Správa Microsoft Edge v iOSu a Androidu pomocí Intune

Microsoft Edge pro iOS a Android je navržený tak, aby uživatelům umožňoval procházení webu a podporuje více identit. Uživatelé můžou přidat pracovní i osobní účet pro procházení webu. Tyto dvě identity jsou naprosto oddělené, což je podobné tomu, co se nabízí v jiných mobilních aplikacích Microsoftu.

Tato funkce platí pro:

• iOS/iPadOS 14.0 nebo novější
• Android 8.0 nebo novější pro zaregistrovaná zařízení a Android 9.0 nebo novější pro nezaregistrovaná zařízení

Bohatší a nejširší možnosti ochrany dat Microsoftu 365 jsou k dispozici, když si předplatíte sadu Enterprise Mobility + Security, která zahrnuje funkce Microsoft Intune a Microsoft Entra ID P1 nebo P2, jako je podmíněný přístup. Minimálně chcete nasadit zásadu podmíněného přístupu, která umožňuje připojení k Edgi jenom pro iOS a Android z mobilních zařízení, a zásady ochrany aplikací Intune, které zajistí ochranu procházení.

Vytvoření zásad ochrany aplikací Intune

Vzhledem k tomu, že organizace stále častěji osvojují SaaS a webové aplikace, jsou prohlížeče nezbytnými nástroji pro firmy. Uživatelé často potřebují přístup k těmto aplikacím z mobilních prohlížečů za pochodu. Zásadní je zajistit, aby data přístupná prostřednictvím mobilních prohlížečů byla chráněna před úmyslným nebo neúmyslným únikem. Uživatelé mohou například neúmyslně sdílet data organizací s osobními aplikacemi, což vede k úniku dat, nebo si je stáhnout do místních zařízení, což také představuje riziko.

Organizace můžou chránit data před únikem dat, když uživatelé procházejí edgem pro mobilní zařízení tím, že nakonfigurují zásady ochrany aplikací (APP), které definují, jaké aplikace jsou povolené a jaké akce můžou s daty vaší organizace provádět. Možnosti dostupné v aplikaci APP umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře. Microsoft zavedl taxonomii pro svoji architekturu ochrany dat app pro správu mobilních aplikací pro správu mobilních aplikací pro iOS a Android, aby organizacím pomohl určit prioritu posílení zabezpečení koncových bodů mobilních klientů.

Architektura ochrany dat APP je uspořádaná do tří různých úrovní konfigurace, přičemž každá úroveň vychází z předchozí úrovně:

• Základní ochrana podnikových dat (úroveň 1) zajišťuje, že aplikace jsou chráněné kódem PIN a šifrované, a provádí operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Jedná se o konfiguraci základní úrovně, která poskytuje podobné řízení ochrany dat v zásadách poštovních schránek Exchange Online a zavádí IT a populaci uživatelů do APP.
• Rozšířená ochrana podnikových dat (úroveň 2) zavádí mechanismy ochrany dat APP a minimální požadavky na operační systém. Toto je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
• Vysoká ochrana podnikových dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami pro APP. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.

Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.

Bez ohledu na to, jestli je zařízení zaregistrované v řešení sjednocené správy koncových bodů (UEM), je potřeba vytvořit zásady ochrany aplikací Intune pro aplikace pro iOS i Android pomocí kroků v tématu Vytvoření a přiřazení zásad ochrany aplikací. Tyto zásady musí splňovat minimálně následující podmínky:

• Zahrnují všechny mobilní aplikace Microsoft 365, jako je Microsoft Edge, Outlook, OneDrive, Office nebo Teams, protože to uživatelům zajišťuje zabezpečený přístup k pracovním nebo školním datům v libovolné aplikaci Microsoftu a manipulaci s nimi.

• Jsou přiřazené všem uživatelům. Tím se zajistí, že všichni uživatelé budou chráněni bez ohledu na to, jestli používají Microsoft Edge pro iOS nebo Android.

• Určete, která úroveň architektury splňuje vaše požadavky. Většina organizací by měla implementovat nastavení definovaná v části Rozšířená ochrana podnikových dat (úroveň 2), která umožňují řízení požadavků na ochranu dat a přístup.

Použít podmíněný přístup

I když je důležité chránit Microsoft Edge pomocí zásad ochrany aplikací (APP), je také důležité zajistit, aby byl Microsoft Edge povinným prohlížečem pro otevírání podnikových aplikací. Uživatelé by jinak mohli pro přístup k podnikovým aplikacím používat jiné nechráněné prohlížeče, což může vést k úniku dat.

Organizace můžou pomocí zásad Microsoft Entra podmíněného přístupu zajistit, aby uživatelé měli přístup jenom k pracovnímu nebo školnímu obsahu pomocí Microsoft Edge pro iOS a Android. K tomu potřebujete zásadu podmíněného přístupu, která cílí na všechny potenciální uživatele. Tyto zásady jsou popsané v tématu Podmíněný přístup: Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací.

Postupujte podle kroků v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací u mobilních zařízení, které umožňují Microsoft Edge pro iOS a Android, ale blokují připojení jiných webových prohlížečů mobilních zařízení ke koncovým bodům Microsoftu 365.

Pomocí podmíněného přístupu můžete také cílit na místní weby, které jste prostřednictvím proxy aplikací Microsoft Entra zpřístupnili externím uživatelům.

Jednotné přihlašování k webovým aplikacím připojeným k Microsoft Entra v prohlížečích chráněných zásadami

Microsoft Edge pro iOS a Android může využívat jednotné přihlašování (SSO) ke všem webovým aplikacím (SaaS i místním), které jsou Microsoft Entra připojené. Jednotné přihlašování umožňuje uživatelům přistupovat k Microsoft Entra webovým aplikacím připojeným přes Edge pro iOS a Android, aniž by museli znovu zadávat svoje přihlašovací údaje.

Jednotné přihlašování vyžaduje, aby vaše zařízení zaregistrovala aplikace Microsoft Authenticator pro zařízení s iOSem nebo Portál společnosti Intune na Androidu. Jestliže uživatelé využijí jednu z těchto možností, zobrazí se jim výzva k registraci zařízení, když přejdou do webové aplikace připojené k Microsoft Entra v prohlížeči chráněném zásadami (to platí jenom v případě, že jejich zařízení ještě není zaregistrované). Po registraci zařízení pomocí účtu uživatele spravovaného službou Intune má tento účet povolené jednotné přihlašování pro webové aplikace připojené k Microsoft Entra.

Použití konfigurace aplikace ke správě prostředí procházení

Microsoft Edge pro iOS a Android podporuje nastavení aplikací, která umožňují jednotnou správu koncových bodů, jako jsou správci Microsoft Intune, přizpůsobit chování aplikace.

Konfiguraci aplikace je možné provádět buď prostřednictvím kanálu správy mobilních zařízení (MDM) operačního systému na zaregistrovaných zařízeních (Konfigurace spravovaných aplikací kanál pro iOS nebo Android v kanálu Enterprise pro Android), nebo prostřednictvím kanálu MAM (Správa mobilních aplikací). Edge pro iOS a Android podporuje následující scénáře konfigurace:

• Povolit jenom pracovní nebo školní účty
• Obecná nastavení konfigurace aplikací
• Nastavení ochrany dat
• Další konfigurace aplikací pro spravovaná zařízení

Každý scénář konfigurace zvýrazňuje své specifické požadavky. Například zda scénář konfigurace vyžaduje registraci zařízení, a proto funguje s jakýmkoli poskytovatelem UEM, nebo zda vyžaduje zásady Intune App Protection.

Povolit jenom pracovní nebo školní účty

Klíčovým pilířem hodnoty Microsoft 365 je dodržování zásad zabezpečení dat a dodržování předpisů našich největších a vysoce regulovaných zákazníků. Některé společnosti mají požadavek na zachytávání všech komunikačních informací ve svém podnikovém prostředí a také zajistit, aby se zařízení používala jenom pro firemní komunikaci. Aby bylo možné tyto požadavky splnit, je možné microsoft Edge pro iOS a Android na zaregistrovaných zařízeních nakonfigurovat tak, aby umožňoval zřízení jenom jednoho podnikového účtu v rámci aplikace.

Další informace o konfiguraci nastavení režimu povolených účtů organizace najdete tady:

• Nastavení Androidu
• Nastavení iOSu

Tento scénář konfigurace funguje jenom s zaregistrovanými zařízeními. Podporuje se ale jakýkoli poskytovatel UEM. Pokud nepoužíváte Microsoft Intune, musíte si prohlédnout dokumentaci k UEM, jak tyto konfigurační klíče nasadit.

Obecné scénáře konfigurace aplikací

Microsoft Edge pro iOS a Android nabízí správcům možnost přizpůsobit výchozí konfiguraci pro několik nastavení v aplikaci. Tato možnost je nabízena, pokud má Edge pro iOS a Android u pracovního nebo školního účtu, který je přihlášen do aplikace, uplatněnou politiku konfigurace spravovaných aplikací.

Microsoft Edge podporuje následující nastavení konfigurace:

• Prostředí stránky Nová karta
• Možnosti záložek
• Chování aplikací
• Prostředí celoobrazovkového režimu

Tato nastavení je možné nasadit do aplikace bez ohledu na stav registrace zařízení.

Rozložení stránky Nová karta

Inspirační rozložení je výchozím rozložením pro stránku nové karty. Zobrazuje zástupce webu, tapetu a informační kanál. Uživatelé můžou změnit rozložení podle svých preferencí. Organizace můžou také spravovat nastavení rozložení.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout	prioritní Je vybraná možnost Prioritní Je vybraná možnost inspirační (výchozí) Inspirační informační Je vybraná možnost Informační. zvyk Je vybraná možnost Vlastní, zapnutý přepínač zástupci horního webu, zapnutý přepínač tapety a přepínač informačního kanálu je zapnutý.
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom	přední weby Zapnout možnost zástupců předních webů tapeta Zapnout tapetu informační kanál Zapnout informační kanál Aby se tyto zásady projevily, musí být hodnota com.microsoft.intune.mam.managedbrowser.NewTabPageLayout nastavená na hodnotu vlastní Výchozí hodnota je topsites|wallpaper|newsfeed|
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable	true (výchozí) Uživatelé můžou změnit nastavení rozložení stránky. falešný Uživatelé nemůžou změnit nastavení rozložení stránky. Rozložení stránky je určeno hodnotami zadanými prostřednictvím zásad nebo se použijí výchozí hodnoty.

Příklad vypnutí informačních kanálů

• com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
• com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
• com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false

Prostředí stránky Nová karta

Microsoft Edge pro iOS a Android nabízí organizacím několik možností pro úpravu prostředí stránky Nová karta, včetně loga organizace, barvy značky, domovské stránky, hlavních webů a novinek z odvětví.

Logo organizace a barva značky

Nastavení loga organizace a barvy značky umožňují přizpůsobit stránku Nová karta pro Microsoft Edge na zařízeních s iOSem a Androidem. Logo banneru se použije jako logo vaší organizace a barva pozadí stránky se použije jako barva značky vaší organizace. Další informace najdete v tématu Konfigurace firemního brandingu.

Dále pomocí následujících párů klíč/hodnota přetáhněte branding vaší organizace do Microsoft Edge pro iOS a Android:

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo	true zobrazuje logo značky organizace false (výchozí) nezpřístupňuje logo
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor	true zobrazuje barvu značky organizace false (výchozí) nezobrazí barvu

Zástupce domovské stránky

Toto nastavení umožňuje nakonfigurovat zástupce domovské stránky pro Microsoft Edge pro iOS a Android na stránce Nová karta. Zástupce domovské stránky, kterého nakonfigurujete, se zobrazí jako první ikona pod panelem hledání, když uživatel otevře novou kartu v Edgi pro iOS a Android. Uživatel nemůže tohoto zástupce ve svém spravovaném kontextu upravit ani odstranit. Zástupce domovské stránky zobrazí název vaší organizace, aby se odlišil.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.homepage Tento název zásady byl nahrazen uživatelským rozhraním adresy URL zástupce domovské stránky v nastavení konfigurace edge.	Zadejte platnou adresu URL. Nesprávné adresy URL se blokují z bezpečnostních důvodů. Například: https://www.bing.com

Více zástupců webu na nejvyšší úrovni

Podobně jako při konfiguraci zástupce domovské stránky můžete v Microsoft Edgi pro iOS a Android nakonfigurovat více zástupců webů na stránce Nové karty. Uživatel nemůže tyto zástupce ve spravovaném kontextu upravovat ani odstraňovat. Poznámka: Můžete nakonfigurovat celkem osm klávesových zkratek, včetně zástupce domovské stránky. Pokud jste nakonfigurovali zástupce domovské stránky, přepíše tato zkratka první nakonfigurovaný horní web.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.managedTopSites	Zadejte sadu adres URL hodnot. Každý zástupce horního webu se skládá z názvu a adresy URL. Název a adresu URL oddělte znakem |. Například: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com

Novinky z oboru

V microsoft Edgi pro iOS a Android můžete nakonfigurovat prostředí Nová stránka karty tak, aby zobrazovalo novinky z odvětví, které jsou relevantní pro vaši organizaci. Když tuto funkci povolíte, Edge pro iOS a Android použije název domény vaší organizace k agregaci zpráv z webu o vaší organizaci, oboru a konkurentech organizace, aby vaši uživatelé mohli najít relevantní externí zprávy na všech stránkách centralizovaných nových karet v Edgi pro iOS a Android. Industry News je ve výchozím nastavení vypnuté.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews	true zobrazí Zprávy z oboru na stránce Nová karta false (výchozí) skryje Zprávy z oboru na stránce Nová karta

Domovská stránka místo prostředí Nová karta

Microsoft Edge pro iOS a Android umožňuje organizacím zakázat prostředí stránky Nová karta a místo toho nechat web spustit, když uživatel otevře novou kartu. I když se jedná o podporovaný scénář, Microsoft doporučuje organizacím, aby k poskytování dynamického obsahu, který je pro uživatele relevantní, využily možnosti stránky Nová karta.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL	Zadejte platnou adresu URL. Pokud není zadaná žádná adresa URL, aplikace použije prostředí stránky Nová karta. Nesprávné adresy URL se blokují z bezpečnostních důvodů. Například: https://www.bing.com

Možnosti záložek

Microsoft Edge pro iOS a Android nabízí organizacím několik možností pro správu záložek.

Spravované záložky

Pro usnadnění přístupu můžete nakonfigurovat záložky, které mají mít uživatelé k dispozici, když používají Microsoft Edge pro iOS a Android.

• Záložky se zobrazují jenom v pracovním nebo školním účtu a nejsou přístupné pro osobní účty.
• Záložky nemůžou uživatelé odstranit ani upravit.
• Záložky se zobrazí v horní části seznamu. Všechny záložky, které uživatelé vytvoří, se zobrazí pod těmito záložkami.
• Pokud jste povolili přesměrování proxy aplikací, můžete přidat proxy aplikací webové aplikace pomocí jejich interní nebo externí adresy URL.
• Záložky se vytvářejí ve složce pojmenované podle názvu organizace, který je definován v Microsoft Entra ID.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.bookmarks Tento název zásady byl nahrazen uživatelským rozhraním spravovaných záložek v nastavení konfigurace Edge.	Hodnota této konfigurace je seznam záložek. Každá záložka se skládá z názvu záložky a adresy URL záložky. Název a adresu URL oddělte znakem |. Například: Microsoft Bing|https://www.bing.com Pokud chcete nakonfigurovat více záložek, oddělte každý pár dvojitým znakem ||. Například: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com

Záložka Moje aplikace

Ve výchozím nastavení mají uživatelé Moje aplikace záložku nakonfigurovanou ve složce organizace v microsoft Edgi pro iOS a Android.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.MyApps	true (výchozí) zobrazuje Moje aplikace v záložkách Microsoft Edge pro iOS a Android false skrývá Moje aplikace v Edgi pro iOS a Android

Chování aplikací

Microsoft Edge pro iOS a Android nabízí organizacím několik možností pro správu chování aplikace.

Jednotné přihlašování pomocí hesla Microsoft Entra

Funkce jednotného přihlašování (SSO) pomocí hesla Microsoft Entra, kterou nabízí Microsoft Entra ID, přenáší správu přístupu uživatelů do webových aplikací, které nepodporují federaci identit. Microsoft Edge pro iOS a Android ve výchozím nastavení neprovádí jednotné přihlašování s Microsoft Entra přihlašovacími údaji. Další informace najdete v tématu Přidání jednotného přihlašování založeného na heslech do aplikace.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.PasswordSSO	true znamená, že jednotné přihlašování pomocí hesla Microsoft Entra je povolené false (výchozí) znamená, že jednotné přihlašování pomocí hesla Microsoft Entra je zakázané

Výchozí obslužná rutina protokolu

Microsoft Edge pro iOS a Android ve výchozím nastavení používá obslužnou rutinu protokolu HTTPS, když uživatel nezadá protokol v adrese URL. Obecně se to považuje za osvědčený postup, ale dá se zakázat.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.defaultHTTPS	true (výchozí) výchozí obslužná rutina protokolu je HTTPS false výchozí obslužná rutina protokolu je HTTP

Zakázání volitelných diagnostických dat

Ve výchozím nastavení můžou uživatelé odesílat volitelná diagnostická data takto: Nastavení->Ochrana osobních údajů a zabezpečení->Diagnostická data->Nepovinná diagnostická data. Organizace můžou toto nastavení zakázat.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.disableShareUsageData	true Volitelné nastavení diagnostických dat je zakázané false (výchozí) Uživatelé můžou tuto možnost zapnout nebo vypnout

Zakázání konkrétních funkcí

Microsoft Edge pro iOS a Android umožňuje organizacím zakázat určité funkce, které jsou ve výchozím nastavení povolené. Pokud chcete tyto funkce zakázat, nakonfigurujte následující nastavení:

Klíč

Hodnota

com.microsoft.intune.mam.managedbrowser.disabledFeatures

password zakáže výzvy, které nabízejí ukládání hesel pro koncového uživatele Inprivate zakáže anonymní procházení InPrivate autofill zakáže "Uložit a vyplnit adresy" a "Uložit a vyplnit platební údaje". Automatické vyplňování bude zakázané i pro dříve uložené informace translator zakáže překladač readaloud zakáže čtení nahlas drop zakáže zahození kupóny zakazuje kupóny rozšíření zakazuje rozšíření (jenom Edge pro Android) developertools zobrazí čísla verzí buildu šedě, aby uživatelé nemohli získat přístup k možnostem pro vývojáře (jenom Edge pro Android). UIRAlert potlačit překryvná okna pro opětovné ověření účtu na stránce nová karta sdílení zakáže sdílení v nabídce sendtodevices deaktivuje funkci Odeslat do zařízení v nabídce weather disables weather in NTP (New Tab Page) Webinspector zakáže nastavení Webového inspektoru (jenom Edge pro iOS). Pokud chcete zakázat více funkcí, oddělte hodnoty pomocí |. Například zakáže jak inPrivate, inprivate|password tak úložiště hesel.

Zakázání funkce importu hesel

Microsoft Edge pro iOS a Android umožňuje uživatelům importovat hesla ze Správce hesel. Pokud chcete zakázat import hesel, nakonfigurujte následující nastavení:

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.disableImportPasswords	true Zákaz importu hesel false (výchozí) Povolit import hesel

Řízení režimu souborů cookie

Můžete určit, jestli weby můžou ukládat soubory cookie pro vaše uživatele v microsoft Edgi pro Android. Chcete-li to provést, nakonfigurujte následující nastavení:

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.cookieControlsMode	0 (výchozí) povolit soubory cookie 1 blokování souborů cookie jiných společností než Microsoft 2 blokování souborů cookie jiných společností než Microsoft v režimu InPrivate 3 blokovat všechny soubory cookie

Prostředí celoobrazovkového režimu na zařízeních s Androidem

Microsoft Edge pro Android je možné povolit jako beznabídkovou aplikaci s následujícím nastavením:

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.enableKioskMode	true povoluje celoobrazovkový režim pro Edge pro Android false (výchozí) zakáže celoobrazovkový režim
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode	true zobrazuje panel Adresa v celoobrazovkovém režimu false (výchozí) skryje panel Adresa, když je povolený celoobrazovkový režim.
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode	true zobrazuje dolní panel akcí v celoobrazovkovém režimu false (výchozí) skryje dolní panel, když je povolený celoobrazovkový režim.

Režim uzamčeného zobrazení

Microsoft Edge pro iOS a Android je možné povolit jako režim uzamčeného zobrazení se zásadami MDM EdgeLockedViewModeEnabled.

Klíč	Hodnota
EdgeLockedViewModeEnabled	false (výchozí): Režim uzamčeného zobrazení je zakázaný. true: Režim uzamčeného zobrazení je povolený.

Umožňuje organizacím omezit různé funkce prohlížeče a poskytovat tak řízené a cílené procházení.

• Panel adresy URL je jen pro čtení, což uživatelům znemožňuje provádět změny webové adresy.
• Uživatelé nemůžou vytvářet nové karty
• Funkce kontextového vyhledávání na webových stránkách je zakázaná.
• Následující tlačítka v nabídce přetečení jsou zakázaná.

Tlačítka	Stav
Nová karta InPrivate	Zakázáno
Odeslat do zařízení	Zakázáno
Pustit	Zakázáno
Přidat do telefonu (Android)	Zakázáno
Stáhnout stránku (Android)	Zakázáno

Režim uzamčeného zobrazení se často používá společně se zásadami MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL nebo se zásadami MDM EdgeNewTabPageCustomURL, které organizacím umožňují nakonfigurovat konkrétní webovou stránku, která se automaticky spustí při otevření Microsoft Edge. Uživatelé jsou omezeni na tuto webovou stránku a nemůžou přejít na jiné weby, což poskytuje řízené prostředí pro konkrétní úlohy nebo spotřebu obsahu.

Přepínání zásobníku sítě mezi Chromium a iOSem

Microsoft Edge pro iOS i Android ve výchozím nastavení používá zásobník Chromium sítě pro komunikaci služby Microsoft Edge, včetně synchronizačních služeb, návrhů automatického vyhledávání a odesílání zpětné vazby. Microsoft Edge pro iOS také poskytuje síťový zásobník iOS jako konfigurovatelnou možnost pro komunikaci služby Microsoft Edge.

Organizace můžou upravit předvolby zásobníku sítě konfigurací následujícího nastavení.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.NetworkStackPref	0 (výchozí) použití zásobníku sítě Chromium 1 Použití zásobníku sítě pro iOS

Nastavení adresy URL proxy souboru .pac

Organizace můžou zadat adresu URL souboru PAC (Automatická konfigurace proxy serveru) pro Microsoft Edge pro iOS a Android.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.proxyPacUrl	Zadejte platnou adresu URL proxy souboru .pac. Například: https://internal.site/example.pac

Podpora neúspěšného otevření PAC

Microsoft Edge pro iOS a Android ve výchozím nastavení blokuje síťový přístup pomocí neplatného nebo nedostupného skriptu PAC. Organizace ale můžou upravit výchozí chování tak, aby se nepodařilo otevřít pac.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled	false (výchozí) Blokování přístupu k síti true Povolení síťového přístupu

Konfigurace síťových přenosů

Microsoft Edge pro iOS teď podporuje síťové přenosy v iOSu 17. Jedná se o speciální typ proxy serveru, který je možné použít pro řešení vzdáleného přístupu a ochrany osobních údajů. Podporují zabezpečené a transparentní tunelování provozu a slouží jako moderní alternativa k sítím VPN při přístupu k interním prostředkům. Další informace o síťových přenosech najdete v tématu Použití síťových přenosů na zařízeních Apple.

Organizace můžou nakonfigurovat adresy URL relay proxy tak, aby směrovaly provoz na základě odpovídajících a vyloučených domén.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl	Zadejte platnou adresu URL konfiguračního souboru JSON přenosu. Například: https://yourserver/relay_config.json

Příklad souboru JSON pro síťové přenosy
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}

Proxy server pro přihlášení uživatelů k Microsoft Edgi v Androidu

Automatická konfigurace proxy serveru (PAC) se obvykle konfiguruje v profilu sítě VPN. Kvůli omezením platformy ale pac nemůže rozpoznat Android WebView, který se používá během procesu přihlašování k Microsoft Edge. Uživatelé se možná nebudou moct přihlásit k Edgi v Androidu.

Organizace můžou prostřednictvím zásad MDM určit vyhrazený proxy server, aby se uživatelé mohli přihlásit k Microsoft Edgi v Androidu.

Klíč	Hodnota
EdgeOneAuthProxy	Odpovídající hodnota je řetězec. Příkladhttp://MyProxy.com:8080

Úložiště dat webu iOS

Webové úložiště dat v Microsoft Edgi pro iOS je nezbytné pro správu souborů cookie, diskových a paměťových mezipamětí a různých typů dat. V Microsoft Edgi pro iOS je ale jenom jedno trvalé úložiště dat webu. Ve výchozím nastavení je toto úložiště dat používáno výhradně osobními účty, což vede k omezení, kdy ho pracovní nebo školní účty nemohou využívat. V důsledku toho jsou údaje o procházení, s výjimkou souborů cookie, ztraceny po každé relaci pro pracovní nebo školní účty. Aby organizace zlepšily uživatelské prostředí, můžou nakonfigurovat úložiště dat webu pro použití pracovními nebo školními účty a zajistit tak trvalost údajů o procházení.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore	0 Webové úložiště dat je vždy staticky používáno pouze osobním účtem. 1 Úložiště dat webu používá první přihlášený účet. 2 (výchozí) Úložiště dat webu používá pracovní nebo školní účet bez ohledu na pořadí přihlášení.

Filtr SmartScreen v programu Microsoft Defender

Microsoft Defender SmartScreen je funkce, která uživatelům pomáhá vyhnout se škodlivým webům a souborům ke stažení. Ve výchozím nastavení je povolená. Organizace můžou toto nastavení zakázat.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled	true (výchozí) filtr Microsoft Defender SmartScreen je povolený. false filtr Microsoft Defender SmartScreen je zakázaný.

Ověření certifikátu

Microsoft Edge pro Android ve výchozím nastavení ověřuje certifikáty serveru pomocí integrovaného ověřovatele certifikátů a kořenového úložiště Microsoftu jako zdroje veřejného vztahu důvěryhodnosti. Organizace můžou přepnout na ověřovatele systémových certifikátů a kořenové certifikáty systému.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled	true (výchozí) K ověření certifikátů použijte integrovaný ověřovatel certifikátů a Microsoft Root Store. false Jako zdroj veřejného vztahu důvěryhodnosti k ověření certifikátů použijte ověřovatel systémových certifikátů a kořenové systémové certifikáty.

Řízení stránky s varováním SSL

Ve výchozím nastavení můžou uživatelé kliknout na stránky s upozorněním, které se zobrazí, když uživatelé přejdou na weby s chybami SSL. Organizace můžou spravovat její chování.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed	true (výchozí) Umožňuje uživatelům prokliknout stránky s varováním SSL. false Zabrání uživatelům prokliknout stránky s varováním SSL.

Nastavení automaticky otevíraných oken

Ve výchozím nastavení jsou automaticky otevíraná okna blokovaná. Organizace můžou spravovat její chování.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting	1 Povolit všem webům zobrazovat automaticky otevíraná okna 2 (výchozí) Nepovolit žádnému webu zobrazovat automaticky otevíraná okna

Povolit automaticky otevírané okno na konkrétních webech

Pokud tato zásada není nakonfigurovaná, použije se pro všechny weby hodnota ze zásady DefaultPopupsSetting (pokud je nastavená) nebo osobní konfigurace uživatele. Organizace můžou definovat seznam webů, které můžou otevřít automaticky otevírané okno.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls	Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.               Příklady: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Další informace o formátu adres URL najdete v tématu Formát vzoru adresy URL zásad podniku.

Blokovat automaticky otevírané okno na konkrétních webech

Pokud tato zásada není nakonfigurovaná, použije se pro všechny weby hodnota ze zásady DefaultPopupsSetting (pokud je nastavená) nebo osobní konfigurace uživatele. Organizace můžou definovat seznam webů, u kterých je zablokované otevírání automaticky otevíraných oken.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls	Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.               Příklady: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Další informace o formátu adres URL najdete v tématu Formát vzoru adresy URL zásad podniku.

Výchozí poskytovatel vyhledávání

Microsoft Edge ve výchozím nastavení používá k vyhledávání výchozího poskytovatele vyhledávání, když uživatelé zadají do panelu Adresa texty, které nejsou adresa URL. Uživatelé můžou změnit seznam poskytovatelů vyhledávání. Organizace můžou spravovat chování poskytovatele vyhledávání.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled	true Povolení výchozího poskytovatele vyhledávání false Zakázání výchozího poskytovatele vyhledávání

Konfigurace poskytovatele vyhledávání

Organizace můžou nakonfigurovat poskytovatele vyhledávání pro uživatele. Pokud chcete nakonfigurovat zprostředkovatele vyhledávání, musí být nakonfigurovaný DefaultSearchProviderEnabled .

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName	Odpovídající hodnota je řetězec. PříkladMy Intranet Search
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL	Odpovídající hodnota je řetězec. Příkladhttps://search.my.company/search?q={searchTerms}

Copilot

Copilot je k dispozici v prohlížeči Microsoft Edge pro iOS a Android. Uživatelé můžou spustit Copilot kliknutím na tlačítko Copilot v dolním panelu.

V Nastavení–>Obecné–>Copilot jsou k dispozici tři nastavení.

• Zobrazit Copilot – Určuje, jestli se má na dolním panelu zobrazit tlačítko Bingu.
• Povolit přístup k libovolné webové stránce nebo PDF – Určete, jestli se má mít Copilot povolen přístup k obsahu stránky nebo PDF.
• Rychlý přístup při výběru textu – Určuje, jestli se má zobrazit panel rychlého chatu, když je vybrán text na webové stránce.

Můžete spravovat nastavení pro Copilot.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.Chat	true (výchozí) Uživatelé uvidí tlačítko Copilot na dolním panelu. Nastavení Zobrazit Copilota je ve výchozím nastavení zapnuté a uživatelé ho můžou vypnout. falešný Uživatelé nevidí tlačítko Copilot na dolním panelu. Nastavení Zobrazit copilot je zakázané a uživatelé ho nemůžou zapnout.
com.microsoft.intune.mam.managedbrowser.ChatPageContext	true (výchozí) Uživatelé můžou zapnout přístup k libovolné webové stránce nebo souboru PDF a Rychlý přístup při výběru textu. falseAllow access to any web page or PDF and Quick access on text selection will be disabled and to be disabled and users can't zapnout

Scénáře konfigurace aplikací pro ochranu dat

Microsoft Edge pro iOS a Android podporuje zásady konfigurace aplikací pro následující nastavení ochrany dat, když je aplikace spravovaná Microsoft Intune se spravovanými aplikacemi App Configuration zásady použité na pracovní nebo školní účet, který je k aplikaci přihlášený:

• Správa synchronizace účtů
• Správa webů s omezeným přístupem
• Správa konfigurace proxy serveru
• Správa webů jednotného přihlašování NTLM

Tato nastavení je možné nasadit do aplikace bez ohledu na stav registrace zařízení.

Správa synchronizace účtů

Synchronizace Microsoft Edge ve výchozím nastavení umožňuje uživatelům přístup k údajům o procházení na všech přihlášených zařízeních. Mezi data podporovaná synchronizací patří:

• Oblíbené
• Hesla
• Adresy a další (položka formuláře automatického vyplňování)

Funkce synchronizace je povolená na základě souhlasu uživatele a uživatelé můžou synchronizaci zapnout nebo vypnout pro každý z výše uvedených datových typů. Další informace najdete v tématu Synchronizace Microsoft Edge.

Organizace mají možnost zakázat synchronizaci Edge v iOSu a Androidu.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.account.syncDisabled	true zakáže synchronizaci Edge false (výchozí) umožňuje synchronizaci Edge

Správa webů s omezeným přístupem

Organizace můžou definovat, ke kterým webům budou mít uživatelé přístup v kontextu pracovního nebo školního účtu v Microsoft Edgi pro iOS a Android. Pokud použijete seznam povolených, budou mít uživatelé přístup jenom k webům, které jsou explicitně uvedené. Pokud použijete seznam blokovaných položek, budou mít uživatelé přístup ke všem webům s výjimkou těch, které jsou explicitně zablokované. Měli byste uložit buď seznam povolených, nebo blokovaných, ne oba. Pokud uložíte obojí, bude se dodržovat jenom seznam povolených položek.

Organizace také definují, co se stane, když se uživatel pokusí přejít na web s omezeným přístupem. Ve výchozím nastavení jsou přechody povolené. Pokud to organizace povolí, je možné weby s omezeným přístupem otevřít v kontextu osobního účtu, v kontextu InPrivate účtu Microsoft Entra nebo jestli je web zcela zablokovaný. Další informace o různých podporovaných scénářích najdete v tématu Omezené přechody webů v Microsoft Edge Mobile. Když povolíte prostředí pro přechod, uživatelé organizace zůstanou chráněni a zároveň budou mít firemní prostředky v bezpečí.

Abychom zlepšili prostředí pro přepínání profilů tím, že uživatelé nemusí ručně přecházet na osobní profily nebo v režimu InPrivate otevírat blokované adresy URL, zavedli jsme dvě nové zásady:

• com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
• com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork

Vzhledem k tomu, že tyto zásady přinášejí různé výsledky v závislosti na jejich konfiguracích a kombinacích, doporučujeme vyzkoušet následující návrhy zásad pro rychlé vyhodnocení, abyste zjistili, jestli prostředí přepínání profilů odpovídá potřebám vaší organizace, než si prohlédnete podrobnou dokumentaci. Navrhovaná nastavení konfigurace přepínání profilů zahrnují následující hodnoty:

• com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
• com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
• com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
• com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2

Pomocí následujících párů klíč/hodnota nakonfigurujte seznam povolených nebo blokovaných webů pro Microsoft Edge pro iOS a Android.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.AllowListURLs Tento název zásady byl nahrazen uživatelským rozhraním povolených adres URL v nastavení konfigurace Edge.	Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete povolit, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.               Příklady: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.BlockListURLs Tento název zásady byl nahrazen uživatelským rozhraním blokovaných adres URL v nastavení konfigurace Edge.	Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.               Příklady: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock Tento název zásady byl nahrazen uživatelským rozhraním přesměrování webů s omezeným přístupem do osobního kontextu v nastavení konfigurace Edge.	true (výchozí) umožňuje Edgi pro iOS a Android přechod na weby s omezeným přístupem. Pokud osobní účty nejsou zakázané, zobrazí se uživatelům výzva, aby buď přepnuli na osobní kontext a otevřeli web s omezeným přístupem, nebo aby přidali osobní účet. Pokud je hodnota com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked nastavená na hodnotu true, uživatelé mají možnost otevřít web s omezeným přístupem v kontextu InPrivate. false zabraňuje Edgi pro iOS a Android v přechodu uživatelů. Uživatelům se zobrazí zpráva s oznámením, že web, ke kterému se pokouší získat přístup, je blokovaný.
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked	true umožňuje otevírat weby s omezeným přístupem v kontextu InPrivate účtu Microsoft Entra. Pokud je účet Microsoft Entra jediným účtem nakonfigurovaným v Edgi pro iOS a Android, web s omezeným přístupem se otevře automaticky v kontextu InPrivate. Pokud má uživatel nakonfigurovaný osobní účet, zobrazí se mu výzva k výběru mezi otevřením InPrivate nebo přepnutím na osobní účet. false (výchozí) vyžaduje, aby byl web s omezeným přístupem otevřen v osobním účtu uživatele. Pokud jsou osobní účty zakázané, web se zablokuje. Aby se toto nastavení projevilo, musí být hodnota com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock nastavená na hodnotu true.
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar	Zadejte počet sekund, po které se uživatelům zobrazí oznámení snack baru "Přístup k tomuto webu je blokován vaší organizací. Otevřeli jsme ho v režimu InPrivate pro přístup k webu." Ve výchozím nastavení se oznámení snack baru zobrazuje po dobu 7 sekund.

Následující weby s výjimkou copilot.microsoft.com jsou vždy povolené bez ohledu na definovaný seznam povolených nebo blokovaných nastavení:

• https://*.microsoft.com/*
• http://*.microsoft.com/*
• https://microsoft.com/*
• http://microsoft.com/*
• https://*.windowsazure.com/*
• https://*.microsoftonline.com/*
• https://*.microsoftonline-p.com/*

Řízení chování automaticky otevíraného okna Blokovaný web

Při pokusu o přístup k blokovaným webům se uživatelům zobrazí výzva, aby k otevření blokovaných webů použili buď přepnutí na InPrivate, nebo osobní účet. Můžete zvolit předvolby mezi InPrivate a osobním účtem.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock	0: (Výchozí) Vždy zobrazit automaticky otevírané okno, které si uživatel může vybrat. 1: Automaticky přepnout na osobní účet po přihlášení k osobnímu účtu. Pokud osobní účet není přihlášený, chování se změní na hodnotu 2. 2: Automaticky přepnout na InPrivate, pokud je přepnutí na InPrivate povoleno pomocí com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true.

Řízení chování požadavku post při přepnutí účtu

Při pokusu o přístup k blokovaným webům se uživatelům zobrazí výzva, aby k otevření blokovaných webů použili buď přepnutí na InPrivate, nebo osobní účet. Můžete zvolit předvolby pro zpracování žádosti po přepnutí účtu. Zásady MAM jsou určené jenom pro iOS.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.IgnorePostRequestOnAutoTransition	false: (Výchozí) Pokračujte v požadavku post, pokud se adresa URL zablokuje, přepne do privátního režimu nebo osobního účtu. true: Pokud se zablokovaná adresa URL přepne do privátního režimu nebo osobního účtu, ignorujte požadavek post a zobrazí zablokovanou zprávu.

Řízení chování přepnutí osobního profilu na pracovní profil

Když je Microsoft Edge pod osobním profilem a uživatelé se pokoušejí otevřít odkaz z Outlooku nebo Microsoft Teams, který je v pracovním profilu, Intune ve výchozím nastavení použije k otevření odkazu pracovní profil Edge, protože Microsoft Edge, Outlook a Microsoft Teams spravuje Intune. Když je ale odkaz zablokovaný, uživatel se přepne na osobní profil. To uživatelům způsobí třecí plochy.

Zásadu můžete nakonfigurovat tak, aby se zlepšilo uživatelské prostředí. Tuto zásadu doporučujeme používat společně s funkcí AutoTransitionModeOnBlock, protože může přepnout uživatele na osobní profil podle hodnoty zásady, kterou jste nakonfigurovali.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork	1: (Výchozí) Přepněte na pracovní profil i v případě, že je adresa URL blokovaná zásadami Edge. 2: Blokované adresy URL se otevřou pod osobním profilem, pokud je osobní profil přihlášený. Pokud osobní profil není přihlášený, zablokovaná adresa URL se otevře v režimu InPrivate.

Správa blokování dílčího prostředku

Ve výchozím nastavení se hodnoty AllowListURLs a BlockListURLs používají pouze na úrovni navigace. Pokud do webové stránky vložíte blokované adresy URL (buď adresy URL nakonfigurované v blockListURLs, nebo adresy URL, které nejsou nakonfigurované v allowListURLs) jako dílčí prostředky na webové stránce, nebudou tyto adresy URL dílčích prostředků blokované.

Pokud chcete tyto dílčí prostředky dále omezit, můžete nakonfigurovat zásadu tak, aby blokovala adresy URL dílčích prostředků.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.ManageRestrictedSubresourceEnabled	false: (Výchozí) Adresy URL dílčích prostředků nejsou blokované ani v případě, že jsou blokované adresy URL dílčích prostředků. true: Adresy URL dílčích prostředků jsou blokované, pokud jsou uvedené jako blokované.

Formáty adres URL pro seznam povolených a blokovaných webů

Seznamy povolených/blokovaných webů můžete vytvořit pomocí různých formátů adres URL. Tyto povolené vzory jsou podrobně popsány v následující tabulce.

• Při zadávání do seznamu nezapomeňte před všechny adresy URL zadat předponu http:// nebo https://.

• Zástupný symbol (*) můžete použít podle pravidel v následujícím seznamu povolených vzorů.

• Zástupný znak může odpovídat pouze části (například news-contoso.com) nebo celé součásti názvu hostitele (například ) nebo celé části cesty, host.contoso.compokud jsou oddělené lomítky (www.contoso.com/images).

• V adrese můžete zadat čísla portů. Pokud nezadáte číslo portu, použijí se následující hodnoty:

  • Port 80 pro http
  • Port 443 pro https

• Použití zástupných znaků pro číslo portu je podporováno pouze v Microsoft Edgi pro iOS. Můžete například zadat http://www.contoso.com:* a http://www.contoso.com:*/.

• Podporuje se zadávání IPv4 adres s notací CIDR. Můžete například zadat 127.0.0.1/24 (rozsah IP adres).

  URL	Podrobnosti	Odpovídá	Neodpovídá
  http://www.contoso.com	Odpovídá jedné stránce	www.contoso.com	host.contoso.com www.contoso.com/images contoso.com/
  http://contoso.com	Odpovídá jedné stránce	contoso.com/	host.contoso.com www.contoso.com/images www.contoso.com
  http://www.contoso.com/*	Odpovídá všem adresám URL, které začínají na www.contoso.com	www.contoso.com www.contoso.com/images www.contoso.com/videos/tvshows	host.contoso.com host.contoso.com/images
  http://*.contoso.com/*	Odpovídá všem subdoménám v části contoso.com	developer.contoso.com/resources news.contoso.com/images news.contoso.com/videos	contoso.host.com news-contoso.com
  http://*contoso.com/*	Odpovídá všem subdoménám končícím na contoso.com/	news-contoso.com news-contoso.com/daily	news-contoso.host.com news.contoso.com
  http://www.contoso.com/images	Odpovídá jedné složce	www.contoso.com/images	www.contoso.com/images/dogs
  http://www.contoso.com:80	Odpovídá jedné stránce - s využitím čísla portu	www.contoso.com:80
  https://www.contoso.com	Odpovídá jedné zabezpečené stránce	www.contoso.com	www.contoso.com/images
  http://www.contoso.com/images/*	Odpovídá jedné složce a všem podsložkám	www.contoso.com/images/dogs www.contoso.com/images/cats	www.contoso.com/videos
  http://contoso.com:*	Odpovídá libovolnému číslu portu pro jednu stránku.	contoso.com:80 contoso.com:8080
  10.0.0.0/24	Odpovídá rozsahu IP adres od 10.0.0.0 do 10.0.0.255.	10.0.0.0 10.0.0.100	192.168.1.1

  • Tady jsou příklady některých vstupů, které nemůžete zadat:
  • *.com
  • *.contoso/*
  • www.contoso.com/*images
  • www.contoso.com/*images*pigs
  • www.contoso.com/page*
  • https://*
  • http://*
  • http://www.contoso.com: /*

Zakázání interních stránek Microsoft Edge

Interní stránky Microsoft Edge, jako Edge://flags jsou a Edge://net-export, můžete zakázat. Další stránky najdete na Edge://about

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList	Odpovídající hodnota klíče je seznam názvů stránek. Všechny interní stránky, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.               Příklady: flags|net-export

Správa webů pro povolení nahrávání souborů

Můžou nastat situace, kdy uživatelé můžou zobrazovat jenom weby, aniž by mohli nahrávat soubory. Organizace mají možnost určit, na které weby lze soubory nahrávat.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls	Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.               Příklady: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls	Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete blokovat, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.               Příklady: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com

Příklad blokování nahrávání souborů na všechny weby, včetně interních webů

• com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Příklad povolení konkrétním webům nahrávat soubory

• com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=https://[*.]contoso.com/|[*.]sharepoint.com/
• com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Další informace o formátu adres URL najdete v tématu Formát vzoru adresy URL zásad podniku.

Správa konfigurace proxy serveru

Můžete použít Microsoft Edge pro iOS a Android a Microsoft Entra proxy aplikací společně, abyste uživatelům na mobilních zařízeních poskytli přístup k intranetové weby. Příklady:

• Uživatel používá mobilní aplikaci Outlook, která je chráněná službou Intune. Potom kliknou na odkaz na intranetový web v e-mailu a Microsoft Edge pro iOS a Android rozpozná, že tento intranetový web byl uživateli zpřístupněn prostřednictvím proxy aplikací. Uživatel se před přístupem na intranetový web automaticky přesměruje přes proxy aplikací, aby se ověřil pomocí libovolného použitelného vícefaktorového ověřování a podmíněného přístupu. Uživatel teď má přístup k interním webům, a to i na mobilních zařízeních, a odkaz v Outlooku funguje podle očekávání.
• Uživatel otevře Microsoft Edge pro iOS a Android na svém zařízení s iOSem nebo Androidem. Pokud je Edge pro iOS a Android chráněný pomocí Intune a je povolená proxy aplikací, může uživatel přejít na intranetový web pomocí interní adresy URL, na kterou je zvyklý. Edge pro iOS a Android rozpozná, že tento intranetový web byl uživateli zpřístupněn prostřednictvím proxy aplikací. Uživatel je automaticky směrován přes proxy aplikací, aby se ověřil před dosažením intranetového webu.

Než začnete:

• Nastavte interní aplikace prostřednictvím proxy aplikací Microsoft Entra.
  • Informace o konfiguraci proxy aplikací a publikování aplikací najdete v dokumentaci k instalaci.
  • Ujistěte se, že je uživatel přiřazený k aplikaci proxy aplikací Microsoft Entra, i když je aplikace nakonfigurovaná s typem předběžného předávacího ověřování.
• Aplikace Microsoft Edge pro iOS a Android musí mít přiřazenou zásadu ochrany aplikací Intune.
• Aplikace Microsoftu musí mít zásady ochrany aplikací, které mají nastavení Omezit přenos webového obsahu s jinými aplikacemi nastavené na Microsoft Edge.

Pokud chcete povolit proxy aplikaci, zacilte Edge pro iOS a Android s následujícím párem klíč/hodnota.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection Tento název zásady byl nahrazen uživatelským rozhraním přesměrování proxy aplikací v nastavení konfigurace Edge.	True povolí scénáře přesměrování proxy aplikací Microsoft Entra. False (výchozí) brání scénářům proxy aplikací Microsoft Entra.

Další informace o tom, jak používat Microsoft Edge pro iOS a Android a Microsoft Entra proxy aplikací společně pro zajištění bezproblémového (a chráněného) přístupu k místním webovým aplikacím, najdete v tématu Společně lepší: Intune a Microsoft Entra seskupit a zlepšit uživatelský přístup. Tento blogový příspěvek odkazuje na Intune Managed Browser, ale obsah platí i pro Edge pro iOS a Android.

Správa webů jednotného přihlašování NTLM

Organizace mohou vyžadovat, aby se uživatelé pro přístup k intranetovým webům ověřili pomocí protokolu NTLM. Ve výchozím nastavení jsou uživatelé vyzváni k zadání přihlašovacích údajů při každém přístupu k webu, který vyžaduje ověřování NTLM, protože ukládání přihlašovacích údajů NTLM do mezipaměti je zakázáno.

Organizace můžou povolit ukládání přihlašovacích údajů NTLM do mezipaměti pro konkrétní weby. U těchto webů se po zadání přihlašovacích údajů uživatelem a úspěšném ověření přihlašovacích údajů ve výchozím nastavení ukládají do mezipaměti po dobu 30 dnů.

Klíč	Hodnota
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs	Odpovídající hodnota klíče je seznam adres URL. Všechny adresy URL, které chcete povolit, zadáte jako jednu hodnotu oddělenou znakem svislé čáry |.               Příklady: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com Další informace o podporovaných typech formátů adres URL najdete v tématu Formáty adres URL pro seznam povolených a blokovaných webů.
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO	Počet hodin ukládání přihlašovacích údajů do mezipaměti, výchozí hodnota je 720 hodin.

Další konfigurace aplikací pro spravovaná zařízení

Následující zásady, které byly původně konfigurovatelné prostřednictvím zásad konfigurace aplikací pro spravované aplikace, jsou teď dostupné prostřednictvím zásad konfigurace aplikací spravovaných zařízení. Při používání zásad pro spravované aplikace se uživatelé musí přihlásit k Microsoft Edgi. Při použití zásad pro spravovaná zařízení se uživatelé nemusí přihlašovat k Edgi, aby je mohli použít.

Vzhledem k tomu, že zásady konfigurace aplikací pro spravovaná zařízení vyžadují registraci zařízení, podporuje se jakákoli sjednocená správa koncových bodů (UEM). Další zásady v kanálu MDM najdete v tématu Zásady Microsoft Edge Mobile.

Zásady MAM	Zásady MDM
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL	EdgeNewTabPageCustomURL
com.microsoft.intune.mam.managedbrowser.MyApps	EdgeMyApps
com.microsoft.intune.mam.managedbrowser.defaultHTTPS	EdgeDefaultHTTPS
com.microsoft.intune.mam.managedbrowser.disableShareUsageData	EdgeDisableShareUsageData
com.microsoft.intune.mam.managedbrowser.disabledFeatures	EdgeDisabledFeatures
com.microsoft.intune.mam.managedbrowser.disableImportPasswords	EdgeImportPasswordsDisabled
com.microsoft.intune.mam.managedbrowser.enableKioskMode	EdgeEnableKioskMode
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode	EdgeShowAddressBarInKioskMode
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode	EdgeShowBottomBarInKioskMode
com.microsoft.intune.mam.managedbrowser.account.syncDisabled	EdgeSyncDisabled
com.microsoft.intune.mam.managedbrowser.NetworkStackPref	EdgeNetworkStackPref
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled	SmartScreenEnabled
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled	MicrosoftRootStoreEnabled
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed	SSLErrorOverrideAllowed
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting	DefaultPopupsSetting
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls	PopupsAllowedForUrls
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls	PopupsBlockedForUrls
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled	DefaultSearchProviderEnabled
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName	DefaultSearchProviderName
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL	DefaultSearchProviderSearchURL
com.microsoft.intune.mam.managedbrowser.Chat	EdgeCopilotEnabled
com.microsoft.intune.mam.managedbrowser.ChatPageContext	EdgeChatPageContext

Nasazení scénářů konfigurace aplikací pomocí Microsoft Intune

Pokud jako poskytovatele správy mobilních aplikací používáte Microsoft Intune, následující kroky vám umožní vytvořit zásady konfigurace aplikací spravovaných aplikací. Po vytvoření konfigurace můžete přiřadit její nastavení skupinám uživatelů.

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Aplikace a pak vyberte Zásady konfigurace aplikací.

3. V okně Zásady konfigurace aplikací zvolte Přidat a vyberte Spravované aplikace.

4. V části Základy zadejte Název a volitelně Popis nastavení konfigurace aplikace.

5. V části Veřejné aplikace zvolte Vybrat veřejné aplikace a pak v okně Cílové aplikace vyberte Edge pro iOS a Android výběrem aplikací platformy pro iOS i Android. Kliknutím na Vybrat vybrané veřejné aplikace uložte.

6. Kliknutím na Další dokončete základní nastavení zásad konfigurace aplikace.

7. V části Nastavení rozbalte nastavení konfigurace Edge.

8. Pokud chcete spravovat nastavení ochrany dat, nakonfigurujte požadovaná nastavení odpovídajícím způsobem:

   • V části Přesměrování proxy aplikací zvolte některou z dostupných možností: Povolit, Zakázat (výchozí).

   • Jako Adresa URL zástupce domovské stránky zadejte platnou adresu URL, která obsahuje předponu http:// nebo https://. Nesprávné adresy URL se blokují z bezpečnostních důvodů.

   • V části Spravované záložky zadejte název a platnou adresu URL, která obsahuje předponu http:// nebo https://.

   • V části Povolené adresy URL zadejte platnou adresu URL (jsou povoleny pouze tyto adresy URL, žádné jiné weby nejsou přístupné). Další informace o podporovaných typech formátů adres URL najdete v tématu Formáty adres URL pro seznam povolených a blokovaných webů.

   • V části Blokované adresy URL zadejte platnou adresu URL (pouze tyto adresy URL jsou blokované). Další informace o podporovaných typech formátů adres URL najdete v tématu Formáty adres URL pro seznam povolených a blokovaných webů.

   • V části Přesměrovat weby s omezeným přístupem do osobního kontextu zvolte některou z dostupných možností: Povolit (výchozí), Zakázat.

   Poznámka

   Pokud jsou v zásadách definované povolené i blokované adresy URL, bude se dodržovat jenom seznam povolených adres.

9. Pokud chcete provést další nastavení konfigurace aplikací, která nejsou zpřístupněna ve výše uvedených zásadách, rozbalte uzel Obecné nastavení konfigurace a zadejte odpovídající páry hodnot klíčů.

10. Po dokončení konfigurace nastavení zvolte Další.

11. V části Přiřazení zvolte Vybrat skupiny, které chcete zahrnout. Vyberte skupinu Microsoft Entra, ke které chcete přiřadit zásady konfigurace aplikace, a pak zvolte Vybrat.

12. Po dokončení zadání zvolte Další.

13. V okně Vytvořit zásadu konfigurace aplikace Zkontrolovat a vytvořit zkontrolujte nakonfigurovaná nastavení a zvolte Vytvořit.

Nově vytvořené zásady konfigurace se zobrazí v okně Konfigurace aplikace.

Přístup k protokolům spravovaných aplikací pomocí Microsoft Edge pro iOS a Android

Uživatelé, kteří mají na svém zařízení s iOSem nebo Androidem nainstalovaný Microsoft Edge pro iOS a Android, můžou zobrazit stav správy všech aplikací publikovaných Microsoftem. Pomocí následujícího postupu můžou odesílat protokoly pro řešení potíží se spravovanými aplikacemi pro iOS nebo Android:

1. Na zařízení otevřete Edge pro iOS a Android.

2. Zadejte edge://intunehelp/ do pole adresa.

3. Edge pro iOS a Android spustí režim řešení potíží.

Protokoly z podpora Microsoftu můžete načíst tak, že jim poskytnete ID incidentu uživatele.

Seznam nastavení uložených v protokolech aplikací najdete v tématu Kontrola protokolů ochrany klientských aplikací.

Diagnostické protokoly

Kromě Intune protokolů z edge://intunehelp/aplikace vás může podpora Microsoftu požádat o poskytnutí diagnostických protokolů Microsoft Edge pro iOS a Android. Protokoly můžete buď nahrát na server Microsoftu, nebo je uložit místně a sdílet je přímo s podpora Microsoftu.

Nahrání protokolů na server Microsoftu

Pokud chcete nahrát protokoly na server Microsoftu, postupujte následovně:

1. Reprodukujte problém.
2. Výběrem ikony hamburgeru v pravém dolním rohu otevřete nabídku přetečení.
3. Potáhněte prstem doleva a vyberte Nápověda a zpětná vazba.
4. V části Popište, co se děje, zadejte podrobnosti o problému, aby tým podpory mohl identifikovat relevantní protokoly.
5. Nahrajte protokoly na server Microsoftu tak, že vyberete tlačítko v pravém horním rohu.

Ukládání protokolů místně a přímé sdílení s podpora Microsoftu

Pokud chcete protokoly ukládat místně a sdílet je, postupujte následovně:

1. Reprodukujte problém.
2. Výběrem hamburgerové nabídky v pravém dolním rohu otevřete nabídku přetečení.
3. Potáhněte prstem doleva a vyberte Nápověda a zpětná vazba.
4. Vyberte diagnostická data.
5. V microsoft Edgi pro iOS klepněte na ikonu Sdílet v pravém horním rohu. Zobrazí se dialogové okno sdílení operačního systému, které umožňuje ukládat protokoly místně nebo je sdílet prostřednictvím jiných aplikací. Pro Microsoft Edge pro Android otevřete podnabídku v pravém horním rohu a vyberte možnost pro uložení protokolů. Protokoly se ukládají do složky Stáhnout Edge>.

Pokud chcete vymazat staré protokoly, vyberte při výběru diagnostických dat ikonu Vymazat v pravém horním rohu. Potom problém znovu reprodukujte, abyste zajistili, že se zachytávají jenom nové protokoly.

Další kroky

• Co jsou zásady ochrany aplikací?
• Zásady konfigurace aplikací pro Microsoft Intune