Microsoft Edge 管理服务是Microsoft 365 管理中心中的一个平台,使管理员能够轻松为其组织配置Microsoft Edge 浏览器设置。 这些配置存储在云中,可以通过组分配或组策略将这些设置应用于用户的浏览器。 用户必须登录到 Microsoft Edge 才能检索这些设置。
必备条件
- 必须安装 Microsoft Edge 115.0.1901.7 或更高版本。
- 你必须是Microsoft Edge 管理员才能访问 Microsoft 365 管理 Center 中的体验 (注意:GDAP 角色目前) 不受完全支持。
- 必须使用以下受支持的作系统之一:Windows、macOS、iOS 或 Android。 有关详细信息 ,请参阅 Microsoft Edge 支持的作系统 。
重要提示
Microsoft Edge 管理服务目前不适用于具有 GCC 计划的客户。
访问体验
使用以下步骤访问该体验:
转到 Microsoft 365 管理中心并登录。
在左侧主导航栏中,转到 “设置>Microsoft Edge”。
配置策略入门
配置策略文件包含所有浏览器策略配置,包括扩展设置。
可以将每个配置策略分配给多个Microsoft Entra组,并将一个组分配给多个配置策略。 将用户分配到多个配置策略时,如果没有冲突,设置合并,用户将收到所有适用的设置。 如果用户被分配到具有冲突设置的多个配置策略,则策略优先级用于确定应用的配置。 应用最高优先级,“0”是可以分配的最高优先级。 请注意,Intune配置策略没有优先级,并且不会自动解决任何冲突的设置。
云策略
使用云策略服务创建的配置策略只能用于在 Edge 管理服务中管理。 以下功能目前仅适用于云策略:
优先级: 具有冲突设置的配置策略将采用优先级最高的策略值。
扩展请求: 管理员将能够查看用户请求的扩展,并采取措施批准或拒绝这些请求。
组织品牌打造: 管理员将能够应用其组织的品牌来自定义浏览器的外观
Intune策略
创建为Intune策略的配置策略可在 Edge 管理服务和Intune门户中进行管理。 在Intune内,策略将显示在“设备”的“配置”部分中。 两个平台上的策略详细信息将同步,但目前存在一些现有限制:
作用域标记:虽然在 Intune 中创建的配置策略将能够设置范围标记,但在 Edge 管理服务中创建Intune策略将无法设置这些标记。
详细分配: 在 Edge 管理服务中创建的配置策略只能分配给目标用户组。 如果在 Intune 中创建,则配置策略可以面向设备以及排除某些用户组。 在 Intune 门户中创建时,还可以应用分配筛选器。
基于角色的访问控制 (RBAC) :在 Intune 中,RBAC 控制哪些用户可以执行作并更改配置策略。 边缘管理服务中没有角色限制。
创建配置策略
按照以下步骤创建配置策略:
导航到 “配置策略 ”选项卡。
选择“ 创建策略”。 这将引导你完成以下向导流以创建新的配置策略。
a. 基本: 为配置策略命名。 还可以添加可选说明。 选择要为其配置 Edge 设置的平台。 选择是要创建Intune类型策略还是云 (必须具有Intune许可证才能创建Intune策略) 。
- Intune策略目前仅支持 Windows 上的配置。 如果要创建适用于所有平台的配置策略,则必须创建云策略。
b. 设置:选择“ 添加设置 ”,浏览可配置的 Edge 设置列表。 选择要配置的设置,设置所需的值,然后修改要应用的任何平台。
c. 扩展: 在 “默认扩展 设置”部分中,可以修改应用于此配置策略中所有扩展的默认设置。 在 “托管扩展 ”部分中,选择“ 添加扩展 ”, (要管理的 Edge 加载项、边栏应用或外部扩展) 添加单个扩展。 添加后,选择每个扩展以编辑其特定设置。
d. 作业:选择“选择组”,搜索要向其分配此配置策略的Microsoft Entra组。 (注意:如果没有任何现有组,请按照 这些说明 创建一个) 。 还可以选择“添加所有用户”,将此配置策略分配给租户中的所有 用户。 如果创建租户范围策略,则创建策略后无法更改此策略。
e. 完成: 确保此页上的所有内容都正确显示,然后选择“ 查看并创建 ”以创建新的配置策略。
新策略现在应显示在 “配置策略 ”列表中。 选择它以在 “属性” 页上查看和编辑其详细信息。
a. 在“托管扩展”页上,可以继续轻松添加和配置单个扩展的设置。
b. 在“自定义设置”页上,还可以配置已组合在一起的特定设置,以帮助创建安全高效的用户体验。 编辑这些页面上的任意设置会将这些设置添加到“属性”页的“设置”部分。
如果选择创建Intune策略,则可以导航到“intune.microsoft.com > 设备>配置”,在此列表中应会看到新创建的配置策略。
- 注意:针对同一Intune配置策略,对 Intune 或 Edge 管理服务中的设置所做的任何编辑都应同步。
[!注意]
如果与设备上设置的现有组策略对象 (GPO) 或移动设备管理 (MDM) 策略冲突,则将重写与 Microsoft Edge 管理服务应用的任何策略。
导出配置策略
可以将配置策略导出为 JSON 文件。 此导出可用于保存配置的副本,并且可以导入到其他策略。
按照以下步骤导出策略:
选择要导出的策略。
选择“ 导出策略”。
选择“ 导出”。
复制配置策略
按照以下步骤复制配置策略:
选择要创建其副本 的策略 。
选择“ 复制策略”。
在 “复制配置策略”下,输入策略名称和说明,然后选择“ 创建”。
确认后,会使用与复制的策略相同的配置创建新策略。
重新排序配置策略的优先级
按照以下步骤对配置策略的优先级进行重新排序:
选择要更改其优先级的策略,然后选择“ 重新排序优先级”。
在 “重新排序策略 优先级”面板中,从下拉列表中选择一个优先级编号。
完成更改后,选择“ 保存 ”。
注意
如果与设备上设置的现有组策略对象 (GPO) 或移动设备管理 (MDM) 策略冲突,则将重写与 Microsoft Edge 管理服务应用的任何策略。
导入或导出配置策略
云策略
| 操作 | 支持 |
|---|---|
| 可以导出 | 是 |
| 可以通过边缘管理服务门户 ) 导入* ( | 是 |
*将配置策略导入 Edge 管理服务时,任何特定于云的设置 (即。将删除组织品牌) 。
Intune策略
| 操作 | 支持 |
|---|---|
| 无法直接导入Intune门户 | 否 |
| 可以通过边缘管理服务门户 ) 导入到Intune策略* ( | 是 |
*将配置策略导入回 Edge 管理服务时,任何特定于云的设置 (即。将删除组织品牌) 。
启用 Microsoft Edge 管理服务
使用以下部分作为指南来启用 Microsoft Edge 管理服务。
对于 Microsoft Edge 版本 115.1935 及更高版本
Microsoft Edge 管理服务默认处于启用状态。 使用 Microsoft Entra 帐户登录的工作策略将与边缘管理服务检查分配给这些帐户的任何策略。 如果注册令牌是通过设备管理配置的,则将使用该令牌。 若要使用 Edge 管理服务禁用签入,可以将 EdgeManagementEnabled 策略设置为 0 或禁用。
设置注册令牌
使用以下部分作为设置注册令牌的指南。
对于 Microsoft Edge 版本 115.1935 及更高版本
如果不想在Microsoft 365 管理中心使用组分配来分配策略,可以通过组策略进行分配。 每个策略都有一个唯一的策略 ID,该值可用于 EdgeManagementEnrollmentToken 策略来分配策略。 分配后,用户将收到策略,并在他们登录到 Edge 浏览器时应用设置。 除了Microsoft 365 管理中心的组分配之外,还将应用这些策略。
使用以下步骤作为设置注册令牌的指南:
登录到 Microsoft 365 管理 中心。 转到 “设置>Microsoft Edge”。 在 “配置策略” 透视下,选择要分配的策略,然后单击“ 部署 ”,选择“ 复制策略 ID”。
将 EdgeManagementEnrollmentToken 策略值设置为令牌 ID。
如果Microsoft Edge 处于打开状态,请重启它。
控制策略源优先级
如前所述,如果在 MDM 或 GPM 中设置了策略,该值将替代 Microsoft Edge 管理服务提供的任何值。 如果希望Microsoft边缘管理服务策略替代 MDM/GPM 策略,可以在 EdgeManagementPolicyOverridesPlatformPolicy 策略中设置替代。 这是一个专用策略,必须通过注册表进行设置。
在 或 HKCU中的HKLM键SOFTWARE\Policies\Microsoft\Edge下设置 EdgeManagementPolicyOverridesPlatformPolicy 的值。 如果密钥不存在,则可以创建它。 在以下命令行示例中,请记住使用令牌 ID,如果 Edge 处于打开状态,请重启Microsoft Edge。
reg add HKLM\Software\Policies\Microsoft\Edge /v EdgeManagementPolicyOverridesPlatformPolicy /t REG_ DWORD /d 1
控制用户/设备策略优先级
Microsoft Edge 策略具有策略要应用于的受众的概念,这可以是“用户”或“设备”。 在 Microsoft Edge 管理服务中,通过组分配应用的策略应用为用户策略,而通过 EdgeManagementEnrollmentToken 下拉的策略将应用为设备策略。
如果与用户和设备都尝试设置的策略发生冲突,则设备策略优先于用户策略。 如果要授予用户策略优先级,可以在 EdgeManagementUserPolicyOverridesCloudMachinePolicy 策略中更改优先级。
可以通过注册表设置优先级,方法是在 或
HKCU中的HKLM项SOFTWARE\Policies\Microsoft\Edge下设置“EdgeManagementUserPolicyOverridesCloudMachinePolicy”的值。 如果密钥不存在,请创建它。使用以下命令行示例作为指南添加 reg 键。 (请记住使用策略 ID.)
reg add HKLM\Software\Policies\Microsoft\Edge /v EdgeManagementUserPolicyOverridesCloudMachinePolicy /t REG_ DWORD /d 1如果Microsoft Edge 处于打开状态,请重启它。
如何应用配置策略
创建并应用配置策略后,Microsoft Edge 定期检查云策略,以查看是否存在与用户相关的任何配置策略。 如果有,则会应用相应的策略设置,并在用户下次打开 Edge Microsoft时生效。
下面是所发生情况的摘要:
- 当用户首次在设备上登录到 Microsoft Edge 时,会立即进行检查,以查看是否存在与用户相关的配置策略。
- 如果用户不是分配了配置策略的Microsoft Entra组的成员,则会在 24 小时内再次创建另一个检查。
- 如果用户是分配有配置策略的Microsoft Entra组的成员,则会应用相应的策略设置。 90 分钟内再次检查。
- 如果自上次检查以来对配置策略进行了任何更改,则会应用相应的策略设置,并在 90 分钟内再次进行另一个检查。
- 如果自上次检查以来没有对配置策略进行任何更改,则会在 24 小时内再次进行另一个检查。
- 如果出现错误,则会在用户打开 Edge Microsoft 时进行检查。
- 如果在计划下一个检查时未运行Microsoft Edge,则在用户下次打开 Microsoft Edge 时,将进行检查。
注意
- 仅当重启 Microsoft Edge 时,才会应用云策略中的策略。 该行为与 组策略 相同。 对于 Windows 设备,基于登录到 Microsoft Edge 的主用户强制实施策略。 如果有多个帐户登录,则仅应用主帐户的策略。 如果主帐户已切换,则分配给该帐户的大多数策略在重启 Microsoft Edge 之前将不适用。 某些与 隐私控制 相关的策略无需重启 Microsoft Edge 即可应用。
- 如果用户位于嵌套组中,并且父组针对策略,则嵌套组中的用户将收到策略。 嵌套组和这些嵌套组中的用户必须在 Microsoft Entra ID中创建或同步。
- 如果用户是具有冲突策略设置的多个Microsoft Entra组的成员,则优先级用于确定应用的策略设置。 应用最高优先级,“0”是可以分配的最高优先级。 可以通过在“配置策略”页上选择“重新排序优先级”来设置优先级。
反馈和支持
Microsoft 支持部门支持此体验。 可以联系Microsoft 支持部门报告问题或提供反馈。 还可以在我们的 TechCommunity 论坛中留下反馈。