサポートされています。
- 職場または学校アカウントのみを許可する
- 一般的なアプリ構成設定
- データ保護の設定
重要
Androidでのデバイス登録を必要とする構成シナリオでは、デバイスをAndroid Enterpriseに登録し、Android用の Edge をマネージド Google Play ストア経由で展開する必要があります。 詳細については、「個人所有の仕事用プロファイル デバイスAndroid Enterprise登録を設定する」と「管理対象Android Enterpriseデバイスのアプリ構成ポリシーを追加する」を参照してください。
各構成シナリオでは、その特定の要件が強調されています。 たとえば、構成シナリオでデバイスの登録が必要であり、したがって UEM プロバイダーと連携するか、アプリ保護ポリシー Intune必要とするかなどです。
重要
アプリ構成キーでは、大文字と小文字が区別されます。 適切な大文字と小文字を区別して、構成が有効になるようにします。
注意
Microsoft エンドポイント マネージャーでは、MDM OS チャネルを介して配信されるアプリ構成は 、マネージド デバイス App Configuration ポリシー (ACP) と呼ばれます。App Protection Policy チャネルを通じて配信されるアプリ構成は 、マネージド アプリ App Configuration ポリシーと呼ばれます。
職場または学校アカウントのみを許可する
最大かつ高度に規制されているお客様のデータ セキュリティとコンプライアンス ポリシーを尊重することは、Microsoft 365価値の重要な柱です。 一部の企業では、企業環境内のすべての通信情報をキャプチャする必要があります。また、デバイスが企業の通信にのみ使用されるようにする必要があります。 これらの要件をサポートするために、登録されているデバイスのiOSとAndroid用の Edge を構成して、アプリ内で 1 つの企業アカウントのみをプロビジョニングできるようにすることができます。
組織で許可されるアカウント モード設定の構成の詳細については、次のページを参照してください。
この構成シナリオは、登録済みデバイスでのみ機能します。 ただし、UEM プロバイダーはすべてサポートされています。 Microsoft エンドポイント マネージャーを使用していない場合は、これらの構成キーを展開する方法について UEM のドキュメントを参照する必要があります。
一般的なアプリ構成シナリオ
iOSとAndroid用のエッジでは、管理者は、いくつかのアプリ内設定に対して既定の構成をカスタマイズできます。 現在、この機能は、Edge for iOSとAndroidがアプリにサインインしている職場または学校アカウントに適用されるIntune App Protection Policy を持ち、ポリシー設定が管理対象アプリ App Configuration ポリシーを介してのみ提供されている場合にのみ提供されます。
重要
Androidのエッジでは、マネージド Google Playで使用できるChromium設定はサポートされていません。
Edge では、構成に対して次の設定がサポートされています。
- 新しいタブ ページ エクスペリエンス
- ブックマーク エクスペリエンス
- アプリの動作エクスペリエンス
- キオスク モードのエクスペリエンス
これらの設定は、デバイス登録の状態に関係なく、アプリに展開できます。
新しいタブ ページ エクスペリエンス
iOSとAndroidのために Edge にサインインすると、新しいタブ ページを開くと、使い慣れた生産性コンテンツと、組織の業界や関心に関連するニュース フィードを 1 つのビューで整理する新しいピボットが提供されます。 新しいタブ ページ エクスペリエンスには、組織のホーム ページ、トップ サイト、業界ニュースのリンクが用意されています。
iOSとAndroid用のエッジには、新しいタブ ページ エクスペリエンスを調整するためのいくつかのオプションが組織に用意されています。
組織のロゴとブランドの色
これらの設定を使用すると、iOSおよびAndroid用の新しいタブ ページをカスタマイズして、組織のロゴとブランドの色をページの背景として表示できます。
組織のロゴと色をアップロードするには、まず次の手順を実行します。
- Microsoft エンドポイント マネージャー内で、テナント管理 > のカスタマイズ に移動します。 設定 の横にある [編集] をクリックします。
- ブランドのロゴを設定するには、[ ヘッダーに表示] の横にある [組織ロゴのみ] を選択します。 透明な背景ロゴをお勧めします。
- ブランドの背景色を設定するには、 テーマの色 を選択します。 iOSとAndroidのエッジは、新しいタブ ページの色の明るい網かけを適用します。これにより、ページの読みやすさが高くなります。
次に、次のキーと値のペアを使用して、組織のブランド化をエッジにプルし、iOSとAndroidします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo | true は組織のブランド ロゴを示しています false (既定値) はロゴを公開しません |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor | true は 組織のブランドの色を示します false (既定値) は色を公開しません |
ホームページのショートカット
この設定を使用すると、新しいタブ ページでiOSとAndroid用の Edge のホームページ ショートカットを構成できます。 構成したホーム ページのショートカットは、ユーザーがエッジで新しいタブを開くと、検索バーの下に最初のアイコンとして表示され、iOSとAndroid。 ユーザーは、マネージド コンテキストでこのショートカットを編集または削除できません。 ホーム ページのショートカットには、組織の名前が表示され、区別されます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage | 有効な URL を指定します。 不適切な URL は、セキュリティ対策としてブロックされます。 例: https://www.bing.com |
複数のトップ サイトショートカット
ホームページ ショートカットを構成する場合と同様に、Edge の新しいタブ ページで、iOSとAndroid用に複数のトップ サイト ショートカットを構成できます。 ユーザーは、マネージド コンテキストでこれらのショートカットを編集または削除できません。 注: ホーム ページのショートカットを含め、合計 8 つのショートカットを構成できます。 ホーム ページのショートカットを構成した場合、そのショートカットは、構成された最初のトップ サイトをオーバーライドします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | 値の URL のセットを指定します。 各トップ サイトのショートカットは、タイトルと URL で構成されます。 タイトルと URL を文字で | 区切ります。 例: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
業界ニュース
組織に関連する業界ニュースを表示するために、iOSおよびAndroid用に Edge 内で新しいタブ ページ エクスペリエンスを構成できます。 この機能を有効にすると、Edge for iOSとAndroidは組織のドメイン名を使用して、組織、組織の業界、および競合他社に関する Web からのニュースを集計し、ユーザーがエッジ内の一元化された新しいタブ ページから関連する外部ニュースをすべて検索して、iOSおよびAndroidできるようにします。 Industry News は既定でオフになっています。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews | true の 場合、新しいタブ ページに業界ニュースが表示されます false (既定値) は、新しいタブ ページから Industry News を非表示にします |
新しいタブ ページエクスペリエンスの代わりにホームページ
iOSとAndroidのエッジを使用すると、組織は新しいタブ ページ エクスペリエンスを無効にし、代わりにユーザーが新しいタブを開いたときに Web サイトを起動できます。これはサポートされているシナリオですが、組織は新しいタブ ページ エクスペリエンスを利用して、ユーザーに関連する動的コンテンツを提供することをお勧めします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | 有効な URL を指定します。 URL が指定されていない場合、アプリは新しいタブ ページ エクスペリエンスを使用します。 不適切な URL は、セキュリティ対策としてブロックされます。 例: https://www.bing.com |
ブックマーク エクスペリエンス
iOSとAndroid用の Edge には、組織がブックマークを管理するためのいくつかのオプションが用意されています。
マネージド ブックマーク
簡単にアクセスできるように、ユーザーが Edge を使用してiOSとAndroidするときに使用できるようにするブックマークを構成できます。
- ブックマークは職場または学校のアカウントにのみ表示され、個人用アカウントには公開されません。
- ユーザーがブックマークを削除または変更することはできません。
- ブックマークはリストの上部に表示されます。 ユーザーが作成するすべてのブックマークは、これらのブックマークの下に表示されます。
- アプリケーション プロキシリダイレクトを有効にしている場合は、内部 URL または外部 URL を使用してアプリケーション プロキシ Web アプリを追加できます。
- リストに入力するときは、すべての URL に http:// または https:// のプレフィックスを付けます。
- ブックマークは、Azure Active Directoryで定義されている組織の名前の後に名前が付けられたフォルダーに作成されます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks | この構成の値は、ブックマークの一覧です。 各ブックマークは、ブックマーク タイトルとブックマーク URL で構成されます。 タイトルと URL を文字で | 区切ります。例: Microsoft Bing|https://www.bing.com複数のブックマークを構成するには、各ペアを 2 文字 ||で区切ります。例: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
ブックマークをマイ アプリする
既定では、ユーザーは、iOSとAndroid用に、Edge 内の組織フォルダー内でマイ アプリブックマークを構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps | true (既定値) は、iOSブックマークとAndroidブックマークのエッジ内のマイ アプリを示します false は、iOSとAndroidのエッジ内のマイ アプリを非表示にします |
アプリの動作エクスペリエンス
iOSとAndroid用のエッジには、アプリの動作を管理するためのいくつかのオプションが組織に用意されています。
Azure AD パスワード シングル サインオン
Azure Active Directoryによって提供される Azure AD パスワード シングル サインオン (SSO) 機能により、ID フェデレーションをサポートしていない Web アプリケーションにユーザー アクセス管理が提供されます。 既定では、iOSとAndroidの Edge では、Azure AD 資格情報での SSO は実行されません。 詳細については、「 アプリケーションにパスワードベースのシングル サインオンを追加する」を参照してください。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO | True Azure AD パスワード SSO が有効になっている false (既定) Azure AD パスワード SSO が無効になっている |
既定のプロトコル ハンドラー
既定では、iOSとAndroidの Edge では、ユーザーが URL でプロトコルを指定していない場合に HTTPS プロトコル ハンドラーが使用されます。 一般に、これはベスト プラクティスと見なされますが、無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | true (既定) の既定のプロトコル ハンドラーは HTTPS です false の既定のプロトコル ハンドラーは HTTP です |
パーソナル化のためにデータ共有を無効にする
既定では、edge for iOS および Android は、閲覧エクスペリエンスをカスタマイズするために、使用状況データの収集と閲覧履歴の共有をユーザーに求めます。 組織は、このプロンプトがエンド ユーザーに表示されないようにすることで、このデータ共有を無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | true を指定すると、このプロンプトがエンド ユーザーに表示されなくなります false (既定) のユーザーに使用状況データの共有を求めるメッセージが表示される |
| com.microsoft.intune.mam.managedbrowser.disableShareBrowsingHistory | true を指定すると、このプロンプトがエンド ユーザーに表示されなくなります false (既定) ユーザーに閲覧履歴の共有を求めるメッセージが表示される |
特定の機能を無効にする
iOSとAndroidのエッジを使用すると、組織は既定で有効になっている特定の機能を無効にすることができます。 これらの機能を無効にするには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | パスワード は、エンド ユーザーのパスワードを保存することを提供するプロンプトを無効にします inprivate により InPrivate の参照が無効になります autofill では、"住所の保存と入力" と "支払い情報の保存と入力" が無効になります。 自動入力は、以前に保存した情報でも無効になります。 複数の機能を無効にするには、値を |. たとえば、 inprivate|password InPrivate ストレージとパスワード ストレージの両方を無効にします。 |
拡張機能を無効にする
Edge for iOS および Android 内で、クーポンなどの拡張機能フレームワークを無効にして、ユーザーが事前に構成されたアプリ拡張機能をインストールまたは使用できないようにすることができます。 これを行うには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableExtensionFramework | true を指定すると、拡張機能フレームワークが無効になります false (既定値) を使用すると、拡張フレームワークが有効になります |
注意
iOSのエッジでは、拡張機能の無効化はサポートされていません。
Android デバイスでのキオスク モードエクスペリエンス
Android用のエッジは、次の設定を使用してキオスク アプリとして有効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | true は、Androidの Edge のキオスク モードを有効にします false (既定) ではキオスク モードが無効になります |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | true はキオスク モードのアドレス バーを示します キオスク モードが有効になっている場合、false (既定値) はアドレス バーを非表示にします |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | true は、キオスク モードで下部のアクション バーを示します キオスク モードが有効になっている場合、false (既定値) は下部バーを非表示にします |
データ保護アプリの構成シナリオ
iOSおよびAndroid用のエッジでは、アプリにサインインしている職場または学校アカウントに適用された Microsoft エンドポイント マネージャー Intune App Protection Policy を使用してアプリが管理され、ポリシー設定が管理対象アプリ経由でのみ配信される場合に、次のデータ保護設定のアプリ構成ポリシーがサポートされます。App Configuration ポリシー:
- アカウント同期を管理する
- 制限付き Web サイトを管理する
- プロキシ構成を管理する
- NTLM シングル サインオン サイトを管理する
これらの設定は、デバイス登録の状態に関係なく、アプリに展開できます。
アカウント同期を管理する
既定では、Microsoft Edge同期を使用すると、ユーザーはサインインしているすべてのデバイスで閲覧データにアクセスできます。 同期でサポートされるデータには、次のものが含まれます。
- お気に入り
- パスワード
- 住所など (フォーム入力の自動入力)
同期機能はユーザーの同意によって有効になり、ユーザーは上記のデータ型ごとに同期をオンまたはオフにすることができます。 詳細については、「Microsoft Edge同期」を参照してください。
組織には、iOSとAndroidで Edge 同期を無効にする機能があります。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | true の場合 、Edge 同期が無効になります false (既定値) では、エッジ同期が許可されます |
制限付き Web サイトを管理する
組織は、Edge の職場または学校アカウント コンテキスト内でユーザーがアクセスできるサイトを定義して、iOSとAndroidを行うことができます。 許可リストを使用する場合、ユーザーは明示的に一覧表示されたサイトにのみアクセスできます。 ブロックリストを使用する場合、ユーザーは明示的にブロックされたものを除くすべてのサイトにアクセスできます。 両方ではなく、許可されたリストまたはブロックされたリストのみを適用する必要があります。 両方を押し付けた場合は、許可されたリストのみが適用されます。
また、組織は、ユーザーが制限付き Web サイトに移動しようとしたときに何が起こるかを定義します。 既定では、切り替えが許可されます。 組織で許可されている場合、制限付き Web サイトは、個人用アカウント コンテキスト、Azure AD アカウントの InPrivate コンテキスト、またはサイト全体がブロックされているかどうかで開くことができます。 サポートされているさまざまなシナリオの詳細については、「Microsoft Edge モバイルでの制限付き Web サイトの移行」を参照してください。 移行エクスペリエンスを許可することで、組織のユーザーは、企業リソースを安全に保ち、保護され続けます。
注意
iOSとAndroidのエッジは、サイトに直接アクセスする場合にのみ、サイトへのアクセスをブロックできます。 ユーザーが中間サービス (翻訳サービスなど) を使用してサイトにアクセスする場合、アクセスはブロックされません。
次のキーと値のペアを使用して、iOSおよびAndroid用の Edge の許可またはブロックされたサイト リストを構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs | キーに対応する値は URL の一覧です。 許可するすべての URL を、パイプ | 文字で区切って 1 つの値として入力します。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs | キーに対応する値は URL の一覧です。 ブロックするすべての URL を、パイプ | 文字で区切って 1 つの値として入力します。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock | true (既定値) では、制限付きサイトを移行するiOSとAndroidのエッジが許可されます。 個人用アカウントが無効になっていない場合、ユーザーは、制限付きサイトを開くために個人用コンテキストに切り替えるか、個人アカウントを追加するかを求められます。 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked が true に設定されている場合、ユーザーは制限付きサイトを InPrivate コンテキストで開くことができます。 false を 指定すると、iOSおよびAndroidの Edge がユーザーを移行できなくなります。 ユーザーには、アクセスしようとしているサイトがブロックされていることを示すメッセージが表示されます。 |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked | true を指定すると、制限付きサイトを Azure AD アカウントの InPrivate コンテキストで開きます。 IOSとAndroid用に Edge で構成されているアカウントが Azure AD アカウントのみである場合、制限付きサイトは InPrivate コンテキストで自動的に開きます。 ユーザーが個人用アカウントを構成している場合は、InPrivate を開くか、個人用アカウントに切り替えるかを選択するように求められます。 false (既定値) では、制限付きサイトをユーザーの個人アカウントで開く必要があります。 個人用アカウントが無効になっている場合、サイトはブロックされます。 この設定を有効にするには、com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock を true に設定する必要があります。 |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | ユーザーに"このサイトへのアクセスが組織によってブロックされている" という通知が表示される秒数を入力します。 サイトにアクセスできるように、InPrivate モードで開きました。 既定では、スナックバー通知は 7 秒間表示されます。 |
次のサイトは、定義された許可リストまたはブロック リストの設定に関係なく、常に許可されます。
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
許可されたサイトリストとブロックされたサイトリストの URL 形式
さまざまな URL 形式を使用して、許可/ブロックされたサイトのリストを作成できます。 これらの許可されるパターンの詳細については、次の表を参照してください。
リストに入力するときは、すべての URL に http:// または https:// のプレフィックスを付けます。
次の許可されるパターンの一覧の規則に従って、ワイルドカード 記号 (*) を使用できます。
ワイルドカードは、スラッシュ () で区切られた場合に、ホスト名の一部 (例:
news-contoso.com) またはホスト名のコンポーネント全体 (www.contoso.com/images例:host.contoso.comパスの部分全体) にのみ一致できます。アドレスにポート番号を指定できます。 ポート番号を指定しない場合、使用される値は次のとおりです。
- http のポート 80
- https のポート 443
ポート番号にワイルドカードを使用することはサポート されていません 。 たとえば、
http://www.contoso.com:*http://www.contoso.com:*/サポートされていません。URL 詳細 一致 一致しない http://www.contoso.com1 つのページに一致する www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.com1 つのページに一致する contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*で始まるすべての URL と一致します www.contoso.comwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*下のすべてのサブドメインと一致します。 contoso.comdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*で終わるすべてのサブドメインと一致します。 contoso.com/news-contoso.comnews-contoso.com.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/images1 つのフォルダーに一致します www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80ポート番号を使用して、1 つのページに一致します www.contoso.com:80https://www.contoso.com単一のセキュリティで保護されたページと一致します www.contoso.comwww.contoso.comhttp://www.contoso.com/images/*1 つのフォルダーとすべてのサブフォルダーに一致します www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videos指定できない入力の例を次に示します。
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- IP アドレス
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
プロキシ構成を管理する
Edge をiOSとAndroid、Azure AD アプリケーション プロキシを組み合わせて使用して、ユーザーが自分のモバイル デバイス上のイントラネット サイトにアクセスできるようにします。 例として以下のようなものがあります。
- ユーザーは、Intuneによって保護されているOutlookモバイル アプリを使用しています。 次に、電子メールでイントラネット サイトへのリンクをクリックすると、iOSおよびAndroid用の Edge は、このイントラネット サイトがアプリケーション プロキシを介してユーザーに公開されたことを認識します。 ユーザーは自動的にアプリケーション プロキシ経由でルーティングされ、イントラネット サイトにアクセスする前に、適用可能な多要素認証と条件付きアクセスで認証されます。 ユーザーはモバイル デバイスでも内部サイトにアクセスできるようになり、Outlook内のリンクは期待どおりに機能します。
- ユーザーが自分のiOSまたはAndroid デバイスで、iOSとAndroidに対して Edge を開きます。 iOSおよびAndroidの Edge がIntuneで保護され、アプリケーション プロキシが有効になっている場合、ユーザーは、使用する内部 URL を使用してイントラネット サイトに移動できます。 iOSおよびAndroid用のエッジは、このイントラネット サイトがアプリケーション プロキシを通じてユーザーに公開されたことを認識します。 ユーザーは自動的にアプリケーション プロキシ経由でルーティングされ、イントラネット サイトにアクセスする前に認証されます。
はじめに:
- Azure AD アプリケーション プロキシを使用して内部アプリケーションを設定します。
- アプリケーション プロキシを構成し、アプリケーションを発行するには、セットアップドキュメントを参照してください。
- パススルー事前認証の種類でアプリが構成されている場合でも、ユーザーが Azure AD アプリケーション プロキシ アプリに割り当てられていることを確認します。
- iOSアプリとAndroid アプリのエッジには、Intuneアプリ保護ポリシーが割り当てられている必要があります。
- Microsoft アプリには、他のアプリのデータ転送設定が Microsoft Edge に設定された Web コンテンツ転送を制限するアプリ 保護ポリシーが必要です。
注意
iOSとAndroidのエッジでは、最後に成功した更新イベントに基づいてアプリケーション プロキシリダイレクト データが更新されます。 最後に成功した更新イベントが 1 時間を超えると、更新が試行されます。
次のキーと値のペアを持つiOSのターゲット エッジは、アプリケーション プロキシを有効にします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection | true を指定すると、Azure AD アプリ プロキシのリダイレクト シナリオが有効になります false (既定) では、Azure AD アプリ プロキシのシナリオが防止されます |
注意
Androidのエッジでは、このキーは使用されません。 代わりに、サインインしている Azure AD アカウントに App Protection Policy が適用されている限り、Edge for Androidは Azure AD アプリケーション プロキシ構成を自動的に使用します。
オンプレミスの Web アプリへのシームレスな (および保護された) アクセスのために Edge for iOSとAndroidと Azure AD アプリケーション プロキシを同時に使用する方法の詳細については、「IntuneとAzure Active Directoryチームを組んでユーザー アクセスを向上させる」を参照してください。 このブログ投稿はIntune Managed Browserを参照していますが、コンテンツはiOSおよびAndroidの Edge にも適用されます。
NTLM シングル サインオン サイトを管理する
組織では、イントラネット Web サイトにアクセスするために、ユーザーが NTLM を使用して認証を行う必要がある場合があります。 既定では、NTLM 資格情報キャッシュが無効になっているので NTLM 認証を必要とする Web サイトにアクセスするたびに、資格情報を入力するように求められます。
組織は、特定の Web サイトに対して NTLM 資格情報キャッシュを有効にすることができます。 これらのサイトでは、ユーザーが資格情報を入力して正常に認証した後、資格情報は既定で 30 日間キャッシュされます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | キーに対応する値は URL の一覧です。 許可するすべての URL を、パイプ | 文字で区切って 1 つの値として入力します。 例: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com サポートされている URL 形式の種類の詳細については、 許可されたサイトリストとブロックされたサイトリストの URL 形式に関するページを参照してください。 |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | 資格情報をキャッシュする時間数、既定値は 720 時間です |
Microsoft エンドポイント マネージャーを使用してアプリ構成シナリオをデプロイする
モバイル アプリ管理プロバイダーとしてMicrosoft エンドポイント マネージャーを使用している場合は、次の手順に従って、マネージド アプリ アプリ構成ポリシーを作成できます。 構成を作成した後、その設定をユーザー グループに割り当てることができます。
Microsoft エンドポイント マネージャーにサインインします。
[ アプリ] を選択し、[ アプリ構成ポリシー] を選択します。
[App Configuration ポリシー] ブレードで、[追加] を選択し、[マネージド アプリ] を選択します。
[ 基本] セクションで、アプリ構成設定の 名前 とオプションの 説明 を入力します。
[パブリック アプリ] で [パブリック アプリの選択] を選択し、[対象アプリ] ブレードで、iOS アプリとAndroid プラットフォーム アプリの両方を選択して、iOSとAndroidのエッジを選択します。 [選択] を クリックして、選択したパブリック アプリを保存します。
[次へ] をクリックして、アプリ構成ポリシーの基本設定を完了します。
[設定] セクションで、[Edge 構成設定] を展開します。
データ保護設定を管理する場合は、それに応じて目的の設定を構成します。
アプリケーション プロキシ リダイレクト の場合は、使用可能なオプションの [有効]、[無効]、[無効] の順に選択します (既定値)。
[ホームページ] ショートカット URL には、http:// または https:// のいずれかのプレフィックスを含む有効な URL を指定します。 不適切な URL は、セキュリティ対策としてブロックされます。
マネージド ブックマークの場合は、タイトルと、http:// または https:// のいずれかのプレフィックスを含む有効な URL を指定します。
許可される URL の 場合は、有効な URL を指定します (これらの URL のみが許可されます。他のサイトにはアクセスできません)。 サポートされている URL 形式の種類の詳細については、 許可されたサイトリストとブロックされたサイトリストの URL 形式に関するページを参照してください。
ブロックされた URL の場合は、有効な URL を指定します (これらの URL のみがブロックされます)。 サポートされている URL 形式の種類の詳細については、 許可されたサイトリストとブロックされたサイトリストの URL 形式に関するページを参照してください。
[制限付きサイトを個人用コンテキストにリダイレクトする] で、使用可能なオプションの [有効 ( 既定)]、[無効] の順に選択します。
注意
ポリシーで許可される URL とブロックされた URL の両方が定義されている場合、許可されたリストのみが適用されます。
上記のポリシーで公開されていないアプリ構成設定を追加する場合は、[ 全般構成設定 ] ノードを展開し、それに応じてキー値のペアを入力します。
設定の構成が完了したら、[ 次へ] を選択します。
[ 割り当て ] セクションで、[ 含めるグループの選択] を選択します。 アプリ構成ポリシーを割り当てる Azure AD グループを選択し、[ 選択] を選択します。
割り当てが完了したら、[ 次へ] を選択します。
[ アプリ構成ポリシーの作成] の [確認と作成] ブレードで、構成された設定を確認し、[ 作成] を選択します。
新しく作成された構成ポリシーが [アプリの構成 ] ブレードに表示されます。
IOSとAndroidに Edge を使用してマネージド アプリ ログにアクセスする
iOSまたはAndroid デバイスにインストールされている Edge for iOS とAndroidを持つユーザーは、Microsoft 発行されたすべてのアプリの管理状態を表示できます。 次の手順を使用して、マネージド iOSまたはAndroid アプリのトラブルシューティング用のログを送信できます。
デバイスでエッジを開き、iOSしてAndroidします。
アドレス ボックスに入力
about:intunehelpします。iOSおよびAndroidのエッジでは、トラブルシューティング モードが起動されます。
アプリ ログに保存されている設定のリストについては、「クライアント アプリの保護ログを確認する」を参照してください。
Android デバイスのログを表示する方法については、「電子メールで IT 管理者にログを送信する」を参照してください。
ChromiumとiOSの間でネットワーク スタックを切り替える
ネットワーク アーキテクチャのレイヤーは、ネットワーク スタックと呼ばれます。 ネットワーク スタックのレイヤーは、ネットワーク インターフェイス、ネットワーク ドライバー インターフェイス仕様 (NDIS)、プロトコル スタック、システム ドライバー、User-Mode アプリケーションなどのセクションに大きく分けられます。
既定では、iOSとAndroidの両方の Edge では、VPN を含む内部ネットワーク通信にChromiumネットワーク スタックが使用されます。 iOS用のエッジでは、ネットワーク通信用のiOSネットワーク スタックも提供されます。
組織は、次の設定を構成することで、ネットワーク スタックの基本設定を変更できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | 0 (既定値) Chromiumネットワーク スタックを使用する 1 iOS ネットワーク スタックを使用する |
注意
Chromiumネットワーク スタックをお勧めします。 特iOS VPN などのネットワークの問題が発生した場合は、ネットワーク スタックを使用します。