Condividi tramite


Gestire Microsoft Edge su iOS e Android con Intune

Edge per iOS e Android è progettato per consentire agli utenti di navigare sul web e supporta la multi-identità. Gli utenti possono aggiungere un account aziendale e uno personale per la navigazione. C'è una completa separazione tra le due identità, come in altre applicazioni mobili di Microsoft.

Questa funzionalità si applica a:

  • iOS/iPadOS 14.0 o versione successiva
  • Android 8.0 o versione successiva per i dispositivi registrati e Android 9.0 o versione successiva per i dispositivi non registrati.

Nota

Edge per iOS e Android non utilizza le impostazioni impostate dagli utenti per il browser nativo sui loro dispositivi, perché Edge per iOS e Android non può accedere a tali impostazioni.

Le funzionalità di protezione più avanzate e più ampie per i dati di Microsoft 365 sono disponibili quando si effettua la sottoscrizione alla suite Enterprise Mobility + Security, che include funzionalità Microsoft Intune e Microsoft Entra ID P1 o P2, ad esempio l'accesso condizionale. Come minimo, è consigliabile distribuire un criterio di accesso condizionale che consenta la connettività solo a Edge per iOS e Android da dispositivi mobili e un criterio di protezione delle app Intune che garantisce la protezione dell'esperienza di esplorazione.

Nota

I nuovi clip web (app aggiunte) sui dispositivi iOS si apriranno in Edge per iOS e Android invece che nel browser gestito da Intune quando si richiede l'apertura in un browser protetto. Per i clip Web iOS meno recenti, è necessario eseguire il re-targeting di questi clip Web per assicurarsi che si aprano in Edge per iOS e Android anziché nel Browser gestito.

Creare i criteri di protezione delle app Intune

Man mano che le organizzazioni adottano in misura sempre maggiori applicazioni SaaS e Web, i browser sono diventati strumenti essenziali per le aziende. Gli utenti spesso devono accedere a queste applicazioni dai browser per dispositivi mobili mentre sono in viaggio. Garantire che i dati a cui si accede tramite i browser per dispositivi mobili siano protetti da perdite intenzionali o involontarie è fondamentale. Ad esempio, gli utenti potrebbero condividere inavvertitamente i dati aziendali con app personali, causando la fuga di dati, o scaricarli in dispositivi locali, che comporta in sé un rischio.

Le organizzazioni possono proteggere i dati da perdite quando gli utenti esplorano il Web con Microsoft Edge per dispositivi mobili configurando i criteri di protezione delle app (APP), che definiscono quali app sono consentite e le azioni che possono eseguire con i dati aziendali. Le scelte disponibili nella APP consentono alle organizzazioni di adattare la protezione alle loro esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le aziende a dare priorità alla protezione avanzata degli endpoint dei client per dispositivi mobili, Microsoft ha introdotto una tassonomia per il suo framework di protezione dei dati APP per la gestione delle app mobili iOS e Android.

Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:

  • La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
  • La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
  • La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.

Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.

Indipendentemente dal fatto che il dispositivo sia iscritto a una soluzione di gestione unificata degli endpoint (UEM), è necessario creare un criterio di protezione delle app Intune sia per le app iOS che per quelle Android, seguendo la procedura descritta in Come creare e assegnare i criteri di protezione delle app. È necessario che questi criteri soddisfino le seguenti condizioni:

  • Includono tutte le applicazioni mobili di Microsoft 365, come Edge, Outlook, OneDrive, Office o Teams, in modo da garantire che gli utenti possano accedere e manipolare i dati di lavoro o scolastici all'interno di qualsiasi applicazione Microsoft in modo sicuro.

  • Vengono assegnati a tutti gli utenti. Questo garantisce la protezione di tutti gli utenti, indipendentemente dal fatto che utilizzino Edge per iOS o Android.

  • Determinare quale livello di framework soddisfa i requisiti. La maggior parte delle organizzazioni dovrebbe implementare le impostazioni definite in Protezione avanzata dei dati aziendali (livello 2), in quanto consentono di controllare la protezione dei dati e i requisiti di accesso.

Nota

Una delle impostazioni correlate ai browser è "Limita il trasferimento di contenuto Web con altre app". In Protezione dei dati aziendali avanzata (livello 2) il valore di questa impostazione è configurato su Microsoft Edge. Quando Outlook e Microsoft Teams sono protetti dai criteri di protezione delle app (APP), Microsoft Edge verrà usato per aprire i collegamenti da queste app con la certezza che i collegamenti siano sicuri e protetti. Per ulteriori informazioni sulle impostazioni disponibili, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS.

Importante

Per applicare i criteri di protezione delle app di Intune sulle app nei dispositivi Android non registrati in Intune, l'utente deve installare anche il Portale aziendale Intune.

Applicare l'accesso condizionale

Anche se è importante proteggere Microsoft Edge con i criteri di protezione delle app (APP), è anche fondamentale assicurarsi che Microsoft Edge sia il browser obbligatorio per l'apertura delle applicazioni aziendali. In caso contrario, gli utenti potrebbero usare altri browser non protetti per accedere alle applicazioni aziendali, causando potenzialmente perdite di dati.

Le organizzazioni possono utilizzare i criteri di accesso condizionato di Microsoft Entra per garantire che gli utenti possano accedere solo a contenuti di lavoro o scolastici utilizzando Edge per iOS e Android. A tale scopo, è necessario un criterio di accesso condizionale destinato a tutti i potenziali utenti. Questi criteri sono descritti in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app.

Seguire la procedura descritta in Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili, che consente a Edge per iOS e Android, ma impedisce ad altri web browser per dispositivi mobili di connettersi agli endpoint di Microsoft 365.

Nota

Questo criterio garantisce che gli utenti mobili possano accedere a tutti gli endpoint Microsoft 365 da Edge per iOS e Android. Questo criterio impedisce inoltre agli utenti di utilizzare InPrivate per accedere agli endpoint di Microsoft 365.

Con l'accesso condizionale, è possibile indirizzare anche i siti locali che sono stati esposti agli utenti esterni tramite Microsoft Entra Application Proxy.

Nota

Per sfruttare i criteri di accesso condizionale basati su app, l'app Microsoft Authenticator deve essere installata nei dispositivi iOS. Per i dispositivi Android è necessaria l'applicazione Intune Company Portal. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.

Accesso singolo alle app web collegate a Microsoft Entra nei browser protetti da policy

Edge per iOS e Android può sfruttare il single sign-on (SSO) per tutte le app web (SaaS e locali) collegate a Microsoft Entra. L'accesso SSO consente agli utenti di accedere alle applicazioni web collegate a Microsoft Entra attraverso Edge per iOS e Android, senza dover reinserire le proprie credenziali.

L'accesso SSO richiede che il dispositivo sia registrato tramite l'app Microsoft Authenticator per i dispositivi iOS o il portale aziendale Intune per Android. Quando gli utenti dispongono di uno di questi due elementi, viene loro richiesto di registrare il dispositivo quando accedono a un'applicazione web connessa a Microsoft Entra in un browser protetto da criteri (questo è vero solo se il dispositivo non è già stato registrato). Dopo che il dispositivo è stato registrato con l'account dell'utente gestito da Intune, tale account ha l'SSO abilitato per le app web collegate a Microsoft Entra.

Nota

La registrazione del dispositivo è un semplice check-in con il servizio Microsoft Entra. Non richiede la registrazione completa del dispositivo e non conferisce all'IT alcun privilegio aggiuntivo sul dispositivo.

Utilizzare la configurazione delle app per gestire l'esperienza di navigazione

Edge per iOS e Android supporta le impostazioni delle app che consentono agli amministratori della gestione unificata degli endpoint, come Microsoft Intune, di personalizzare il comportamento dell'app.

La configurazione delle app può essere fornita attraverso il canale di gestione dei dispositivi mobili (MDM) sui dispositivi iscritti (canale Managed App Configuration per iOS o canale Android in the Enterprise per Android) o attraverso il canale MAM (Mobile Application Management). Edge per iOS e Android supporta i seguenti scenari di configurazione:

  • Consentire solo account aziendali o dell'istituto di istruzione
  • Impostazioni generali di configurazione dell'app
  • Impostazioni di protezione dei dati
  • Configurazione aggiuntiva dell'app per i dispositivi gestiti

Importante

Per gli scenari di configurazione che richiedono l'iscrizione dei dispositivi su Android, i dispositivi devono essere iscritti ad Android Enterprise e Edge per Android deve essere distribuito tramite il negozio gestito Google Play. Per ulteriori informazioni, vedere Configurazione dell'iscrizione dei dispositivi Android Enterprise con profilo di lavoro personale e Aggiungere criteri di configurazione delle app per i dispositivi Android Enterprise gestiti.

Ogni scenario di configurazione evidenzia i suoi requisiti specifici. Ad esempio, se lo scenario di configurazione richiede l'iscrizione del dispositivo, e quindi funziona con qualsiasi provider UEM, o se richiede i criteri di Intune App Protection.

Importante

Le chiavi di configurazione dell'app sono sensibili alle maiuscole e alle minuscole. Usare la combinazione di maiuscole e minuscole appropriata per assicurarsi che la configurazione sia efficace.

Nota

Con Microsoft Intune, la configurazione delle app fornita attraverso il canale MDM OS è denominata Managed Devices App Configuration Policy (ACP); la configurazione delle app fornita attraverso il canale MAM (Mobile Application Management) è denominata Managed Apps App Configuration Policy.

Consentire solo account aziendali o dell'istituto di istruzione

Il rispetto dei criteri di sicurezza dei dati e di conformità dei nostri clienti più grandi e altamente regolamentati è un pilastro fondamentale del valore di Microsoft 365. Alcune aziende hanno l'obbligo di acquisire tutte le informazioni sulle comunicazioni all'interno dell'ambiente aziendale e di garantire che i dispositivi siano utilizzati solo per le comunicazioni aziendali. Per supportare questi requisiti, Edge per iOS e Android sui dispositivi registrati può essere configurato in modo da consentire il provisioning di un solo account aziendale all'interno dell'app.

Per ulteriori informazioni sulla configurazione dell'impostazione della modalità di organizzazione degli account consentiti, vedere qui:

Questo scenario di configurazione funziona solo con i dispositivi registrati. Tuttavia, è supportato qualsiasi provider UEM. Se non si utilizza Microsoft Intune, è necessario consultare la documentazione dell'UEM per sapere come distribuire queste chiavi di configurazione.

Scenari generali di configurazione delle app

Edge per iOS e Android offre agli amministratori la possibilità di personalizzare la configurazione predefinita per diverse impostazioni in-app. Questa funzionalità è offerta quando Edge per iOS e Android ha un criterio di configurazione delle applicazioni gestite applicato all'account di lavoro o scolastico che è stato firmato nell'applicazione.

Edge supporta le seguenti impostazioni per la configurazione:

  • Esperienze della pagina della nuova scheda
  • Esperienze dei segnalibri
  • Esperienze di comportamento delle app
  • Esperienze in modalità chiosco

Queste impostazioni possono essere distribuite all'app indipendentemente dallo stato di registrazione del dispositivo.

Layout di pagina della nuova scheda

Il layout ispiratore è quello predefinito per la nuova scheda. Mostra i principali collegamenti al sito, lo sfondo e il feed di notizie. Gli utenti possono modificare il layout in base alle proprie preferenze. Le organizzazioni possono anche gestire le impostazioni di layout.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout In evidenza Lo stato in evidenza è selezionato
inspirational (Default) Inspirational è selezionato
Informativo L'opzione Informational è selezionata
costume È selezionata l'opzione Personalizzata, i tasti di scelta rapida del sito principali sono attivati, l'interruttore dello sfondo è attivato e l'interruttore del feed di notizie è attivato
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom topsites Attiva i collegamenti ai siti principali
sfondo Attiva lo sfondo
Newsfeed Attivare il feed di notizie
Affinché questa impostazione abbia effetto, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock deve essere impostato su personalizzato

Il valore predefinito è topsites|wallpaper|newsfeed|
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable vero (impostazione predefinita) Gli utenti possono modificare le impostazioni del layout di pagina
falso Gli utenti non possono modificare le impostazioni del layout di pagina. Il layout di pagina è determinato dai valori specificati tramite il criterio o verranno usati i valori predefiniti

Importante

I criteri NewTabPageLayout hanno lo scopo di impostare il layout iniziale. Gli utenti possono modificare le impostazioni del layout di pagina in base al riferimento. Di conseguenza, i criteri NewTabPageLayout hanno effetto solo se gli utenti non modificano le impostazioni di layout. Puoi applicare i criteri NewTabPageLayout configurando UserSelectable=falso.

Nota

A partire dalla versione 129.0.2792.84, il layout di pagina predefinito viene modificato in inspirational.

Esempio di disattivazione dei feed di notizie

  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites|wallpaper
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false

Esperienze della pagina della nuova scheda

Edge per iOS e Android offre alle organizzazioni diverse opzioni per modificare l'esperienza Nuova scheda, tra cui logo dell'organizzazione, colore del marchio, home page, siti principali e notizie di settore.

Logo dell'organizzazione e colore del marchio

Le impostazioni del logo e del colore del marchio dell'organizzazione consentono di personalizzare la pagina Nuova scheda per Edge sui dispositivi iOS e Android. Il logo banner viene usato come logo dell'organizzazione e il colore di sfondo della pagina viene usato come colore del marchio dell'organizzazione. Per altre informazioni, vedi Configura il marchio aziendale.

Quindi, utilizzare le seguenti coppie chiave/valore per inserire il marchio dell'organizzazione in Edge per iOS e Android:

Chiave Valore
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo true mostra il logo dell'organizzazione
false (impostazione predefinita) non esporrà un logo
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor true mostra il colore del marchio dell'organizzazione
false (impostazione predefinita) non esporrà un colore

Collegamento alla home page

Questa impostazione consente di configurare un collegamento alla homepage per Edge per iOS e Android nella pagina Nuova scheda. Il collegamento alla homepage configurato appare come prima icona sotto la barra di ricerca quando l'utente apre una nuova scheda in Edge per iOS e Android. L'utente non può modificare o eliminare questo collegamento nel proprio contesto gestito. Il collegamento alla homepage visualizza il nome dell'organizzazione per distinguerla.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.homepage

Questo nome di criterio è stato sostituito dall'interfaccia utente dell'URL del collegamento alla home page nelle impostazioni di configurazione di Edge
Specificare un URL valido. Gli URL non corretti vengono bloccati come misura di sicurezza.
Ad esempio: https://www.bing.com

Più collegamenti ai siti principali

Analogamente alla configurazione di un collegamento di scelta rapida per la homepage, è possibile configurare più scelte rapide per i siti principali su New Tab Pages in Edge per iOS e Android. L'utente non può modificare o eliminare questi collegamenti in un contesto gestito. Nota: è possibile configurare un totale di 8 collegamenti, incluso un collegamento alla home page. Se è stato configurato un collegamento alla home page, tale collegamento eseguirà l'override del primo sito principale configurato.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.managedTopSites Specificare il set di URL dei valori. Ogni collegamento al sito principale è costituito da un titolo e un URL. Separare il titolo e l'URL con il carattere |.
Ad esempio: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com

Notizie del settore

È possibile configurare l'esperienza della pagina Nuova scheda in Edge per iOS e Android per visualizzare le notizie di settore rilevanti per l'organizzazione. Quando si attiva questa funzione, Edge per iOS e Android utilizza il nome di dominio dell'organizzazione per aggregare le notizie dal Web relative all'organizzazione, al settore di appartenenza e ai concorrenti, in modo che gli utenti possano trovare notizie esterne rilevanti dalle pagine centralizzate delle nuove schede di Edge per iOS e Android. Le notizie di settore sono disattivate per impostazione predefinita.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews true mostra le novità del settore nella pagina Nuove scheda
false (impostazione predefinita) nasconde Le notizie di settore dalla pagina Nuova scheda

Home page invece dell'esperienza Nuova scheda

Edge per iOS e Android consente alle aziende di disattivare l'esperienza della pagina Nuova scheda e di avviare un sito Web quando l'utente apre una nuova scheda. Sebbene questo sia uno scenario supportato, Microsoft consiglia alle aziende di sfruttare l'esperienza della pagina Nuova scheda per fornire contenuti dinamici e rilevanti per l'utente.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL Specificare un URL valido. Se non viene specificato alcun URL, l'app utilizza l'esperienza della pagina Nuova scheda. Gli URL non corretti vengono bloccati come misura di sicurezza.
Ad esempio: https://www.bing.com

Esperienze dei segnalibri

Edge per iOS e Android offre alle organizzazioni diverse opzioni per la gestione dei segnalibri.

Segnalibri gestiti

Per semplificare l'accesso, è possibile configurare segnalibri che gli utenti devono avere a disposizione quando usano Edge per iOS e Android.

  • I segnalibri vengono visualizzati solo nell'account aziendale o dell'istituto di istruzione e non sono esposti agli account personali.
  • I segnalibri non possono essere eliminati o modificati dagli utenti.
  • I segnalibri vengono visualizzati nella parte superiore dell'elenco. Tutti i segnalibri creati dall'utente vengono visualizzati sotto questi segnalibri.
  • Se si è abilitato il reindirizzamento Application Proxy, è possibile aggiungere le web app Application Proxy utilizzando il loro URL interno o esterno.
  • I segnalibri vengono creati in una cartella denominata in base al nome dell'organizzazione definita in Microsoft Entra ID.
Chiave Valore
com.microsoft.intune.mam.managedbrowser.bookmarks

Questo nome di criterio è stato sostituito dall'interfaccia utente dei segnalibri gestiti nelle impostazioni di Configurazione edge
Il valore di questa configurazione è un elenco di segnalibri. Ogni segnalibro è costituito dal titolo del segnalibro e dall'URL del segnalibro. Separare il titolo e l'URL con il carattere |.
Ad esempio: Microsoft Bing|https://www.bing.com

Per configurare più segnalibri, separare ogni coppia con il carattere doppio ||.
Ad esempio: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com

Segnalibro Le mie app

Per impostazione predefinita, gli utenti hanno il segnalibro Le mie app configurato all'interno della cartella dell'organizzazione in Edge per iOS e Android.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.MyApps true (impostazione predefinita) mostra Le mie app all'interno di Edge per i segnalibri di iOS e Android
false nasconde Le mie app in Edge per iOS e Android

Esperienze di comportamento delle app

Edge per iOS e Android offre alle organizzazioni diverse opzioni per gestire il comportamento dell'app.

Microsoft Entra password single sign-on

La funzionalità Microsoft Entra Password single sign-on (SSO) offerta da Microsoft Entra ID consente di gestire l'accesso degli utenti alle applicazioni web che non supportano la federazione delle identità. Per impostazione predefinita, Edge per iOS e Android non esegue l'SSO con le credenziali di Microsoft Entra. Per altre informazioni, vedere Aggiungere l'accesso Single Sign-On basato su password a un'applicazione.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.PasswordSSO true Microsoft Entra Password SSO è abilitato
false (impostazione predefinita) Microsoft Entra Password SSO è disabilitato

Gestore del protocollo predefinito

Per impostazione predefinita, Edge per iOS e Android utilizza il gestore del protocollo HTTPS quando l'utente non specifica il protocollo nell'URL. In genere, questa procedura è considerata una procedura consigliata, ma può essere disabilitata.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.defaultHTTPS true (impostazione predefinita) il gestore del protocollo predefinito è HTTPS
false il gestore di protocollo predefinito è HTTP

Disabilitare i dati di diagnostica facoltativi

Per impostazione predefinita, gli utenti possono scegliere di inviare dati di diagnostica facoltativi da Impostazioni->Privacy e sicurezza->Dati di diagnostica facoltativi->Impostazione dei dati di diagnostica facoltativi. Le organizzazioni possono disabilitare questa impostazione.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.disableShareUsageData true L'impostazione dei dati di diagnostica facoltativa è disabilitata
false (impostazione predefinita) L'opzione può essere attivata o disattivata dagli utenti

Nota

L'impostazione dei dati di diagnostica facoltativi viene richiesta agli utenti anche durante la Prima esperienza di funzionamento (FRE). Le organizzazioni possono ignorare questo passaggio usando i criteri MDM EdgeDisableShareUsageData

Disabilitare funzionalità specifiche

Edge per iOS e Android consente alle organizzazioni di disabilitare determinate funzionalità abilitate per impostazione predefinita. Per disabilitare queste funzionalità, configurare l'impostazione seguente:

Chiave Valore
com.microsoft.intune.mam.managedbrowser.disabledFeatures password disabilita i prompt che offrono di salvare le password per l'utente finale
inprivate disabilita la navigazione InPrivate
il riempimento automatico disabilita "Salva e compila indirizzi" e "Salva e compila informazioni di pagamento". Il riempimento automatico verrà disabilitato anche per le informazioni salvate in precedenza
translator disabilita traduttore
readaloud disabilita la lettura ad alta voce
drop disabilita il rilascio
coupon disabilita i coupon
estensioni disabilita le estensioni (solo Edge per Android)
developertools oscura i numeri di versione della build per impedire agli utenti di accedere alle opzioni per sviluppatori (solo Edge per Android)
UIRAlert elimina i popup per la nuova verifica dell'account nella schermata della nuova scheda
condivisione disabilita Condivisione nel menu
sendtodevices disabilita Invia ai dispositivi nel menu
meteo disabilita il tempo in NTP (nuova scheda)
webinspector disabilita l'impostazione controllo Web (solo Edge per iOS)

Per disabilitare più funzionalità, separare i valori con |. Ad esempio, inprivate|password disabilita sia InPrivate che l'archiviazione delle password.

Disabilita la funzionalità importa password

Edge per iOS e Android consente agli utenti di importare le password da Gestione Password. Per disabilitare l'importazione delle password, configurare l'impostazione seguente:

Chiave Valore
com.microsoft.intune.mam.managedbrowser.disableImportPasswords true Disabilita le password di importazione
false (impostazione predefinita) Consenti l'importazione delle password

Nota

In Gestione password di Edge per iOS è presente un pulsante Aggiungi. Quando la funzionalità di importazione delle password è disattivata, anche il pulsante Aggiungi sarà disattivato.

È possibile controllare se i siti possono memorizzare i cookie per gli utenti all'interno di Edge per Android. A tale scopo, configurare l'impostazione seguente:

Chiave Valore
com.microsoft.intune.mam.managedbrowser.cookieControlsMode 0 (impostazione predefinita) Consenti cookie
1 blocco di cookie non Microsoft
2 blocchi di cookie non Microsoft in modalità InPrivate
3 blocca tutti i cookie

Nota

Edge per iOS non supporta il controllo dei cookie.

Esperienze in modalità kiosk su dispositivi Android

Edge per Android può essere abilitato come app kiosk con le seguenti impostazioni:

Chiave Valore
com.microsoft.intune.mam.managedbrowser.enableKioskMode true abilita la modalità kiosk per Edge per Android
false (impostazione predefinita) disabilita la modalità kiosk
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode true mostra la barra degli indirizzi in modalità kiosk
false (impostazione predefinita) nasconde la barra degli indirizzi quando è abilitata la modalità kiosk
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode true mostra la barra delle azioni inferiore in modalità kiosk
false (impostazione predefinita) nasconde la barra inferiore quando è abilitata la modalità kiosk

Nota

La modalità tutto schermo non è supportata nei dispositivi iOS. Tuttavia, è possibile usare la modalità visualizzazione bloccata (solo criteri MDM) per ottenere un'esperienza utente simile, in cui gli utenti non sono in grado di passare ad altri siti Web, poiché la barra degli indirizzi URL diventa di sola lettura in modalità visualizzazione bloccata.

Modalità di visualizzazione bloccata

Edge per iOS e Android può essere abilitato come modalità di visualizzazione bloccata con i criteri MDM EdgeLockedViewModeEnabled.

Chiave Valore
EdgeLockedViewModeEnabled false (impostazione predefinita) La modalità di visualizzazione bloccata è disabilitata
true La modalità di visualizzazione bloccata è abilitata

Consente alle organizzazioni di limitare varie funzionalità del browser, offrendo un'esperienza di esplorazione controllata e mirata.

  • La barra degli indirizzi URL diventa di sola lettura, impedendo agli utenti di apportare modifiche all'indirizzo Web
  • Gli utenti non sono autorizzati a creare nuove schede
  • La funzionalità di ricerca contestuale nelle pagine Web è disabilitata
  • I pulsanti seguenti nel menu di overflow sono disabilitati
Pulsanti Stato
Nuova scheda InPrivate Disabilitato
Invia ai dispositivi Disabilitato
Rilascia Disabilitato
Aggiungi al telefono (Android) Disabilitato
Pagina di download (Android) Disabilitato

La modalità di visualizzazione bloccata viene spesso usata insieme ai criteri MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL o ai criteri MDM EdgeNewTabPageCustomURL, che consentono alle organizzazioni di configurare una pagina Web specifica che viene avviata automaticamente all'apertura di Edge. Gli utenti sono limitati a questa pagina Web e non possono passare ad altri siti Web, fornendo un ambiente controllato per attività specifiche o consumo di contenuto.

Nota

Per impostazione predefinita, gli utenti non possono creare nuove schede in modalità di visualizzazione bloccata. Per consentire la creazione di schede, impostare il criterio MDM EdgeLockedViewModeAllowedActions su newtabs.

Cambiare lo stack di rete tra Chromium e iOS

Per impostazione predefinita, Microsoft Edge per iOS e Android utilizza lo stack di rete Chromium per la comunicazione dei servizi di Microsoft Edge, compresi i servizi di sincronizzazione, i suggerimenti per la ricerca automatica e l'invio di feedback. Microsoft Edge per iOS offre anche lo stack di rete iOS come opzione configurabile per la comunicazione dei servizi Microsoft Edge.

Le organizzazioni possono modificare le preferenze dello stack di rete configurando l'impostazione seguente.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.NetworkStackPref 0 (impostazione predefinita) usare lo stack di rete Chromium
1 usare lo stack di rete iOS

Nota

È consigliabile usare lo stack di rete Chromium. Se si riscontrano problemi di sincronizzazione o di invio di feedback con lo stack di rete Chromium, ad esempio con alcune soluzioni VPN per-app, l'utilizzo dello stack di rete iOS potrebbe risolvere i problemi.

Impostare l'URL di un file .pac proxy

Le organizzazioni possono specificare un URL a un file di configurazione automatica del proxy (PAC) per Microsoft Edge per iOS e Android.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.proxyPacUrl Specificare un URL valido per un file .pac proxy.
Ad esempio: https://internal.site/example.pac

Supporto pac-open non riuscito

Per impostazione predefinita, Microsoft Edge per iOS e Android blocca l'accesso alla rete con script PAC non validi o non disponibili. Tuttavia, le organizzazioni possono modificare il comportamento predefinito per aprire il PAC fallito.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled false (impostazione predefinita) Blocca l'accesso alla rete
Vero Consentire l'accesso alla rete

Configura gli inoltri di rete

Edge per iOS supporta ora gli inoltri di rete in iOS 17. Si tratta di un tipo speciale di proxy che può essere usato per le soluzioni di accesso remoto e privacy. Supporta il tunneling sicuro e trasparente del traffico, che funge da alternativa moderna alle VPN quando si accede alle risorse interne. Per altre informazioni sugli inoltri di rete, vedi Uso degli inoltri di rete nei dispositivi Apple.

Le organizzazioni possono configurare gli URL del proxy di inoltro per instradare il traffico in base ai domini corrispondenti ed esclusi.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl Specifica un URL valido per un file json di configurazione dell'inoltro.
Ad esempio: https://yourserver/relay_config.json

Esempio di file json per gli inoltri di rete
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}

Proxy per consentire agli utenti di accedere a Edge in Android

Una configurazione automatica del proxy (PAC) viene in genere configurata nel profilo VPN. Tuttavia, a causa di una limitazione della piattaforma, il PAC non può essere riconosciuto da Android WebView, usato durante il processo di accesso a Edge. Gli utenti possono non essere in grado di accedere a Edge in Android.

Le organizzazioni possono specificare un proxy dedicato tramite criteri MDM per consentire agli utenti di accedere a Edge in Android.

Chiave Valore
EdgeOneAuthProxy Il valore corrispondente è una stringa
Esempiohttp://MyProxy.com:8080

Archivio dati del sito web iOS

L'archivio dati del sito Web in Edge per iOS è essenziale per la gestione di cookie, cache di dischi e memoria e vari tipi di dati. Tuttavia, in Edge per iOS è presente un solo archivio dati permanente dei siti Web. Per impostazione predefinita, questo archivio dati viene usato esclusivamente dagli account personali, determinando una limitazione in cui gli account aziendali o dell'istituto di istruzione non possono utilizzarlo. Di conseguenza, i dati di navigazione, esclusi i cookie, vengono persi dopo ogni sessione per gli account aziendali o dell'istituto di istruzione. Per migliorare l'esperienza utente, le organizzazioni possono configurare l'archivio dati del sito Web per l'uso da parte degli account aziendali o dell'istituto di istruzione, garantendo la persistenza dei dati di esplorazione.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore 0 L'archivio dati del sito Web viene sempre usato in modo statico solo dall'account personale
1 L'archivio dati del sito Web verrà usato dal primo account connesso
2 (Impostazione predefinita) L'archivio dati del sito Web verrà usato prima dall'account aziendale o dell'istituto di istruzione, indipendentemente dall'ordine di accesso

Nota

Con il rilascio di iOS 17, sono ora supportati più archivi permanenti. L'account aziendale e quello personale hanno un proprio archivio persistente designato. Pertanto, questo criterio non è più valido a partire dalla versione 122.

Microsoft Defender SmartScreen

Microsoft Defender SmartScreen è una funzionalità che consente agli utenti di evitare siti e download dannosi. È disabilitato per impostazione predefinita. Le organizzazioni possono disabilitare questa impostazione.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled true (impostazione predefinita) Microsoft Defender SmartScreen è abilitato.
false Microsoft Defender SmartScreen è disabilitato.

Verifica del certificato

Per impostazione predefinita, Microsoft Edge per Android verifica i certificati del server usando il verificatore di certificati predefinito e Microsoft Root Store come origine dell'attendibilità pubblica. Le organizzazioni possono passare al verificatore di certificati di sistema e ai certificati radice di sistema.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled vero (impostazione predefinita) Usare il verificatore di certificati predefinito e Microsoft Root Store per verificare i certificati.
falso Usare il verificatore di certificati di sistema e i certificati radice di sistema come origine dell'attendibilità pubblica per verificare i certificati

Nota

Un caso d'uso per questo criterio è la necessità di utilizzare il verificatore di certificati di sistema e i certificati root di sistema quando si utilizza Microsoft MAM Tunnel in Edge per Android.

Controllo pagina di avviso SSL

Per impostazione predefinita, gli utenti possono fare clic su pagine di avviso visualizzate quando gli utenti passano a siti con errori SSL. Le organizzazioni possono gestire il comportamento.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed vero (impostazione predefinita) Consente agli utenti di fare clic su pagine di avviso SSL.
falso Impedisce agli utenti di fare clic sulle pagine di avviso SSL.

Impostazioni popup

Per impostazione predefinita, i popup sono bloccati. Le organizzazioni possono gestire il comportamento.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting 1 Consenti a tutti i siti di visualizzare i popup
2 (impostazione predefinita) Non consentire a nessun sito di visualizzare popup

Consenti popup in siti specifici

Se questo criterio non è configurato, il valore del criterio DefaultPopupsSetting (se impostato) o la configurazione personale dell'utente viene usato per tutti i siti. Le organizzazioni possono definire un elenco di siti che possono aprire il popup.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|.

Esempi:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Per altre informazioni sul formato degli URL, vedi Formato del modello di URL dei criteri aziendali.

Blocca popup in siti specifici

Se questo criterio non è configurato, il valore del criterio DefaultPopupsSetting (se impostato) o la configurazione personale dell'utente viene usato per tutti i siti. Le organizzazioni possono definire un elenco di siti a cui viene impedita l'apertura di popup.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|.

Esempi:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Per altre informazioni sul formato degli URL, vedi Formato del modello di URL dei criteri aziendali.

Provider di ricerca predefinito

Per impostazione predefinita, Edge usa il provider di ricerca predefinito per eseguire una ricerca quando gli utenti immettono testi non URL nella barra degli indirizzi. Gli utenti possono modificare l'elenco dei provider di ricerca. Le organizzazioni possono gestire il comportamento del provider di ricerca.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled vero Abilita il provider di ricerca predefinito
falso Disabilita il provider di ricerca predefinito

Configura il provider di ricerca

Le organizzazioni possono configurare un provider di ricerca per gli utenti. Per configurare un provider di ricerca, è necessario prima configurare il criterio DefaultSearchProviderEnabled.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName Il valore corrispondente è una stringa
EsempioMy Intranet Search
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL Il valore corrispondente è una stringa
Esempiohttps://search.my.company/search?q={searchTerms}

Copilot

Nota

A partire dalla versione 128, copilot per gli account aziendali o dell'istituto di istruzione è stato deprecato. Pertanto, i criteri seguenti non saranno più validi nella versione 128. Se si vuole bloccare l'accesso alla versione Web di Copilot, copilot.microsoft.com, è possibile usare i criteri AllowListURLs o BlockListURLs.

Copilot è disponibile su Microsoft Edge per iOS e Android. Gli utenti possono avviare Copilot facendo clic sul pulsante Copilot nella barra inferiore.

In Impostazioni ->Generali ->Copilot sono presenti tre impostazioni.

  • Mostra Copilot- controllare se mostrare o meno il pulsante Bing sulla barra inferiore
  • Consentire l'accesso a qualsiasi pagina web o PDF - Controllare se consentire a Copilot di accedere al contenuto della pagina o del PDF.
  • Accesso rapido sulla selezione del testo - controllare se visualizzare il pannello della chat rapida quando è selezionato il testo in una pagina Web

È possibile gestire le impostazioni di Copilot.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.Chat true (impostazione predefinita). Gli utenti visualizzano il pulsante Copilot nella barra inferiore. L'impostazione Mostra Copilot è attivata per impostazione predefinita e può essere disattivata dagli utenti
false. Gli utenti non possono visualizzare il pulsante Copilot nella barra inferiore. L'impostazione Mostra Copilot è disabilitata e non può essere attivata dagli utenti
com.microsoft.intune.mam.managedbrowser.ChatPageContext true (impostazione predefinita). Gli utenti possono attivare le opzioni Consenti accesso a qualsiasi pagina web o PDF e Accesso rapido alla selezione del testo
false. Le opzioni Consenti accesso a qualsiasi pagina web o PDF e Accesso rapido alla selezione del testo sono disabilitate e non possono essere attivate dagli utenti

Scenari di configurazione delle app per la protezione dei dati

Edge per iOS e Android supporta i criteri di configurazione delle app per le seguenti impostazioni di protezione dei dati quando l'app è gestita da Microsoft Intune con un criterio di configurazione delle app gestite applicato all'account aziendale o dell’istituto di istruzione che è stato firmato nell'app:

  • Gestire la sincronizzazione degli account
  • Gestire siti Web con restrizioni
  • Gestire la configurazione del proxy
  • Gestire i siti NTLM single sign-on

Queste impostazioni possono essere distribuite all'app indipendentemente dallo stato di registrazione del dispositivo.

Gestire la sincronizzazione degli account

Per impostazione predefinita, la sincronizzazione Microsoft Edge consente agli utenti di accedere ai dati di esplorazione in tutti i dispositivi connessi. I dati supportati dalla sincronizzazione includono:

  • Preferiti
  • Password
  • Indirizzi e altro ancora (voce del modulo di riempimento automatico)

La funzionalità di sincronizzazione è abilitata tramite il consenso dell'utente e gli utenti possono attivare o disattivare la sincronizzazione per ognuno dei tipi di dati elencati in precedenza. Per ulteriori informazioni, vedere Sincronizzazione di Microsoft Edge.

Le organizzazioni hanno la possibilità di disabilitare la sincronizzazione Edge su iOS e Android.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.account.syncDisabled true disabilita la sincronizzazione edge
false (impostazione predefinita) consente la sincronizzazione Edge

Gestire siti Web con restrizioni

Le organizzazioni possono definire i siti a cui gli utenti possono accedere all'interno del contesto dell'account aziendale o dell'istituto di istruzione in Edge per iOS e Android. Se si utilizza un elenco di permessi, gli utenti possono accedere solo ai siti esplicitamente elencati. Se si utilizza un elenco di siti bloccati, gli utenti possono accedere a tutti i siti tranne a quelli esplicitamente bloccati. Si dovrebbe imporre solo un elenco di permessi o un elenco di blocchi, non entrambi. Se si impongono entrambi, viene rispettato solo l'elenco consentito.

Le organizzazioni definiscono anche cosa succede quando un utente tenta di navigare in un sito web con restrizioni. Per impostazione predefinita, le transizioni sono consentite. Se l'organizzazione lo consente, i siti web con restrizioni possono essere aperti nel contesto dell'account personale, nel contesto InPrivate dell'account Microsoft Entra o se il sito è completamente bloccato. Per altre informazioni sui vari scenari supportati, vedere Transizioni di siti web con restrizioni in Microsoft Edge per dispositivi mobili. Consentendo esperienze di transizione, gli utenti dell'organizzazione rimangono protetti e le risorse aziendali sono al sicuro.

Per migliorare l'esperienza di cambio di profilo riducendo la necessità per gli utenti di passare manualmente ai profili personali o alla modalità InPrivate per aprire gli URL bloccati, sono stati introdotti due nuovi criteri:

  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork

Poiché questi criteri portano risultati diversi in base alle configurazioni e alle combinazioni, è consigliabile provare i suggerimenti per i criteri riportati di seguito per una valutazione rapida per verificare se l'esperienza di cambio di profilo è perfettamente allineata alle esigenze dell'organizzazione prima di esplorare la documentazione dettagliata. Le impostazioni di configurazione suggerite per il cambio di profilo includono i valori seguenti:

  • com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
  • com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2

Nota

Edge per iOS e Android può bloccare l'accesso ai siti solo quando vi si accede direttamente. Non blocca l'accesso quando gli utenti utilizzano servizi intermedi (come un servizio di traduzione) per accedere al sito. Gli URL che si avviano con Edge, ad esempio Edge://*, Edge://flags e Edge://net-export, non sono supportati nei criteri di configurazione delle app AllowListURLs o blockListURLs per le app gestite. È possibile disabilitare questi URL con com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.

Se i dispositivi sono gestiti, è anche possibile usare i criteri di configurazione dell'app URLAllowList o URLBlocklist per i dispositivi gestiti. Per informazioni correlate, vedere Criteri per dispositivi mobili di Microsoft Edge.

Usare le coppie chiave/valore seguenti per configurare un elenco di siti consentiti o bloccati per Edge per iOS e Android.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.AllowListURLs

Questo nome di criterio è stato sostituito dall'interfaccia utente degli URL consentiti nelle impostazioni di configurazione edge
Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera consentire come un unico valore, separato da un carattere barra verticale|.

Esempi:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.BlockListURLs

Questo nome di criterio è stato sostituito dall'interfaccia utente degli URL bloccati nelle impostazioni di configurazione edge
Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|.

Esempi:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock

Questo nome di criterio è stato sostituito dall'interfaccia utente di Reindirizzare i siti con restrizioni al contesto personale nelle impostazioni di Configurazione edge
true (impostazione predefinita) consente a Edge per iOS e Android di passare ai siti con restrizioni. Quando gli account personali non sono disabilitati, agli utenti viene richiesto di passare al contesto personale per aprire il sito riservato, oppure di aggiungere un account personale. Se com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked è impostato su true, gli utenti hanno la possibilità di aprire il sito riservato nel contesto InPrivate.
false impedisce la transizione degli utenti di Edge per iOS e Android. Agli utenti viene semplicemente mostrato un messaggio che indica che il sito a cui stanno cercando di accedere è bloccato.
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked true consente l'apertura di siti con restrizioni nel contesto InPrivate dell'account Microsoft Entra. Se l'account Microsoft Entra è l'unico configurato in Edge per iOS e Android, il sito riservato viene aperto automaticamente nel contesto InPrivate. Se l'utente ha configurato un account personale, gli viene chiesto di scegliere se aprire InPrivate o passare all'account personale.
false (impostazione predefinita) richiede l'apertura del sito con restrizioni nell'account personale dell'utente. Se gli account personali sono disabilitati, il sito è bloccato.
Affinché questa impostazione abbia effetto, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock deve essere impostato su true.
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar Immettere il numero di secondi in cui gli utenti vedranno la notifica "L'accesso a questo sito è bloccato dall’organizzazione". Abbiamo aperto la modalità InPrivate per consentire l'accesso al sito". Per impostazione predefinita, la notifica della barra degli snack viene visualizzata per 7 secondi.

I siti seguenti, ad eccezione di copilot.microsoft.com, sono sempre consentiti indipendentemente dalle impostazioni definite dell'elenco consentiti o dell'elenco di blocchi:

  • https://*.microsoft.com/*
  • http://*.microsoft.com/*
  • https://microsoft.com/*
  • http://microsoft.com/*
  • https://*.windowsazure.com/*
  • https://*.microsoftonline.com/*
  • https://*.microsoftonline-p.com/*

Controllare il comportamento del popup Sito bloccato

Quando si tenta di accedere ai siti Web bloccati, agli utenti verrà richiesto di passare a InPrivate o all'account personale per aprire i siti Web bloccati. È possibile scegliere le preferenze tra InPrivate e l'account personale.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock 0: (Impostazione predefinita) mostrare sempre la finestra popup per la scelta da parte dell'utente.
1: passa automaticamente all'account personale quando viene eseguito l'accesso all'account personale. Se non viene eseguito l'accesso all'account personale, il comportamento verrà modificato con il valore 2.
2: passare automaticamente a InPrivate se l'opzione InPrivate è consentita da com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true.

Controllare il comportamento del passaggio del profilo personale al profilo di lavoro

Quando Edge è sotto il profilo personale e gli utenti tentano di aprire un collegamento da Outlook o Microsoft Teams che si trova sotto il profilo di lavoro, per impostazione predefinita, Intune userà il profilo di lavoro Edge per aprire il collegamento perché sia Edge, Outlook che Microsoft Teams sono gestiti da Intune. Tuttavia, quando il collegamento viene bloccato, l'utente verrà passato al profilo personale. Ciò causa un'esperienza di attrito per gli utenti

È possibile configurare un criterio per migliorare l'esperienza degli utenti. È consigliabile usare questo criterio insieme a AutoTransitionModeOnBlock perché può passare gli utenti al profilo personale in base al valore del criterio configurato.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork 1: (impostazione predefinita) Passare al profilo di lavoro anche se l'URL è bloccato dai criteri Edge.
2: gli URL bloccati verranno aperti nel profilo personale se il profilo personale è connesso. Se il profilo personale non è connesso, l'URL bloccato verrà aperto in modalità InPrivate.

Gestire il blocco delle risorse secondarie

Per impostazione predefinita, AllowListURLs e BlockListURLs si applicano solo a livello di spostamento. Quando si incorporano URL bloccati (URL configurati in BlockListURLs o URL non configurati in AllowListURLs) come risorse secondarie all'interno di una pagina Web, tali URL delle sotto risorse non vengono bloccati.

Per limitare ulteriormente queste risorse secondarie, è possibile configurare un criterio per bloccare gli URL delle sotto risorse.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.ManageRestrictedSubresourceEnabled false: (impostazione predefinita) Gli URL delle sotto risorse non verranno bloccati anche se gli URL delle sotto risorse sono bloccati.
true: gli URL delle risorse secondarie verranno bloccati se sono elencati come bloccati.

Nota

È consigliabile usare questo criterio in combinazione con BlockListURLs. Se usato con AllowListURLs, assicurarsi che tutti gli URL delle sotto risorse siano inclusi in AllowListURLs. In caso contrario, il caricamento di alcune risorse secondarie potrebbe non riuscire

Formati URL per l'elenco dei siti consentiti e bloccati

È possibile utilizzare vari formati di URL per creare gli elenchi dei siti consentiti/bloccati. I modelli consentiti sono illustrati nella tabella seguente.

  • Assicurarsi di anteporre a tutti gli URL il prefisso http:// o https:// quando li si inserisce nell'elenco.

  • È possibile utilizzare il simbolo jolly (*) secondo le regole del seguente elenco di modelli consentiti.

  • Un carattere jolly può corrispondere solo a una parte (ad esempio, news-contoso.com) o all'intero componente del nome host (ad esempio, host.contoso.com) o a intere parti del percorso se separato da barre (www.contoso.com/images).

  • È possibile specificare i numeri di porta nell'indirizzo. Se non si specifica un numero di porta, i valori usati sono:

    • Porta 80 per http
    • Porta 443 per https
  • L'uso di caratteri jolly per il numero di porta è supportato solo in Edge per iOS. Ad esempio, è possibile specificare http://www.contoso.com:* e http://www.contoso.com:*/.

  • È supportata la specifica di indirizzi IPv4 con notazione CIDR. Ad esempio, è possibile specificare 127.0.0.1/24 (un intervallo di indirizzi IP).

    URL Dettagli Corrispondenze Non corrisponde
    http://www.contoso.com Corrisponde a una singola pagina www.contoso.com host.contoso.com
    www.contoso.com/images
    contoso.com/
    http://contoso.com Corrisponde a una singola pagina contoso.com/ host.contoso.com
    www.contoso.com/images
    www.contoso.com
    http://www.contoso.com/* Corrisponde a tutti gli URL che iniziano con www.contoso.com www.contoso.com
    www.contoso.com/images
    www.contoso.com/videos/tvshows
    host.contoso.com
    host.contoso.com/images
    http://*.contoso.com/* Corrisponde a tutti i sottodomini in contoso.com developer.contoso.com/resources
    news.contoso.com/images
    news.contoso.com/videos
    contoso.host.com
    news-contoso.com
    http://*contoso.com/* Corrisponde a tutti i sottodomini che terminano con contoso.com/ news-contoso.com
    news-contoso.com/daily
    news-contoso.host.com
    news.contoso.com
    http://www.contoso.com/images Corrisponde a una singola cartella www.contoso.com/images www.contoso.com/images/dogs
    http://www.contoso.com:80 Corrisponde a una singola pagina, usando un numero di porta www.contoso.com:80
    https://www.contoso.com Corrisponde a una singola pagina sicura www.contoso.com www.contoso.com/images
    http://www.contoso.com/images/* Corrisponde a una singola cartella e a tutte le sottocartelle www.contoso.com/images/dogs
    www.contoso.com/images/cats
    www.contoso.com/videos
    http://contoso.com:* Corrisponde a qualsiasi numero di porta per una singola pagina contoso.com:80
    contoso.com:8080
    10.0.0.0/24 Corrisponde a un intervallo di indirizzi IP compreso tra 10.0.0.0 e 10.0.0.255 10.0.0.0
    10.0.0.100
    192.168.1.1
    • Di seguito sono riportati alcuni esempi di input che non è possibile specificare:
    • *.com
    • *.contoso/*
    • www.contoso.com/*images
    • www.contoso.com/*images*pigs
    • www.contoso.com/page*
    • https://*
    • http://*
    • http://www.contoso.com: /*

Disabilitare le pagine interne di Edge

È possibile disabilitare le pagine interne di Edge, ad esempio Edge://flags e Edge://net-export. Altre pagine sono disponibili da Edge://about

Chiave Valore
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList Il valore corrispondente per la chiave è un elenco di nomi di pagine. È possibile inserire le pagine interne da bloccare come un unico valore, separato da un carattere barra verticale|.

Esempi:
flags|net-export

Gestire i siti web per consentire il caricamento dei file

Può capitare che gli utenti siano autorizzati solo a visualizzare i siti web, senza la possibilità di caricare i file. Le organizzazioni hanno la possibilità di designare i siti web che possono ricevere il caricamento dei file.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|.

Esempi:
URL1|URL2|URL3
https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera bloccare come un unico valore, separato da un carattere barra verticale|.

Esempi:
URL1|URL2|URL3
https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com

L'esempio per bloccare tutti i siti web, compresi quelli interni, dal caricare file.

  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Un esempio per consentire a siti web specifici di caricare file

  • com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=https://[*.]contoso.com/|[*.]sharepoint.com/
  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Per altre informazioni sul formato degli URL, vedi Formato del modello di URL dei criteri aziendali.

Nota

Per Edge su iOS, l'azione di incollaggio sarà bloccata in aggiunta al caricamento. Gli utenti non vedranno l'opzione incolla nel menu delle azioni.

Gestire la configurazione del proxy

È possibile utilizzare Edge per iOS e Android e Microsoft Entra Application Proxy insieme per consentire agli utenti di accedere ai siti intranet sui loro dispositivi mobili. Ad esempio:

  • Un utente utilizza l'applicazione mobile di Outlook, protetta da Intune. I clienti fanno quindi clic su un collegamento a un sito intranet in un messaggio di posta elettronica ed Edge per iOS e Android riconosce che questo sito intranet è stato esposto all'utente tramite Application Proxy. L'utente viene automaticamente instradato attraverso Application Proxy, per autenticarsi con l'autenticazione a più fattori e l'accesso condizionato, prima di raggiungere il sito intranet. L'utente è ora in grado di accedere ai siti interni, anche sui propri dispositivi mobili, e il collegamento in Outlook funziona come previsto.
  • Un utente apre Edge per iOS e Android sul proprio dispositivo iOS o Android. Se Edge per iOS e Android è protetto con Intune e Application Proxy è abilitato, l'utente può accedere a un sito intranet utilizzando l'URL interno a cui è abituato. Edge per iOS e Android riconosce che questo sito intranet è stato esposto all'utente tramite Application Proxy. L'utente viene automaticamente instradato attraverso Application Proxy, per autenticarsi prima di raggiungere il sito intranet.

Prima di iniziare:

  • Configurare le applicazioni interne tramite il Microsoft Entra Application Proxy.
    • Per configurare Application Proxy e pubblicare le applicazioni, consultare la documentazione di configurazione.
    • Assicurarsi che l'utente sia assegnato all'applicazione Microsoft Entra Application Proxy, anche se l'applicazione è configurata con il tipo di pre-autenticazione Passthrough.
  • All'applicazione Edge per iOS e Android deve essere assegnato un criterio di protezione delle applicazioni Intune.
  • Le applicazioni Microsoft devono avere un criterio di protezione delle applicazioni con l'impostazione Limita il trasferimento di contenuti web con altre app su Microsoft Edge.

Nota

Edge per iOS e Android aggiorna i dati di reindirizzamento di Application Proxy in base all'ultimo evento di aggiornamento riuscito. Gli aggiornamenti vengono tentati ogni volta che l'ultimo evento di aggiornamento riuscito è superiore a un'ora.

Selezionare su Edge per iOS e Android con la seguente coppia chiave/valore, per abilitare Application Proxy.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection

Questo nome di criterio è stato sostituito dall'interfaccia utente del reindirizzamento del proxy dell'applicazione nelle impostazioni di Configurazione edge
true abilita gli scenari di reindirizzamento di Microsoft Entra Application Proxy
false (impostazione predefinita)gli scenari di reindirizzamento di Microsoft Entra Application Proxy

Per ulteriori informazioni su come utilizzare Edge per iOS e Android e Microsoft Entra Application Proxy in tandem per un accesso continuo (e protetto) alle app web on-premises, vedere Meglio se insieme: i team Intune e Microsoft Entra si uniscono per migliorare l'accesso degli utenti. Questo blog post fa riferimento al browser gestito da Intune, ma il contenuto si applica anche a Edge per iOS e Android.

Gestire i siti NTLM single sign-on

Le organizzazioni possono richiedere agli utenti di autenticarsi con NTLM per accedere ai siti Web intranet. Per impostazione predefinita, agli utenti viene richiesto di inserire le credenziali ogni volta che accedono a un sito Web che richiede l'autenticazione NTLM, poiché la cache delle credenziali NTLM è disabilitata.

Le organizzazioni possono abilitare la memorizzazione nella cache delle credenziali NTLM per determinati siti web. Per questi siti, dopo che l'utente ha inserito le credenziali e si è autenticato con successo, le credenziali vengono memorizzate nella cache per impostazione predefinita per 30 giorni.

Nota

Se si usa un server proxy, assicurarsi che sia configurato usando il criterio NTLMSSOURLs in cui si specificano in modo specifico sia https che http come parte del valore della chiave.

Attualmente, sia gli schemi https che http devono essere specificati nel valore della chiave NTLMSSOURLs. Ad esempio, è necessario configurare sia che https://your-proxy-server:8080http://your-proxy-server:8080. Attualmente, specificare il formato host:port (ad your-proxy-server:8080esempio ) non è sufficiente.

Inoltre, il simbolo di carattere jolly (*) non è supportato durante la configurazione dei server proxy nei criteri NTLMSSOURLs.

Chiave Valore
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs Il valore corrispondente per la chiave è un elenco di URL. Inserire tutti gli URL che si desidera consentire come un unico valore, separato da un carattere barra verticale|.

Esempi:
URL1|URL2
http://app.contoso.com/|https://expenses.contoso.com

Per ulteriori informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco dei siti consentiti e bloccati.
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO Numero di ore per la memorizzazione nella cache delle credenziali; l'impostazione predefinita è 720 ore.

Configurazione aggiuntiva dell'app per i dispositivi gestiti

I seguenti criteri, originariamente configurabili tramite il criterio di configurazione delle applicazioni gestite, sono ora disponibili tramite il criterio di configurazione delle applicazioni dei dispositivi gestiti. Quando si utilizzano i criteri per le app gestite, gli utenti devono accedere a Microsoft Edge. Quando si utilizzano i criteri per i dispositivi gestiti, agli utenti non viene richiesto di accedere a Edge per applicare i criteri.

Poiché i criteri di configurazione delle app per i dispositivi gestiti richiedono l'iscrizione del dispositivo, è supportata qualsiasi gestione unificata degli endpoint (UEM). Per trovare altri criteri nel canale MDM, vedere Criteri per dispositivi mobili di Microsoft Edge.

Criteri MAM Criteri MDM
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL EdgeNewTabPageCustomURL
com.microsoft.intune.mam.managedbrowser.MyApps EdgeMyApps
com.microsoft.intune.mam.managedbrowser.defaultHTTPS EdgeDefaultHTTPS
com.microsoft.intune.mam.managedbrowser.disableShareUsageData EdgeDisableShareUsageData
com.microsoft.intune.mam.managedbrowser.disabledFeatures EdgeDisabledFeatures
com.microsoft.intune.mam.managedbrowser.disableImportPasswords EdgeImportPasswordsDisabled
com.microsoft.intune.mam.managedbrowser.enableKioskMode EdgeEnableKioskMode
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode EdgeShowAddressBarInKioskMode
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode EdgeShowBottomBarInKioskMode
com.microsoft.intune.mam.managedbrowser.account.syncDisabled EdgeSyncDisabled
com.microsoft.intune.mam.managedbrowser.NetworkStackPref EdgeNetworkStackPref
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled SmartScreenEnabled
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled MicrosoftRootStoreEnabled
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed SSLErrorOverrideAllowed
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting DefaultPopupsSetting
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls PopupsAllowedForUrls
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls PopupsBlockedForUrls
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled DefaultSearchProviderEnabled
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName DefaultSearchProviderName
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL DefaultSearchProviderSearchURL
com.microsoft.intune.mam.managedbrowser.Chat EdgeCopilotEnabled
com.microsoft.intune.mam.managedbrowser.ChatPageContext EdgeChatPageContext

Distribuire scenari di configurazione delle app con Microsoft Intune

Se si utilizza Microsoft Intune come provider di gestione delle app per dispositivi mobili, i passaggi seguenti consentono di creare un criterio di configurazione delle app gestite. Dopo aver creato la configurazione, è possibile assegnare le relative impostazioni a gruppi di utenti.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare App e quindi Criteri di configurazione delle app.

  3. Nel pannello dei Criteri Configurazione app scegliere Aggiungi e selezionare App gestite.

  4. Nella sezione Informazioni di base immettere un Nomee una Descrizione facoltativa per le impostazioni di configurazione dell'app.

  5. Per App pubbliche scegliere Seleziona app pubbliche e quindi nel pannello App di destinazione scegliere Edge per iOS e Android selezionando entrambe le app della piattaforma iOS e Android. Fare clic su Seleziona per salvare le app pubbliche selezionate.

  6. Fare clic su Avanti per completare le impostazioni di base dei criteri di configurazione dell'app.

  7. Nella sezione Impostazioni espandere le Impostazioni di configurazione di Edge.

  8. Per gestire le impostazioni di protezione dei dati, configurare di conseguenza le impostazioni desiderate:

    • Per il Reindirizzamento del proxy dell'applicazione, scegliere tra le opzioni disponibili: Abilita, Disabilita (impostazione predefinita).

    • Per URL di collegamento alla homepage, specificare un URL valido che includa il prefisso http:// o https://. Gli URL non corretti vengono bloccati come misura di sicurezza.

    • Per Segnalibri gestiti specificare il titolo e un URL valido che include il prefisso di http:// o https://.

    • Per URL consentiti specificare un URL valido (sono consentiti solo questi URL; non è possibile accedere ad altri siti). Per ulteriori informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco dei siti consentiti e bloccati.

    • Per URL bloccati specificare un URL valido (solo questi URL sono bloccati). Per altre informazioni sui tipi di formati URL supportati, vedere Formati URL per l'elenco di siti consentiti e bloccati.

    • Per Reindirizzare i siti con restrizioni al contesto personale, scegliere tra le opzioni disponibili: Abilita (impostazione predefinita), Disabilita.

    Nota

    Quando nel criterio sono definiti sia URL consentiti che URL bloccati, viene rispettato solo l'elenco consentito.

  9. Se si desidera aggiungere impostazioni di configurazione dell'app non esposte nei criteri precedenti, espandere il nodo Impostazioni di configurazione generale e immettere di conseguenza le coppie di valori chiave.

  10. Al termine della configurazione delle impostazioni, scegliere Avanti.

  11. Nella sezione Assegnazioni scegliere Seleziona gruppi da includere. Selezionare il gruppo Microsoft Entra a cui assegnare il criterio di configurazione dell'applicazione, quindi scegliere Seleziona.

  12. Al termine delle assegnazioni, scegliere Avanti.

  13. Nella pagina Creare un criterio di configurazione dell'app Revisione + Creazione, rivedere le impostazioni configurate e scegliere Crea.

Il criterio di configurazione appena creato viene visualizzato nel pannello di Configurazione delle applicazioni.

Usare Microsoft Edge per iOS e Android per accedere ai registri delle app gestite.

Gli utenti con Edge per iOS e Android installato sul proprio dispositivo iOS o Android possono visualizzare lo stato di gestione di tutte le app pubblicate da Microsoft. Possono inviare i log per la risoluzione dei problemi delle applicazioni iOS o Android gestite utilizzando i seguenti passaggi:

  1. Aprire Edge per iOS e Android nel dispositivo.

  2. Digitare edge://intunehelp/ nella casella dell'indirizzo.

  3. Edge per iOS e Android avvia la modalità di risoluzione dei problemi.

È possibile recuperare i log dall'assistenza Microsoft fornendo l'ID dell’evento imprevisto dell'utente.

Per un elenco delle impostazioni memorizzate nei registri delle applicazioni, vedere Revisione dei registri di protezione delle applicazioni client.

Registri diagnostici

Oltre a Intune log da edge://intunehelp/, è possibile che supporto tecnico Microsoft richieda di fornire i log di diagnostica di Microsoft Edge per iOS e Android. È possibile caricare i log nel server Microsoft o salvarli in locale e condividerli direttamente con supporto tecnico Microsoft.

Caricare i log nel server Microsoft

Seguire questa procedura per caricare i log nel server Microsoft:

  1. Riprodurre il problema.
  2. Aprire il menu di overflow selezionando l'icona hamburger nell'angolo inferiore destro.
  3. Scorri rapidamente verso sinistra e seleziona Guida e feedback.
  4. Nella sezione Descrivere ciò che accade specificare i dettagli sul problema in modo che il team di supporto possa identificare i log pertinenti.
  5. Caricare i log nel server Microsoft selezionando il pulsante nell'angolo in alto a destra.

Salvare i log in locale e condividerli direttamente con supporto tecnico Microsoft

Seguire questa procedura per salvare i log in locale e condividerli:

  1. Riprodurre il problema.
  2. Aprire il menu overflow selezionando il menu hamburger nell'angolo in basso a destra.
  3. Scorri rapidamente verso sinistra e seleziona Guida e feedback.
  4. Selezionare dati di diagnostica.
  5. Per Microsoft Edge per iOS, toccare l'icona Condividi nell'angolo in alto a destra. Verrà visualizzata la finestra di dialogo di condivisione del sistema operativo, che consente di salvare i log in locale o condividerli tramite altre app. Per Microsoft Edge per Android, aprire il sottomenu nell'angolo in alto a destra e selezionare l'opzione per salvare i log. I log verranno salvati nella cartella Download>Edge .

Se si desidera cancellare i log precedenti, selezionare l'icona Cancella in alto a destra quando si selezionano i dati di diagnostica. Riprodurre quindi di nuovo il problema per assicurarsi che vengano acquisiti solo i log aggiornati.

Nota

Il salvataggio dei log rispetta anche i criteri di Protezione app di Intune. Di conseguenza, potrebbe non essere consentito salvare i dati di diagnostica nei dispositivi locali.

Passaggi successivi