Gerir o acesso à Web utilizando o Edge para iOS e Android com Microsoft Intune
Edge for iOS e Android foi projetado para permitir que os utilizadores naveguem na web e suportem multi-identidade. Os utilizadores podem adicionar uma conta de trabalho, bem como uma conta pessoal, para navegar. Existe uma separação completa entre as duas identidades, que é como a que é oferecida noutras aplicações móveis da Microsoft.
Esta funcionalidade aplica-se a:
- iOS 12.0 e mais recente
- Android 5.0 e mais recente
Nota
Edge para iOS e Android não consome configurações que os utilizadores definem para o navegador nativo nos seus dispositivos, porque Edge para iOS e Android não conseguem aceder a estas configurações.
As capacidades de proteção mais ricas e amplas para Microsoft 365 dados estão disponíveis quando você subscrever a suite Enterprise Mobility + Security, que inclui funcionalidades de Microsoft Intune e Azure Ative Directory Premium, como acesso condicional. No mínimo, irá querer implementar uma política de acesso condicional que apenas permite a conectividade ao Edge para iOS e Android a partir de dispositivos móveis e uma política de proteção de aplicações Intune que garante que a experiência de navegação está protegida.
Nota
Novos clips web (aplicações web fixas) em dispositivos iOS abrirão no Edge para iOS e Android em vez do Intune Managed Browser quando necessário para abrir num navegador protegido. Para os clips web mais antigos do iOS, você deve redirecionar estes clips web para garantir que abrem no Edge para iOS e Android em vez do Navegador Gerido.
Aplicar acesso condicional
As organizações podem usar as políticas de acesso condicionado Azure AD para garantir que os utilizadores só podem aceder ao trabalho ou ao conteúdo escolar usando o Edge para iOS e Android. Para isso, necessitará de uma política de acesso condicional que vise todos os potenciais utilizadores. Os detalhes sobre a criação desta política podem ser encontrados na política de proteção de aplicações Require para acesso a aplicações na nuvem com acesso condicional.
Seguir o Cenário 2: As aplicações do navegador requerem aplicações aprovadas com políticas de proteção de aplicações, que permitem o Edge para iOS e Android, mas bloqueia outros navegadores de dispositivos móveis de ligação a Office 365 pontos finais.
Nota
Esta política garante que os utilizadores móveis podem aceder a todos os Microsoft 365 pontos finais de dentro do Edge para iOS e Android. Esta política também impede que os utilizadores utilizem o InPrivate para acederem a Microsoft 365 pontos finais.
Com acesso condicional, também pode direcionar os sites no local que expôs a utilizadores externos através do Azure AD Application Proxy.
Nota
Para alavancar as políticas de acesso condicional baseadas em aplicações, a aplicação Microsoft Authenticator deve ser instalada em dispositivos iOS. Para dispositivos Android, a aplicação Portal da Empresa do Intune é necessária. Para obter mais informações, consulte o Acesso Condicional baseado em Aplicações com Intune.
Criar políticas de proteção de aplicações Intune
As Políticas de Proteção de Aplicações (APP) definem quais as aplicações permitidas e as ações que podem tomar com os dados da sua organização. As escolhas disponíveis na APP permitem às organizações adaptar a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais as definições políticas necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar o endurecimento do ponto final do cliente móvel, a Microsoft introduziu a taxonomia para o seu quadro de proteção de dados APP para a gestão de aplicações móveis iOS e Android.
O quadro de proteção de dados da APP está organizado em três níveis distintos de configuração, com cada nível a construir fora do nível anterior:
- A proteção de dados básica de Empresas (Nível 1) garante que as aplicações são protegidas e encriptadas e desempenha operações de limpeza seletiva. Para dispositivos Android, este nível valida o atestado de dispositivo Android. Esta é uma configuração de nível de entrada que fornece um controlo semelhante de proteção de dados em políticas Exchange Online caixa de correio e introduz a TI e a população utilizadora à APP.
- A proteção de dados melhorada da empresa (Nível 2) introduz mecanismos de prevenção de fugas de dados da APP e requisitos mínimos de SO. Trata-se da configuração que é aplicável à maioria dos utilizadores móveis que acedem a dados profissionais ou escolares.
- A alta proteção de dados da empresa (Nível 3) introduz mecanismos avançados de proteção de dados, configuração PIN melhorada e APP Mobile Threat Defense. Esta configuração é recomendada para utilizadores que estão a aceder a dados de alto risco.
Para ver as recomendações específicas para cada nível de configuração e as aplicações mínimas que devem ser protegidas, reveja o quadro de proteção de dados utilizando políticas de proteção de aplicações.
Independentemente de o dispositivo estar inscrito numa solução unificada de gestão de pontos finais (UEM), é necessário criar uma política de proteção de aplicações Intune para aplicações iOS e Android, utilizando os passos em Como criar e atribuir políticas de proteção de aplicações. Estas políticas devem, no mínimo, satisfazer as seguintes condições:
Incluem todas as aplicações móveis Microsoft 365, como Edge, Outlook, OneDrive, Office ou Teams, uma vez que isso garante que os utilizadores possam aceder e manipular dados de trabalho ou escola dentro de qualquer aplicação da Microsoft de forma segura.
São atribuídos a todos os utilizadores. Isto garante que todos os utilizadores estão protegidos, independentemente de utilizarem o Edge para iOS ou Android.
Determine qual o nível de enquadramento que satisfaz os seus requisitos. A maioria das organizações deve implementar as definições definidas na proteção de dados melhorada da Enterprise (Nível 2) uma vez que permite controlos de requisitos de proteção de dados e acesso.
Para obter mais informações sobre as definições disponíveis, consulte as definições da política de proteção de aplicações android e as definições da política de proteção de aplicações iOS.
Importante
Para aplicar as políticas de proteção de aplicações Intune contra aplicações em dispositivos Android que não estejam inscritas no Intune, o utilizador também deve instalar o Portal da Empresa do Intune. Para mais informações, consulte o que esperar quando a sua aplicação Android é gerida pelas políticas de proteção de aplicações.
Único sinal de acesso a aplicações web ligadas ao Azure em navegadores protegidos por políticas
Edge para iOS e Android pode aproveitar o único sign-on (SSO) para todas as aplicações web (SaaS e no local) que estão ligadas a AD AZure. O SSO permite que os utilizadores acedam a aplicações web ligadas ao Azure através do Edge para iOS e Android, sem terem de voltar a introduzir as suas credenciais.
O SSO exige que o seu dispositivo seja registado pela aplicação Microsoft Authenticator para dispositivos iOS, quer pela Portal da Empresa do Intune no Android. Quando os utilizadores têm um destes, são solicitados a registar o seu dispositivo quando vão a uma aplicação web ligada ao AZure num navegador protegido por políticas (isso só é verdade se o seu dispositivo ainda não tiver sido registado). Depois de o dispositivo ser registado na conta do utilizador gerida pelo Intune, essa conta tem SSO ativado para aplicações web ligadas a Azure.
Nota
O registo do dispositivo é uma simples verificação do serviço Azure AD. Não requer inscrição completa do dispositivo, e não dá à TI quaisquer privilégios adicionais no dispositivo.
Utilize a configuração da aplicação para gerir a experiência de navegação
Edge for iOS e Android suporta configurações de apps que permitem uma gestão unificada de pontos finais, como Microsoft Endpoint Manager, administradores para personalizar o comportamento da app.
A configuração da aplicação pode ser entregue através do canal DE SISTEMA DE GESTÃO DE DISPOSITIVOS (MDM) em dispositivos inscritos (Canalde Configuração de Aplicações Geridas para iOS ou Android no canal Enterprise para Android) quer através do canal Intune App Protection Policy (APP). Edge for iOS e Android suporta os seguintes cenários de configuração:
- Apenas permitir contas de trabalho ou escola
- Configurações gerais de configuração de aplicativos
- Definições de proteção de dados
Importante
Para cenários de configuração que exijam a inscrição de dispositivos no Android, os dispositivos devem ser inscritos no Android Enterprise e Edge para Android devem ser implementados através da loja Gerida google Play. Para obter mais informações, consulte configurar a inscrição de dispositivos de perfil de trabalho do Android Enterprise e adicionar políticas de configuração de aplicativos para dispositivos Android Enterprise geridos.
Cada cenário de configuração realça os seus requisitos específicos. Por exemplo, se o cenário de configuração requer a inscrição do dispositivo, e assim funciona com qualquer fornecedor UEM, ou requer Políticas de Proteção de Aplicações Intune.
Importante
As chaves de configuração da aplicação são sensíveis à caixa. Utilize o invólucro adequado para garantir que a configuração afeta.
Nota
Com Microsoft Endpoint Manager, a configuração de aplicações entregue através do canal MDM OS é referida como uma Política de Configuração de Aplicações de Dispositivos Geridos (ACP); a configuração da aplicação entregue através do canal Política de Proteção de Aplicações é referida como uma Política de Configuração de Aplicações Geridas.
Apenas permitir contas de trabalho ou escola
Respeitar as políticas de segurança e conformidade dos nossos maiores clientes altamente regulados é um pilar fundamental para o valor Microsoft 365. Algumas empresas têm a obrigação de capturar todas as informações de comunicações dentro do seu ambiente corporativo, bem como garantir que os dispositivos são usados apenas para comunicações corporativas. Para suportar estes requisitos, o Edge para iOS e Android em dispositivos inscritos pode ser configurado apenas para permitir que uma única conta corporativa seja aprovisionada dentro da app.
Pode saber mais sobre a configuração do modo de contas permitidas org aqui:
Este cenário de configuração funciona apenas com dispositivos matriculados. No entanto, qualquer fornecedor UEM é apoiado. Se não estiver a utilizar Microsoft Endpoint Manager, tem de consultar a documentação da UEM sobre como implementar estas teclas de configuração.
Cenários gerais de configuração de aplicativos
Edge para iOS e Android oferece aos administradores a capacidade de personalizar a configuração padrão para várias configurações in-app. Atualmente, esta capacidade só é oferecida quando o Edge para iOS e Android tem uma Política de Proteção de Aplicações Intune aplicada à conta de trabalho ou escola que é assinada na app e as definições de política são entregues apenas através de uma Política de Configuração de aplicações geridas.
Importante
Edge para Android não suporta Chromium configurações que estão disponíveis no Google Play Gerido.
Edge suporta as seguintes definições para a configuração:
- Novas experiências na página do separador
- Experiências de marca de livros
- Experiências de comportamento de aplicativo
- Experiências no modo quiosque
Estas definições podem ser implementadas na aplicação independentemente do estado de inscrição do dispositivo.
Novas experiências na página do separador
Ao entrar no Edge para iOS e Android, a abertura de uma nova página de separadores oferece o conteúdo familiar da produtividade e novos pivôs que organizam feeds de notícias relevantes para a indústria e interesses da sua organização numa só vista. A experiência New Tab Page fornece links para a página inicial da sua organização, sites de topo e notícias da indústria.
Edge para iOS e Android oferece às organizações várias opções para ajustar a experiência New Tab Page.
Logotipo da organização e cor da marca
Estas definições permitem personalizar a Nova Página do Separador para Edge para iOS e Android para exibir o logótipo e a cor da marca da sua organização como fundo da página.
Para carregar o logótipo e a cor da sua organização, complete primeiro os seguintes passos:
- No prazo de Microsoft Endpoint Manager,navegue para a Personalização da Administração de > Inquilinos. Ao lado de Definições, clique em Editar.
- Para definir o logótipo da sua marca, ao lado do Show in header, escolha "Apenas logotipo da organização". São recomendados logotipos de fundo transparentes.
- Para definir a cor de fundo da sua marca, selecione uma cor tema. Edge para iOS e Android aplica um tom mais claro da cor na Página do Novo Separador, que garante que a página tem alta legibilidade.
Em seguida, utilize os seguintes pares de chaves/valor para puxar a marca da sua organização para edge para iOS e Android:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.newTabPage.BrandLogo | verdadeiro mostra logotipo da marca da organização falso (padrão) não vai expor um logotipo |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor | verdadeiro mostra a cor da marca da organização falso (padrão) não vai expor uma cor |
Atalho inicial
Esta definição permite configurar um atalho inicial para Edge para iOS e Android na Página do Novo Separador. O atalho inicial que configura aparece como o primeiro ícone por baixo da barra de pesquisa quando o utilizador abre um novo separador no Edge para iOS e Android. O utilizador não pode editar ou apagar este atalho no seu contexto gerido. O atalho inicial mostra o nome da sua organização para distingui-lo.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage | Especifique um URL válido. Os URLs incorretos são bloqueados como medida de segurança. Por exemplo: https://www.bing.com |
Vários atalhos do site superior
Da mesma forma que configurar um atalho inicial, pode configurar vários atalhos de site de topo em Novas Páginas de Separador no Edge para iOS e Android. O utilizador não pode editar ou eliminar estes atalhos num contexto gerido. Nota: pode configurar um total de 8 atalhos, incluindo um atalho inicial. Se configurar um atalho inicial, que irá sobrepor-se ao primeiro site de topo configurado.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | Especifique o conjunto de URLs de valor. Cada atalho do site superior é composto por um título e URL. Separe o título e URL com o | personagem.Por exemplo: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
Notícias da indústria
Pode configurar a experiência New Tab Page dentro do Edge para iOS e Android para exibir notícias da indústria que são relevantes para a sua organização. Ao ativar esta funcionalidade, o Edge para iOS e Android utiliza o nome de domínio da sua organização para agregar notícias da web sobre a sua organização, a indústria da organização e os concorrentes, para que os seus utilizadores possam encontrar notícias externas relevantes, todas a partir das novas páginas de separadores centralizadas dentro do Edge para iOS e Android. O Noticiário da Indústria está desligado por defeito.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews | verdadeiros shows Industry News na Página do Novo Separador falso (padrão) esconde notícias da indústria da nova página do separador |
Página inicial em vez da experiência New Tab Page
Edge for iOS e Android permite que as organizações desativem a experiência New Tab Page e, em vez disso, tenham um lançamento no site quando o utilizador abrir um novo separador. Apesar de este ser um cenário suportado, a Microsoft recomenda que as organizações aproveitem a experiência new tab Page para fornecer conteúdo dinâmico que seja relevante para o utilizador.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | Especifique um URL válido. Se não for especificado um URL, a aplicação utiliza a experiência New Tab Page. Os URLs incorretos são bloqueados como medida de segurança. Por exemplo: https://www.bing.com |
Experiências de marca de livros
Edge para iOS e Android oferece às organizações várias opções para gerir marcadores.
Marcadores geridos
Para facilitar o acesso, pode configurar marcadores que gostaria que os seus utilizadores tivessem disponíveis quando estiverem a usar o Edge para iOS e Android.
- Os marcadores só aparecem na conta de trabalho ou escola e não estão expostos a contas pessoais.
- Os favoritos não podem ser eliminados ou modificados pelos utilizadores.
- Os favoritos aparecem no topo da lista. Quaisquer marcadores que os utilizadores criam aparecem abaixo destes marcadores.
- Se tiver ativado a reorientação do Proxy da aplicação, pode adicionar aplicações web Proxy de aplicação utilizando o seu URL interno ou externo.
- Certifique-se de que prefixa todos os URLs com http:// ou https:// ao inseri-los na lista.
- Os marcadores são criados numa pasta com o nome da organização que é definida em Azure Ative Directory.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks | O valor desta configuração é uma lista de marcadores. Cada marcador é composto pelo título de marcador e pelo URL do marcador. Separe o título e URL com o | personagem.Por exemplo: Microsoft Bing|https://www.bing.comPara configurar vários marcadores, separe cada par com o carácter duplo |
O meu marcador de apps
Por padrão, os utilizadores têm o marcador my Apps configurado dentro da pasta da organização dentro do Edge para iOS e Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps | verdadeiro (padrão) mostra My Apps dentro do Edge para marcadores iOS e Android falsas escondem as minhas apps dentro do Edge para iOS e Android |
Experiências de comportamento de aplicativo
Edge para iOS e Android oferece às organizações várias opções para gerir o comportamento da aplicação.
Manipulador de protocolo padrão
Por predefinição, o Edge para iOS e Android utiliza o manipulador de protocolos HTTPS quando o utilizador não especifica o protocolo no URL. Geralmente, esta é considerada uma boa prática, mas pode ser desativada.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | o verdadeiro (padrão) manipulador de protocolo é HTTPS manipulador de protocolo de incumprimento falso é HTTP |
Desativar a partilha de dados para personalização
Por padrão, o Edge para iOS e Android solicita aos utilizadores que recolham dados de utilização e partilhem o histórico de navegação para personalizar a sua experiência de navegação. As organizações podem desativar esta partilha de dados evitando que esta solicitação seja mostrada aos utilizadores finais.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | verdadeiro desativa esta solicitação de exibição para utilizadores finais Utilizadores falsos (padrão) são solicitados a partilhar dados de utilização |
| com.microsoft.intune.mam.managedbrowser.disableShareBrowsingHistory | verdadeiro desativa esta solicitação de exibição para utilizadores finais Utilizadores falsos (padrão) são solicitados a partilhar o histórico de navegação |
Desativar características específicas
Edge para iOS e Android permite que as organizações desativam certas funcionalidades que são ativadas por padrão. Para desativar estas funcionalidades, configurar a seguinte definição:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | password desativa solicitações que oferecem para guardar senhas para o utilizador final inprivate desativa a navegação InPrivate Para desativar várias funcionalidades, separe valores com |
Nota
Edge for Android não suporta desativar o gestor de passwords.
Desativar extensões
Pode desativar a estrutura de extensão, como cupões, dentro do Edge para iOS e Android para impedir que os utilizadores instalem ou utilizem quaisquer extensões de aplicações pré-configuradas. Para isso, configurar o seguinte ajuste:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableExtensionFramework | verdade desativa o quadro de extensão falso (padrão) permite o quadro de extensão |
Nota
Edge for iOS não suporta extensões incapacitantes.
Experiências em modo quiosque em dispositivos Android
Edge for Android pode ser ativado como uma aplicação de quiosque com as seguintes definições:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | verdadeiro permite modo quiosque para Edge para Android falso (padrão) desativa o modo quiosque |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | verdadeiro mostra a barra de endereço no modo quiosque falso (padrão) esconde a barra de endereço quando o modo quiosque está ativado |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | verdadeiro mostra a barra de ação inferior no modo quiosque falso (padrão) esconde a barra inferior quando o modo quiosque está ativado |
Cenários de configuração de aplicativos de proteção de dados
Edge for iOS e Android suporta políticas de configuração de aplicativos para as seguintes definições de proteção de dados quando a aplicação é gerida por Microsoft Endpoint Manager com uma Política de Proteção de Aplicações Intune aplicada à conta de trabalho ou escola que é assinada na app e as definições de política são entregues apenas através de uma política de configuração de aplicações geridas:
- Gerir a sincronização de contas
- Gerir sites restritos
- Gerir a configuração de procuração
- Gerir sites de assinatura única NTLM
Estas definições podem ser implementadas na aplicação independentemente do estado de inscrição do dispositivo.
Gerir a sincronização de contas
Por predefinição, Microsoft Edge sincronização permite que os utilizadores acedam aos seus dados de navegação em todos os seus dispositivos de acesso. Os dados suportados por sincronização incluem:
- Favoritos
- Palavras-passe
- Endereços e muito mais (entrada automática)
A funcionalidade sync é ativada através do consentimento do utilizador e os utilizadores podem ligar ou desligar a sincronização para cada um dos tipos de dados listados acima. Para mais informações consulte Microsoft Edge Sync.
As organizações têm a capacidade de desativar a sincronização edge no iOS e Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | verdadeiro (padrão) desativa sincronização edge falso permite sincronização edge |
Gerir sites restritos
As organizações podem definir quais os sites a que os utilizadores podem aceder dentro do contexto de conta de trabalho ou escola em Edge para iOS e Android. Se utilizar uma lista de autorizações, os seus utilizadores só poderão aceder aos sites explicitamente listados. Se utilizar uma lista bloqueada, os utilizadores podem aceder a todos os sites, exceto os que estão explicitamente bloqueados. Só deve impor uma lista permitida ou bloqueada, não ambas. Se impor os dois, só a lista permitida é honrada.
A organização também define o que acontece quando um utilizador tenta navegar para um site restrito. Por defeito, as transições são permitidas. Se a organização o permitir, os sites restritos podem ser abertos no contexto da conta pessoal, o contexto InPrivate da conta Azure ou se o site está totalmente bloqueado. Para obter mais informações sobre os vários cenários suportados, consulte transições restritas de websites em Microsoft Edge mobile. Ao permitir experiências de transição, os utilizadores da organização permanecem protegidos, mantendo os recursos corporativos seguros.
Nota
Edge para iOS e Android só pode bloquear o acesso aos sites quando são acedidos diretamente. Não bloqueia o acesso quando os utilizadores usam serviços intermédios (como um serviço de tradução) para aceder ao site.
Utilize os seguintes pares de teclas/valores para configurar uma lista de sites permitidos ou bloqueados para Edge para iOS e Android.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs | O valor correspondente da chave é uma lista de URLs. Introduza todos os URLs que pretende permitir como um único valor, separados por um personagem de | tubo.Exemplos: |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs | O valor correspondente da chave é uma lista de URLs. Introduza todos os URLs que pretende bloquear como um único valor, separado por um personagem de | tubo.Exemplos: URL1|URL2|URL3http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock | verdadeiro (padrão) permite edge para iOS e Android para a transição de sites restritos. Quando as contas pessoais não são desativadas, os utilizadores são solicitados a mudar para o contexto pessoal para abrir o site restrito, ou para adicionar uma conta pessoal. Se o com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked estiver definido como verdadeiro, os utilizadores têm a capacidade de abrir o site restrito no contexto InPrivate. falso impede Edge para iOS e Android de utilizadores em transição. Os utilizadores são simplesmente mostrados uma mensagem afirmando que o site a que estão a tentar aceder está bloqueado. |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked | a verdade permite que os sites restritos sejam abertos no contexto InPrivate da conta AZure. Se a conta AZure AD for a única conta configurada no Edge para iOS e Android, o site restrito é aberto automaticamente no contexto InPrivate. Se o utilizador tiver uma conta pessoal configurada, o utilizador é solicitado a escolher entre abrir o InPrivate ou mudar para a conta pessoal. falso (padrão) requer que o site restrito seja aberto na conta pessoal do utilizador. Se as contas pessoais forem desativadas, o site está bloqueado. Para que esta definição produza efeitos, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock deve ser definido como verdadeiro. |
| com.microsoft.intune.mam.managedbrowser.duraçãoOfOpenInPrivateSnackBar | Introduza o número de segundos que os utilizadores verão a notificação do snack bar "Link aberto com o modo InPrivate. A sua organização requer a utilização do modo InPrivate para este conteúdo." Por predefinição, a notificação da snack-bar é mostrada durante 7 segundos. |
Os seguintes sites são sempre permitidos independentemente das definições definidas da lista de autorizações ou da lista de blocos:
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
Formatos URL para lista de sites permitidos e bloqueados
Pode utilizar vários formatos URL para construir as suas listas de sites permitidos/bloqueados. Estes padrões permitidos são detalhados na tabela seguinte.
Certifique-se de que prefixa todos os URLs com http:// ou https:// ao inseri-los na lista.
Pode utilizar o símbolo wildcard de * acordo com as regras da lista de padrões permitidos.
Um wildcard só pode corresponder a uma porção (por exemplo,
news-contoso.com) ou componente inteiro do nome hospedeiro (por exemplo, ) ou parteshost.contoso.cominteiras do caminho quando separadas por cortes dianteiros (www.contoso.com/images).Pode especificar os números da porta no endereço. Se não especificar um número da porta, os valores utilizados são:
- Porta 80 para http
- Porta 443 para https
A utilização de wildcards para o número de porta não é suportada. Por exemplo,
http://www.contoso.com:*ehttp://www.contoso.com:*/não são suportados.URL Detalhes Correspondências Não corresponde http://www.contoso.comCorresponde a uma única página www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.comCorresponde a uma única página contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*Corresponde a todos os URLs que começam com www.contoso.comwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*Corresponde a todos os subdomínios sob contoso.comdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*Corresponde a todos os subdomínios terminando com contoso.com/news-contoso.comnews-contoso.com.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/imagesCorresponde a uma única pasta www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80Corresponde a uma única página, usando um número de porta www.contoso.com:80https://www.contoso.comCorresponde a uma única página segura www.contoso.comwww.contoso.comhttp://www.contoso.com/images/*Corresponde a uma única pasta e a todas as subpastas www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videosSeguem-se exemplos de algumas das entradas que não pode especificar:
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- Endereços IP
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
Gerir a configuração de procuração
Pode utilizar o Edge para iOS e Android e Azure AD Application Proxy em conjunto para dar aos utilizadores acesso a sites intranet nos seus dispositivos móveis. Por exemplo:
- Um utilizador está a utilizar a aplicação móvel Outlook, que está protegida pelo Intune. Em seguida, clicam num link para um site intranet num e-mail, e edge para iOS e Android reconhece que este site intranet foi exposto ao utilizador através do Application Proxy. O utilizador é automaticamente encaminhado através do Application Proxy, para autenticar com qualquer autenticação multi-fator aplicável e Acesso Condicional, antes de chegar ao site intranet. O utilizador passa a poder aceder a sites internos, mesmo nos seus dispositivos móveis, e a ligação em Outlook funciona como esperado.
- Um utilizador abre o Edge para iOS e Android no seu dispositivo iOS ou Android. Se o Edge for iOS e Android estiver protegido com o Intune, e o Application Proxy estiver ativado, o utilizador pode ir a um site intranet utilizando o URL interno a que estão habituados. Edge for iOS e Android reconhece que este site intranet foi exposto ao utilizador através do Application Proxy. O utilizador é automaticamente encaminhado através do Application Proxy, para autenticar antes de chegar ao site da intranet.
Antes de começar:
- Confiúva das suas aplicações internas através do Azure AD Application Proxy.
- Para configurar o Proxy de Aplicações e publicar aplicações, veja a documentação de configuração.
- Certifique-se de que o utilizador está atribuído à aplicação Proxy da aplicação AD AD Ad, mesmo que a aplicação esteja configurada com o tipo de pré-autenticação Passthrough.
- A aplicação Edge for iOS e Android deve ter uma política de proteção de aplicações Intune atribuída.
- As aplicações da Microsoft devem ter uma política de proteção de aplicações que tenha restrições à transferência de conteúdos web com outras aplicações definição de transferência de dados definida para Microsoft Edge.
Nota
Edge for iOS e Android atualiza os dados de redirecionamento de Proxy da Aplicação com base no último evento de atualização bem-sucedido. As atualizações são tentadas sempre que o último evento de atualização bem-sucedido é superior a uma hora.
Borda-alvo para iOS com o seguinte par chave/valor, para ativar o Proxy da aplicação:
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection | verdadeiro permite a Azure AD App Proxy cenários de redirecionamento falso (padrão) impede cenários de procuração de aplicativoS AZure AD |
Nota
Edge para Android não consome esta chave. Em vez disso, o Edge for Android consome automaticamente a configuração de Proxy da aplicação AD Azure, desde que a conta AZure AD assinada tenha uma Política de Proteção de Aplicações aplicada.
Para obter mais informações sobre como utilizar o Edge para iOS e Android e Azure AD Application Proxy em conjunto para acesso sem emenda (e protegido) a aplicações web no local, consulte Better together: Intune and Azure Ative Directory team up para melhorar o acesso do utilizador. Este blog publica referências ao Intune Managed Browser, mas o conteúdo aplica-se também ao Edge para iOS e Android.
Gerir sites de assinatura única NTLM
As organizações podem exigir que os utilizadores autentem a autenticação com a NTLM para acederem aos web sites intranet. Por predefinição, os utilizadores são solicitados a introduzir credenciais cada vez que acedem a um web site que requer a autenticação NTLM, uma vez que o caching credencial NTLM é desativado.
As organizações podem permitir a caching credencial NTLM para determinados sites. Para estes sites, depois de o utilizador introduzir credenciais e autenticar com sucesso, as credenciais são em cache por padrão durante 30 dias.
| Chave | Valor |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | O valor correspondente da chave é uma lista de URLs. Introduza todos os URLs que pretende permitir como um único valor, separados por um personagem de | tubo.Exemplos: Para obter mais informações sobre os tipos de formatos URL que são suportados, consulte os formatos URL para a lista de sites permitidos e bloqueados. |
| com.microsoft.intune.mam.managedbrowser.duraçãoOFNTLMSSO | Número de horas para cache credenciais, padrão é de 720 horas |
Implementar cenários de configuração de aplicativos com Microsoft Endpoint Manager
Se estiver a utilizar Microsoft Endpoint Manager como fornecedor de gestão de aplicações móveis, os seguintes passos permitem-lhe criar uma política de configuração de aplicações geridas. Após a configuração ser criada, pode atribuir as suas definições a grupos de utilizadores.
Inscreva-se na Microsoft Endpoint Manager.
Selecione Apps e, em seguida, selecione políticas de configuração de aplicativos.
Na lâmina das políticas de configuração da aplicação, escolha Adicionar e selecione aplicações geridas.
Na secção Básico, introduza um Nome e descrição opcional para as definições de configuração da aplicação.
Para aplicações públicas, escolha selecione apps públicas, e depois, na lâmina de aplicações direcionadas, escolha Edge para iOS e Android selecionando as aplicações da plataforma iOS e Android. Clique em Selecionar para guardar as aplicações públicas selecionadas.
Clique em Seguida para completar as definições básicas da política de configuração da aplicação.
Na secção Definições, expanda as definições de configuração edge.
Se pretender gerir as definições de proteção de dados, configufique as definições desejadas em conformidade:
Para reorientação de procuração de aplicação, escolha entre as opções disponíveis: Ativar, Desativar (predefinição).
Para URL de atalho de página inicial, especifique um URL válido que inclua o prefixo de http:// ou https://. Os URLs incorretos são bloqueados como medida de segurança.
Para marcadores geridos, especifique o título e um URL válido que inclua o prefixo de http:// ou https://.
Para URLs permitidos, especifique um URL válido (apenas estes URLs são permitidos; nenhum outro sites pode ser acedido). Para obter mais informações sobre os tipos de formatos URL que são suportados, consulte os formatos URL para a lista de sites permitidos e bloqueados.
Para URLs bloqueados, especifique um URL válido (apenas estes URLs estão bloqueados). Para obter mais informações sobre os tipos de formatos URL que são suportados, consulte os formatos URL para a lista de sites permitidos e bloqueados.
Para redirecionar os sites restritos para o contexto pessoal, escolha entre as opções disponíveis: Ative (predefinido), Desativar.
Nota
Quando ambos urls permitidos e URLs bloqueados são definidos na política, apenas a lista permitida é honrada.
Se pretender configurar as configurações adicionais da aplicação não expostas na política acima, expanda o nó de definições gerais e introduza os pares de valor das chaves em conformidade.
Quando terminar de configurar as definições, escolha Next.
Na secção atribuições, escolha grupos selecionados para incluir. Selecione o grupo AD Azure ao qual pretende atribuir a política de configuração da aplicação e, em seguida, escolha Select.
Quando terminar as atribuições, escolha Next.
Na política de configuração de aplicações Create Review + Create blade, reveja as definições configuradas e escolha Criar.
A política de configuração recém-criada é apresentada na lâmina de configuração da App.
Use Edge para iOS e Android para aceder a registos de aplicações geridos
Os utilizadores com Edge para iOS e Android instalados no seu iOS ou dispositivo Android podem ver o estado de gestão de todas as aplicações publicadas pela Microsoft. Podem enviar registos para resolução de problemas das suas aplicações geridas para iOS ou Android utilizando os seguintes passos:
- Abra a borda para iOS e Android no seu dispositivo.
- Escreva
about:intunehelpna caixa de endereço. - Edge for iOS e Android lança o modo de resolução de problemas.
Para obter uma lista das definições armazenadas nos registos de aplicações, consulte os registos de proteção de aplicações do cliente de Revisão.
Para ver como visualizar registos em dispositivos Android, consulte Enviar registos para o seu administrador de TI por e-mail.