Gérer Microsoft Edge sur iOS et Android avec Intune

Edge pour iOS et Android est conçu pour permettre aux utilisateurs de parcourir le web et prend en charge les identités multiples. Les utilisateurs peuvent ajouter un compte professionnel, ainsi qu’un compte personnel, pour la navigation. Il existe une séparation complète entre les deux identités, à l’instar de ce qui est proposé dans d’autres applications mobiles Microsoft.

Cette fonctionnalité s’applique à :

  • iOS/iPadOS 14.0 ou version ultérieure
  • Android 8.0 ou version ultérieure pour les appareils inscrits et Android 9.0 ou version ultérieure pour les appareils non inscrits

Remarque

Edge pour iOS et Android ne consomme pas les paramètres définis par les utilisateurs pour le navigateur natif sur leurs appareils, car Edge pour iOS et Android ne peut pas accéder à ces paramètres.

Les capacités de protection les plus riches et les plus étendues pour les données Microsoft 365 sont disponibles lorsque vous souscrivez à la suite Enterprise Mobility + Security, qui comprend les fonctionnalités Microsoft Intune et Microsoft Entra ID P1 ou P2, telles que l'accès conditionnel. Au minimum, vous souhaiterez déployer une stratégie d’accès conditionnel qui autorise uniquement la connectivité à Edge pour iOS et Android à partir d’appareils mobiles et une stratégie de protection des applications Intune qui garantit la protection de l’expérience de navigation.

Remarque

Les nouveaux clips web (applications web épinglées) sur les appareils iOS s’ouvrent dans Edge pour iOS et Android au lieu du Intune Managed Browser si nécessaire pour s’ouvrir dans un navigateur protégé. Pour les clips web iOS plus anciens, vous devez les cibler à nouveau pour vous assurer qu’ils s’ouvrent dans Edge pour iOS et Android plutôt que dans le Managed Browser.

Créer des stratégies de protection des applications Intune

À mesure que les organisations adoptent de plus en plus les applications SaaS et web, les navigateurs sont devenus des outils essentiels pour les entreprises. Les utilisateurs doivent souvent accéder à ces applications à partir de navigateurs mobiles lorsqu’ils sont en déplacement. Il est essentiel de s’assurer que les données accessibles via les navigateurs mobiles sont protégées contre les fuites intentionnelles ou involontaires. Par instance, les utilisateurs peuvent partager par inadvertance les données d’une organisation avec des applications personnelles, ce qui entraîne une fuite de données, ou les télécharger sur des appareils locaux, ce qui pose également un risque.

Les organisations peuvent protéger les données contre les fuites lorsque les utilisateurs naviguent avec Microsoft Edge pour appareils mobiles en configurant des stratégies de protection des applications (APP), qui définissent les applications autorisées et les actions qu’ils peuvent effectuer avec les données de votre organisation. Les choix disponibles dans SPA permettent aux organisations d’adapter la protection à leurs besoins spécifiques. Pour certaines, il peut être difficile d’identifier les paramètres de stratégie nécessaires pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser le renforcement de la sécurité des points de terminaison des clients mobiles, Microsoft a introduit une taxonomie pour son framework de protection des données des stratégies de protection des applications pour la gestion des applications mobiles iOS et Android.

Le framework de protection des données des stratégies de protection des applications est organisé en trois niveaux de configuration distincts, chaque niveau s’appuyant sur le niveau précédent :

  • La protection de base des données d’entreprise (niveau 1) garantit que les applications sont protégées par un code PIN et chiffrées, et effectue des opérations de réinitialisation sélective. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Il s’agit d’une configuration de niveau d’entrée qui fournit un contrôle de protection des données similaire dans les stratégies de boîte aux lettres Exchange Online et présente l’informatique ainsi que le nombre des utilisateurs aux stratégies de protection des applications.
  • La protection améliorée des données d’entreprise (niveau 2) présente les mécanismes de prévention des fuites de données des stratégies de protection des applications et les exigences minimales du système d’exploitation. Il s’agit de la configuration qui s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires.
  • La protection élevée des données d’entreprise (niveau 3) présente les mécanismes avancés de protection des données, une configuration de code PIN améliorée et une protection contre les menaces mobiles pour les stratégies de protection des applications. Cette configuration est souhaitable pour les utilisateurs qui accèdent à des données à risque élevé.

Pour afficher les recommandations spécifiques pour chaque niveau de configuration et les applications minimales à protéger, consultez Framework de protection des données à l’aide de stratégies de protection des applications.

Que l’appareil soit inscrit ou non dans une solution de gestion unifiée des points de terminaison (UEM), une stratégie de protection des applications Intune doit être créée pour les applications iOS et Android, en suivant les étapes décrites dans Comment créer et attribuer des stratégies de protection des applications. Ces stratégies doivent au minimum remplir les conditions suivantes :

  • Elles incluent toutes les applications mobiles Microsoft 365, telles que Edge, Outlook, OneDrive, Office ou Teams, car cela garantit que les utilisateurs peuvent accéder aux données professionnelles ou scolaires et les manipuler dans n’importe quelle application Microsoft de manière sécurisée.

  • Ils sont attribués à tous les utilisateurs. Cela garantit que tous les utilisateurs sont protégés, qu’ils utilisent Edge pour iOS ou Android.

  • Déterminez le niveau d’infrastructure qui répond à vos besoins. La plupart des organisations doivent implémenter les paramètres définis dans la protection améliorée des données d’entreprise (niveau 2), car cela permet de contrôler la protection des données et les exigences d’accès.

Remarque

L’un des paramètres liés aux navigateurs est « Restreindre le transfert de contenu web avec d’autres applications ». Dans Protection améliorée des données d’entreprise (niveau 2), la valeur de ce paramètre est configurée sur Microsoft Edge. Quand Outlook et Microsoft Teams sont protégés par des stratégies de protection des applications (APP), Microsoft Edge est utilisé pour ouvrir des liens à partir de ces applications, ce qui garantit que les liens sont sécurisés et protégés. Pour plus d’informations sur les paramètres disponibles, consultez Paramètres de stratégie de protection des applications Android et Paramètres de stratégie de protection des applications iOS.

Importante

Pour appliquer les stratégies de protection des applications Intune pour les applications des appareils Android non inscrits dans Intune, l'utilisateur doit également installer le portail d'entreprise Intune.

Appliquer l’accès conditionnel

Bien qu’il soit important de protéger Microsoft Edge avec des stratégies de protection des applications (APP), il est également essentiel de s’assurer que Microsoft Edge est le navigateur obligatoire pour l’ouverture d’applications d’entreprise. Les utilisateurs peuvent utiliser d’autres navigateurs non protégés pour accéder aux applications d’entreprise, ce qui peut entraîner des fuites de données.

Les organisations peuvent utiliser les stratégies d'accès conditionnel de Microsoft Entra pour s'assurer que les utilisateurs ne peuvent accéder qu'au contenu professionnel ou scolaire en utilisant Edge pour iOS et Android. Pour ce faire, vous avez besoin d’une stratégie d’accès conditionnel qui cible tous les utilisateurs potentiels. Ces stratégies sont décrites dans Accès conditionnel : exiger des applications clientes approuvées ou une stratégie de protection des applications.

Suivez les étapes décrites dans Exiger des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles, ce qui permet à Edge pour iOS et Android, mais empêche d’autres navigateurs web d’appareils mobiles de se connecter à Microsoft 365 points de terminaison.

Remarque

Cette stratégie garantit que les utilisateurs mobiles peuvent accéder à tous les points de terminaison Microsoft 365 à partir de Edge pour iOS et Android. Cette stratégie empêche également les utilisateurs d’utiliser InPrivate pour accéder à Microsoft 365 points de terminaison.

Avec l'accès conditionnel, vous pouvez également cibler des sites sur site que vous avez exposés à des utilisateurs externes via le proxy d'application Microsoft Entra.

Remarque

Pour recourir à des stratégies d'accès conditionnel basées sur l'application, l'application Microsoft Authenticator doit être installée sur les appareils iOS. Pour les appareils Android, l’application Portail d'entreprise Intune est obligatoire. Pour en savoir plus, consultez l'article Accès conditionnel basé sur l'application avec Intune.

Connexion unique aux applications web connectées de Microsoft Entra dans des navigateurs protégés par des règles.

Edge pour iOS et Android peut tirer parti de l'authentification unique (SSO) pour toutes les applications web (SaaS et sur site) qui sont connectées à Microsoft Entra. Le SSO permet aux utilisateurs d'accéder aux applications web connectées Microsoft Entra via Edge pour iOS et Android, sans avoir à saisir à nouveau leurs informations d'identification.

L’authentification unique exige que votre appareil soit inscrit par l’application Microsoft Authenticator pour les appareils iOS ou par le Portail d'entreprise Intune sur Android. Lorsque les utilisateurs disposent de l'un ou l'autre de ces éléments, ils sont invités à enregistrer leur appareil lorsqu'ils accèdent à une application web connectée à Microsoft Entra dans un navigateur protégé par une politique (cela n'est vrai que si leur appareil n'a pas déjà été enregistré). Une fois l'appareil enregistré dans le compte de l'utilisateur géré par Intune, le SSO de ce compte est activé pour les applications web connectées à Microsoft Entra.

Notes

L'enregistrement de l'appareil se fait simplement par l'intermédiaire du service Microsoft Entra. Il ne nécessite pas d’inscription complète des appareils et ne donne pas de privilèges supplémentaires au service informatique sur l’appareil.

Utiliser la configuration de l’application pour gérer l’expérience de navigation

Edge pour iOS et Android prend en charge les paramètres d’application qui permettent aux administrateurs de gérer les points de terminaison unifiés, comme Microsoft Intune, de personnaliser le comportement de l’application.

La configuration de l’application peut être fournie via le canal du système d’exploitation de gestion des appareils mobiles (GPM) sur (le canal de Configuration d’application gérée des appareils inscrits pour iOS ou le canal Android dans l’entreprise pour Android) ou via le canal GAM (Gestion des applications mobiles). Edge pour iOS et Android prend en charge les scénarios de configuration suivants :

  • Autoriser uniquement les comptes professionnels ou scolaires
  • Paramètres généraux de configuration d’application
  • Paramètres de protection des données
  • Configuration d’application supplémentaire pour les appareils gérés

Importante

Pour les scénarios de configuration qui nécessitent l’inscription d’appareils sur Android, les appareils doivent être inscrits dans Android Enterprise et Edge pour Android doit être déployé via Google Play store géré. Pour plus d’informations, consultez Configurer l’inscription des appareils de profil professionnel personnellement détenus d’Android Entreprise et Ajouter des stratégies de configuration d’application pour les appareils Android Enterprise gérés.

Chaque scénario de configuration met en évidence ses exigences spécifiques. Par exemple, si le scénario de configuration nécessite une inscription d’appareil et fonctionne donc avec n’importe quel fournisseur UEM, ou nécessite des stratégies Intune App Protection.

Importante

Les clés de configuration d’application respectent la casse. Utilisez la casse appropriée pour vous assurer que la configuration prend effet.

Remarque

Avec Microsoft Intune, la configuration de l’application fournie par le biais du canal du système d’exploitation GPM est appelée Stratégie de configuration des applications (SCA) pour les Appareils gérés. La configuration de l’application fournie via le canal GAM (Gestion des applications mobiles) est appelée Stratégie de configuration des applications pour les Applications gérées.

Autoriser uniquement les comptes professionnels ou scolaires

Le respect des stratégies de sécurité et de conformité des données de nos clients les plus grands et hautement réglementés est un pilier clé de la valeur Microsoft 365. Certaines entreprises ont besoin de capturer toutes les informations de communication au sein de leur environnement d’entreprise, ainsi que de s’assurer que les appareils sont utilisés uniquement pour les communications d’entreprise. Pour prendre en charge ces exigences, Edge pour iOS et Android sur les appareils inscrits peut être configuré pour autoriser uniquement l’approvisionnement d’un seul compte d’entreprise dans l’application.

Pour en savoir plus sur la configuration du paramètre du mode comptes autorisés de l’organisation, cliquez ici :

Ce scénario de configuration fonctionne uniquement avec les appareils inscrits. Toutefois, tout fournisseur UEM est pris en charge. Si vous n’utilisez pas Microsoft Intune, vous devez consulter votre documentation UEM pour savoir comment déployer ces clés de configuration.

Scénarios généraux de configuration des applications

Edge pour iOS et Android offre aux administrateurs la possibilité de personnaliser la configuration par défaut pour plusieurs paramètres dans l’application. Cette fonctionnalité est proposée lorsque Edge pour iOS et Android dispose d’une application gérée App Configuration stratégie appliquée au compte professionnel ou scolaire connecté à l’application.

Edge prend en charge les paramètres suivants pour la configuration :

  • Expériences de la Nouvelle page d’onglet
  • Expériences de signet
  • Expériences de comportement d’application
  • Expériences en mode plein écran

Ces paramètres peuvent être déployés sur l’application, quel que soit l’état d’inscription de l’appareil.

Mise en page du nouvel onglet

La disposition d’inspiration est celle par défaut pour la nouvelle page d’onglet. Il affiche les principaux raccourcis du site, le papier peint et le flux d’actualités. Les utilisateurs peuvent modifier la présentation en fonction de leurs préférences. Les organisations peuvent également gérer les paramètres de mise en page.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout Concentré Focus est sélectionné
inspirational (par défaut) Inspirational est sélectionné
informationnel Informational est sélectionné
coutume Personnalisé est sélectionné, le bouton bascule des raccourcis principaux du site est activé, le bouton bascule de papier peint est activé et le bouton bascule de flux d’actualités est activé
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom topsites Activer les raccourcis des sites principaux
papier peint Activer le papier peint
newsfeed Activer le flux d'informations
Pour que cette stratégie prenne effet, com.microsoft.intune.mam.managedbrowser.NewTabPageLayout doit être défini comme étant personnalisé

La valeur par défaut est topsites|wallpaper|newsfeed|.
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable vrai (par défaut) Les utilisateurs peuvent modifier les paramètres de mise en page.
faux Les utilisateurs ne peuvent pas modifier les paramètres de mise en page. La mise en page est déterminée par les valeurs spécifiées dans la stratégie ou par les valeurs par défaut.

Importante

La stratégie NewTabPageLayout est destinée à définir la structure initiale. Les utilisateurs peuvent modifier les paramètres de disposition des pages en fonction de leur référence. Par conséquent, la stratégie NewTabPageLayout ne prend effet que si les utilisateurs ne modifient pas les paramètres de disposition. Vous pouvez appliquer la stratégie NewTabPageLayout en configurant UserSelectable =false.

Remarque

À partir de la version 129.0.2792.84, la mise en page par défaut est remplacée par inspiration.

Exemple de désactivation des fils d'actualité

  • om.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false

Expériences de la Nouvelle page d’onglet

Edge pour iOS et Android offre aux organisations plusieurs options pour ajuster l'expérience de la nouvelle page d'onglet, y compris le logo de l'organisation, la couleur de la marque, votre page d'accueil, les principaux sites et les actualités du secteur.

Logo de l’organisation et couleur de la marque

Les paramètres organization logo et couleur de marque vous permettent de personnaliser la page Nouvel onglet pour Edge sur les appareils iOS et Android. Le logo Bannière est utilisé comme logo de votre organization et la couleur d’arrière-plan page est utilisée comme couleur de marque de votre organization. Pour plus d’informations, consultez Configurer la personnalisation de votre entreprise.

Ensuite, utilisez les paires clé/valeur suivantes pour tirer (pull) la personnalisation de votre organisation dans Edge pour iOS et Android :

Clé Valeur
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo vrai affiche le logo de la marque de l’organisation
faux (valeur par défaut) n’expose pas de logo
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor vrai affiche la couleur de la marque de l’organisation
faux (valeur par défaut) n’expose pas de couleur

Raccourci de la page d’accueil

Ce paramètre vous permet de configurer un raccourci de page d’accueil pour Edge pour iOS et Android sur la Nouvelle page d’onglet. Le raccourci de page d’accueil que vous configurez apparaît en tant que première icône sous la barre de recherche lorsque l’utilisateur ouvre un nouvel onglet dans Edge pour iOS et Android. L’utilisateur ne peut pas modifier ou supprimer ce raccourci dans son contexte managé. Le raccourci de la page d’accueil affiche le nom de votre organisation pour le distinguer.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.homepage

Ce nom de stratégie a été remplacé par l’interface utilisateur de l’URL de raccourci de la page d’accueil sous Paramètres de configuration Edge
Spécifiez une URL valide. Les URL incorrectes sont bloquées en tant que mesure de sécurité.
Par exemple : https://www.bing.com

Raccourcis de site principaux multiples

De même que pour configurer un raccourci de la page d’accueil, vous pouvez configurer plusieurs raccourcis de site principaux sur les Nouvelles pages d’onglets dans Edge pour iOS et Android. L’utilisateur ne peut pas modifier ou supprimer ces raccourcis dans un contexte managé. Remarque : vous pouvez configurer un total de 8 raccourcis, y compris un raccourci de page d’accueil. Si vous avez configuré un raccourci de la page d’accueil, ce raccourci remplacera le premier site supérieur configuré.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.managedTopSites Spécifiez un ensemble d’URL de valeur. Chaque raccourci de site principal se compose d’un titre et d’une URL. Séparez le titre et l’URL par le caractère | .
Par exemple : GitHub|https://github.com/||LinkedIn|https://www.linkedin.com

Actualités du secteur d’activité

Vous pouvez configurer l’expérience de Nouvelle page d’onglet dans Edge pour iOS et Android afin d’afficher les actualités du secteur d’activité pertinentes pour votre organisation. Lorsque vous activez cette fonctionnalité, Edge pour iOS et Android utilise le nom de domaine de votre organisation pour agréger les actualités du web concernant votre organisation, le secteur d’activité et les concurrents, afin que vos utilisateurs puissent trouver des actualités externes pertinentes à partir des nouvelles pages d’onglet centralisées dans Edge pour iOS et Android. Les actualités du secteur d’activité sont désactivées par défaut.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryInformation vrai affiche les actualités du secteur d’activité sur la nouvelle page d’onglet
faux (valeur par défaut) masque les actualités du secteur d’activité sur la Nouvelle page d’onglet

Page d’accueil au lieu de l’expérience de la Nouvelle page d’onglet

Edge pour iOS et Android permet aux organisations de désactiver l’expérience de la Nouvelle page d’onglet et de lancer un site web lorsque l’utilisateur ouvre un nouvel onglet. Bien qu’il s’agit d’un scénario pris en charge, Microsoft recommande aux organisations de tirer parti de l’expérience Nouvelle page d’onglet pour fournir du contenu dynamique pertinent pour l’utilisateur.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL Spécifiez une URL valide. Si aucune URL n’est spécifiée, l’application utilise l’expérience de la Nouvelle page d’onglet. Les URL incorrectes sont bloquées en tant que mesure de sécurité.
Par exemple : https://www.bing.com

Expériences de signet

Edge pour iOS et Android offre aux organisations plusieurs options de gestion des signets.

Signets gérés

Pour faciliter l’accès, vous pouvez configurer des signets que vous souhaitez que vos utilisateurs aient disponibles lorsqu’ils utilisent Edge pour iOS et Android.

  • Les signets apparaissent uniquement dans le compte professionnel ou scolaire et ne sont pas exposés à des comptes personnels.
  • Les signets ne peuvent pas être supprimés ou modifiés par les utilisateurs.
  • Les signets apparaissent en haut de la liste. Tous les signets créés par les utilisateurs apparaissent sous ces signets.
  • Si vous avez activé Proxy d'application redirection, vous pouvez ajouter Proxy d'application applications web à l’aide de leur URL interne ou externe.
  • Les signets sont créés dans un dossier nommé d'après le nom de l'organisation qui est défini dans Microsoft Entra ID.
Clé Valeur
com.microsoft.intune.mam.managedbrowser.bookmarks

Ce nom de stratégie a été remplacé par l’interface utilisateur des signets managés sous paramètres de configuration Edge
La valeur de cette configuration est une liste de signets. Chaque signet se compose du titre du signet et de l’URL du signet. Séparez le titre et l’URL par le caractère | .
Par exemple : Microsoft Bing|https://www.bing.com

Pour configurer plusieurs signets, séparez chaque paire par le caractère double ||.
Par exemple : Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com

Signet Mes applications

Par défaut, les utilisateurs ont configuré le signet Mes applications dans le dossier de l’organisation dans Edge pour iOS et Android.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.MyApps vrai (valeur par défaut) affiche Mes applications dans les signets Edge pour iOS et Android
false masque Mes applications dans Edge pour iOS et Android

Expériences de comportement d’application

Edge pour iOS et Android offre aux organisations plusieurs options pour gérer le comportement de l’application.

Mot de passe Microsoft Entra pour l'authentification unique

La fonctionnalité d'authentification unique (SSO) de Microsoft Entra mot de passe offerte par Microsoft Entra ID permet de gérer l'accès des utilisateurs aux applications Web qui ne prennent pas en charge la fédération d'identité. La fonctionnalité d'authentification unique (SSO) de Microsoft Entra Mot de passe offerte par Microsoft Entra ID permet de gérer l'accès des utilisateurs aux applications Web qui ne prennent pas en charge la fédération d'identité. Pour plus d’informations, consultez Ajouter l’authentification unique par mot de passe à une application.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.PasswordSSO vrai Microsoft Entra Mot de passe SSO est activé
faux (par défaut) Microsoft Entra Mot de passe SSO est désactivé

Gestionnaire de protocole par défaut

Par défaut, Edge pour iOS et Android utilise le gestionnaire de protocole HTTPS lorsque l’utilisateur ne spécifie pas le protocole dans l’URL. En règle générale, il s’agit d’une bonne pratique, mais elle peut être désactivée.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.defaultHTTPS vrai (valeur par défaut) le gestionnaire du protocole par défaut est HTTPS
faux le gestionnaire du protocole par défaut est HTTP

Désactiver les données de diagnostic facultatives

Par défaut, les utilisateurs peuvent choisir d’envoyer des données de diagnostic facultatives à partir de Paramètres->Confidentialité et sécurité ->Données de diagnostic- paramètre des>Données de diagnostic facultatives Les organisations peuvent désactiver ce paramètre.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.disableShareUsageData Vrai Le paramètre de données de diagnostic facultatif est désactivé
faux (valeur par défaut) L’option peut être activée ou désactivée par les utilisateurs

Remarque

Le paramètre de Données de diagnostic facultatives est également présenté aux utilisateurs lors de l’expérience de première exécution (EPE). Les organisations peuvent ignorer cette étape à l’aide de la stratégie GPM EdgeDisableShareUsageData

Désactiver des fonctionnalités spécifiques

Edge pour iOS et Android permet aux organisations de désactiver certaines fonctionnalités activées par défaut. Pour désactiver ces fonctionnalités, configurez le paramètre suivant :

Clé Valeur
com.microsoft.intune.mam.managedbrowser.disabledFeatures mot de passe désactive les invites qui proposent d’enregistrer des mots de passe pour l’utilisateur final
inprivate désactive la navigation InPrivate
Le remplissage automatique désactive la fonction « Enregistrer et remplir les adresses » et « Enregistrer et remplir les informations de paiement ». Le remplissage automatique est désactivé même pour les informations enregistrées précédemment
Traducteur désactive traducteur
readaloud désactive la lecture à voix haute
déposer désactive le dépôt
coupons désactive les coupons
les extensions désactivent les extensions (Edge pour Android uniquement)
developertools grise les numéros de version de build pour empêcher les utilisateurs d’accéder aux options développeur (Edge pour Android uniquement)
UIRAlert supprimer les fenêtres contextuelles de nouveau compte dans l’écran de la page nouvel onglet
share désactive Le partage sous le menu
sendtodevices désactive Envoyer aux appareils sous le menu
météo désactive la météo dans NTP (page Nouvel onglet)

Pour désactiver plusieurs fonctionnalités, séparez les valeurs par |. Par exemple, inprivate|password désactive le stockage InPrivate et le stockage par mot de passe.

Désactiver la fonctionnalité d’importation des mots de passe

Edge pour iOS et Android permet aux utilisateurs d’importer des mots de passe à partir du Gestionnaire de mots de passe. Pour désactiver l’importation des mots de passe, configurez le paramètre suivant :

Clé Valeur
com.microsoft.intune.mam.managedbrowser.disableImportPasswords Vrai Désactiver l’importation des mots de passe
faux (valeur par défaut) Autoriser l’importation des mots de passe

Remarque

Le Gestionnaire de mots de passe de Edge pour iOS comporte un bouton Ajouter . Lorsque la fonctionnalité d’importation des mots de passe est désactivée, le bouton Ajouter est également désactivé.

Vous pouvez contrôler si les sites peuvent stocker des cookies pour vos utilisateurs dans Edge pour Android. Pour ce faire, configurez le paramètre suivant :

Clé Valeur
com.microsoft.intune.mam.managedbrowser.cookieControlsMode 0 (valeur par défaut) autoriser les cookies
1 Bloquer les cookies non-Microsoft
2 bloquer les cookies non-Microsoft en mode InPrivate
3 bloquer tous les cookies

Remarque

Edge pour iOS ne prend pas en charge le contrôle des cookies.

Expériences en mode plein écran sur les appareils Android

Edge pour Android peut être activé en tant qu’application kiosque avec les paramètres suivants :

Clé Valeur
com.microsoft.intune.mam.managedbrowser.enableKioskMode vrai active le mode plein écran pour Edge pour Android
faux (valeur par défaut) désactive le mode plein écran
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode vrai affiche la barre d’adresse en mode plein écran
faux (valeur par défaut) masque la barre d’adresses lorsque le mode plein écran est activé
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode vrai affiche la barre d’action inférieure en mode plein écran
faux (valeur par défaut) masque la barre inférieure lorsque le mode plein écran est activé

Remarque

Le mode plein écran n’est pas pris en charge sur les appareils iOS. Toutefois, vous pouvez utiliser le mode Affichage verrouillé (stratégie MDM uniquement) pour obtenir une expérience utilisateur similaire, où les utilisateurs ne peuvent pas accéder à d’autres sites web, car la barre d’adresses URL devient en lecture seule en mode Affichage verrouillé.

Mode d’affichage verrouillé

Edge pour iOS et Android peut être activé en mode d’affichage verrouillé avec la stratégie MDM EdgeLockedViewModeEnabled.

Clé Valeur
EdgeLockedViewModeEnabled Faux (par défaut) Le mode d'affichage verrouillé est désactivé.
vrai Le mode d’affichage verrouillé est activé

Il permet aux organisations de restreindre diverses fonctionnalités du navigateur, offrant ainsi une expérience de navigation contrôlée et ciblée.

  • La barre d'adresse URL devient en lecture seule, ce qui empêche les utilisateurs de modifier l'adresse web.
  • Les utilisateurs ne sont pas autorisés à créer de nouveaux onglets
  • La fonction de recherche contextuelle sur les pages web est désactivée
  • Les boutons suivants du menu de débordement sont désactivés
Boutons État
Nouvel onglet InPrivate Désactivé
Envoyer aux appareils Désactivé
Lettrine Désactivé
Ajouter au téléphone (Android) Désactivé
Page de téléchargement (Android) Désactivé

Le mode d'affichage verrouillé est souvent utilisé avec la stratégie MAM com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL ou la stratégie MDM EdgeNewTabPageCustomURL , qui permettent aux organisations de configurer une page web spécifique qui est automatiquement lancée à l'ouverture d' Edge. Les utilisateurs sont limités à cette page web et ne peuvent pas naviguer vers d'autres sites web, ce qui offre un environnement contrôlé pour des tâches spécifiques ou la consommation de contenu.

Notes

Par défaut, les utilisateurs ne sont pas autorisés à créer de nouveaux onglets en mode verrouillé. Pour autoriser la création d'onglets, définissez la stratégie MDM EdgeLockedViewModeAllowedActions sur newtabs .

Basculer la pile réseau entre Chromium et iOS

Par défaut, Microsoft Edge pour iOS et Android utilisent la pile réseau Chromium pour Microsoft Edge communication de service, notamment les services de synchronisation, les suggestions de recherche automatique et l’envoi de commentaires. Microsoft Edge pour iOS fournit également la pile réseau iOS comme option configurable pour Microsoft Edge communication de service.

Les organisations peuvent modifier leurs préférences de pile réseau en configurant le paramètre suivant.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.NetworkStackPref 0 (valeur par défaut) utiliser la pile réseau Chromium
1 utiliser la pile réseau iOS

Remarque

L’utilisation de la pile réseau Chromium est recommandée. Si vous rencontrez des problèmes de synchronisation ou un échec lors de l’envoi de commentaires avec la pile réseau Chromium, par exemple avec certaines solutions VPN par application, l’utilisation de la pile réseau iOS peut résoudre les problèmes.

Définir une URL de fichier .pac proxy

Les organisations peuvent spécifier une URL vers un fichier PAC (proxy auto-config) pour Microsoft Edge pour iOS et Android.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.proxyPacUrl Spécifiez une URL valide pour un fichier .pac proxy.
Par exemple : https://internal.site/example.pac

Échec de la prise en charge de l’ouverture PAC

Par défaut, Microsoft Edge pour iOS et Android bloque l'accès au réseau avec un script PAC invalide ou indisponible. Toutefois, les organisations peuvent modifier le comportement par défaut en cas d’échec de l’ouverture du PAC.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled faux (valeur par défaut) Bloquer l’accès réseau
Vrai Autoriser l’accès réseau

Configurer les relais réseau

Edge pour iOS prend désormais en charge les relais réseau sur iOS 17 Il s'agit d'un type particulier de proxy qui peut être utilisé pour l'accès à distance et les solutions de protection de la vie privée. Ils prennent en charge le passage sécurisé et transparent du trafic, servant d'alternative moderne aux VPN pour l'accès aux ressources internes. Pour plus d'informations sur les relais réseau, voir Utiliser les relais réseau sur les appareils Apple .

Les organisations peuvent configurer des URL de proxy relais pour acheminer le trafic en fonction des domaines correspondants et exclus.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl Spécifiez une URL valide vers un fichier json de configuration de relais.
Par exemple : https://yourserver/relay_config.json

Un exemple de fichier json pour les relais réseau
{
« default » : [{
« proxy_type » : « http »,
« host_name » : « 170.200.50.300 »,
« port » : « 3128 »,
« failover_allowed » :0,
« match_domains » : [
« domain1.com »,
« domain2.com » ],
« excluded_domains » : [
« domain3.com »,
« domain4.com » ]
} ]
}

Proxy permettant aux utilisateurs de se connecter à Edge sous Android

Une configuration automatique du proxy (PAC) est généralement configurée dans le profil VPN. Cependant, en raison de la limitation de la plateforme, le PAC ne peut pas être reconnu par Android WebView, qui est utilisé pendant le processus de connexion Edge. Il se peut que les utilisateurs ne puissent pas se connecter à Edge sous Android.

Les entreprises peuvent spécifier un proxy dédié via une stratégie MDM pour que les utilisateurs se connectent à Edge sous Android.

Clé Valeur
EdgeOneAuthProxy La valeur correspondante est une chaîne de caractères
Exemplehttp://MyProxy.com:8080

Magasin de données du site web iOS

Le magasin de données du site web dans Edge pour iOS est essentiel pour gérer les cookies, les caches de disque et de mémoire, et divers types de données. Cependant, il n'y a qu'un seul magasin de données de site web persistant dans Edge pour iOS. Par défaut, ce magasin de données est exclusivement utilisé par les comptes personnels, ce qui limite son utilisation par les comptes professionnels ou scolaires. Par conséquent, les données de navigation, à l'exclusion des cookies, sont perdues après chaque session pour les comptes professionnels ou scolaires. Pour améliorer l'expérience de l'utilisateur, les organisations peuvent configurer le magasin de données du site web pour qu'il soit utilisé par des comptes professionnels ou scolaires, ce qui garantit la persistance des données de navigation.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore 0 La base de données du site web est toujours utilisée uniquement par le compte personnel.
1 Le magasin de données du site web sera utilisé par le premier compte connecté
2 (Par défaut) Le magasin de données du site web sera utilisé par le compte du travail ou de l'école, quel que soit l'ordre d'ouverture de session.

Notes

Avec la sortie d' iOS 17, plusieurs magasins persistants sont désormais pris en charge. Le compte professionnel et le compte personnel ont leur propre magasin persistant. Par conséquent, cette stratégie n'est plus valable à partir de la version 122.

Microsoft Defender SmartScreen

Microsoft Defender SmartScreen est une fonctionnalité qui permet aux utilisateurs d’éviter les sites malveillants et les téléchargements. Elle est activée par défaut. Les organisations peuvent désactiver ce paramètre.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled vrai (valeur par défaut) Microsoft Defender SmartScreen est activé.
faux Microsoft Defender SmartScreen est désactivé.

Vérification du certificat

Par défaut, Microsoft Edge pour Android vérifie les certificats de serveur à l’aide du vérificateur de certificat intégré et du Microsoft Root Store comme source de confiance publique. Les organisations peuvent basculer vers le vérificateur de certificats système et les certificats racines système.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled vrai (par défaut) Utiliser le vérificateur de certificats intégré et le Microsoft Root Store pour vérifier les certificats.
faux Utiliser le vérificateur de certificats du système et les certificats racine du système comme source de confiance publique pour vérifier les certificats.

Remarque

Un cas d’usage pour cette stratégie est que vous devez utiliser le vérificateur de certificats système et les certificats racine système lors de l’utilisation du Tunnel GAM Microsoft dans Edge pour Android.

Contrôle de la page d'avertissement SSL

Par défaut, les utilisateurs peuvent cliquer sur les pages d'avertissement qui s'affichent lorsqu'ils naviguent vers des sites présentant des erreurs SSL. Les organisations peuvent gérer le comportement.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed vrai (par défaut) Autorise les utilisateurs à cliquer sur les pages d'avertissement SSL
faux Empêcher les utilisateurs de cliquer sur les pages d'avertissement SSL

Paramètres des fenêtres contextuelles

Par défaut, les fenêtres contextuelles sont bloquées. Les organisations peuvent gérer le comportement.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting 1 Autoriser tous les sites à afficher des fenêtres contextuelles
2 (Par défaut) N'autoriser aucun site à afficher des fenêtres contextuelles.

Autoriser les fenêtres contextuelles sur des sites spécifiques

Si cette stratégie n'est pas configurée, la valeur de la stratégie DefaultPopupsSetting (si elle est définie) ou la configuration personnelle de l'utilisateur est utilisée pour tous les sites. Les organisations peuvent définir une liste de sites qui peuvent ouvrir des fenêtres contextuelles.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère.

Exemples :
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Pour plus d'informations sur le format des URL, voir Format du modèle d'URL de la stratégie d'entreprise .

Bloquer les fenêtres contextuelles sur des sites spécifiques

Si cette stratégie n'est pas configurée, la valeur de la stratégie DefaultPopupsSetting (si elle est définie) ou la configuration personnelle de l'utilisateur est utilisée pour tous les sites. Les organisations peuvent définir une liste de sites dont l'ouverture de fenêtres contextuelles est bloquée.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère.

Exemples :
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

Pour plus d'informations sur le format des URL, voir Format du modèle d'URL de la stratégie d'entreprise .

Fournisseur de recherche par défaut

Par défaut, Edge utilise le fournisseur de recherche par défaut pour effectuer une recherche lorsque les utilisateurs saisissent des textes autres que des URL dans la barre d'adresse. Les utilisateurs peuvent modifier la liste des fournisseurs de recherche. Les organisations peuvent gérer le comportement des fournisseurs de recherche.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled vrai Activer le fournisseur de recherche par défaut
faux Désactiver le fournisseur de recherche par défaut

Configurer le fournisseur de recherche

Les organisations peuvent configurer un fournisseur de recherche pour les utilisateurs. Pour configurer un fournisseur de recherche, il faut d'abord configurer la stratégie DefaultSearchProviderEnabled.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName La valeur correspondante est une chaîne de caractères
ExempleMy Intranet Search
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL La valeur correspondante est une chaîne de caractères
Exemplehttps://search.my.company/search?q={searchTerms}

Copilot

Notes

Depuis la version 128, Copilot pour les comptes professionnels ou scolaires est déprécié. Par conséquent, les stratégies suivantes ne seront plus valides dans la version 128. Si vous souhaitez bloquer l’accès à la version web de Copilot, copilot.microsoft.com, vous pouvez utiliser la stratégie AllowListURLs ou BlockListURLs.

Copilot est disponible sur Microsoft Edge pour iOS et Android. Les utilisateurs peuvent lancer Copilot en cliquant sur le bouton Copilot dans la barre inférieure.

Il existe trois paramètres dans Réglages – >Général – >Copilote .

  • Afficher le Copilot – Permet d'afficher ou non le bouton Bing dans la barre inférieure.
  • Autoriser l'accès à n'importe quelle page web ou PDF – Autoriser ou non Copilot à accéder au contenu d'une page ou d'un PDF.
  • Accès rapide lors de la sélection de texte – Permet d'afficher ou non le panneau de discussion rapide lors de la sélection de texte sur une page web.

Vous pouvez gérer les paramètres de Copilot.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.Chat vrai (par défaut) Les utilisateurs peuvent voir le bouton Copilote dans la barre inférieure. Le paramètre Afficher le Copilot est activé par défaut et peut être désactivé par les utilisateurs.
faux Les utilisateurs ne peuvent pas voir le bouton Copilote dans la barre inférieure. Le paramètre Afficher Copilot est désactivé et ne peut pas être activé par les utilisateurs
com.microsoft.intune.mam.managedbrowser.ChatPageContext vrai (par défaut) L'accès à n'importe quelle page web ou PDF et l'accès rapide à la sélection de texte peuvent être activés par les utilisateurs.
faux L'accès à n'importe quelle page web ou PDF et l'accès rapide à la sélection de texte seront désactivés et ne pourront pas être activés par les utilisateurs.

Scénarios de configuration des applications de protection des données

Edge pour iOS et Android prend en charge les stratégies de configuration des applications pour les paramètres de protection des données suivants lorsque l’application est gérée par Microsoft Intune avec une stratégie d’application gérée App Configuration appliquée au compte professionnel ou scolaire connecté à l’application :

  • Gérer la synchronisation de compte
  • Gérer les sites web restreints
  • Gérer la configuration du proxy
  • Gérer les sites d’authentification unique NTLM

Ces paramètres peuvent être déployés sur l’application, quel que soit l’état d’inscription de l’appareil.

Gérer la synchronisation de compte

Par défaut, Microsoft Edge synchronisation permet aux utilisateurs d’accéder à leurs données de navigation sur tous leurs appareils connectés. Les données prises en charge par la synchronisation incluent :

  • Favoris
  • Mots de passe
  • Adresses et plus encore (entrée du remplissage automatiquement du formulaire)

La fonctionnalité de synchronisation est activée via le consentement de l’utilisateur et les utilisateurs peuvent activer ou désactiver la synchronisation pour chacun des types de données répertoriés ci-dessus. Pour plus d’informations, consultez Synchronisation Microsoft Edge.

Les organisations ont la possibilité de désactiver la synchronisation Edge sur iOS et Android.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.account.syncDisabled vai désactive la synchronisation Edge
faux (valeur par défaut) autorise la synchronisation Edge

Gérer les sites web restreints

Les organisations peuvent définir les sites auxquels les utilisateurs peuvent accéder dans le contexte de compte professionnel ou scolaire dans Edge pour iOS et Android. Si vous utilisez une liste verte, vos utilisateurs ne peuvent accéder qu’aux sites explicitement répertoriés. Si vous utilisez une liste bloquée, les utilisateurs peuvent accéder à tous les sites, à l’exception de ceux qui sont explicitement bloqués. Vous devez uniquement imposer une liste autorisée ou bloquée, et non les deux. Si vous imposez les deux, seule la liste autorisée est respectée.

Les organisations définissent également ce qui se passe lorsqu’un utilisateur tente d’accéder à un site web restreint. Par défaut, les transitions sont autorisées. Si l'organisation l'autorise, les sites web à accès restreint peuvent être ouverts dans le contexte du compte personnel, dans le contexte InPrivate du compte Microsoft Entra ou si le site est entièrement bloqué. Pour plus d’informations sur les différents scénarios pris en charge, consultez Transitions de sites web restreints dans Microsoft Edgemobile . En autorisant les expériences de transition, les utilisateurs de l’organisation restent protégés, tout en préservant la sécurité des ressources de l’entreprise.

Pour améliorer l’expérience de changement de profil en réduisant la nécessité pour les utilisateurs de basculer manuellement vers des profils personnels ou le mode InPrivate pour ouvrir des URL bloquées, nous avons introduit deux nouvelles stratégies :

  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork

Étant donné que ces stratégies apportent des résultats différents en fonction de leurs configurations et combinaisons, nous vous recommandons d’essayer nos suggestions de stratégie ci-dessous pour une évaluation rapide afin de voir si l’expérience de changement de profil s’aligne bien sur les besoins de votre organization avant d’explorer la documentation détaillée. Les paramètres de configuration de changement de profil suggérés incluent les valeurs suivantes :

  • com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
  • com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2

Remarque

Edge pour iOS et Android ne peut bloquer l’accès aux sites que lorsqu’ils sont directement accessibles. Il ne bloque pas l’accès lorsque les utilisateurs utilisent des services intermédiaires (tels qu’un service de traduction) pour accéder au site. Les URL qui commencent par Edge, telles que Edge://*, Edge://flagset Edge://net-export, ne sont pas prises en charge dans la stratégie de configuration d’application AllowListURLs ou BlockListURLs pour les applications gérées. Vous pouvez désactiver ces URL avec com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList.

Si vos appareils sont gérés, vous pouvez également utiliser la stratégie de configuration d’application URLAllowList ou URLBlocklist pour les appareils gérés. Pour plus d'informations, voir les stratégies mobiles de Microsoft Edge .

Utilisez les paires clé/valeur suivantes pour configurer une liste de sites autorisée ou bloquée pour Edge pour iOS et Android.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.AllowListURLs

Ce nom de stratégie a été remplacé par l’interface utilisateur des URL autorisées sous paramètres de configuration Edge
La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez autoriser en tant que valeur unique, séparées par un canal | caractère.

Exemples :
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.BlockListURLs

Ce nom de stratégie a été remplacé par l’interface utilisateur des URL bloquées sous paramètres de configuration Edge
La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère.

Exemples :
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock vrai (valeur par défaut) permet à Edge pour iOS et Android de migrer des sites restreints. Lorsque les comptes personnels ne sont pas désactivés, les utilisateurs sont invités à basculer vers le contexte personnel pour ouvrir le site restreint ou à ajouter un compte personnel. Si com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked a la valeur vrai, les utilisateurs peuvent ouvrir le site restreint dans le contexte InPrivate.
faux empêche Edge pour iOS et Android de migrer les utilisateurs. Les utilisateurs reçoivent simplement un message indiquant que le site auquel ils tentent d’accéder est bloqué.
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked

Ce nom de stratégie a été remplacé par l’interface utilisateur de Rediriger les sites restreints vers le contexte personnel sous paramètres de configuration Edge
vrai permet d'ouvrir des sites restreints dans le contexte InPrivate du compte Microsoft Entra. Si le compte Microsoft Entra est le seul compte configuré dans Edge pour iOS et Android, le site restreint est ouvert automatiquement dans le contexte InPrivate. Si un compte personnel est configuré pour l’utilisateur, il est invité à choisir entre ouvrir InPrivate ou basculer vers le compte personnel.
faux (valeur par défaut) nécessite l’ouverture du site restreint dans le compte personnel de l’utilisateur. Si les comptes personnels sont désactivés, le site est bloqué.
Pour que ce paramètre prenne effet, com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock doit avoir la valeur vrai.
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar Entrez le nombre de secondes pendant lesquelles les utilisateurs verront la notification « L’accès à ce site est bloqué par votre organisation. Nous l’avons ouvert en mode InPrivate pour vous permettre d’accéder au site. » Par défaut, la notification de barre de collation s’affiche pendant 7 secondes.

Les sites suivants, à l’exception de copilot.microsoft.com, sont toujours autorisés, quels que soient les paramètres de liste verte ou de liste bloquée définis :

  • https://*.microsoft.com/*
  • http://*.microsoft.com/*
  • https://microsoft.com/*
  • http://microsoft.com/*
  • https://*.windowsazure.com/*
  • https://*.microsoftonline.com/*
  • https://*.microsoftonline-p.com/*

Contrôler le comportement de la fenêtre contextuelle Site bloqué

Lorsqu'ils tentent d'accéder aux sites web bloqués, les utilisateurs sont invités à passer à InPrivate ou à utiliser leur compte personnel pour accéder aux sites web bloqués. Vous pouvez choisir les préférences entre InPrivate et le compte personnel.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock 0 : (Par défaut) Affiche toujours la fenêtre contextuelle pour que l'utilisateur puisse choisir.
1 : Basculer automatiquement vers le compte personnel lorsque le compte personnel est connecté. Si le compte personnel n'est pas connecté, le comportement sera modifié à la valeur 2.
2 :Bascule automatiquement vers InPrivate si le basculement InPrivate est autorisé par com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true.

Contrôler le comportement du changement de profil personnel en profil professionnel

Lorsque Edge se trouve sous le profil personnel et que les utilisateurs tentent d’ouvrir un lien à partir d’Outlook ou de Microsoft Teams qui se trouvent sous le profil professionnel, par défaut, Intune utilise le profil professionnel Edge pour ouvrir le lien, car Edge, Outlook et Microsoft Teams sont gérés par Intune. Toutefois, lorsque le lien est bloqué, l’utilisateur passe au profil personnel. Cela entraîne une expérience de friction pour les utilisateurs

Vous pouvez configurer une stratégie pour améliorer l’expérience des utilisateurs. Il est recommandé d’utiliser cette stratégie avec AutoTransitionModeOnBlock, car elle peut basculer les utilisateurs vers le profil personnel en fonction de la valeur de stratégie que vous avez configurée.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork 1 : (par défaut) Basculer vers le profil professionnel même si l’URL est bloquée par la stratégie Edge.
2 : Les URL bloquées s’ouvrent sous profil personnel si le profil personnel est connecté. Si le profil personnel n’est pas connecté, l’URL bloquée s’ouvre en mode InPrivate.

Formats d’URL pour la liste des sites autorisés et bloqués

Vous pouvez utiliser différents formats d’URL pour créer vos listes de sites autorisés/bloqués. Ces modèles autorisés sont détaillés dans le tableau suivant.

  • Veillez à préfixer toutes les URL avec http:// ou https:// lors de leur entrée dans la liste.

  • Vous pouvez utiliser le symbole générique (*) conformément aux règles de la liste des modèles autorisés suivants.

  • Un caractère générique ne peut correspondre qu’à une partie (par exemple, news-contoso.com) ou à un composant entier du nom d’hôte (par exemple, host.contoso.com) ou à des parties entières du chemin d’accès lorsqu’il est séparé par des barres obliques (www.contoso.com/images).

  • Vous pouvez spécifier des numéros de port dans l’adresse. Si vous ne spécifiez pas de numéro de port, les valeurs utilisées sont les suivantes :

    • Port 80 pour http
    • Port 443 pour https
  • L’utilisation de caractères génériques pour le numéro de port n’est pas prise en charge. Par exemple, http://www.contoso.com:* et http://www.contoso.com:*/ ne sont pas pris en charge.

    URL Détails Correspondances Ne correspond pas
    http://www.contoso.com Correspond à une seule page www.contoso.com host.contoso.com
    www.contoso.com/images
    contoso.com/
    http://contoso.com Correspond à une seule page contoso.com/ host.contoso.com
    www.contoso.com/images
    www.contoso.com
    http://www.contoso.com/* Correspond à toutes les URL qui commencent par www.contoso.com www.contoso.com
    www.contoso.com/images
    www.contoso.com/videos/tvshows
    host.contoso.com
    host.contoso.com/images
    http://*.contoso.com/* Correspond à tous les sous-domaines sous contoso.com developer.contoso.com/resources
    news.contoso.com/images
    news.contoso.com/videos
    contoso.host.com
    news-contoso.com
    http://*contoso.com/* Correspond à tous les sous-domaines se terminant par contoso.com/ news-contoso.com
    news-contoso.com/daily
    news-contoso.host.com
    news.contoso.com
    http://www.contoso.com/images Correspond à un dossier unique www.contoso.com/images www.contoso.com/images/dogs
    http://www.contoso.com:80 Correspond à une seule page, à l’aide d’un numéro de port www.contoso.com:80
    https://www.contoso.com Correspond à une seule page sécurisée www.contoso.com www.contoso.com/images
    http://www.contoso.com/images/* Correspond à un dossier unique et à tous les sous-dossiers www.contoso.com/images/dogs
    www.contoso.com/images/cats
    www.contoso.com/videos
  • Voici quelques exemples d’entrées que vous ne pouvez pas spécifier :

    • *.com
    • *.contoso/*
    • www.contoso.com/*images
    • www.contoso.com/*images*pigs
    • www.contoso.com/page*
    • Adresses IP
    • https://*
    • http://*
    • http://www.contoso.com:*
    • http://www.contoso.com: /*

Désactiver les pages internes Edge

Vous pouvez désactiver les pages internes Edge telles que Edge://flags et Edge://net-export. Vous trouverez d’autres pages à partir de Edge://about

Clé Valeur
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList La valeur correspondante de la clé est une liste de noms de pages. Vous pouvez entrer les pages internes que vous souhaitez bloquer en tant que valeur unique, séparées par un caractère de canal | .

Exemples :
flags|net-export

Gérer les sites web pour permettre le téléchargement de fichiers

Il peut arriver que les utilisateurs ne soient autorisés qu'à consulter des sites web, sans avoir la possibilité de télécharger des fichiers. Les organisations ont la possibilité de désigner les sites web qui peuvent recevoir des téléchargements de fichiers.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère.

Exemples :
URL1|URL2|URL3
https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez bloquer en tant que valeur unique, séparées par un canal | caractère.

Exemples :
URL1|URL2|URL3
https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com

L'exemple permet d'empêcher tous les sites web, y compris les sites web internes, de télécharger des fichiers.

  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Un exemple pour permettre à des sites web spécifiques de télécharger des fichiers

  • com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=https://[*.]contoso.com/|[*.]sharepoint.com/
  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

Pour plus d'informations sur le format des URL, voir Format du modèle d'URL de la stratégie d'entreprise .

Notes

Pour Edge sur iOS, l'action de coller sera bloquée en plus des téléchargements. Les utilisateurs ne verront pas l'option coller dans le menu d'action.

Gérer la configuration du proxy

Vous pouvez utiliser Edge pour iOS et Android et le proxy d'application Microsoft Entra ensemble pour permettre aux utilisateurs d'accéder aux sites intranet sur leurs appareils mobiles. Par exemple :

  • Un utilisateur utilise l’application mobile Outlook, qui est protégée par Intune. Ils cliquent ensuite sur un lien vers un site intranet dans un e-mail, et Edge pour iOS et Android reconnaît que ce site intranet a été exposé à l’utilisateur via Proxy d'application. L’utilisateur est automatiquement routé via Proxy d'application, pour s’authentifier auprès de toute authentification multifacteur applicable et d’un accès conditionnel, avant d’atteindre le site intranet. L’utilisateur est désormais en mesure d’accéder aux sites internes, même sur ses appareils mobiles, et le lien dans Outlook fonctionne comme prévu.
  • Un utilisateur ouvre Edge pour iOS et Android sur son appareil iOS ou Android. Si Edge pour iOS et Android est protégé avec Intune et que Proxy d'application est activé, l’utilisateur peut accéder à un site intranet à l’aide de l’URL interne à laquelle il est habitué. Edge pour iOS et Android reconnaît que ce site intranet a été exposé à l’utilisateur via Proxy d'application. L’utilisateur est automatiquement routé via Proxy d'application, pour s’authentifier avant d’atteindre le site intranet.

Avant de commencer :

  • Configurez vos applications internes via le proxy d'application Microsoft Entra.
    • Pour configurer Proxy d'application et publier des applications, consultez la configurer la documentation.
    • Assurez-vous que l'utilisateur est assigné à l'application proxy de Microsoft Entra, même si l'application est configurée avec le type de pré-authentification Passthrough.
  • Une stratégie de protection d’application Intune doit être affectée à l’application Edge pour iOS et Android.
  • Les applications Microsoft doivent avoir une stratégie de protection des applications où l’optionRestreindre le transfert de contenu web avec d’autres applications paramètre de transfert de données est définie sur Microsoft Edge.

Remarque

Edge pour iOS et Android met à jour les données de redirection Proxy d'application en fonction du dernier événement d’actualisation réussi. Des mises à jour sont tentées chaque fois que la dernière actualisation réussie est supérieure à une heure.

Ciblez Edge pour iOS et Android avec la paire clé/valeur suivante, pour activer le proxy d'application.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection

Ce nom de stratégie a été remplacé par l’interface utilisateur de la redirection du proxy d’application sous paramètres de configuration Edge
vrai active les scénarios de redirection de proxy d'application Microsoft Entra
faux (par défaut) empêche les scénarios de proxy d'application Microsoft Entra

Pour plus d'informations sur la façon d'utiliser Edge pour iOS et Android et le proxy d'application Microsoft Entra en tandem pour un accès transparent (et protégé) aux applications Web sur site, voir Mieux ensemble : Intune et Microsoft Entra s'associent pour améliorer l'accès des utilisateurs . Ce billet de blog fait référence aux Intune Managed Browser, mais le contenu s’applique également à Edge pour iOS et Android.

Gérer les sites d’authentification unique NTLM

Les organisations peuvent demander aux utilisateurs de s’authentifier auprès de NTLM pour accéder aux sites web intranet. Par défaut, les utilisateurs sont invités à entrer des informations d’identification chaque fois qu’ils accèdent à un site web qui nécessite une authentification NTLM, car la mise en cache des informations d’identification NTLM est désactivée.

Les organisations peuvent activer la mise en cache des informations d’identification NTLM pour des sites web particuliers. Pour ces sites, une fois que l’utilisateur a entré les informations d’identification et s’est correctement authentifié, les informations d’identification sont mises en cache par défaut pendant 30 jours.

Remarque

Si vous utilisez un serveur proxy, vérifiez qu’il est configuré à l’aide de la stratégie NTLMSSOURLs où vous spécifiez spécifiquement https et http dans le cadre de la valeur de clé.

Actuellement, les schémas https et http doivent être spécifiés dans la valeur de clé NTLMSSOURLs. Par exemple, vous devez configurer et https://your-proxy-server:8080http://your-proxy-server:8080. Actuellement, la spécification du format host :port (tel que your-proxy-server:8080) n’est pas suffisante.

En outre, le symbole générique (*) n’est pas pris en charge lors de la configuration des serveurs proxy dans la stratégie NTLMSSOURLs.

Clé Valeur
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs La valeur correspondante pour la clé est une liste d’URL. Vous entrez toutes les URL que vous souhaitez autoriser en tant que valeur unique, séparées par un canal | caractère.

Exemples :
URL1|URL2
http://app.contoso.com/|https://expenses.contoso.com

Pour plus d’informations sur les types de formats d’URL pris en charge, consultez Formats d’URL pour la liste de sites autorisés et bloqués.
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO Nombre d’heures de mise en cache des informations d’identification, la valeur par défaut est 720 heures

Configuration d’application supplémentaire pour les appareils gérés

Les stratégies suivantes, configurables à l’origine via la stratégie de configuration des applications gérées, sont désormais disponibles via la stratégie de configuration des applications des appareils gérés. Lors de l’utilisation de stratégies pour les applications gérées, les utilisateurs doivent se connecter à Microsoft Edge. Lorsque vous utilisez des stratégies pour les appareils gérés, les utilisateurs ne sont pas tenus de se connecter à Edge pour appliquer les stratégies.

Étant donné que les stratégies de configuration des applications pour les appareils gérés nécessitent une inscription d’appareil, toute gestion unifiée des points de terminaison (UEM) est prise en charge. Pour trouver d’autres stratégies sous le canal GPM, consultez Stratégies mobiles Microsoft Edge.

Stratégie GAM Stratégie GPM
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL EdgeNewTabPageCustomURL
com.microsoft.intune.mam.managedbrowser.MyApps EdgeMyApps
com.microsoft.intune.mam.managedbrowser.defaultHTTPS EdgeDefaultHTTPS
com.microsoft.intune.mam.managedbrowser.disableShareUsageData EdgeDisableShareUsageData
com.microsoft.intune.mam.managedbrowser.disabledFeatures EdgeDisabledFeatures
com.microsoft.intune.mam.managedbrowser.disableImportPasswords EdgeImportPasswordsDisabled
com.microsoft.intune.mam.managedbrowser.enableKioskMode EdgeEnableKioskMode
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode EdgeShowAddressBarInKioskMode
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode EdgeShowBottomBarInKioskMode
com.microsoft.intune.mam.managedbrowser.account.syncDisabled EdgeSyncDisabled
com.microsoft.intune.mam.managedbrowser.NetworkStackPref EdgeNetworkStackPref
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled SmartScreenEnabled
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled MicrosoftRootStoreEnabled
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed SSLErrorOverrideAllowed
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting DefaultPopupsSetting
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls PopupsAllowedForUrls
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls PopupsBlockedForUrls
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled DefaultSearchProviderEnabled
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName DefaultSearchProviderName
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL DefaultSearchProviderSearchURL
com.microsoft.intune.mam.managedbrowser.Chat EdgeCopilotEnabled
com.microsoft.intune.mam.managedbrowser.ChatPageContext EdgeChatPageContext

Déployer des scénarios de configuration d’application avec Microsoft Intune

Si vous utilisez Microsoft Intune comme fournisseur de gestion des applications mobiles, les étapes suivantes vous permettent de créer une stratégie de configuration des applications gérées. Une fois que la configuration est créée, vous pouvez affecter ses paramètres à des groupes d'utilisateurs.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Applications, puis sélectionnez Stratégies de configuration d’application.

  3. Dans le panneau Stratégies de configuration d’applications, choisissez Ajouter, puis sélectionnez Applications gérées.

  4. Dans la section Informations de base , entrez un Nom, une Description facultative pour les paramètres de configuration de l’application.

  5. Pour les Applications publiques, choisissez Sélectionner des applications publiques, puis, dans le panneau des Applications ciblées, choisissez Edge pour iOS et Android en sélectionnant les applications de plateforme iOS et Android. Cliquez sur Sélectionner pour enregistrer les applications publiques sélectionnées.

  6. Cliquez sur Suivant pour terminer les paramètres de base de la stratégie de configuration de l’application.

  7. Dans la section Paramètres, développez les Paramètres de configuration Edge.

  8. Si vous souhaitez gérer les paramètres de protection des données, configurez les paramètres souhaités en conséquence :

    • Pour la Redirection du proxy d’application, choisissez parmi les options disponibles : Activer, Désactiver (par défaut).

    • Pour l’URL du raccourci de la page d’accueil, spécifiez une URL valide qui inclut le préfixe de http:// ou https://. Les URL incorrectes sont bloquées en tant que mesure de sécurité.

    • Pour les Signets gérés, spécifiez le titre et une URL valide qui inclut le préfixe de http:// ou https://.

    • Pour lesURL autorisées, spécifiez une URL valide (seules ces URL sont autorisées; aucun autre site n’est accessible). Pour plus d’informations sur les types de formats d’URL pris en charge, consultez Formats d’URL pour la liste de sites autorisés et bloqués.

    • Pour les URL bloquées, spécifiez une URL valide (seules ces URL sont bloquées). Pour plus d’informations sur les types de formats d’URL pris en charge, consultez Formats d’URL pour la liste de sites autorisés et bloqués.

    • Pour Rediriger les sites restreints vers le contexte personnel, choisissez parmi les options disponibles : Activer (par défaut), Désactiver.

    Remarque

    Lorsque les URL autorisées et les URL bloquées sont définies dans la stratégie, seule la liste autorisée est respectée.

  9. Si vous souhaitez ajouter des paramètres de configuration d’application non exposés dans la stratégie ci-dessus, développez le nœud du Paramètres de configuration général, puis entrez les paires de valeurs clé en conséquence.

  10. Lorsque vous avez terminé la configuration des paramètres, choisissez Suivant.

  11. Dans la section Attributions, choisissez Sélectionner les groupes à inclure. Sélectionnez le groupe Microsoft Entra auquel vous souhaitez affecter la stratégie de configuration de l'application, puis sélectionnez Sélectionner .

  12. Lorsque vous avez terminé les attributions, choisissez Suivant.

  13. Dans le panneau Créer une stratégie de configuration d’application Réviser + Créer, révisez les paramètres configurés, puis choisissez Créer.

La stratégie de configuration nouvellement créée s’affiche dans le panneau Configuration de l’application.

Utiliser Microsoft Edge pour iOS et Android pour accéder aux journaux des applications gérées

Les utilisateurs ayant Edge pour iOS et Android installés sur leur appareil iOS ou Android peuvent afficher l’état de gestion de toutes les applications publiées par Microsoft. Ils peuvent envoyer des journaux pour résoudre les problèmes liés à leurs applications iOS ou Android gérées en procédant comme suit :

  1. Ouvrir Edge pour iOS et Android sur votre appareil.

  2. Taper edge://intunehelp/ dans la zone d’adresse.

  3. Microsoft Edge pour iOS et Android lance le mode de dépannage.

Vous pouvez récupérer les journaux du Support Microsoft en leur donnant l’ID d’incident de l’utilisateur.

Pour obtenir la liste des paramètres stockés dans les journaux d’activité des applications, consultez Examiner les journaux de protection des applications clientes.

Journaux de diagnostic

Outre les journaux Intune de edge://intunehelp/, le Support Microsoft peut vous demander de fournir des journaux de diagnostic de Microsoft Edge pour iOS et Android. Vous pouvez télécharger les journaux sur des appareils locaux et les partager sur le Support Microsoft. Pour télécharger les journaux sur les appareils locaux :

1.Ouvrez Aide et commentaires à partir du menu de dépassement

2.Cliquez sur données de diagnostic

3. Pour Microsoft Edge pour iOS, cliquez sur l’icône Partager en haut à droite. La boîte de dialogue de partage du système d’exploitation s’affiche. Vous pouvez choisir d’enregistrer les journaux localement ou de les partager avec d’autres applications. Pour Microsoft Edge pour Android, cliquez sur le sous-menu en haut à droite pour enregistrer les journaux. Les journaux d’activité seront stockés dans le dossier Télécharger ->Edge.

Vous pouvez également cliquer sur l’icône Effacer pour effacer d’abord les journaux afin d’obtenir les journaux d’actualisation.

Remarque

L'enregistrement des journaux respecte également la stratégie de protection des applications Intune. Par conséquent, il se peut que vous ne soyez pas autorisé à enregistrer les données de diagnostic sur des appareils locaux.

Étapes suivantes