使用 Intune 在 iOS 和 Android 上管理 Microsoft Edge
适用于 iOS 和 Android 的 Edge 旨在使用户能够浏览 Web 并支持多身份。 用户可以添加工作帐户和个人帐户进行浏览。 这两个身份之间完全分离,就像其他 Microsoft 移动应用中提供的那样。
此功能适用于:
- iOS/iPadOS 14.0 或更高版本
- 适用于已注册设备的 Android 8.0 或更高版本,以及未注册设备的 Android 9.0 或更高版本
注意
适用于 iOS 和 Android 的 Edge 不使用用户在其设备上为本机浏览器设置的设置,因为适用于 iOS 和 Android 的 Edge 无法访问这些设置。
订阅 企业移动性 + 安全性 套件(包括Microsoft Intune和Microsoft Entra ID P1 或 P2 功能(如条件访问)时,Microsoft 365 数据最丰富和最广泛的保护功能可用。 至少需要部署一个条件访问策略,该策略仅允许从移动设备连接到适用于 iOS 和 Android 的 Edge,并部署确保浏览体验受保护的 Intune 应用保护策略。
注意
iOS 设备上的新 web 剪辑(固定的 web 应用程序)在需要使用受保护浏览器打开时,将会在 适用于 iOS 和 Android 的 Edge 中打开,而不是在 Intune Managed Browser 中打开。 对于较旧的 iOS Web 剪辑,必须重新定位这些 Web 剪辑,以确保它们在适用于 iOS 和 Android 的 Edge 中打开,而不是在 Managed Browser 中打开。
应用条件访问
组织可以使用Microsoft Entra条件访问策略来确保用户只能使用适用于 iOS 和 Android 的 Edge 访问工作或学校内容。 为此,你将需要一个面向所有潜在用户的条件访问策略。 条件访问:需要批准的客户端应用或应用保护策略介绍了这些策略。
请按照“移动设备需要批准的客户端应用或应用保护策略”的步骤进行操作,这将允许使用适用于 iOS 和 Android 的 Edge,但阻止其他移动设备网络浏览器连接到 Microsoft 365 终结点。
注意
此策略可确保移动用户可以从适用于 iOS 和 Android 的 Edge 中访问所有 Microsoft 365 终结点。 此策略还阻止用户使用 InPrivate 访问 Microsoft 365 终结点。
使用条件访问,还可以针对通过Microsoft Entra应用程序代理向外部用户公开的本地站点。
注意
To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. 对于 Android 设备,需要 Intune 公司门户应用。 有关详细信息,请参阅使用 Intune 进行基于应用的条件访问。
创建 Intune 应用保护策略
应用保护政策 (APP) 定义允许哪些应用程序,以及它们可以使用组织数据执行哪些操作。 APP 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。
APP 数据保护框架分为三个不同的配置级别,每个级别基于上一个级别进行构建:
- 企业基本数据保护(级别 1)可确保应用受 PIN 保护和经过加密处理,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 这是一个入门级配置,可在 Exchange Online 邮箱策略中提供类似的数据保护控制,并将 IT 和用户群引入 APP。
- 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
- 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。
若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架。
无论设备是否在统一的终结点管理 (UEM) 解决方案中注册,都需要使用如何创建和分配应用保护策略中的步骤,为 iOS 和 Android 应用创建 Intune 应用保护策略。 这些策略至少必须满足以下条件:
它们要包括所有 Microsoft 365 移动应用程序,如 Edge、Outlook、OneDrive、Office 或 Teams,因为这可确保用户能够安全地访问和操作任何 Microsoft 应用中的工作或学校数据。
它们将分配给所有用户。 这可确保所有用户都受到保护,无论用户是使用适用于 iOS 还是适用于 Android 的 Edge。
确定满足要求的框架级别。 大多数组织都应实现在企业增强型数据保护(级别 2)中定义的设置,因为这可以启用数据保护和访问要求控制。
有关可用设置的详细信息,请参阅 Android 应用保护策略设置和 iOS 应用保护策略设置。
重要
To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal.
在受策略保护的浏览器中Microsoft Entra连接的 Web 应用的单一登录
适用于 iOS 和 Android 的 Edge 可以利用单一登录 (SSO) Microsoft Entra连接的所有 Web 应用 (SaaS 和本地) 。 SSO 允许用户通过适用于 iOS 和 Android 的 Edge 访问Microsoft Entra连接的 Web 应用,而无需重新输入其凭据。
SSO 要求设备使用适用于 iOS 设备的 Microsoft Authenticator 应用或 Android 上的 Intune 公司门户注册。 如果用户具有上述任一项,则当用户转到受策略保护的浏览器中Microsoft Entra连接的 Web 应用时,系统会提示他们注册其设备 (只有当其设备尚未注册) 时,才会如此。 将设备注册到由 Intune 管理的用户帐户后,该帐户已为Microsoft Entra连接的 Web 应用启用了 SSO。
注意
设备注册是Microsoft Entra服务的简单检查。 它不需要完全设备注册,也不会为 IT 提供设备上的其他任何权限。
使用应用配置管理浏览体验
适用于 iOS 和 Android 的 Edge 支持允许统一终结点管理的应用设置,如 Microsoft Intune 管理员自定义应用的行为。
可以通过已注册设备上的移动设备管理 (MDM) OS 通道(适用于 iOS 的托管应用配置通道或适用于 Android 的企业级 Android通道)或 MAM(移动应用程序管理)通道来传递应用配置。 适用于 iOS 和 Android 的 Edge 支持以下配置方案:
- 仅允许工作或学校帐户
- 常规应用配置设置
- 数据保护设置
- 托管设备的其他应用配置
重要
对于需要在 Android 上注册设备的配置方案,必须在 Android Enterprise 中注册设备,并且必须通过托管 Google Play 存储部署适用于 Android 的 Edge。 有关详细信息,请参阅设置 Android Enterprise 个人拥有的工作用户配置设备注册和为托管 Android Enterprise 设备添加应用配置策略。
每个配置方案都突出显示了其特定要求。 例如,配置方案是否需要设备注册,是否由此适用于任何 UEM 提供程序,或者是否需要 Intune 应用保护策略。
重要
应用配置密钥区分大小写。 使用正确的大小写来确保配置生效。
注意
使用 Microsoft Intune,通过 MDM OS 通道传递的应用配置称为托管设备应用配置策略 (ACP);通过 MAM(移动应用程序管理)通道提供的应用配置称为托管应用应用配置策略。
仅允许工作或学校帐户
尊重我们最大的、受严格监管的客户的数据安全和合规政策是 Microsoft 365 价值的关键支柱。 某些公司要求捕获其公司环境中的所有通信信息,并确保设备仅用于公司通信。 为了支持这些要求,可将已注册设备上的适用于 iOS 和 Android 的 Edge 配置为仅允许在应用中预配单个公司帐户。
可在此处详细了解如何配置组织允许的帐户模式设置:
此配置方案仅适用于已注册的设备。 但是,支持任何 UEM 提供程序。 如果不使用 Microsoft Intune,则需要查阅 UEM 文档,了解如何部署这些配置密钥。
常规应用配置方案
适用于 iOS 和 Android 的 Edge 使管理员能够自定义多个应用内设置的默认配置。 当适用于 iOS 和 Android 的 Edge 应用程序配置策略适用于登录到该应用程序的工作或学校帐户时,将提供此功能。
Edge 支持以下配置设置:
- 新选项卡页体验
- 书签体验
- 应用行为体验
- 展台模式体验
无论设备注册状态如何,都可以将这些设置部署到应用。
新建选项卡页面布局
自定义布局是新选项卡页的默认布局。 它显示顶部网站快捷方式和新闻源没有壁纸。 用户可以根据自己的偏好更改布局。 组织还可以管理布局设置。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout | 集中 已选择“焦点” 鼓舞人心 已选择“鼓舞人心” 信息 (仅 iPad/平板电脑) 选择了“信息” 自定义 (默认) 已选择“自定义”,打开顶部网站快捷方式切换,关闭壁纸切换,新闻源切换处于打开状态 |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom | topsites 打开顶部网站快捷方式 壁纸 打开壁纸 newsfeed 打开新闻源 为了使此策略生效,必须将 com.microsoft.intune.mam.managedbrowser.NewTabPageLayout 设置为 custom 默认值为 topsites|newsfeed |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable | true (默认) 用户可以更改页面布局设置 假 用户无法更改页面布局设置。 页面布局由通过策略指定的值确定,否则将使用默认值 |
注意
NewTabPageLayout 策略旨在设置初始布局。 用户可以根据其引用更改页面布局设置。 因此,仅当用户不更改布局设置时, NewTabPageLayout 策略才会生效。 可以通过配置 UserSelectable=false 来强制实施 NewTabPageLayout 策略。
关闭新闻源的示例
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
新选项卡页体验
适用于 iOS 和 Android 的 Edge 为组织提供了多种调整新选项卡页体验的选项,包括组织徽标、品牌颜色、主页、热门网站和行业新闻。
组织徽标和品牌颜色
这些设置允许你自定义适用于 iOS 和 Android 的 Edge 的“新建选项卡”页面,以将组织的徽标和品牌颜色显示为页面背景。
若要上传组织的徽标和颜色,请先完成以下步骤:
- 在 Microsoft Intune 管理中心内,导航到“租户管理>自定义”。 在“设置”旁边,单击“编辑”。
- 若要设置品牌徽标,请选择“在标头中显示”旁边的“仅组织徽标”。 建议使用透明背景徽标。
- 若要设置品牌的背景色,请选择主题颜色。 适用于 iOS 和 Android 的 Edge 在“新建选项卡”页上应用较浅的颜色,以确保页面具有较高的可读性。
注意
由于 Azure Active Directory (Azure AD) Graph 已弃用,它已进入停用阶段。 请参阅有关迁移 Azure AD Graph 概述的详细信息。 因此,当完全停用 Azure Active Directory (Azure AD) Graph 时,Intune 管理中心内维护的组织徽标和品牌颜色将不可访问。 因此,从适用于 iOS 和 Android 的 Edge 版本 v116 开始,将从 Microsoft Graph 检索组织徽标和品牌颜色。 你需要通过步骤维护组织徽标和品牌颜色。 横幅徽标 将用作组织, 页面背景色 将用作品牌颜色。
接下来,使用以下键/值对将组织的品牌拉取到适用于 iOS 和 Android 的 Edge 中:
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo | true 显示组织的品牌徽标 false(默认值)不会公开徽标 |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor | true 显示组织的品牌颜色 false(默认值)不会公开颜色 |
主页快捷方式
此设置允许你在“新建选项卡”页中为适用于 iOS 和 Android 的 Edge 配置主页快捷方式。 当用户在适用于 iOS 和 Android 的 Edge 中打开新选项卡时,配置的主页快捷方式将显示为搜索栏下的第一个图标。 用户无法在其托管上下文中编辑或删除此快捷方式。 主页快捷方式显示组织的名称以区分它。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage | 指定有效的 URL。 作为安全措施,会阻止不正确的 URL。 例如: https://www.bing.com |
多个热门网站快捷方式
与配置主页快捷方式类似,可以在适用于 iOS 和 Android 的 Edge 中的新选项卡页上配置多个热门网站快捷方式。 用户无法在托管上下文中编辑或删除这些快捷方式。 注意:总共可以配置 8 个快捷方式,包括主页快捷方式。 如果已配置主页快捷方式,则该快捷方式将覆盖配置的第一个热门网站。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | 指定值 URL 集。 每个热门网站快捷方式都由标题和 URL 组成。 使用 | 字符分隔标题和 URL。 例如: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
行业资讯
可以在适用于 iOS 和 Android 的 Edge 中配置“新建选项卡页”体验,以显示与组织相关的行业新闻。 启用此功能时,适用于 iOS 和 Android 的 Edge 使用组织的域名聚合来自 Web 的有关组织、组织行业和竞争对手的新闻,以便用户可以从适用于 iOS 和 Android 的 Microsoft Edge 内的集中式新选项卡页面中查找相关的外部新闻。 行业新闻默认为关闭。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews | true 在“新建选项卡”页上显示行业新闻 false(默认)在“新建选项卡”页中隐藏行业新闻 |
主页而不是新选项卡页体验
适用于 iOS 和 Android 的 Edge 允许组织禁用“新建选项卡页”体验,而是在用户打开新选项卡时启动网站。虽然这是受支持的方案,但 Microsoft 建议组织利用“新建选项卡页”体验来提供与用户相关的动态内容。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | 指定有效的 URL。 如果未指定 URL,应用将使用“新建选项卡页”体验。 作为安全措施,会阻止不正确的 URL。 例如: https://www.bing.com |
书签体验
适用于 iOS 和 Android 的 Edge 为组织提供了多个用于管理书签的选项。
托管书签
为了便于访问,你可以配置希望用户在使用适用于 iOS 和 Android 的 Edge 时可用的书签。
- 书签仅显示在工作或学校帐户中,不会向个人帐户公开。
- 用户无法删除或修改书签。
- 书签显示在列表顶部。 用户创建的任何书签都显示在这些书签下方。
- 如果已启用应用程序代理重定向,则可以使用其内部或外部 URL 添加应用程序代理 Web 应用。
- 书签是在以Microsoft Entra ID中定义的组织名称命名的文件夹中创建的。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks | 此配置的值是书签列表。 每个书签由书签标题和书签 URL 组成。 使用 | 字符分隔标题和 URL。例如: Microsoft Bing|https://www.bing.com若要配置多个书签,请使用双字符 || 分隔每个对。例如: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
我的应用书签
默认情况下,用户在适用于 iOS 和 Android 的 Edge 内的组织文件夹中配置了我的应用书签。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps | true(默认)显示适用于 iOS 和 Android 书签的 Edge 中的我的应用 false 隐藏适用于 iOS 和 Android 的 Edge 中的我的应用 |
应用行为体验
适用于 iOS 和 Android 的 Edge 为组织提供了多个用于管理应用行为的选项。
Microsoft Entra密码单一登录
Microsoft Entra ID 提供的Microsoft Entra密码单一登录 (SSO) 功能为不支持联合身份验证的 Web 应用程序提供用户访问管理。 默认情况下,适用于 iOS 和 Android 的 Edge 不使用Microsoft Entra凭据执行 SSO。 有关详细信息,请参阅将基于密码的单一登录添加到应用程序。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO | true Microsoft Entra已启用密码 SSO false (默认) Microsoft Entra 密码 SSO 处于禁用状态 |
默认协议处理程序
默认情况下,当用户未在 URL 中指定协议时,适用于 iOS 和 Android 的 Edge 使用 HTTPS 协议处理程序。 通常,这是最佳做法,但可以禁用。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | true(默认)默认协议处理程序为 HTTPS false 默认协议处理程序为 HTTP |
禁用可选诊断数据
默认情况下,用户可以选择从“设置->隐私和安全->诊断数据->可选诊断数据”设置发送可选诊断数据。 组织可以禁用此设置。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | true 已禁用可选诊断数据设置 false(默认值)用户可以打开或关闭该选项 |
注意
首次运行体验 (FRE) 期间,还会向用户提示可选诊断数据设置。 组织可以使用 MDM 策略 EdgeDisableShareUsageData 跳过此步骤
禁用特定功能
适用于 iOS 和 Android 的 Edge 允许组织禁用默认启用的某些功能。 若要禁用这些功能,请配置以下设置:
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | password 禁用为最终用户保存密码的提示 inprivate 禁用 InPrivate 浏览 autofill 禁用“保存和填充地址”和“保存并填充付款信息”。 即使对于以前保存的信息,也会禁用自动填充 translator 禁用翻译工具 readaloud 禁用大声朗读 drop 禁用放置 优惠券 禁用优惠券 扩展 禁用了仅限 Android (Edge 的扩展) developertools 将生成版本号灰显,以防止用户访问开发人员选项(仅适用于 Android 的 Edge) 若要禁用多个功能,请使用 | 分隔值。 例如,inprivate|password 禁用 InPrivate 和密码存储。 |
禁用导入密码功能
适用于 iOS 和 Android 的 Edge 允许用户从密码管理器导入密码。 若要禁用导入密码,请配置以下设置:
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | true 禁用导入密码 false(默认值)允许导入密码 |
注意
在适用于 iOS 的 Edge 密码管理器中,有一个"添加”按钮。 禁用导入密码功能后,“添加”按钮也将被禁用。
控制 Cookie 模式
你可以控制网站是否可以在适用于 Android 的 Edge 中存储用户的 Cookie。 为此,请配置以下设置:
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode | 0(默认值)允许 Cookie 1 组织非 Microsoft Cookie 2 在 InPrivate 模式下阻止非 Microsoft Cookie 3 阻止所有 Cookie |
注意
适用于 iOS 的 Edge 不支持控制 Cookie。
Android 设备上的展台模式体验
可使用以下设置将适用于 Android 的 Edge 作为展台应用启用:
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | true 为适用于 Android 的 Edge 启用展台模式 false(默认)禁用展台模式 |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | true 在展台模式下显示地址栏 false(默认值)启用展台模式时,隐藏地址栏 |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | true 在展台模式下显示底部操作栏 false(默认值)启用展台模式时,隐藏底部栏 |
锁定视图模式
可以使用 MDM 策略 EdgeLockedViewModeEnabled 将适用于 iOS 和 Android 的 Edge 启用为锁定视图模式。
| 键 | 值 |
|---|---|
| EdgeLockedViewModeEnabled | false (默认) 锁定视图模式处于禁用状态 真 锁定视图模式已启用 |
它允许组织限制各种浏览器功能,提供受控且集中的浏览体验。
- URL 地址栏变为只读,阻止用户更改 Web 地址
- 不允许用户创建新选项卡
- 禁用网页上的上下文搜索功能
- 溢出菜单下的以下按钮处于禁用状态
| 按钮 | 状态 |
|---|---|
| “新建 InPrivate”选项卡 | Disabled |
| 发送到设备 | Disabled |
| Drop | Disabled |
| 添加到手机 (Android) | Disabled |
| 下载页面 (Android) | Disabled |
锁定视图模式通常与 MAM 策略 com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL 或 MDM 策略 EdgeNewTabPageCustomURL 一起使用,这允许组织配置在 Edge 打开时自动启动的特定网页。 用户仅限于此网页,无法导航到其他网站,从而为特定任务或内容使用提供受控环境。
注意
默认情况下,不允许用户在锁定视图模式下创建新选项卡。 若要允许创建选项卡,请将 MDM 策略 EdgeLockedViewModeAllowedActions 设置为 newtabs。
在 Chromium 和 iOS 之间切换网络堆栈
默认情况下,iOS 和 Android Microsoft Edge 使用 Chromium 网络堆栈进行 Microsoft Edge 服务通信,包括同步服务、自动搜索建议和发送反馈。 iOS Microsoft Edge 还提供 iOS 网络堆栈作为 Microsoft Edge 服务通信的可配置选项。
组织可以通过配置以下设置来修改其网络堆栈首选项。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | 0(默认)使用 Chromium 网络堆栈 1 使用 iOS 网络堆栈 |
注意
建议使用 Chromium 网络堆栈。 如果在向 Chromium 网络堆栈发送反馈时遇到同步问题或失败(例如,使用某些每应用 VPN 解决方案),使用 iOS 网络堆栈可能会解决问题。
设置代理 .pac 文件 URL
组织可以为适用于 Android 的 Microsoft Edge 指定代理自动配置 (PAC) 文件的 URL。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | 指定代理 .pac 文件的有效 URL。 例如: https://internal.site/example.pac |
PAC 开放支持失败
默认情况下,适用于 Android 的 Microsoft Edge 将阻止具有无效或不可用 PAC 脚本的网络访问。 但是,组织可以将默认行为修改为 PAC 无法打开。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled | false(默认值)阻止网络访问 true 允许网络访问 |
用于在 Android 中登录 Edge 的用户的代理。
代理自动配置 (PAC) 通常在 VPN 配置文件中配置。 但是,由于平台限制,Android WebView 无法识别 PAC,Android WebView 在 Edge 登录过程中使用。 用户可能无法在 Android 中登录到 Edge。
组织可以通过 MDM 策略指定专用代理,让用户在 Android 中登录到 Edge。
| 键 | 值 |
|---|---|
| EdgeOneAuthProxy | 相应的值为字符串 例子 http://MyProxy.com:8080 |
iOS 网站数据存储
Edge for iOS 中的网站数据存储对于管理 Cookie、磁盘和内存缓存以及各种类型的数据至关重要。 但是,Edge for iOS 中只有一个持久性网站数据存储。 默认情况下,此数据存储专用于个人帐户,导致工作或学校帐户无法使用它的限制。 因此,浏览数据(不包括 Cookie)在工作或学校帐户的每个会话后都会丢失。 为了改善用户体验,组织可以配置工作或学校帐户使用的网站数据存储,确保浏览数据的持久性。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore | 0 网站数据存储始终仅由个人帐户 1 第一个登录帐户将使用网站数据存储 2 (默认) 工作或学校帐户将使用网站数据存储,无论登录顺序如何 |
注意
随着 iOS 17 的发布,现在支持多个持久存储。 工作和个人帐户具有自己的指定持久存储。 因此,此策略在版本 122 中不再有效。
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen 是一项功能,可帮助用户避免恶意网站和下载。 默认情况下处于启用状态。 组织可以禁用此设置。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | true(默认)已启用 Microsoft Defender SmartScreen。 false 已禁用 Microsoft Defender SmartScreen。 |
证书验证
默认情况下,适用于 Android 的 Microsoft Edge 使用内置证书验证程序和 Microsoft 根存储作为公共信任源来验证服务器证书。 组织可以切换到系统证书验证程序和系统根证书。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | true (默认) 使用内置证书验证器和 Microsoft 根存储验证证书 假 使用系统证书验证器和系统根证书作为公共信任的源来验证证书 |
注意
此策略的一个用例是,在适用于 Android 的 Edge 中使用Microsoft MAM 隧道时,需要使用系统证书验证程序和系统根证书。
SSL 警告页控件
默认情况下,当用户导航到出现 SSL 错误的站点时,用户可以单击显示警告页面。 组织可以管理行为。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | true (默认) 允许用户单击 SSL 警告页 假 阻止用户单击 SSL 警告页 |
弹出窗口设置
默认情况下,会阻止弹出窗口。 组织可以管理行为。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | 1 允许所有网站显示弹出窗口 2 (默认) 不允许任何网站显示弹出窗口 |
允许在特定网站上弹出
如果未配置此策略,则 DefaultPopupsSetting 策略中的值 (如果设置) 或用户的个人配置用于所有站点。 组织可以定义可打开弹出窗口的网站列表。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | 键的相应值是 URL 列表。 输入要阻止的所有 URL 作为单个值,用管道 | 字符分隔。 示例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
阻止特定网站上的弹出窗口
如果未配置此策略,则 DefaultPopupsSetting 策略中的值 (如果设置) 或用户的个人配置用于所有站点。 组织可以定义阻止打开弹出窗口的网站列表。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | 键的相应值是 URL 列表。 输入要阻止的所有 URL 作为单个值,用管道 | 字符分隔。 示例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
默认搜索提供程序
默认情况下,当用户在地址栏中输入非 URL 文本时,Edge 使用默认搜索提供程序执行搜索。 用户可以更改搜索提供程序列表。 组织可以管理搜索提供程序行为。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | 真 启用默认搜索提供程序 假 禁用默认搜索提供程序 |
配置搜索提供程序
组织可以为用户配置搜索提供程序。 若要配置搜索提供程序,首先需要配置策略 DefaultSearchProviderEnabled 。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | 相应的值为字符串 例子 My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | 相应的值为字符串 例子 https://search.my.company/search?q={searchTerms} |
打开外部应用
当网页请求打开外部应用时,用户将看到一个弹出窗口,询问他们是否要打开外部应用。 组织可以管理行为。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.OpeningExternalApps | 0(默认值)显示弹出窗口,供用户选择是留在 Edge 中还是由外部应用打开。 1 始终在 Edge 中打开,而不显示弹出窗口。 2 始终使用外部应用打开,而不显示弹出窗口。 如果未安装外部应用,则行为将与值 1 相同 |
注意
从版本 120.2210.99 开始,应用跳转阻止程序功能已删除。 默认情况下,将从 Edge 打开外部应用。 因此,此策略在版本 120.2210.99 中不再有效。
副 驾驶
注意
Copilot 也称为 Bing Chat Enterprise。
适用于 iOS 和 Android 的 Microsoft Edge 上提供 Copilot。 用户可以通过单击底部栏中的 Copilot 按钮来启动 Copilot。
Settings-General-Copilot>> for Copilot 中有三个设置。
- 显示 Copilot – 控制是否在底部栏上显示必应按钮
- 允许访问任何网页或 PDF - 控制是否允许 Copilot 访问页面内容或 PDF
- 快速访问文本选择 - 控制在选择网页上的文本时是否显示快速聊天面板
可以管理 Copilot 的设置。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat | true (默认) 用户可以在底部栏中看到必应按钮。 设置 “显示 Copilot ”默认为“打开”,用户可将其关闭 false 用户在底部栏中看不到必应按钮。 设置 显示 Copilot 已禁用,用户无法打开 |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | true (默认) Copilot 可以访问页面内容。 默认情况下,“Copilot 设置”下的“允许访问任何网页或 PDF”和“快速访问文本选择选项”处于打开状态,用户可将其关闭 假 Copilot 无法访问页面内容。 将禁用“Copilot 设置”下的“允许访问任何网页或 PDF”和“快速访问文本选择”选项,并且用户无法打开 |
数据保护应用配置方案
适用于 iOS 和 Android 的 Edge 支持以下数据保护设置的应用配置策略:应用由 Microsoft Intune 托管应用管理,应用配置策略应用于已登录到应用的工作或学校帐户:
- 管理帐户同步
- 管理受限网站
- 管理代理配置
- 管理 NTLM 单一登录站点
无论设备注册状态如何,都可以将这些设置部署到应用。
管理帐户同步
默认情况下,通过 Microsoft Edge 同步,用户可以访问他们所有已登录设备上的浏览数据。 同步支持的数据包括:
- 收藏夹
- 密码
- 地址等(自动填充表单条目)
用户同意后即可启用同步功能,并且用户可以针对上面列出的每种数据类型打开或关闭同步功能。 有关详细信息,请参阅 Microsoft Edge 同步。
组织能够在 iOS 和 Android 上禁用 Edge 同步。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | true 禁用 Edge 同步 false(默认)允许 Edge 同步 |
管理受限网站
组织可以定义用户可以在适用于 iOS 和 Android 的 Edge 中的工作或学校帐户上下文中访问的网站。 如果使用允许列表,则用户只能访问明确列出的网站。 如果使用阻止列表,则用户可以访问除明确阻止的网站之外的所有网站。 应仅强制实施允许列表或阻止列表,而不应同时强制实施两者。 如果两者都强制执行,则仅执行允许列表。
组织还定义当用户尝试导航到受限网站时会发生什么情况。 默认情况下,允许转换。 如果组织允许,则可以在个人帐户上下文、Microsoft Entra帐户的 InPrivate 上下文中打开受限网站,或者是否完全阻止该网站。 有关受支持的各种方案的详细信息,请参阅 Microsoft Edge 移动设备中的受限网站转换。 通过允许转换体验,组织的用户将保持受保护,同时确保公司资源的安全。
注意
仅当直接访问适用于 iOS 和 Android 的 Edge 时,它们才能阻止对网站的访问。 当用户使用中间服务(如翻译服务)访问站点时,它不会阻止访问。 应用程序配置策略不支持启动 Edge 的 URL,例如托管应用的 Edge://*、Edge://flags 和 Edge://net-export,AllowList URL 或 BlockListURL。 相反,可以将应用配置策略 URLAllowList 或 URLBlocklist 用于托管设备。 有关相关信息,请参阅 Microsoft Edge 移动策略。
使用以下键/值对为适用于 iOS 和 Android 的 Edge 配置允许或阻止的站点列表。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs | 键的相应值是 URL 列表。 输入要允许的所有 URL 作为单个值,用管道 | 字符进行分隔。 示例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs | 键的相应值是 URL 列表。 输入要阻止的所有 URL 作为单个值,用管道 | 字符分隔。 示例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock | true(默认)允许适用于 iOS 和 Android 的 Edge 转换受限站点。 如果未禁用个人帐户,系统会提示用户切换到个人上下文以打开受限网站或添加个人帐户。 如果 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked 设置为 true,则用户可以在 InPrivate 上下文中打开受限网站。 false 防止适用于 iOS 和 Android 的 Edge 转换用户。 用户只会看到一条消息,指出他们尝试访问的站点已被阻止。 |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked | true 允许在 Microsoft Entra 帐户的 InPrivate 上下文中打开受限网站。 如果 Microsoft Entra 帐户是在适用于 iOS 和 Android 的 Edge 中配置的唯一帐户,则会在 InPrivate 上下文中自动打开受限站点。 如果用户配置了个人帐户,则系统会提示用户在打开 InPrivate 或切换到个人帐户之间进行选择。 false(默认)要求在用户的个人帐户中打开受限网站。 如果个人帐户被禁用,则将阻止网站。 若要使此设置生效,必须将 com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock 设置为 true。 |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | 输入用户将看到“组织阻止访问此网站”的通知栏通知的秒数。 我们已在 InPrivate 模式下打开它,以便你访问站点。”默认情况下,通知栏通知会显示 7 秒。 |
无论定义的允许列表或阻止列表设置如何,始终允许以下网站:
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
允许和阻止的网站列表的 URL 格式
可以使用各种 URL 格式生成允许/阻止的网站列表。 下表详细介绍了这些允许的模式。
确保在将所有 URL 输入到列表中时使用 http:// 或 https:// 作为前缀。
可以根据以下允许模式列表中的规则使用通配符 (*)。
通配符只能匹配主机名的一部分(例如,
news-contoso.com)或整个组件(例如,host.contoso.com),或者在斜杠(www.contoso.com/images)分隔时可以匹配路径的整个部分。可以在地址中指定端口号。 如果未指定端口号,则使用的值为:
- 用于 http 的端口 80
- 用于 https 的端口 443
不支持对端口号使用通配符。 例如,
http://www.contoso.com:*和http://www.contoso.com:*/不受支持。URL 详细信息 匹配 不匹配 http://www.contoso.com匹配单页 www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.com匹配单页 contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*匹配以 www.contoso.com开头的所有 URLwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*匹配 contoso.com下的所有子域developer.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*匹配以 contoso.com/结尾的所有子域news-contoso.comnews-contoso.com.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/images匹配单个文件夹 www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80使用端口号匹配单页 www.contoso.com:80https://www.contoso.com匹配单个安全页面 www.contoso.comwww.contoso.comhttp://www.contoso.com/images/*匹配单个文件夹和所有子文件夹 www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videos下面是一些无法指定的输入示例:
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*- IP 地址
https://*http://*http://www.contoso.com:*http://www.contoso.com: /*
控制“网站阻止”弹出窗口的行为
尝试访问阻止的网站时,系统会提示用户使用切换到 InPrivate 或个人帐户打开阻止的网站,具体取决于 AllowTransitionOnBlock 和 OpenInPrivateIfBlocked 策略配置。 可以在 InPrivate 和 个人帐户 之间选择首选项。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock | 0: (默认) 始终显示供用户选择的弹出窗口。 1:登录后自动切换到 个人帐户。 2:如果已登录且同时启用了 InPrivate,则自动切换到 个人帐户。 3:如果 InPrivate 已登录且同时启用了 InPrivate,则自动切换到 InPrivate。 |
注意
AutoTransitionModeOnBlock 策略目前仅适用于适用于 iOS 的 Edge。
控制打开非托管 URL 的行为
此策略用于控制打开Intune非托管 URL 的行为。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitch | 0: (默认) URL 将在具有工作帐户的普通选项卡中打开。 1:Microsoft Edge 遵循Intune的保护策略;行为由Intune保护策略中的“从其他应用接收数据”配置确定。 当值为 “所有应用”时,将值设置为 1 将回退到策略值 0 的行为。 如果值为“无”或“策略托管应用”,并且个人帐户已登录,则会使用个人配置文件在普通选项卡中打开 URL。 如果个人帐户未登录,将在 InPrivate 中打开 URL。 如果禁用 InPrivate,则不会打开 URL。 2: (Android 仅) Microsoft Edge 将检查 URLAllowlist 或 URLBlocklist。 允许的 URL 将在具有工作帐户的普通选项卡中打开。 阻止的 URL 可以在 InPrivate 或普通选项卡中使用个人帐户打开,但该功能取决于 openInPrivateIfBlocked 的配置方式。 |
管理网站以允许上传文件
在某些情况下,可能只允许用户查看网站,而无法上传文件。 组织可以选择指定哪些网站可以接收文件上传。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | 键的相应值是 URL 列表。 输入要阻止的所有 URL 作为单个值,用管道 | 字符分隔。 示例: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | 键的相应值是 URL 列表。 输入要阻止的所有 URL 作为单个值,用管道 | 字符分隔。 示例: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
阻止所有网站(包括内部网站)上传文件的示例
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
允许特定网站上传文件的示例
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
注意
对于 iOS 上的 Edge,除了上传之外,还会阻止粘贴操作。 用户不会在操作菜单中看到粘贴选项。
管理代理配置
可以将适用于 iOS 和 Android 的 Edge 与Microsoft Entra应用程序代理结合使用,以允许用户访问其移动设备上的 Intranet 站点。 例如:
- 用户正在使用受 Intune 保护的 Outlook 移动应用。 然后,他们在电子邮件中单击指向 Intranet 站点的链接,而适用于 iOS 和 Android 的 Edge 会识别出此 Intranet 站点已通过应用程序代理向用户公开。 用户会自动通过应用程序代理路由,以便在到达 Intranet 站点之前使用任何适用的多重身份验证和条件访问进行身份验证。 用户现在可以访问内部站点(在其移动设备上也可以访问),并且 Outlook 中的链接会按预期工作。
- 用户在其 iOS 或 Android 设备上打开适用于 iOS 和 Android 的 Edge。 如果适用于 iOS 和 Android 的 Edge 受 Intune 保护,并且启用了应用程序代理,则用户可以使用它们所用的内部 URL 转到 Intranet 站点。 适用于 iOS 和 Android 的 Edge 会识别出此 Intranet 站点已通过应用程序代理向用户公开。 用户会自动通过应用程序代理路由,以便在到达 Intranet 站点之前进行身份验证。
开始之前:
- 通过Microsoft Entra应用程序代理设置内部应用程序。
- 若要配置应用程序代理和发布应用程序,请参阅安装文档。
- 确保将用户分配到 Microsoft Entra 应用程序代理应用,即使该应用配置了直通预身份验证类型。
- 适用于 iOS 和 Android 应用的 Edge 必须分配有 Intune 应用保护策略。
- Microsoft 应用必须具有限制与其他应用的 Web 内容传输的应用保护策略,数据传输设置设为 Microsoft Edge。
注意
适用于 iOS 和 Android 的 Edge 基于上次成功的刷新事件更新应用程序代理重定向数据。 每当上次成功刷新事件超过一小时时,就会尝试更新。
具有以下键/值对的适用于 iOS 和 Android 的目标 Edge,以启用应用程序代理。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection | true 启用Microsoft Entra应用程序代理重定向方案 false (默认) 可防止Microsoft Entra应用程序代理方案 |
有关如何同时使用适用于 iOS 和 Android 的 Edge 以及Microsoft Entra应用程序代理来无缝 (和保护) 访问本地 Web 应用的详细信息,请参阅更好地协作:Intune和Microsoft Entra协同提高用户访问。 此博客文章引用了 Intune Managed Browser,但内容也适用于适用于 iOS 和 Android 的 Edge。
管理 NTLM 单一登录站点
组织可能要求用户通过 NTLM 进行身份验证才能访问 Intranet 网站。 默认情况下,当用户访问需要 NTLM 身份验证的网站时,系统会提示用户输入凭据,因为 NTLM 凭据缓存已禁用。
组织可以为特定网站启用 NTLM 凭据缓存。 对于这些站点,在用户输入凭据并成功进行身份验证后,默认情况下会缓存凭据 30 天。
| 键 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | 键的相应值是 URL 列表。 输入要允许的所有 URL 作为单个值,用管道 | 字符进行分隔。 示例: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com 有关支持的 URL 格式类型的详细信息,请参阅允许和阻止的站点列表的 URL 格式。 |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | 缓存凭据的小时数,默认值为 720 小时 |
托管设备的其他应用配置
以下策略最初可通过托管应用配置策略进行配置,现在可通过托管设备应用配置策略使用。 使用托管应用的策略时,用户必须登录到 Microsoft Edge。 使用托管设备的策略时,用户无需登录到 Edge 即可应用策略。
由于托管设备的应用配置策略需要设备注册,因此支持任何统一的终结点管理 (UEM)。 若要在 MDM 通道下查找更多策略,请参阅 Microsoft Edge 移动策略。
| MAM 策略 | MDM 策略 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
使用 Microsoft Intune 部署应用配置方案
如果使用 Microsoft Intune 作为移动应用管理提供程序,则可通过以下步骤创建托管应用应用配置策略。 创建配置后,可以将其设置分配给用户组。
选择“应用”,然后选择“应用配置策略”。
在“应用配置策略”边栏选项卡上,选择“添加”,然后选择“托管应用”。
在“基本信息”部分,为应用配置设置输入“名称”,以及可选“说明”。
对于“公共应用”,请选择“选择公共应用”,然后在“目标应用”边栏选项卡上,通过同时选择 iOS 和 Android 平台应用,选择“适用于 iOS 和 Android 的 Edge”。 单击“选择”以保存选定的公共应用。
单击“下一步”完成应用配置策略的基本设置。
在“设置”部分,展开“Edge 配置设置”。
如果要管理数据保护设置,请相应地配置所需的设置:
对于应用程序代理重定向,请从可用选项中进行选择:启用、禁用(默认)。
对于主页快捷方式 URL,请指定包含 http:// 或 https:// 的前缀的有效 URL。 作为安全措施,会阻止不正确的 URL。
对于托管书签,请指定标题和有效的 URL,其中包括 http:// 或 https:// 的前缀。
对于允许的 URL,请指定有效的 URL(仅允许这些 URL;无法访问其他站点)。 有关支持的 URL 格式类型的详细信息,请参阅允许和阻止的站点列表的 URL 格式。
对于阻止的 URL,请指定有效的 URL(仅阻止这些 URL)。 有关支持的 URL 格式类型的详细信息,请参阅允许和阻止的站点列表的 URL 格式。
对于将受限网站重定向到个人上下文,请从可用选项中进行选择:启用(默认)、禁用。
注意
当同时在策略中定义允许的 URL 和阻止的 URL 时,仅会执行允许的列表。
如果要在上述策略中未公开其他应用配置设置,请展开“常规配置设置”节点,并相应地输入键值对。
完成设置配置后,选择“下一步”。
在“分配”部分,选择“选择要包含的组”。 选择要向其分配应用配置策略的Microsoft Entra组,然后选择“选择”。
完成作业后,选择“下一步”。
在“创建应用配置策略审阅 + 创建”边栏选项卡上,查看配置的设置,然后选择“创建”。
新创建的配置策略显示在“应用配置”边栏选项卡上。
使用适用于 iOS 和 Android 版 Microsoft Edge 访问托管应用日志
在 iOS 或 Android 设备上安装了 Edge 的用户可以查看所有 Microsoft 发布的应用的管理状态。 他们可以使用以下步骤发送日志,以便对其托管 iOS 或 Android 应用进行故障排除:
在设备上打开适用于 iOS 和 Android 的 Edge。
在地址框中键入
edge://intunehelp/。适用于 iOS 和 Android 的 Edge 启动了故障排除模式。
可以通过向 Microsoft 支持提供用户的事件 ID 来检索日志。
有关应用日志中存储的设置列表,请参阅 查看客户端应用保护日志。
诊断日志
除了来自 edge://intunehelp/ 的 Intune 日志,Microsoft 支持可能会要求你提供适用于 iOS 和 Android 的 Microsoft Edge 的诊断日志。 可以将日志下载到本地设备并将其共享到 Microsoft 支持。 若要将日志下载到本地设备,请执行以下操作:
1.从溢出菜单打开“帮助和反馈”
2.单击“诊断数据”
3.对于适用于 iOS 的 Microsoft Edge,请单击右上角的“共享”图标。 将显示 OS 共享对话框。 可以选择将日志保存到本地或与其他应用共享。 对于适用于 Android 的 Microsoft Edge,请单击右上角的子菜单以保存日志。 日志将存储到文件夹 下载 ->Edge。
你可能还需要单击“清除”图标首先清除日志以获取刷新日志。
注意
保存日志还遵循Intune应用保护策略。 因此,可能不允许将诊断数据保存到本地设备。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈