Zarządzanie dostępem do Internetu za pomocą zasad programu Managed Browser w usłudze Microsoft IntuneManage Internet access using managed browser policies with Microsoft Intune

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Program Managed Browser to aplikacja służąca do przeglądania sieci Web, którą można wdrożyć w organizacji za pomocą usługi Microsoft Intune.The managed browser is a web browsing application that you can deploy in your organization by using Microsoft Intune. Zasady programu Managed Browser umożliwiają skonfigurowanie listy dozwolonych lub zablokowanych witryn sieci Web ograniczającej zakres witryn, które użytkownicy programu Managed Browser mogą odwiedzać.A managed browser policy configures an allow list or a block list that restricts the websites that users of the managed browser can visit.

Ta aplikacja jest zintegrowana z zestawem SDK usługi Intune, dlatego można do niej również zastosować zasady ochrony aplikacji,Because this app has integration with the Intune SDK, you can also apply app protection policies to it. takie jak kontrolowanie użycia funkcji wycinania, kopiowania i wklejania, zapobieganie przechwytywaniu ekranu oraz zapewnienie, że klikane przez użytkowników linki do zawartości są otwierane tylko w innych zarządzanych aplikacjach.These policies might include controlling the use of cut, copy, and paste, preventing screen captures, and ensuring that links to content that users select open only in other managed apps. Aby uzyskać więcej informacji, zobacz Konfigurowanie i wdrażanie zasad zarządzania aplikacjami mobilnymi w konsoli usługi Microsoft Intune.For details, see Configure and deploy mobile application management policies in the Microsoft Intune console.

Ważne

Aplikacja Managed Browser pobiera i stosuje zasady ochrony aplikacji usługi Intune wyłącznie w przypadku, gdy inna aplikacja na urządzeniu pobierze zasady ochrony aplikacji.The Managed Browser app only retrieves and applies Intune app protection policies when another app on the device has retrieved an app protection policy.

Ponadto, jeśli użytkownicy instalują program Managed Browser ze sklepu z aplikacjami i nie jest on zarządzany przez usługę Intune, mają zastosowanie następujące zasady:Additionally, if users install the managed browser from the app store and Intune does not manage it, the following behavior applies:

iOS — program Managed Browser może być używany jako podstawowa przeglądarka sieci Web, ale niektóre funkcje będą niedostępne i nie będzie można uzyskać dostępu do danych z innych aplikacji zarządzanych przez usługę Intune. iOS – The managed browser app can be used as a basic web browser, but some features will not be available, and it will not be able to access data from other Intune-managed apps.
Android — nie można używać programu Managed Browser. Android – The managed browser app cannot be used.

Jeśli użytkownicy sami zainstalują program Managed Browser na urządzeniu z systemem iOS w wersji wcześniejszej niż iOS 9, przeglądarka nie będzie zarządzana przez żadną z utworzonych przez Ciebie zasad.If users install the managed browser themselves on an iOS device with a version earlier than iOS 9, no policies that you create will manage the browser. Aby zapewnić zarządzanie przeglądarką przez usługę Intune, użytkownicy muszą odinstalować aplikację, zanim wdrożysz ją dla nich jako aplikację zarządzaną.To ensure that Intune manages the browser, users must uninstall the app before you can deploy it to them as a managed app. W systemie iOS w wersji 9 i nowszych jeśli użytkownicy sami zainstalują program Managed Browser, otrzymają monit o umożliwienie zarządzania tym programem przez zasady.On iOS 9 and later, if users install the managed browser themselves, they will be prompted to allow it to become managed by policy.

Zasady programu Managed Browser można tworzyć dla następujących typów urządzeń:You can create managed browser policies for the following device types:

  • Urządzenia z systemem Android 4 i nowszymDevices that run Android 4 and later

  • Urządzenia z systemem iOS w wersji 8.0 lub nowszejDevices that run iOS 8.0 and later

Program Intune Managed Browser obsługuje otwieranie zawartości sieci Web od partnerów aplikacji usługi Microsoft Intune.The Intune managed browser supports opening web content from Microsoft Intune application partners.

Tworzenie zasad programu Managed BrowserCreate a managed browser policy

  1. W konsoli administracyjnej usługi Microsoft Intune wybierz kolejno pozycje Zasady > Dodaj zasady.In the Microsoft Intune administration console, choose Policy > Add Policy.

  2. Skonfiguruj jeden z następujących typów zasad z grupy Oprogramowanie :Configure one of the following Software policy types:

    • Managed Browser (Android 4 i nowsze)Managed Browser (Android 4 and later)

    • Managed Browser (iOS 8.0 i nowsze)Managed Browser (iOS 8.0 and later)

    Aby uzyskać więcej informacji na temat tworzenia i wdrażania zasad, zobacz temat Zarządzanie ustawieniami i funkcjami na urządzeniach przy użyciu zasad usługi Microsoft Intune.For more information about how to create and deploy policies, see the Manage settings and features on your devices with Microsoft Intune Policies topic.

  3. Poniższa tabela pomoże Ci w skonfigurowaniu ustawień zasad programu Managed Browser:Use the following to help you configure the managed browser policy settings:

    • Nazwa.Name. Wprowadzenie unikatowej nazwy zasad programu Managed Browser pomaga zidentyfikować te zasady w konsoli usługi Intune.Enter a unique name for the managed browser policy to help you identify it in the Intune console.
    • Opis.Description. Wprowadzony opis powinien zawierać omówienie zasad programu Managed Browser i inne istotne informacje ułatwiające wyszukanie tych zasad.Provide a description that gives an overview of the managed browser policy and other relevant information that helps you to locate it.
    • Włączenie listy witryn dozwolonych lub zablokowanych pozwala na ograniczenie adresów, które można otworzyć w programie Managed Browser.Enable an allow list or block list to restrict the URLs the Managed Browser can open. Wybierz jedną z następujących opcji:Select one of the following options:
      • Zezwalaj programowi Managed Browser na otwieranie tylko adresów URL wymienionych poniżej (lista dozwolonych).Allow the managed browser to open only the URLs listed below. Określ listę adresów URL, które można otworzyć w programie Managed Browser.Specify a list of URLs that the managed browser can open.
      • Blokuj w programie Managed Browser otwieranie adresów URL wymienionych poniżej.Block the managed browser from opening the URLs listed below. Określ listę adresów URL, których otwieranie zostanie zablokowane w programie Managed Browser.Specify a list of URLs that the managed browser will be blocked from opening. Uwaga: w jednej zasadzie programu Managed Browser nie można uwzględnić jednocześnie dozwolonych i zablokowanych adresów URL.Note: You cannot include both allowed and blocked URLs in the same managed browser policy. Aby uzyskać więcej informacji na temat możliwych do określenia formatów adresów URL, zobacz sekcję Format adresu URL dla dozwolonych i zablokowanych adresów URL w tym temacie.For more information about the URL formats you can specify, see URL format for allowed and blocked URLs in this topic.
  4. Gdy skończysz, wybierz pozycję Zapisz zasady.When you are finished, choose Save Policy.

Nowe zasady zostaną wyświetlone w węźle Zasady konfiguracji w obszarze roboczym Zasady.The new policy appears in the Configuration Policies node of the Policy workspace.

Tworzenie wdrożenia dla aplikacji programu Managed BrowserCreate a deployment for the managed browser app

Po utworzeniu zasad programu Managed Browser można utworzyć wdrożenie oprogramowania dla aplikacji programu Managed Browser i skojarzyć je z utworzonymi zasadami programu Managed Browser.After you have created the managed browser policy, you can then create a software deployment for the managed browser app, and associate it with the managed browser policy that you created.

Ważne

Zasady programu Managed Browser nie są wdrażane w taki sam sposób jak inne zasady usługi Intune.Managed browser policies are not deployed in the same way as other Intune polices. Ten typ zasad należy skojarzyć z pakietem oprogramowania Managed Browser.This type of policy must be associated with the managed browser software package.

Wdróż aplikację, wybierając zasady programu Managed Browser na stronie Zarządzanie aplikacjami mobilnymi , aby skojarzyć zasady z aplikacją.Deploy the app, ensuring that you select the managed browser policy on the Mobile App Management page to associate the policy with the app.

Aby uzyskać więcej informacji na temat sposobu wdrażania aplikacji, zobacz Wdrażanie aplikacji w usłudze Microsoft Intune.For more information about how to deploy apps, see Deploy apps in Microsoft Intune.

Zabezpieczenia i prywatność programu Managed BrowserSecurity and privacy for the managed browser

  • Na urządzeniach z systemem iOS nie można otwierać odwiedzanych przez użytkowników witryn sieci Web z certyfikatem nieważnym lub niezaufanym.On iOS devices, websites that users visit that have an expired or untrusted certificate cannot be opened.

  • Ustawienia przeglądarki wbudowanej na urządzeniach użytkowników nie są używane w programie Managed Browser.The managed browser does not use settings that users make for the built-in browser on their devices. Dzieje się tak, ponieważ program Managed Browser nie ma dostępu do tych ustawień.This is because the managed browser does not have access to these settings.

  • Jeśli w zasadach zarządzania aplikacjami mobilnymi skojarzonych z programem Managed Browser są konfigurowane opcje Wymagaj prostego numeru PIN w celu udzielenia dostępu lub Wymagaj poświadczeń firmowych w celu udzielenia dostępu, a użytkownik wybierze link Pomoc na stronie uwierzytelniania, umożliwi to przeglądanie dowolnych witryn internetowych bez względu na to, czy zostały one dodane do listy witryn zablokowanych w zasadach programu Managed Browser.If you configure the option Require simple PIN for access or Require corporate credentials for access in a mobile application management policy associated with the managed browser, and a user selects the help link on the authentication page, they can then browse any Internet sites regardless of whether they were added to a block list in the managed browser policy.

  • Program Managed Browser może zablokować dostęp do witryn tylko w przypadku uzyskiwania do nich bezpośredniego dostępu.The managed browser can block access to sites only when they are accessed directly. Dostępu do witryny nie można zablokować, jeśli jest on uzyskiwany za pomocą usług pośrednich (na przykład usługi tłumaczenia).It cannot block access when intermediate services (such as a translation service) are used to access the site.

  • W celu umożliwienia uwierzytelniania i zapewnienia, że można uzyskać dostęp do dokumentacji usługi Intune, witryna *.microsoft.com jest wyłączona z ustawień listy dozwolonych lub zablokowanych witryn.To allow authentication, and to ensure that the Intune documentation can be accessed,*.microsoft.com is exempt from the allow or block list settings. Jest ona zawsze dozwolona.It is always allowed.

Wyłączanie danych użyciaTurn off usage data

Firma Microsoft automatycznie zbiera anonimowe dane dotyczące wydajności i korzystania z programu Managed Browser w celu ulepszania swoich produktów i usług.Microsoft automatically collects anonymous data about the performance and use of the managed browser to improve Microsoft products and services. Użytkownicy mogą wyłączyć zbieranie danych przy użyciu ustawienia Dane użycia na swoich urządzeniach.Users can turn off data collection by using the Usage Data setting on their devices. Użytkownik nie kontroluje zbierania tych danych.You have no control over the collection of this data.

Informacje referencyjneReference information

Format adresu URL dla dozwolonych i zablokowanych adresów URLURL format for allowed and blocked URLs

Poniższe informacje dotyczą dopuszczalnych formatów i symboli wieloznacznych, których można używać podczas określania adresów URL na listach witryn dozwolonych i zablokowanych:Use the following information to learn about the allowed formats and wildcards that you can use when specifying URLs in the allowed and blocked lists:

  • Symbol wieloznaczny (*) może być używany zgodnie z regułami z poniższej listy dozwolonych wzorców.You can use the wildcard symbol (*) according to the rules in the following permitted patterns list.

  • Upewnij się, że wszystkie adresy URL dodawane do listy będą mieć prefiks http lub https .Ensure that you prefix all URLs with http or https when entering them into the list.

  • W adresie można określić numery portów.You can specify port numbers in the address. Jeśli nie określisz numeru portu, będą używane następujące wartości:If you do not specify a port number, the values used will be:

    • Port 80 dla protokołu httpPort 80 for http

    • Port 443 dla protokołu httpsPort 443 for https

    Symboli wieloznacznych nie można używać w numerze portu.Using wildcards for the port number is not supported. Na przykład adresy http://www.contoso.com:*; oraz http://www.contoso.com: /*; nie są obsługiwane.For example, http://www.contoso.com:*; and http://www.contoso.com: /*; are not supported.

  • W poniższej tabeli przedstawiono dozwolone wzorce do użycia podczas określania adresów URL:Use the following table to learn about the permitted patterns that you can use when you specify URLs:

Adres URLURL SzczegółyDetails Jest zgodny zMatches Nie jest zgodny zDoes not match
http://www.contoso.comhttp://www.contoso.com Zgodny z pojedynczą stronąMatches a single page www.contoso.comwww.contoso.com host.contoso.comhost.contoso.com

www.contoso.com/imageswww.contoso.com/images

contoso.com/contoso.com/
http://contoso.comhttp://contoso.com Zgodny z pojedynczą stronąMatches a single page contoso.com/contoso.com/ host.contoso.comhost.contoso.com

www.contoso.com/imageswww.contoso.com/images

www.contoso.comwww.contoso.com
http://www.contoso.com/*;http://www.contoso.com/*; Zgodny ze wszystkimi adresami URL rozpoczynającymi się od www.contoso.comMatches all URLs that begin with www.contoso.com www.contoso.comwww.contoso.com

www.contoso.com/imageswww.contoso.com/images

www.contoso.com/videos/tvshowswww.contoso.com/videos/tvshows
host.contoso.comhost.contoso.com

host.contoso.com/imageshost.contoso.com/images
http://*.contoso.com/*http://*.contoso.com/* Zgodny ze wszystkimi domenami podrzędnymi w domenie contoso.comMatches all subdomains under contoso.com developer.contoso.com/resourcesdeveloper.contoso.com/resources

news.contoso.com/imagesnews.contoso.com/images

news.contoso.com/videosnews.contoso.com/videos
contoso.host.comcontoso.host.com
http://www.contoso.com/imageshttp://www.contoso.com/images Zgodny z pojedynczym folderemMatches a single folder www.contoso.com/imageswww.contoso.com/images www.contoso.com/images/dogswww.contoso.com/images/dogs
http://www.contoso.com:80http://www.contoso.com:80 Zgodny z pojedynczą stroną z użyciem numeru portuMatches a single page, by using a port number http://www.contoso.com:80http://www.contoso.com:80
https://www.contoso.comhttps://www.contoso.com Zgodny z pojedynczą, bezpieczną stronąMatches a single, secure page https://www.contoso.comhttps://www.contoso.com http://www.contoso.comhttp://www.contoso.com
http://www.contoso.com/images/*;http://www.contoso.com/images/*; Zgodny z pojedynczym folderem ze wszystkimi podfolderamiMatches a single folder and all subfolders www.contoso.com/images/dogswww.contoso.com/images/dogs

www.contoso.com/images/catswww.contoso.com/images/cats
www.contoso.com/videoswww.contoso.com/videos
  • Poniżej przedstawiono przykłady niektórych niedozwolonych wzorców:The following are examples of some of the inputs that you cannot specify:

    • *.com*.com

    • *.contoso/**.contoso/*

    • www.contoso.com/*imageswww.contoso.com/*images

    • www.contoso.com/*images*pigswww.contoso.com/*images*pigs

    • www.contoso.com/page*www.contoso.com/page*

    • Adresy IPIP addresses

    • https://*https://*

    • http://*http://*

    • http://www.contoso.com:*http://www.contoso.com:*

    • http://www.contoso.com: /*http://www.contoso.com: /*

Jak rozwiązywane są konflikty pozycji list witryn dozwolonych i zablokowanychHow conflicts between the allow and block list are resolved

Jeśli zasady programu Managed Browser są wdrażane na urządzeniu i wystąpi konflikt ustawień, analizowane są listy trybu (zezwalania lub blokowania) oraz adresów URL.If multiple managed browser policies are deployed to a device and the settings conflict, both the mode (allow or block) and the URL lists are evaluated for conflicts. W przypadku konfliktu stosowane są następujące rozwiązania:In case of a conflict, the following behavior applies:

  • Jeśli tryby w każdej z zasad są takie same, a adresy URL są różne, adresy URL nie są wymuszane na urządzeniu.If the modes in each policy are the same, but the URL lists are different, the URLs will not be enforced on the device.

  • Jeśli tryby w każdej z zasad są różne, a adresy URL są takie same, adresy URL nie są wymuszane na urządzeniu.If the modes in each policy are different, but the URL lists are the same, the URLs will not be enforced on the device.

  • Jeśli urządzenie otrzymuje zasady programu Managed Browser po raz pierwszy i wystąpi konflikt dwóch zasad, adresy URL nie są wymuszane na urządzeniu.If a device is receiving managed browser policies for the first time and two policies conflict, the URLs will not be enforced on the device. Aby przejrzeć informacje o konfliktach, użyj węzła Konflikty zasad w obszarze roboczym Zasady .Use the Policy Conflicts node of the Policy workspace to view the conflicts.

  • Jeśli urządzenie już otrzymało zasady programu Managed Browser, a drugie zasady są wdrażane z ustawieniami powodującymi konflikt, na urządzeniu będą używane ustawienia oryginalne.If a device has already received a managed browser policy and a second policy is deployed with conflicting settings, the original settings remain on the device. Aby przejrzeć informacje o konfliktach, użyj węzła Konflikty zasad w obszarze roboczym Zasady .Use the Policy Conflicts node of the Policy workspace to view the conflicts.