Microsoft Edge for iOS 和 Android 的設計目的是讓使用者能夠瀏覽網頁,並支援多重身份。 使用者可以新增工作帳號和個人帳號以便瀏覽。 這兩個身分之間有完整的區別,就像其他 Microsoft 行動應用程式所提供的那樣。
本功能適用於:
- iOS/iPadOS 14.0 或更新版本
- 已註冊裝置的 Android 8.0 或更新版本,以及未註冊裝置的 Android 9.0 或更新版本
注意事項
Microsoft Edge for iOS 和 Android 不會使用使用者在原生瀏覽器設定的設定,因為 Microsoft Edge for iOS 和 Android 無法存取這些設定。
當你訂閱 Enterprise Mobility + Security 套件時,Microsoft 365 資料最豐富且廣泛的保護功能,包含 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件存取。 至少,你應該部署條件存取政策,只允許行動裝置連接 iOS 和 Android 的 Microsoft Edge 版本,並設置 Intune 應用程式保護政策,確保瀏覽體驗受到保護。
注意事項
網頁剪輯 (置頂的網頁應用程式) 在 iOS 裝置上 Microsoft Edge 在 iOS 和 Android 需要在受保護瀏覽器中開啟時。
建立 Inunte 應用程式防護原則
隨著組織越來越多地採用 SaaS 和網頁應用程式,瀏覽器成為企業不可或缺的工具。 使用者通常需要在外出時從行動瀏覽器存取這些應用程式。 確保透過行動瀏覽器存取的資料受到保護,免於遭到刻意或無意的外洩非常重要。 例如,使用者可能會不小心與個人應用程式共用組織的資料,導致資料外洩,或下載到本機裝置,這也會造成風險。
組織可以透過設定應用程式保護政策,保護用戶使用 Microsoft Edge 行動裝置版瀏覽資料,這些政策定義了哪些應用程式被允許,以及他們可以對組織資料採取的行動。 應用程式保護政策中的選擇,使組織能依其特定需求量身打造保護。 對某些人來說,實施完整情境可能需要哪些政策設定並不明顯。 為協助組織優先強化行動用戶端端點,Microsoft 為其應用程式保護政策——iOS 與 Android 行動應用管理的資料保護框架引入了分類法。
應用程式保護政策的資料保護框架組織為三個不同的設定層級,每個層級都建立在前一層之上:
- 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
- 企業級強化資料保護 (第二級) 引入應用程式保護政策、資料外洩防止機制及最低作業系統要求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
- 企業級高資料保護 (三級) 引入先進的資料保護機制、強化的PIN配置,以及應用程式保護政策——行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。
要查看每個組態層級的具體建議及必須保護的最小應用程式,請參閱 使用應用程式保護政策的資料保護框架。
無論裝置是否已在整合端點管理 (UEM) 解決方案中註冊,都必須使用 如何建立和指派應用程式防護原則 中的步驟,為 iOS 和 Android 應用程式建立 Intune 應用程式防護原則。 這些原則至少必須符合下列條件:
它們包含所有 Microsoft 365 行動應用程式,如 Microsoft Edge、Outlook、OneDrive、Office 或 Teams,確保使用者能以安全的方式存取並操作任何 Microsoft 應用程式中的工作或學校資料。
這些裝置會分配給所有使用者,確保無論他們使用 iOS 或 Android 的 Microsoft Edge 都能受到保護。
判斷哪個架構層級符合您的需求。 大部分的組織都應該實作 企業增強型資料保護 (層級 2) 中定義的設定,以啟用資料保護和存取需求控制。
注意事項
其中一個與瀏覽器相關的設定是「限制與其他應用程式的 Web 內容傳輸」。 在 企業增強型資料保護 (層級 2) 中,此設定的值會設定為 Microsoft Edge。 當 Outlook 和 Microsoft Teams 受到應用程式保護政策保護時,這些應用程式會在 Microsoft Edge 中開啟連結,確保連結安全且受到保護。 如需可用設定的詳細資訊,請參閱 Android 應用程式防護原則設定 和 iOS 應用程式防護原則設定。
重要事項
若要對未註冊 Intune 的 Android 裝置應用程式套用 Intune 應用程式保護政策,使用者也必須安裝 Intune 公司入口網站。
套用條件式存取
雖然用應用程式保護政策保護 Microsoft Edge 很重要,但同時也必須確保 Microsoft Edge 是開啟企業應用程式的必備瀏覽器。 否則,使用者可能會使用其他未受保護的瀏覽器來存取公司應用程式,這可能會導致資料外洩。
組織可以使用 Microsoft Entra 條件存取政策,確保使用者只能使用 iOS 和 Android 平台的 Microsoft Edge 存取工作或學校內容。 為此,你需要一套針對所有潛在使用者的條件存取政策。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。
請依照 行動裝置強制核准客戶端應用程式或應用程式保護政策的步驟操作,該政策允許 Microsoft Edge 支援 iOS 和 Android,但會阻止其他行動裝置瀏覽器連接 Microsoft 365 端點。
注意事項
此政策確保行動用戶能從 iOS 與 Android 版 Microsoft Edge 內存取所有 Microsoft 365 端點。 此原則也會防止使用者使用 InPrivate 存取 Microsoft 365 端點。
使用條件式存取,您也可以透過 Microsoft Entra 應用程式 Proxy 將向外部使用者公開的內部部署網站設為目標。
欲了解更多資訊,請參閱使用 Microsoft Entra 應用程式代理發布遠端使用者的本地應用程式
注意事項
要使用基於應用程式的條件存取政策,必須在 iOS 裝置上安裝 Microsoft Authenticator 應用程式。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取。
在受原則保護的瀏覽器中單一登入至 Microsoft Entra 連結的 Web 應用程式
Microsoft Edge for iOS 和 Android 可以利用單點登入 (SSO) ,適用於所有Microsoft Entra連接的網頁應用程式 (SaaS 及本地部署) 。 SSO 允許使用者透過 Microsoft Edge 在 iOS 和 Android 平台上存取連接 Microsoft Entra 的網頁應用程式,而無需重新輸入憑證。
SSO 要求您的裝置必須註冊 iOS 裝置用 Microsoft Authenticator 應用程式,或 Android 上的 Intune 公司入口網站。 當使用者有上述任一項時,系統會在使用者前往受原則保護瀏覽器中的 Microsoft Entra 連線 Web 應用程式時,提示他們註冊其裝置 (只有當他們的裝置尚未註冊時,才適用此情況)。 在裝置向 Intune 管理的使用者帳戶註冊之後,該帳戶已針對 Microsoft Entra 連線的 Web 應用程式啟用 SSO。
注意事項
裝置註冊是使用 Microsoft Entra 服務的簡單簽入。 它不需要完整裝置註冊,也不會給 IT 單位任何額外權限。
使用應用程式組態來管理瀏覽體驗
iOS 與 Android 版 Microsoft Edge 支援應用程式設定,允許統一端點管理,如 Microsoft Intune 管理員自訂應用程式行為。
應用程式組態可以透過已註冊裝置上的行動裝置管理 (MDM) 作業系統通道 (適用于 iOS 的 受控應用程式組態 通道或適用于 Android 的 Android 企業版 通道) 或透過 MAM (行動應用程式管理) 通道傳遞。 Microsoft Edge for iOS 與 Android 支援以下設定場景:
- 只允許公司或學校帳戶
- 一般應用程式組態設定
- 資料保護設定
- 其他管理裝置的應用程式設定
重要事項
對於需要在 Android 上註冊裝置的設定情境,裝置必須註冊在 Android Enterprise,且必須透過 Managed Google Play 商店部署 Microsoft Edge for Android。 欲了解更多資訊,請參閱 「設定 Android Enterprise 個人擁有工作設定裝置的註冊 」及 「為託管 Android Enterprise 裝置新增應用程式設定政策」。
每個設定案例都會強調其特定需求。 例如,設定案例是否需要裝置註冊,因此可與任何 UEM 提供者搭配使用,或需要 Intune 應用程式防護原則。
重要事項
應用程式組態金鑰會區分大小寫。 使用適當的大小寫以確保設定生效。
注意事項
使用 Microsoft Intune,透過 MDM 作業系統通道傳遞的應用程式組態稱為 受控裝置 應用程式組態原則 (ACP);透過 MAM (行動應用程式管理) 通道傳遞的應用程式組態稱為 受控應用程式 應用程式組態原則。
只允許公司或學校帳戶
遵守我們最大且高度管制客戶的資料安全性與合規性原則是 Microsoft 365 價值的重要要素。 有些公司要求在企業環境中擷取所有通訊資訊,並確保這些裝置僅用於企業通訊。 為了支援這些要求,註冊裝置上的 Microsoft Edge for iOS 和 Android 可設定為僅允許在應用程式內設定單一企業帳號。
您可以在這裡深入瞭解如何設定組織允許的帳戶模式設定:
此設定案例僅適用于已註冊的裝置。 不過,支援任何 UEM 提供者。 如果你沒有使用 Microsoft Intune,請參考 UEM 文件,了解如何部署這些設定金鑰。
一般應用程式組態案例
Microsoft Edge for iOS 和 Android 讓管理員能自訂多項應用程式內設定的預設設定。 此功能適用於 Microsoft Edge for iOS 和 Android 對已登入該應用程式的工作或學校帳號套用受管理的應用程式應用程式組態態。
Microsoft Edge 支援以下設定:
- 新索引標籤頁面體驗
- 書簽體驗
- 應用程式行為體驗
- Kiosk 模式體驗
不論裝置註冊狀態為何,這些設定都可以部署到應用程式。
新索引標籤頁面版面配置
靈感 版 面是新分頁頁的預設配置。 它會顯示網站熱門捷徑、桌布和新聞動態。 使用者可以根據其喜好設定來變更版面配置。 組織也可以管理版面配置設定。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
焦點 已選取 [焦點] 激勵 (預設) 激勵被選中 資訊 資訊性選定 習俗 自訂已選,網站捷徑切換開啟,桌布切換開啟,新聞動態切換也開啟 |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
topsites 開啟最常用網站捷徑 桌布 開啟桌布 newsfeed 開啟新聞摘要 若要讓此原則生效,必須將 com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock 設定為 自訂 預設值為 topsites|wallpaper|newsfeed| |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
true (預設) 使用者可以變更網頁版面配置設定 錯誤 使用者無法更改頁面版面配置。 頁面版面配置由政策指定的值決定,或使用預設值 |
重要事項
NewTabPageLayout 原則旨在設定初始版面配置。 使用者可以根據其參考來變更網頁版面配置設定。 因此, NewTabPageLayout 政策僅在使用者未更改版面設定時生效。 您可以藉由設定 UserSelectable=false 來強制執行 NewTabPageLayout 原則。
注意事項
自版本 129.0.2792.84 起,預設頁面版面改為 靈感版。
關閉新聞摘要的範例
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
新索引標籤頁面體驗
Microsoft Edge for iOS 和 Android 為組織提供多種調整新分頁頁面體驗的選項,包括組織標誌、品牌顏色、首頁、熱門網站及產業新聞。
組織標誌和品牌色彩
組織標誌與品牌色彩設定允許你在 iOS 和 Android 裝置上自訂 Microsoft Edge 的新分頁頁 。 橫幅標誌作為組織標誌,頁面背景色作為組織的品牌顏色。 欲了解更多資訊,請參閱「配置您的公司品牌」。
接著,使用以下鍵值對,將您的組織品牌整合到 Microsoft Edge for iOS 與 Android:
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true 顯示組織的品牌標誌 false (預設) 不會公開標誌 |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true 顯示組織的品牌色彩 false (預設) 不會公開色彩 |
首頁快捷方式
此設定允許你在新分頁頁設定 iOS 和 Android 版 Microsoft Edge 的首頁捷徑。 你設定的首頁捷徑會作為搜尋欄下方的第一個圖示,當使用者在 iOS 和 Android 的 Microsoft Edge 開啟新分頁時。 使用者無法在其受控內容中編輯或刪除此快捷方式。 首頁快捷方式會顯示貴組織的名稱來加以區別。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage 此政策名稱已被 Microsoft Edge 設定中首 頁捷徑網址 的使用者介面取代 |
指定有效的 URL。 不正確的 URL 會作為安全性措施封鎖。 例如: https://www.bing.com |
多個熱門網站快捷方式
類似於設定首頁捷徑,你可以在 Microsoft Edge 的 iOS 和 Android 新分頁頁面設定多個頂端捷徑。 使用者無法在受控內容中編輯或刪除這些快捷方式。 注意:你可以設定總共八個捷徑,包括首頁捷徑。 如果你設定了首頁捷徑,該捷徑會覆蓋第一個設定的頂端網站。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | 指定一組值 URL。 每個熱門網站快捷方式都包含標題和 URL。 使用 | 字元分隔標題和 URL。 例如: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
產業新聞
你可以在 Microsoft Edge for iOS 和 Android 中設定新分頁頁面體驗,顯示與你組織相關的產業新聞。 啟用此功能後,iOS 和 Android 版 Microsoft Edge 會利用您組織的網域名稱,彙整來自網路的組織、產業及競爭對手新聞,讓使用者能從 Microsoft Edge for iOS 和 Android 內集中的新分頁頁找到相關外部新聞。 產業新聞預設為關閉。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true 在新索引標籤頁面上顯示產業新聞 false (預設) 會從新索引標籤頁面隱藏產業新聞 |
首頁,而非新索引標籤頁面體驗
Microsoft Edge for iOS 和 Android 允許組織關閉新分頁頁面體驗,改為在使用者開啟新分頁時自動啟動網站。雖然這是支援的情境,但請考慮利用新分頁頁面體驗,提供與使用者相關的動態內容。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | 指定有效的 URL。 如果未指定 URL,應用程式會使用 [新索引標籤頁面] 體驗。 不正確的 URL 會作為安全性措施封鎖。 例如: https://www.bing.com |
書簽體驗
Microsoft Edge for iOS 和 Android 為組織提供多種管理書籤的選項。
受控書簽
為了方便使用,你可以設定希望用戶在使用 iOS 和 Android Microsoft Edge 時能使用書籤。
- 書簽只會出現在公司或學校帳戶中,且不會公開給個人帳戶。
- 使用者無法刪除或修改書簽。
- 書簽會出現在清單頂端。 使用者建立的任何書簽都會出現在這些書簽下方。
- 如果您已啟用應用程式 Proxy 重新導向,您可以使用 Web 應用程式的內部或外部 URL 來新增應用程式 Proxy Web 應用程式。
- 書籤會建立在以組織名稱命名的資料夾中,該資料夾由 Microsoft Entra ID 定義。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks 此政策名稱會被 Microsoft Edge 設定下的 管理書籤 介面取代 |
此設定的值是書簽清單。 每個書簽都包含書簽標題和書簽 URL。 使用 | 字元分隔標題和 URL。例如: Microsoft Bing|https://www.bing.com若要設定多個書簽,請使用雙字元 || 分隔每個配對。例如: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
我的應用程式書簽
預設情況下,使用者會在 Microsoft Edge for iOS 和 Android 的組織資料夾中設定了 我的應用程式書籤。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps |
真實 (預設) 在 iOS 和 Android 的 Microsoft Edge 書籤中顯示我的應用程式 false 會隱藏 Microsoft Edge for iOS 和 Android 中的 我的應用程式 |
應用程式行為體驗
Microsoft Edge for iOS 和 Android 為組織提供了多種管理應用程式行為的選項。
Microsoft Entra 密碼單一登入
Microsoft Entra ID 提供的 Microsoft Entra 密碼單一登入 (SSO) 功能,可將使用者存取管理帶入不支援身分識別同盟的 Web 應用程式。 預設情況下,Microsoft Edge for iOS 和 Android 不會用 Microsoft Entra 憑證執行單點登入(SSO)。 如需詳細資訊,請參閱 將密碼型單一登入新增至一個應用程式。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true 啟用 Microsoft Entra 密碼 SSO false (預設) 停用 Microsoft Entra 密碼 SSO |
預設通訊協定處理常式
預設情況下,當使用者未在 URL 中指定協定時,Microsoft Edge for iOS 和 Android 會使用 HTTPS 協定處理程序。 一般來說,這被視為最佳實務,但也可以被停用。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (預設) 通訊協定處理常式為 HTTPS false 預設通訊協定處理常式為 HTTP |
停用選擇性診斷資料
根據預設,使用者可以選擇從 [設定]->隱私權和安全性->診斷資料->選擇性診斷資料設定,傳送選擇性診斷資料。 組織可以停用此設定。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true 已停用選擇性診斷資料設定 false (預設) 使用者可以開啟或關閉選項 |
注意事項
在初次執行體驗 (FRE) 期間,系統也會提示使用者 選擇性診斷資料 設定。 組織可以使用 MDM 原則 EdgeDisableShareUsageData 以略過此步驟
停用特定功能
Microsoft Edge for iOS 和 Android 允許組織關閉預設啟用的某些功能。 若要停用這些功能,請設定下列設定:
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password 會停用提供為終端使用者儲存密碼的提示 inprivate 會停用 InPrivate 瀏覽 autofill 會停用「儲存和填入位址」和「儲存並填入付款資訊」。 即使先前儲存的資訊也會被關閉自動填充 translator 會停用翻譯工具 readaloud 會停用大聲朗讀 drop 會停用置放 優待券 停用優惠券 擴充功能 停用 擴展 developertools 會將建置版本號變灰,防止使用者存取 Android 版 Edge (開發者選項Microsoft) UIRAlert 會抑制新分頁頁面中重新驗證帳號的彈窗 分享 失效 在選單下分享 sendtodevices 在選單中關閉「傳送至裝置」 天氣 會讓NTP (關閉天氣 新分頁頁) WebInspector 僅在 iOS (Microsoft Edge 上停用 Web Inspector 設定) 若要停用多個功能,請使用 | 分隔值。 例如,inprivate|password 會停用 InPrivate 和密碼儲存空間。 |
停用匯入密碼功能
iOS 和 Android 版的 Microsoft Edge 允許使用者從密碼管理器匯入密碼。 若要停用匯入密碼,請設定下列設定:
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true 停用匯入密碼 false (預設) 允許匯入密碼 |
注意事項
在 Microsoft Edge for iOS 的密碼管理器中,有一個 「新增 」按鈕。 當匯入密碼功能被停用時, 新增 按鈕也會被停用。
控制 Cookie 模式
你可以控制網站是否能在 Microsoft Edge for Android 中為用戶儲存 Cookie。 若要這樣做,請設定下列設定:
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (預設) 允許 Cookie 1 封鎖非 Microsoft Cookie 2 在 InPrivate 模式中封鎖非 Microsoft Cookie 3 封鎖所有 Cookie |
注意事項
Microsoft Edge for iOS 不支援控制 Cookie。
Android 裝置上的 Kiosk 模式體驗
Microsoft Edge for Android 可透過以下設定啟用為自助服務亭應用程式:
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true 啟用 Android 版 Microsoft Edge 的自助服務機模式 false (預設) 會停用 kiosk 模式 |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true 顯示 kiosk 模式的網址列 false (預設) 啟用 kiosk 模式時,會隱藏網址列 |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true 顯示 kiosk 模式的底部動作列 false (預設) 啟用 kiosk 模式時,會隱藏底部列 |
注意事項
iOS/iPadOS 裝置不支援自助服務機模式。 不過,你可能只想) 使用鎖定檢視模式 (MDM 政策,以達成類似的使用者體驗,因為在鎖定檢視模式下,網址網址列會變成唯讀。
鎖定檢視模式
iOS 和 Android 版 Microsoft Edge 可透過 MDM 政策 EdgeLockedViewModeEnabled 啟用為鎖定檢視模式。
| 機碼 | 值 |
|---|---|
| EdgeLockedViewModeEnabled |
FALSE (預設) 鎖定檢視模式已停用 TRUE 鎖定檢視模式已啟用 |
它可讓組織限制各種瀏覽器功能,提供受控制且專注的瀏覽體驗。
- URL 網址列會變成唯讀,讓使用者無法變更網址
- 使用者不被允許建立新的分頁
- 網頁上的內容搜尋功能已停用
- 溢位選單底下的下列按鈕已停用
| 按鈕 | 狀態 |
|---|---|
| 新 InPrivate 索引標籤 | 已停用 |
| 傳送到裝置 | 已停用 |
| Drop | 已停用 |
| 新增至電話 (Android) | 已停用 |
| 下載頁面 (Android) | 已停用 |
鎖定檢視模式常與 MAM 政策 com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL 或 MDM 政策 EdgeNewTabPageCustomURL 一起使用,這些模式允許組織設定特定網頁,當開啟 Microsoft Edge 時會自動啟動。 使用者只能瀏覽此網頁,無法瀏覽其他網站,為特定任務或內容消費提供受控環境。
注意事項
預設情況下,使用者在鎖定檢視模式下無法建立新分頁。 若要允許索引頁面建立,請將 MDM 原則 EdgeLockedViewModeAllowedActions 設定為newtabs。
在 Chromium 與 iOS 之間切換網路堆疊
預設情況下,Microsoft Edge 在 iOS 和 Android 上都使用 Chromium 網路堆疊進行 Microsoft Edge 服務通訊,包括同步服務、自動搜尋建議及回饋傳送。 iOS 版 Microsoft Edge 也提供 iOS 網路堆疊作為 Microsoft Edge 服務通訊的可設定選項。
組織可以藉由設定下列設定來修改其網路堆疊喜好設定。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (預設) 使用 Chromium 網路堆疊 1 使用 iOS 網路堆疊 |
注意事項
大多數情況下建議使用 Chromium 網路堆疊。 在某些情況下,尤其是使用每個應用程式的 VPN 解決方案(無論有無代理伺服器) , (都可能需要切換到 iOS 網路堆疊,因為這可能解決以下功能 (清單並非全部) :
- 使用 Edge 雲端同步。
- 發送應用程式內回饋。
- 上傳檔案到 OneDrive。
設定 Proxy .pac 檔案 URL
組織可以針對 iOS 和 Android 版 Microsoft Edge 指定 Proxy 自動設定 (PAC) 檔案的 URL。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | 指定 Proxy .pac 檔案的有效 URL。 例如: https://internal.site/example.pac |
PAC 開啟失敗支援
預設情況下,iOS 和 Android 版 Microsoft Edge 會以無效或無法使用的 PAC 腳本阻擋網路存取。 不過,組織可以將預設行為修改為 PAC 開啟失敗。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (預設) 封鎖網路存取 true 允許網路存取 |
設定網路轉送
Microsoft Edge for iOS 現在支援 iOS 17 的網路中繼。 這些是一種特殊的 Proxy 類型,可用於遠端存取和隱私權解決方案。 它們支援安全且透明的流量通道,作為存取內部資源時 VPN 的新式替代方案。 如需網路轉送的詳細資訊,請參閱 在 Apple 裝置上使用網路轉送。
組織可以設定轉送 Proxy URL,根據相符和排除的網域來路由傳送流量。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | 指定轉送設定 JSON 檔案的有效 URL。 例如: https://yourserver/relay_config.json |
網路轉送的 JSON 檔案範例
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
使用者在 Android 中登入 Microsoft Edge 的代理
通常會在 VPN 設定檔中設定 Proxy 自動設定 (PAC)。 然而,由於平台限制,該 PAC 無法被 Android WebView 辨識,而 WebView 則用於 Microsoft Edge 登入流程。 使用者可能無法在 Android 上登入 Microsoft Edge。
組織可以透過 MDM 政策指定專用代理,讓使用者在 Android 上登入 Microsoft Edge。
| 機碼 | 值 |
|---|---|
| EdgeOneAuthProxy | 對應的值為字串 範例 http://MyProxy.com:8080 |
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen 是一項功能,可協助使用者避免惡意網站和下載。 預設是啟用的。 組織可以停用此設定。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (預設) 已啟用 Microsoft Defender SmartScreen。 false 已停用 Microsoft Defender SmartScreen。 |
憑證驗證
根據預設,Android 版 Microsoft Edge 會使用內建的憑證驗證器和 Microsoft Root Store 作為公用信任來源來驗證伺服器憑證。 組織可以切換至系統憑證驗證器和系統根憑證。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
true (預設) 使用內建憑證驗證器和 Microsoft Root Store 來驗證憑證 false 使用系統憑證驗證器和系統根憑證作為公用信任的來源來驗證憑證 |
注意事項
此政策的使用情境是,使用 Microsoft Edge for Android 中 Microsoft MAM 隧道時,需要使用系統憑證驗證器和系統根憑證。
SSL 警告頁面控制項
預設情況下,使用者可以點擊警告頁面,顯示用戶瀏覽到有 SSL 錯誤的網站。 組織可以管理該行為。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
true (預設值) 允許使用者點擊通過 SSL 警告頁面 false 防止使用者點擊通過 SSL 警告頁面 |
快顯視窗設定
預設情況下,彈出視窗會被封鎖。 組織可以管理該行為。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 允許所有網站顯示快顯視窗 2 (預設) 不允許任何網站顯示彈出視窗 |
允許特定網站上的快顯視窗
如果沒有設定這個政策, DefaultPopupsSetting 政策的值 (設定為) ,或者所有網站都會使用使用者的個人設定。 組織可以定義可開啟快顯視窗的網站清單。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | 金鑰的對應值是 URL 清單。 您可以輸入您想要封鎖的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
如需 URL 格式的詳細資訊,請參閱企業原則 URL 模式格式。
封鎖特定網站上的快顯視窗
如果沒有設定這個政策, DefaultPopupsSetting 政策的值 (設定為) ,或者所有網站都會使用使用者的個人設定。 組織可以定義遭到封鎖而無法開啟快顯視窗的網站清單。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | 金鑰的對應值是 URL 清單。 您可以輸入您想要封鎖的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
如需 URL 格式的詳細資訊,請參閱企業原則 URL 模式格式。
預設搜尋提供者
預設情況下,Microsoft Edge 在使用者輸入非網址文字時,會使用預設的搜尋工具來執行搜尋。 使用者可以變更搜尋提供者清單。 組織可以管理搜尋提供者行為。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
true 啟用預設搜尋提供者 false 停用預設搜尋提供者 |
設定搜尋提供者
組織可以為使用者設定搜尋提供者。 若要設定搜尋提供者,必須設定 DefaultSearchProviderEnabled 。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | 對應的值為字串 範例 My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | 對應的值為字串 範例 https://search.my.company/search?q={searchTerms} |
Copilot
注意事項
如果你想封鎖 Copilot 網頁版的存取,copilot.microsoft.com 可以使用 AllowListURLs 或 BlockListURLs 政策。
Copilot 可在 iOS 版和 Android 版的 Microsoft Edge 上使用。 使用者可透過底部列中的 Copilot 按鈕啟動 Copilot。
設定->一般->Copilot 中有三個設定。
- 顯示 Copilot - 控制是否要在底部列上顯示 Bing 按鈕
- 允許存取任何網頁或 PDF – 控制是否允許 Copilot 存取頁面內容或 PDF
- 文字選取上的快速存取 - 控制選取網頁上的文字時是否要顯示快速聊天面板
您可以管理 Copilot 的設定。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat |
TRUE (預設) 使用者會在底部列中看到 Copilot 按鈕。 預設會開啟 顯示 Copilot,且使用者可以關閉此設定。 錯誤 使用者看不到底部欄的 Copilot 按鈕。 設定顯示 Copilot 已停用,使用者無法開啟 |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext |
TRUE (預設) 使用者可以開啟 允許存取任何網頁或 PDF 和 文字選取上的快速存取 false允許存取任何網頁或 PDF 及文字 選擇快速存取 被停用,使用者無法開啟 |
資料保護應用程式組態案例
Microsoft Edge for iOS 和 Android 支援以下資料保護設定的應用程式配置政策,當應用程式由 Microsoft Intune 管理,且對已登入該應用程式的工作或學校帳號套用受管理的應用程式應用程式組態態時:
- 管理帳戶同步處理
- 管理受限制的網站
- 管理 Proxy 設定
- 管理 NTLM 單一登入網站
不論裝置註冊狀態為何,這些設定都可以部署到應用程式。
管理帳戶同步處理
根據預設,Microsoft Edge 同步可讓使用者在其所有已登入的裝置上存取其瀏覽資料。 同步處理支援的資料包括:
- 我的最愛
- 密碼
- 位址和更多內容 (自動填寫表單項目)
同步處理功能是透過使用者同意來啟用,且使用者可以開啟或關閉上述每個資料類型的同步處理。 更多資訊請參閱 Microsoft Edge Sync。
組織有能力在 iOS 和 Android 上關閉 Microsoft Edge 同步功能。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true 會停用 Microsoft Edge 同步 false (預設) 允許 Edge 同步Microsoft |
管理受限制的網站
組織可以在 Microsoft Edge for iOS 和 Android 中,定義使用者在工作或學校帳號情境下可存取哪些網站。 如果你使用允許清單,使用者只能存取明確列出的網站。 如果您使用封鎖清單,使用者可以存取所有網站,但明確封鎖的網站除外。 您應該只強制使用允許或封鎖清單,而非兩者。 如果您同時強制使用這兩者,則系統只會接受允許清單。
組織也可定義當使用者嘗試瀏覽至受限制的網站時會發生什麼情況。 根據預設,允許轉換。 若組織允許,受限制網站可在個人帳號情境、Microsoft Entra 帳號的 InPrivate 情境,或是網站完全封鎖時開啟。 如需支援之各種案例的詳細資訊,請參閱 Microsoft Edge 行動裝置版中受限制的網站轉換。 藉由允許轉換體驗,組織的使用者會持續受到保護,同時也可保護公司資源的安全。
為了提升個人檔案切換體驗,減少使用者手動切換至個人檔案或 InPrivate 模式以開啟被封鎖網址的需求,我們引入了兩項新政策:
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlockcom.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
由於這些政策會根據其配置與組合產生不同結果,建議先嘗試以下政策建議,快速評估設定檔切換的體驗是否符合組織需求,再深入詳細文件。 建議的配置檔切換設定包括以下數值:
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=truecom.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=truecom.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
注意事項
Microsoft Edge for iOS 和 Android 只能在直接存取網站時阻擋存取。 當使用者使用中繼服務 (例如翻譯服務) 存取網站時,它不會封鎖存取。 對於受管理的應用程式,應用程式組態原則 AllowListURLs 或 BlockListURLs 不支援使用 Edge 啟動的 URL,例如 Edge://*、Edge://flags 和 Edge://net-export。 您可以使用 com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList 停用這些 URL。
如果您的裝置受到管理,您也可以針對受管理的裝置使用應用程式設定原則 URLAllowList 或 URLBlocklist。 如需相關資訊,請參閱 Microsoft Edge 行動裝置原則。
請使用以下鍵值對來設定 iOS 和 Android 版 Microsoft Edge 的允許或封鎖站點清單。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs 此政策名稱已被 Microsoft Edge 配置設定中的 「允許網址 」介面取代 |
金鑰的對應值是 URL 清單。 您可以輸入您想要允許的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs 此政策名稱已被 Microsoft Edge 設定中的 「封鎖網址 」介面取代 |
金鑰的對應值是 URL 清單。 您可以輸入您想要封鎖的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock 此政策名稱已被 Microsoft Edge 配置設定中 「將限制網站重新導向至個人情境 」的介面所取代 |
true (預設) 允許 iOS 和 Android 版 Edge Microsoft 轉換受限制網站。 當個人帳戶未停用時,系統會提示使用者切換至個人內容以開啟受限制的網站,或新增個人帳戶。 如果 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked 設定為 true,使用者就能夠在 InPrivate 內容中開啟受限制的網站。 false 會阻止 Microsoft Edge for iOS 和 Android 用戶轉換。 使用者會看到訊息,表示他們嘗試存取的網站已被封鎖。 |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked |
true 允許在 Microsoft Entra 帳戶的 InPrivate 內容中開啟受限制的網站。 如果 Microsoft Entra 帳號是 iOS 和 Android 中唯一設定的 Microsoft Edge 帳號,限制網站會在 InPrivate 情境中自動開啟。 如果使用者已設定個人帳戶,系統會提示使用者選擇開啟 InPrivate 或切換至個人帳戶。 false (預設) 需要在使用者的個人帳戶中開啟受限制的網站。 如果停用個人帳戶,則會封鎖該網站。 若要讓此設定生效,com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock 必須設定為 true。 |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | 輸入使用者看到零食吧通知的秒數:「您的組織已封鎖本網站的存取權限。 我們已在InPrivate 模式下開啟,讓您能存取網站。」預設情況下,零食吧的通知會顯示7秒。 |
以下網站除 copilot.microsoft.com 外,無論允許清單或封鎖名單設定如何,皆被允許:
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
控制網站封鎖快顯的行為
當使用者嘗試存取被封鎖的網站時,會被提示切換至 InPrivate 或個人帳號來開啟被封鎖的網站。 您可以選擇 InPrivate 與個人帳戶之間的喜好設定。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (預設) 一律顯示快顯視窗供用戶選擇。 1:登入個人帳號時自動切換到個人帳號。 如果個人帳號未登入,行為會改成值 2。 2:如果 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true 允許 InPrivate 切換,則自動切換至 InPrivate。 |
控制帳號切換時發文請求的行為
當使用者嘗試存取被封鎖的網站時,會被提示切換至 InPrivate 或個人帳號來開啟被封鎖的網站。 你可以選擇在帳號轉換時如何處理發文請求的偏好。 MAM 政策只適用於 iOS。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.IgnorePostRequestOnAutoTransition |
false: (預設) 當 URL 被封鎖時,切換為私人模式或個人帳號,請繼續發文請求。 true:當 URL 被封鎖切換為私人模式或個人帳號時,請忽略該貼文請求,並顯示被封鎖的訊息。 |
控制個人檔案切換到工作檔案的行為
當 Microsoft Edge 在個人設定檔下,且使用者嘗試從工作設定檔下的 Outlook 或 Microsoft Teams 開啟連結時,Intune 預設會使用 Microsoft Edge 的工作設定檔來開啟連結,因為 Microsoft Edge、Outlook 和 Microsoft Teams 都是由 Intune 管理的。 然而,當連結被封鎖時,使用者會切換到個人檔案。 這會造成使用者的摩擦體驗。
你可以設定政策來提升使用者體驗。 建議搭配 AutoTransitionModeOnBlock 一起使用此政策,因為它可能會根據你設定的政策值,將使用者切換到個人設定檔。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (預設) 即使 Edge 政策封鎖了 URL Microsoft 也切換到工作設定檔。 2:如果個人個人帳號登入,封鎖的網址會在個人個人檔案下開啟。 如果個人個人檔案未登入,該被封鎖的網址會以 InPrivate 模式開啟。 |
管理子資源阻擋
預設情況下,AllowListURL 和 BlockListURL 僅適用於導覽層級。 當你將被封鎖的 URL 嵌入 (BlockListURLs 中設定的 URL 或未設定在 AllowListURLs) 作為網頁內子資源的 URL 時,這些子資源 URL 不會被封鎖。
為了進一步限制這些子資源,你可以設定一個政策來封鎖子資源的網址。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ManageRestrictedSubresourceEnabled |
false: (即使子資源 URL 被封鎖,預設) 子資源的 URL 也不會被封鎖。 true:子資源網址若被列為封鎖,則會被封鎖。 |
注意事項
考慮將此政策用於 BlockListURLs。 若與 AllowListURL 一起使用,請確保所有子資源 URL 都包含在 AllowListURLs。 否則,部分子資源可能會無法載入
允許和封鎖網站清單的 URL 格式
您可以使用各種 URL 格式來建置允許/封鎖的網站清單。 下表詳細說明這些允許的模式。
請確定您在將所有 URL 輸入清單時,以 http:// or https:// 為所有 URL 的前置詞。
您可以根據下列允許模式清單中的規則,使用萬用字元符號 (*)。
萬用字元只能匹配部分 (,例如
news-contoso.com主機名稱的) 或整個組件, (host.contoso.com路徑的) 或整個部分,當以前斜線分隔時 (www.contoso.com/images) 。您可以在位址中指定連接埠號碼。 如果你沒有指定埠號,使用的數值如下:
- 連接埠 80,用於 http
- 連接埠 443,用於 https
僅支援 iOS 版 Microsoft Edge 使用通配字碼作為埠號。 例如,你可以指定
http://www.contoso.com:*和http://www.contoso.com:*/。支援使用 CIDR 表示法指定 IPv4 位址。 例如,你可以指定 127.0.0.1/24 () 的 IP 位址範圍。
URL 詳細資料 相符 不搭 http://www.contoso.com符合單一頁面 www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.com符合單一頁面 contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*符合開頭為 www.contoso.com的所有 URLwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*符合 contoso.com底下的所有子網域developer.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*符合以 contoso.com/結尾的所有子網域news-contoso.comnews-contoso.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/images符合單一資料夾 www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80符合單一頁面 (透過使用連接埠號碼) www.contoso.com:80https://www.contoso.com符合單一且安全的頁面 www.contoso.comwww.contoso.com/imageshttp://www.contoso.com/images/*符合單一資料夾和所有子資料夾 www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videoshttp://contoso.com:*對應單一頁面的任何埠號 contoso.com:80contoso.com:808010.0.0.0/24匹配範圍為 10.0.0.0.0 至 10.0.0.255 的 IP 位址範圍 10.0.0.010.0.0.100192.168.1.1- 以下是您無法指定的一些輸入範例:
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*https://*http://*http://www.contoso.com: /*
停用 Microsoft Edge 內部頁面
你可以停用 Microsoft Edge 內部頁面,例如 Edge://flags 和 Edge://net-export。 您可以從 Edge://about 中找到更多頁面
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | 金鑰的對應值是頁面名稱的清單。 您可以輸入您想要封鎖的內部頁面作為單一值,並以分隔號 | 字元分隔。 範例: flags|net-export |
管理網站以允許上傳檔案
有些情況可能讓使用者只能瀏覽網站,無法上傳檔案。 組織可以選擇指定哪些網站能夠接收檔案上傳。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | 金鑰的對應值是 URL 清單。 您可以輸入您想要封鎖的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | 金鑰的對應值是 URL 清單。 您可以輸入您想要封鎖的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
封鎖所有網站 (包括內部網站) 上傳檔案的範例
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
允許特定網站上傳檔案的範例
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
如需 URL 格式的詳細資訊,請參閱企業原則 URL 模式格式。
注意事項
iOS 版的 Microsoft Edge 除了上傳外,貼上動作也會被封鎖。 使用者在操作選單中不會看到貼上選項。
管理 Proxy 設定
你可以同時使用 Microsoft Edge for iOS 和 Android,以及 Microsoft Entra 應用程式代理,讓使用者能在行動裝置上存取內聯網網站。 例如:
- 使用者正在使用受 Intune 保護的 Outlook 行動裝置應用程式。 接著他們在電子郵件中選擇連結指向內聯網網站,Microsoft Edge for iOS 和 Android 會識別該內聯網網站已透過 應用程式 Proxy 暴露給使用者。 使用者會自動透過應用程式 Proxy 路由,並透過任何適用的多重驗證與條件存取進行驗證,然後才抵達內聯網站點。 使用者現在可以存取內部網站,即使是在其行動裝置上也可以,且 Outlook 中的連結也能如預期般運作。
- 使用者在 iOS 或 Android 裝置上開啟 Microsoft Edge for iOS 和 Android。 如果 iOS 和 Android 的 Microsoft Edge 受到 Intune 保護,且啟用了 應用程式 Proxy,使用者就可以使用他們習慣的內部網址前往內部網路網站。 Microsoft Edge for iOS 和 Android 已識別此內聯網網站已透過應用程式 Proxy 暴露給使用者。 使用者會自動透過應用程式 Proxy 路由傳送,以在到達內部網路網站之前進行驗證。
前置作業:
- 透過 Microsoft Entra 應用程式 Proxy 來設定內部應用程式。
- 若要設定應用程式 Proxy 並發佈應用程式,請參閱 設定文件。
- 確保使用者被指派到 Microsoft Entra 應用程式代理應用程式,即使該應用程式設定為 Passthrough 預認證類型。
- Microsoft Edge for iOS 和 Android 應用程式必須設定 Intune 應用程式保護政策。
- Microsoft 應用程式的應用程式防護原則必須將[使用其他應用程式限制 Web 內容傳輸] 資料傳輸的設定設為 [Microsoft Edge]。
注意事項
Microsoft Edge for iOS 和 Android 會根據最近一次成功的刷新事件更新應用程式 Proxy 重定向資料。 每當上次成功的重新整理事件大於一小時時,就會嘗試更新。
針對 iOS 和 Android 的 Microsoft Edge 使用以下鍵值對,啟用應用程式 Proxy。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection 此政策名稱已被 Microsoft Edge 配置設定下的 應用程式代理重定向 介面取代 |
true 會啟用 Microsoft Entra 應用程式 Proxy 重新導向案例 false (預設) 禁止 Microsoft Entra 應用程式 Proxy 案例 |
欲了解更多如何結合 iOS 與 Android 版 Microsoft Edge 與 Microsoft Entra 應用程式代理,實現無縫 (及保護) 本地網頁應用程式存取,請參閱「攜手更好:Intune 與 Microsoft Entra 攜手提升使用者存取性」。
管理 NTLM 單一登入網站
組織可能要求使用者使用 NTLM 認證才能存取內聯網網站。 根據預設,系統會提示使用者在每次存取需要 NTLM 驗證的網站時輸入認證,因為 NTLM 認證快取已停用。
組織可以為特定網站啟用 NTLM 認證快取。 針對這些網站,在使用者輸入認證並成功驗證之後,預設會快取認證 30 天。
注意事項
如果你使用代理伺服器,請確保它使用 NTLMSSOURL 政策設定,並且在鍵值中明確指定 https 和 http 。
目前, https 和 http 方案都需要在 NTLMSSOURL 的鍵值中指定。 例如,你需要同時設定 https://your-proxy-server:8080 和 http://your-proxy-server:8080。 目前僅將格式指定為 host:port (your-proxy-server:8080 如) 是不夠的。
此外,在 NTLMSSOURL 政策中配置代理伺服器時,不支援萬用字元符號 (*) 。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | 金鑰的對應值是 URL 清單。 您可以輸入您想要允許的所有 URL 為單一值,並以分隔號 | 字元分隔。 範例: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com 如需支援的 URL 格式類型的詳細資訊,請參閱 允許和封鎖網站清單的 URL 格式。 |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | 快取認證的時數,預設值為 720 小時 |
管理 Microsoft Edge 啟動網頁選項
組織可以透過設定預設為 「從我上次停下的地方繼續瀏覽 」或 「始終從全新分頁開始」來管理 Microsoft Edge 的啟動頁面選項。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.RestoreBrowsingOption |
0: (預設) 無設定 1:繼續瀏覽我剛剛停下的地方 2:永遠從全新分頁開始 |
管理網頁單一登入的互動模式
組織可選擇啟用或關閉網頁單一 Sign-On (WebSSO) 互動模式。 啟用互動模式時,Microsoft Edge 行動裝置會更新目前帳號的登入狀態,並在需要時提示使用者透過直接互動重新驗證。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.EnableInteractiveModeForWebSSO |
false: (預設) 停用 true:啟用 |
支援 iframe 請求中的網頁單一登入
組織可選擇在 Microsoft Edge 的 iframe 請求中啟用或停用 Web Single Sign-On (SSO) 。
| 機碼 | 值 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.experiments.EnableWebSSOInIframe |
false: (預設) 停用 true:啟用 |
管理行動裝置桌面檢視
此政策決定了網站的預設檢視模式。 組織可以指定一份網站網址模式清單,這些模式會永遠在桌面或行動裝置檢視中開啟。
| 機碼 | 值 |
|---|---|
| DefaultDesktopSiteSetting |
1:所有網站預設以桌面檢視開啟。 2: (預設) 所有網站預設在行動裝置檢視中開啟。 |
| DesktopSiteForceForUrls | 指定一份網站網址模式清單,這些模式永遠會在桌面檢視中開啟。 如果政策未設定,則會依照「DefaultDesktopSiteSetting」定義的預設行為。 欲了解更多有效 URL 模式的資訊,請參閱 URL 列表基礎政策的篩選格式。 |
| MobileSiteForceForUrls | 指定一份網站網址模式清單,這些模式在行動裝置檢視中都會開啟。 如果政策未設定,則會依照「DefaultDesktopSiteSetting」定義的預設行為。 欲了解更多有效 URL 模式的資訊,請參閱 URL 列表基礎政策的篩選格式。 |
其他管理裝置的應用程式設定
以下政策原本可透過受管理應用程式的設定政策來設定,現在則可透過受管理裝置的應用程式設定政策取得。 針對受控應用程式使用原則時,使用者必須登入 Microsoft Edge。 使用受管理裝置的政策時,使用者不需要登入 Microsoft Edge 來套用這些政策。
由於受控裝置的應用程式組態原則需要裝置註冊,因此支援任何整合端點管理 (UEM)。 若要在 MDM 通道下尋找更多原則,請參閱 Microsoft Edge 行動裝置原則。
| MAM 原則 | MDM 原則 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
使用 Microsoft Intune 部署應用程式組態案例
如果您使用 Microsoft Intune 作為行動應用程式管理提供者,以下步驟可讓您建立受管理應用程式的設定政策。 建立設定之後,您可以將其設定指派給使用者群組。
選取 [應用程式],然後選取 [應用程式組態原則]。
在應用程式組態政策的選區中,選擇新增並選擇受管理應用程式。
在 [基本] 區段上,輸入應用程式組態設定的 [名稱] 和選擇性 [描述]。
對於 公開應用程式,請選擇 選擇公開應用程式,然後在 目標應用程式 的選區選單,透過同時選擇 iOS 和 Android 平台應用程式,選擇 Edge for iOS 和 Android 。 選擇 選擇 以儲存所選的公開應用程式。
選擇 「下一步 」以完成應用程式設定政策的基本設定。
在 [設定] 區段上,展開 [Edge 組態設定]。
如果您想要管理資料保護設定,請據以設定所需的設定:
針對 [應用程式 Proxy 重新導向],請從可用的選項中選擇: [啟用]、[停用](預設)。
針對 [首頁快捷 URL],指定包含前置詞 http:// 或 https:// 的有效 URL。 不正確的 URL 會作為安全性措施封鎖。
針對 [受控書簽],指定標題和包含前置詞 http:// 或 https:// 的有效 URL。
針對 [允許的 URL],指定有效的 URL (只允許這些 URL;無法存取其他網站)。 如需支援的 URL 格式類型的詳細資訊,請參閱 允許和封鎖網站清單的 URL 格式。
針對 [封鎖的 URL],指定有效的 URL (只有這些 URL 會被封鎖)。 如需支援的 URL 格式類型的詳細資訊,請參閱 允許和封鎖網站清單的 URL 格式。
針對 [將受限制的網站重新導向至個人內容],請從可用的選項中選擇: [啟用(預設)、][停用]。
注意事項
當原則中同時定義允許的 URL 和封鎖的 URL 時,只會接受允許的清單。
如果你想查看更多未在上述政策中暴露的應用程式設定,請展開 「一般設定 」節點,並依序輸入關鍵值對。
設定完成後,選擇 「下一步」。
在 分配 區塊中,選擇 「選擇要包含的群組」。 選擇你想指派應用程式設定政策的 Microsoft Entra 群組,然後選擇選擇。
完成作業後,選擇 「下一頁」。
在 「建立應用程式配置政策檢視+建立 」刀片中,檢視已設定的設定,然後選擇 建立。
新建立的組態原則會顯示在 [應用程式組態] 刀鋒視窗上。
使用 iOS 和 Android 版 Microsoft Edge 來存取受控應用程式記錄
安裝 Microsoft Edge for iOS 與 Android 的用戶,可查看所有 Microsoft 發佈應用程式的管理狀態。 他們可以使用下列步驟傳送記錄,以針對受控 iOS 或 Android 應用程式進行疑難排解:
在裝置上開啟 iOS 版和 Android 版 Microsoft Edge。
在 [位址] 方塊中輸入
edge://intunehelp/。Microsoft Edge for iOS 和 Android 啟動故障排除模式。
您可以藉由提供使用者的事件識別碼,從Microsoft 支援服務擷取記錄。
如需儲存在應用程式記錄中的設定清單,請參閱[檢閱用戶端應用程式防護記錄]。
診斷記錄
除了來自 的 Intune 日誌edge://intunehelp/外,Microsoft 支援服務可能會要求您提供 Microsoft Edge for iOS 和 Android 的診斷日誌。 你可以將日誌上傳到 Microsoft 伺服器,或是儲存在本地,直接與 Microsoft 支援服務分享。
將日誌上傳到 Microsoft 伺服器
請依照以下步驟將日誌上傳至 Microsoft 伺服器:
- 重現問題。
- 請選擇右下角的漢堡圖示,開啟溢出選單。
- 向左滑,選擇 「幫助」和「回饋」。
- 在 「描述發生了什麼事」部分,提供問題細節,讓支援團隊能辨識相關日誌。
- 請點選右上角的按鈕,將日誌上傳到 Microsoft 伺服器。
將日誌儲存在本地並直接與 Microsoft 支援服務分享
請依照以下步驟在本地儲存日誌並分享:
- 重現問題。
- 在右下角的漢堡選單中選擇,開啟溢出選單。
- 向左滑,選擇 「幫助」和「回饋」。
- 選擇 診斷資料。
- 對於 iOS 版 Microsoft Edge,請點擊右上角的 分享 圖示。 系統分享對話框會出現,讓你可以將日誌儲存在本地或透過其他應用程式分享。 對於 Android 版 Microsoft Edge 的設定,請在右上角的子選單開啟,選擇儲存日誌的選項。 日誌會儲存在 Download>Edge 資料夾中。
如果你想清除舊的日誌,請在選擇診斷資料時選擇右上角的「清除」圖示。 接著,重複該問題,確保只捕捉到新鮮的日誌。
注意事項
儲存記錄也會遵守 Intune 應用程式保護原則。 因此,你可能無法將診斷資料儲存到本地裝置。
Deeplink 方法強制在行動端啟動 Edge 應用程式
有專門為 Edge Mobile 設計的深層連結。
| 配置 | 主機 | 路徑 | 行為 |
|---|---|---|---|
| Microsoft-Edge-http:// | <any> |
<any> |
打開網址 http://<any> |
| Microsoft-Edge-https:// | <any> |
<any> |
打開網址 http://<any> |