Управление доступом в Интернет с помощью политик управляемого браузера в System Center Configuration ManagerManage Internet access using managed browser policies with System Center Configuration Manager

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

В System Center Configuration Manager вы можете развернуть приложение Intune Managed Browser (для просмотра веб-страниц) и связать приложение с политикой управляемого браузера.In System Center Configuration Manager, you can deploy the Intune Managed Browser (a web browsing application) and associate the application with a managed browser policy. Политика управляемого браузера настраивает список разрешений или список блокировок, ограничивающий те веб-сайты, которые могут посещать пользователи управляемого браузера.The managed browser policy sets up an allow list or a block list that restricts the websites that users of the managed browser can go to.

Так как это приложение является управляемым, к нему также можно применить политики управления мобильными приложениями, например для управления вырезанием, копированием и вставкой.Because this app is a managed app, you can also apply mobile application management policies to it, like controlling the use of cut, copy, and paste. Таким образом можно предотвратить захват экрана и обеспечить то, что ссылки на содержимое открываются только в других управляемых приложениях.This prevents screen captures and also ensures that links to content only open in other managed apps. Дополнительные сведения см. в статье Защита приложений с помощью политик управления мобильными приложениями.For details, see Protect apps using mobile application management policies.

Importante

Если пользователи самостоятельно устанавливают управляемый браузер, он не будет управляться никакими из тех политик, которые вы задаете.If users install the managed browser themselves, it will not be managed by any policies you specify. Чтобы обеспечить управление браузером из Configuration Manager, пользователи должны удалить это приложение, после чего вы сможете развернуть его для них в качестве управляемого приложения.To ensure that the browser is managed by Configuration Manager, they must uninstall the app before you can deploy it to them as a managed app.

Политики управляемого браузера можно создать для следующих типов устройств:You can create managed browser policies for the following device types:

  • Устройства под управлением Android 4 и более поздней версии.Devices that run Android 4 and later

  • Устройства под управлением iOS 7 и более поздней версии.Devices that run iOS 7 and later

Nota

Дополнительные сведения о приложении Intune Managed Browser и его загрузке см. на страницах iTunes для iOS и Google Play для Android.For more information and to download the Intune Managed Browser app, see iTunes for iOS and Google Play for Android.

Создание политики управляемого браузераCreate a managed browser policy

  1. В консоли Configuration Manager последовательно выберите Библиотека программного обеспечения > Управление приложениями > Политики управления приложениями.In the Configuration Manager console, choose Software Library > Application Management > Application Management Policies.

  2. На вкладке Главная в группе Создать нажмите кнопку Создать политику управления приложениями.On the Home tab, in the Create group, choose Create Application Management Policy.

  3. На странице Общие введите имя и описание политики, а затем нажмите кнопку Далее.On the General page, enter the name and description for the policy, and then choose Next.

  4. На странице Тип политики выберите платформу, затем Управляемый браузер для типа политики и нажмите кнопку Далее.On the Policy Type page, select the platform, select Managed Browser for the policy type, and then choose Next.

    На странице Управляемый браузер выберите один из следующих параметров:On the Managed Browser page, select one of the following options:

    • Разрешить управляемому браузеру открывать только URL-адреса, указанные ниже — укажите список URL-адресов, которые можно открыть в управляемом браузере.Allow the managed browser to open only the URLs listed below–Specify a list of URLs that the managed browser can open.

    • Заблокировать в управляемом браузере URL-адреса, указанные ниже — укажите список URL-адресов, которые нужно запретить открывать в управляемом браузере.Block the managed browser from opening the URLs listed below–Specify a list of URLs that the managed browser will be blocked from opening.

    Nota

    В одну и ту же политику управляемого браузера нельзя включить как разрешенные, так и запрещенные URL-адреса.You cannot include both allowed and blocked URLs in the same managed browser policy.

    Дополнительные сведения о допустимых форматах URL-адресов см. в подразделе "Формат для разрешенных и заблокированных URL-адресов" этого раздела.For more about the URL formats you can specify, see URL format for allowed and blocked URLs in this article.

    Nota

    Тип политики "Общий" позволяет изменять функциональные возможности развертываемых приложений, чтобы привести их в соответствие с корпоративными политиками безопасности и требованиями.The General policy type lets you change the functionality of apps that you deploy to help bring them into line with your company compliance and security policies. Например, можно запретить функцию вырезания, копирования и вставки в ограничиваемом приложении.For example, you can restrict cut, copy, and paste operations within a restricted app. Дополнительные сведения о типе политики "Общий" см. в разделе Защита приложений с помощью политик управления мобильными приложениями.For more about the General policy type, see Protect apps using mobile application management policies.

  5. Завершите мастер.Finish the wizard.

Новая политика отображается в узле Политики управления приложениями рабочей области Библиотека программного обеспечения .The new policy is displayed in the Application Management Policies node of the Software Library workspace.

Создание развертывания программного обеспечения для приложения управляемого браузераCreate a software deployment for the managed browser app

После создания политики управляемого браузера можно создать развертывание программного обеспечения для приложения управляемого браузера.After you have created the managed browser policy, you can then create a software deployment type for the managed browser app. Приложение Managed Browser необходимо связать как с общей политикой, так и с политикой управляемого браузера.You must associate both a general and managed browser policy for the managed browser app.

Дополнительные сведения см. в разделе Создание приложений.For more information, see Create applications.

Обеспечение безопасности и конфиденциальности управляемого браузераSecurity and privacy for the managed browser

  • На устройствах iOS нельзя открыть веб-сайты, сертификаты которых имеют истекший срок действия или не являются доверенными.On iOS devices, websites that have expired or untrusted certificates cannot be opened.

  • Параметры, настроенные пользователями для встроенного браузера на их устройствах, не применяются к управляемому браузеру.Settings that users make for the built-in browser on their devices are not used by the managed browser. Управляемый браузер не имеет доступа к этим параметрам.The managed browser does not have access to these settings.

  • Если вы настраиваете параметры Требовать простой ПИН-код для доступа или Требовать для доступа учетные данные организации в политике управления мобильными приложениями, сопоставленной с управляемым браузером, пользователь может щелкнуть ссылку "Справка" на странице проверки подлинности, а затем перейти на любой сайт, даже добавленный в список блокировок в политике управляемого браузера.If you set up the options Require simple PIN for access or Require corporate credentials for access in a mobile application management policy associated with the managed browser, a user can click Help on the authentication page and then go to any site--even one added to a block list in the managed browser policy.

  • Управляемый браузер может заблокировать доступ к сайтам только в том случае, если доступ к ним осуществляется напрямую.The managed browser can only block access to sites when they are accessed directly. Он не может блокировать доступ при использовании промежуточных служб (например службы перевода) для доступа к сайту.It cannot block access when intermediate services (such as a translation service) are used to access the site.

Справочные сведенияReference information

Формат для разрешенных и заблокированных URL-адресовURL format for allowed and blocked URLs

Ниже приведены сведения о допустимых форматах и подстановочных знаках, которые можно использовать при указании URL-адресов в списках разрешений и блокировок.Use the following information to learn about the allowed formats and wildcards you can use when specifying URLs in the allowed and blocked lists.

  • Подстановочный знак "\" можно использовать в соответствии с приведенным ниже списком разрешенных шаблонов.You can use the wildcard symbol ‘\**’ according to the rules in the permitted patterns list below.

  • Убедитесь, что для всех вводимых в список URL-адресов используется префикс http или https .Ensure that you prefix all URLs with http or https when entering them into the list.

  • В адресе можно указать номера портов.You can specify port numbers in the address. Если не указать номер порта, будут использоваться следующие значения:If you do not specify a port number, the values used will be:

    • Порт 80 для httpPort 80 for http

    • Порт 443 для httpsPort 443 for https

      Использование подстановочных знаков для номеров порта не поддерживается, например http://www.contoso.com:\* и http://www.contoso.com: /\.Using wildcards for the port number is not supported, for example, **http://www.contoso.com:\** and http://www.contoso.com: /\*

  • В следующей таблице приведены сведения о шаблонах, которые можно использовать при указании URL-адресов.Use the following table to learn about the permitted patterns you can use when you specify URLs:

    URL-адресURL СоответствуетMatches Не соответствуетDoes not match
    http://www.contoso.comhttp://www.contoso.com

    Соответствует отдельной страницеMatches a single page
    www.contoso.comwww.contoso.com host.contoso.comhost.contoso.com

    www.contoso.com/imageswww.contoso.com/images

    contoso.com/contoso.com/
    http://contoso.comhttp://contoso.com

    Соответствует отдельной страницеMatches a single page
    contoso.com/contoso.com/ host.contoso.comhost.contoso.com

    www.contoso.com/imageswww.contoso.com/images

    www.contoso.comwww.contoso.com
    http://www.contoso.com/*http://www.contoso.com/*

    Соответствует всем URL-адресам, начинающимся с www.contoso.comMatches all URLs beginning with www.contoso.com
    www.contoso.comwww.contoso.com

    www.contoso.com/imageswww.contoso.com/images

    www.contoso.com/videos/tvshowswww.contoso.com/videos/tvshows
    host.contoso.comhost.contoso.com

    host.contoso.com/imageshost.contoso.com/images
    http://.contoso.com/\http://.contoso.com/\

    Соответствует всем поддоменам в contoso.comMatches all sub-domains under contoso.com
    developer.contoso.com/resourcesdeveloper.contoso.com/resources

    news.contoso.com/imagesnews.contoso.com/images

    news.contoso.com/videosnews.contoso.com/videos
    contoso.host.comcontoso.host.com
    http://www.contoso.com/imageshttp://www.contoso.com/images

    Соответствует отдельной папкеMatches a single folder
    www.contoso.com/imageswww.contoso.com/images www.contoso.com/images/dogswww.contoso.com/images/dogs
    http://www.contoso.com:80http://www.contoso.com:80

    Соответствует отдельной странице с использованием номера портаMatches a single page, using a port number
    http://www.contoso.com:80http://www.contoso.com:80
    https://www.contoso.comhttps://www.contoso.com

    Соответствует отдельной защищенной страницеMatches a single, secure page
    https://www.contoso.comhttps://www.contoso.com http://www.contoso.comhttp://www.contoso.com
    http://www.contoso.com/images/*http://www.contoso.com/images/*

    Соответствует отдельной папке и всем вложенным в нее папкамMatches a single folder and all subfolders
    www.contoso.com/images/dogswww.contoso.com/images/dogs

    www.contoso.com/images/catswww.contoso.com/images/cats
    www.contoso.com/videoswww.contoso.com/videos
  • Ниже приведены примеры некоторых входных данных, которые нельзя указать:The following are examples of some of the inputs you cannot specify:

    • .com.com

    • .contoso/\.contoso/\

    • www.contoso.com/imageswww.contoso.com/images

    • www.contoso.com/images\pigswww.contoso.com/images\pigs

    • www.contoso.com/pagewww.contoso.com/page

    • IP-адресаIP addresses

    • https://https://

    • http://http://

    • http://www.contoso.com:http://www.contoso.com:

    • http://www.contoso.com: /http://www.contoso.com: /

Nota

.microsoft.com (всегда разрешено).microsoft.com is always allowed.

Разрешение конфликтов между списками разрешений и блокировокHow conflicts between the allow and block list are resolved

Если на устройстве развернуто несколько политик управляемого браузера и их параметры конфликтуют между собой, производится оценка конфликта как по режимам (разрешение или блокировка), так и по спискам URL-адресов.If multiple managed browser policies are deployed to a device and the settings conflict, both the mode (allow or block) and the URL lists are evaluated for conflicts. В случае конфликта применяются следующие правила:In case of a conflict, the following behavior applies:

  • Если режимы каждой политики совпадают, а списки URL-адресов различаются, соответствующие URL-адреса не применяются к данному устройству.If the modes in each policy are the same but the URL lists are different, the URLs will not be enforced on the device.

  • Если режимы каждой политики различаются, а списки URL-адресов совпадают, соответствующие URL-адреса не применяются к данному устройству.If the modes in each policy are different but the URL lists are the same, the URLs will not be enforced on the device.

  • Если устройство впервые получает политики управляемого браузера и две политики вступают в конфликт, соответствующие URL-адреса не применяются к данному устройству.If a device is receiving managed browser policies for the first time and two policies conflict, the URLs will not be enforced on the device. Чтобы просмотреть конфликты, используйте узел Конфликты политик в рабочей области Политика .Use the Policy Conflicts node of the Policy workspace to view the conflicts.

  • Если устройство уже получило политику управляемого браузера и развертывается вторая политика с конфликтующими параметрами, на устройстве продолжают действовать исходные параметры.If a device has already received a managed browser policy and a second policy is deployed with conflicting settings, the original settings remain on the device. Чтобы просмотреть конфликты, используйте узел Конфликты политик в рабочей области Политика .Use the Policy Conflicts node of the Policy workspace to view the conflicts.