Intune を使用して iOS と Android で Microsoft Edge を管理する

iOS および Android 用の Edge は、ユーザーが Web を閲覧できるように設計されており、マルチ ID をサポートしています。 ユーザーは、閲覧のために職場アカウントと個人用アカウントを追加できます。 2 つの ID は完全に分離されています。これは、他の Microsoft モバイル アプリで提供されているものと同様です。

この機能は、以下に適用されます。

  • iOS/iPadOS 14.0 以降
  • 登録済みデバイスの場合は Android 8.0 以降、登録解除されたデバイスの場合は Android 9.0 以降

注:

iOS および Android 用の Edge では、iOS および Android 用の Edge ではこれらの設定にアクセスできないため、ユーザーがデバイス上のネイティブ ブラウザー用に設定した設定は使用されません。

Microsoft Intune と Microsoft Entra ID P1 または P2 の機能を含む Enterprise Mobility + Security スイートに登録すると、条件付きアクセスなど、Microsoft 365 のデータの最も広範で充実した保護機能を利用できます。 少なくとも、モバイル デバイスから iOS および Android 用の Edge への接続のみを許可する条件付きアクセス ポリシーと、閲覧エクスペリエンスを保護する Intune アプリ保護ポリシーを展開する必要があります。

注:

iOS デバイスの新しい Web クリップ (ピン留めされた Web アプリ) は、保護されたブラウザーで開く必要がある場合、Intune Managed Browser ではなく、iOS および Android 用の Edge で開きます。 古い iOS Web クリップの場合は、これらの Web クリップを再ターゲットして、マネージド ブラウザーではなく、iOS および Android 用の Edge で開かれていることを確認する必要があります。

Intune アプリ保護ポリシーを作成する

組織が SaaS と Web アプリケーションをますます採用するにつれて、ブラウザーは企業にとって不可欠なツールとなっています。 多くの場合、ユーザーは外出先でモバイル ブラウザーからこれらのアプリケーションにアクセスする必要があります。 モバイル ブラウザーを介してアクセスされるデータが意図的または意図しないリークから保護されていることを確認することが重要です。 たとえば、ユーザーが組織のデータを個人アプリと誤って共有し、データが漏洩したり、ローカル デバイスにダウンロードされたりする可能性があり、これもリスクを伴います。

組織は、ユーザーがモバイル向け Microsoft Edge で閲覧するときにデータが漏洩しないように保護できます。App Protection Policies (APP) を構成します。これは、許可されるアプリと、組織のデータに対して実行できるアクションを定義します。 APP で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。

APP データ保護フレームワークは 3 つの異なる構成レベルに編成されており、各レベルは前のレベルを基に構築されています。

  • エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
  • エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
  • エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。

各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。

デバイスが統合エンドポイント管理 (UEM) ソリューションに登録されているかどうかに関わらず、「アプリ保護ポリシーを作成して割り当てる方法」の手順を使用して、iOS アプリと Android アプリ両方の Intune アプリ保護ポリシーを作成する必要があります。 これらのポリシーは、少なくとも次の条件を満たす必要があります。

  • これには、Edge、Outlook、OneDrive、Office、Teams などのすべての Microsoft 365 モバイル アプリケーションが含まれます。これにより、ユーザーは安全な方法で任意の Microsoft アプリ内の職場または学校のデータにアクセスして操作できるようになります。

  • すべてのユーザーに割り当てられます。 これにより、iOS または Android 用の Edge を使用しているかどうかに関係なくすべてのユーザーを保護することができる。

  • 要件を満たすフレームワーク レベルを決定します。 ほとんどの組織では、データ保護とアクセス要件の制御を有効にするように、エンタープライズ拡張データ保護 (レベル 2) で定義されている設定を実装する必要があります。

注:

ブラウザーに関連する設定の 1 つは、"他のアプリとの Web コンテンツ転送を制限する" です。 Enterprise 拡張データ保護 (レベル 2) では、この設定の値は Microsoft Edge に構成されます。 Outlook とMicrosoft Teamsが App Protection Policies (APP) によって保護されている場合、Microsoft Edge を使用してこれらのアプリからリンクを開き、リンクが安全で保護されていることを確認します。 利用可能な設定の詳細については、「Android アプリ保護ポリシー設定」と「iOS アプリ保護ポリシー設定」を参照してください。

重要

Intune に登録していない Android デバイスでアプリに対して Intune App Protection ポリシーを適用するには、Intune ポータル サイトもインストールする必要があります。

条件付きアクセスを適用する

アプリ保護ポリシー (APP) を使用して Microsoft Edge を保護することが重要ですが、Microsoft Edge が企業アプリケーションを開くために必須のブラウザーであることを確認することも重要です。 それ以外の場合、ユーザーは保護されていない他のブラウザーを使用して企業アプリケーションにアクセスし、データ リークを引き起こす可能性があります。

組織は Microsoft Entra 条件付きアクセス ポリシーを使用して、ユーザーが iOS および Android 用の Edge を使用して職場または学校のコンテンツにのみアクセスできるようにすることができます。 これを行うには、可能性のあるすべてのユーザーを対象とする条件付きアクセス ポリシーが必要です。 これらのポリシーについては、「条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」で説明されています。

モバイル デバイスで承認されたクライアント アプリまたはアプリ保護ポリシーを要求する」の手順に従います。これにより、iOS および Android 用の Edge は許可されますが、他のモバイル デバイス Web ブラウザーは Microsoft 365 エンドポイントに接続できなくなります。

注:

このポリシーにより、モバイル ユーザーは、iOS および Android 用の Edge 内からすべての Microsoft 365 エンドポイントにアクセスできるようになります。 このポリシーにより、ユーザーが InPrivate を使用して Microsoft 365 エンドポイントにアクセスすることもできなくなります。

条件付きアクセスを使用すると、Microsoft Entra アプリケーション プロキシを介して外部ユーザーに公開したオンプレミス サイトをターゲットにすることもできます。

注:

アプリベースの条件付きアクセス ポリシーを活用するには、iOS デバイスに Microsoft Authenticator アプリをインストールする必要があります。 Android デバイスの場合、Intune ポータル サイト アプリが必要です。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。

ポリシーで保護されたブラウザーで Microsoft Entra に接続された Web アプリへのシングル サインオン

iOS および Android 用の Edge では、Microsoft Entra に接続されているすべての Web アプリ (SaaS とオンプレミス) にシングル サインオン (SSO) を利用できます。 SSO を使用すると、ユーザーは資格情報を再入力することなく、iOS および Android 用の Edge を介して、Microsoft Entra に接続された Web アプリにアクセスできます。

SSO では、iOS デバイス用の Microsoft Authenticator アプリまたは Android 上のIntune ポータル サイトによってデバイスを登録する必要があります。 ユーザーがこれらのいずれかを持っている場合、ポリシーで保護されたブラウザーで Microsoft Entra に接続された Web アプリに移動すると、デバイスを登録するように求められます (これは、デバイスがまだ登録されていない場合にのみ当てはまります)。 Intune によって管理されているユーザーのアカウントにデバイスが登録されると、そのアカウントで Microsoft Entra に接続された Web アプリに対して SSO が有効になります。

注:

デバイス登録は、Microsoft Entra サービスを使用した単純なチェックインです。 完全なデバイス登録は必要なく、IT にデバイスに対する追加の特権は付与されません。

アプリの構成を使用して閲覧環境を管理する

iOS および Android 用の Edge では、管理者がアプリの動作をカスタマイズする Microsoft Intune などの統合エンドポイント管理を可能にするアプリ設定がサポートされています。

アプリ構成は、登録済みデバイスのモバイル デバイス管理 (MDM) OS チャネル (iOS の場合は管理対象アプリの構成チャネル、Android の場合は Android Enterprise チャネル) または MAM (モバイル アプリケーション管理) チャネルを介して配信できます。 iOS および Android 用の Edge では、次の構成シナリオがサポートされています。

  • 職場または学校アカウントのみを許可する
  • 一般的なアプリ構成設定
  • データ保護の設定:
  • マネージド デバイスの追加のアプリ構成

重要

Android でのデバイス登録を必要とする構成シナリオでは、デバイスを Android Enterprise に登録し、Android 用 Edge をマネージド Google Play ストア経由で展開する必要があります。 詳細については、「Android Enterprise 個人所有の仕事用プロファイル デバイスの登録を設定する」および「マネージド Android Enterprise デバイスのアプリ構成ポリシーを追加する」を参照してください。

各構成シナリオでは、その特定の要件が強調表示されています。 たとえば、構成シナリオでデバイスの登録が必要で、UEM プロバイダーと連携するか、Intune アプリ保護ポリシーを必要とするかなどです。

重要

アプリ構成キーでは、大文字と小文字が区別されます。 適切な大文字と小文字を区別して、構成を有効にします。

注:

Microsoft Intune では、MDM OS チャネルを介して配信されるアプリ構成は、マネージド デバイスのアプリ構成ポリシー (ACP) と呼ばれます。MAM (モバイル アプリケーション管理) チャネルを介して配信されるアプリ構成は、マネージド アプリのアプリ構成ポリシーと呼ばれます。

職場または学校アカウントのみを許可する

最大かつ高度に規制されているお客様のデータ セキュリティとコンプライアンス ポリシーを尊重することは、Microsoft 365 の価値の重要な柱です。 一部の企業では、企業環境内のすべての通信情報をキャプチャする必要があります。また、デバイスが企業の通信にのみ使用されるようにする必要があります。 これらの要件をサポートするために、登録済みデバイス上の iOS および Android 用の Edge は、アプリ内でプロビジョニングする 1 つの企業アカウントのみを許可するように構成できます。

組織で許可されているアカウント モード設定の構成の詳細については、こちらを参照してください。

この構成シナリオは、登録済みデバイスでのみ機能します。 ただし、任意の UEM プロバイダーがサポートされています。 Microsoft Intune を使用していない場合は、これらの構成キーを展開する方法に関する UEM ドキュメントを参照する必要があります。

一般的なアプリ構成シナリオ

iOS および Android 用の Edge では、管理者は複数のアプリ内設定の既定の構成をカスタマイズできます。 この機能は、iOS および Android 用の Edge に、アプリにサインインしている職場または学校アカウントに適用されたマネージド アプリのアプリ構成ポリシーがある場合に提供されます。

Edge では、構成に関して次の設定がサポートされています。

  • 新しいタブ ページ エクスペリエンス
  • ブックマーク エクスペリエンス
  • アプリの動作エクスペリエンス
  • キオスク モード エクスペリエンス

これらの設定は、デバイスの登録状態に関係なく、アプリに展開できます。

新しいタブ ページのレイアウト

インスピレーションを得たレイアウトは、新しいタブ ページの既定のレイアウトです。 トップサイトのショートカット、壁紙、ニュースフィードが表示されます。 ユーザーは好みに応じてレイアウトを変更できます。 組織で、レイアウト設定を管理することもできます。

キー
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout フォーカス [フォーカス] が選択されています
inspirational (既定値) [インスピレーション] が選択されています
情報 情報が選択されている
習慣 カスタムが選択され、トップ サイトショートカットトグルがオン、壁紙トグルがオン、ニュースフィードトグルがオンになっている
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom トップ サイト [トップ サイト] のショートカットを有効にします
壁紙 [壁紙] をオンにします
ニュースフィード [ニュース フィード] を有効にします
このポリシーを有効にするには、com.microsoft.intune.mam.managedbrowser.NewTabPageLayout を [カスタム] に設定する必要があります

既定値は topsites|wallpaper|newsfeed| です。
com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable true (既定) ユーザーはページ レイアウト設定を変更できます
false ユーザーはページ レイアウト設定を変更できません。 ページ レイアウトは、ポリシーによって指定された値によって決定されるか、既定値が使用されます

重要

NewTabPageLayout ポリシーは、初期レイアウトを設定することを目的としています。 ユーザーは、参照に基づいてページ レイアウト設定を変更できます。 したがって、NewTabPageLayout ポリシーは、ユーザーがレイアウト設定を変更しない場合にのみ有効になります。 UserSelectable =false を構成することで、NewTabPageLayout ポリシーを適用できます。

注:

バージョン 129.0.2792.84 の時点で、既定のページ レイアウトが インスピレーションに変更されています。

ニュース フィードをオフにする例

  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
  • com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false

新しいタブ ページ エクスペリエンス

iOS および Android 用の Edge では、組織のロゴ、ブランドの色、ホーム ページ、トップ サイト、業界ニュースなど、新しいタブ ページ エクスペリエンスを調整するためのいくつかのオプションが組織に提供されます。

組織のロゴとブランドの色

organizationロゴとブランドの色の設定を使用すると、iOS および Android デバイスの Edge 用の新しいタブ ページをカスタマイズできます。 バナーロゴはorganizationのロゴとして使用され、ページの背景色はorganizationのブランドカラーとして使用されます。 詳細については、「会社の ブランド化を構成する」を参照してください。

次に、次のキーと値のペアを使用して、iOS および Android 用の Edge に組織のブランド化をプルします。

キー
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo true の場合、組織のブランド ロゴを表示します
false (既定値) の場合、ロゴを公開しません
com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor true の場合、組織のブランドの色を表示します
false (既定値) の場合、色を公開しません

ホームページのショートカット

この設定を使用すると、新しいタブ ページで、iOS および Android 用の Edge のホームページ ショートカットを構成できます。 ユーザーが iOS と Android 用の Edge で新しいタブを開くと、構成したホームページ ショートカットが検索バーの下の最初のアイコンとして表示されます。 ユーザーは、マネージド コンテキストでこのショートカットを編集または削除できません。 ホームページ のショートカットには、組織の名前が表示され、区別されます。

キー
com.microsoft.intune.mam.managedbrowser.homepage

このポリシー名は、[Edge Configuration settings]\(エッジ構成設定\) の [ ホームページ のショートカット URL] の UI に置き換えられました
有効な URL を指定します。 不正な URL は、セキュリティ対策としてブロックされます。
例: https://www.bing.com

複数のトップ サイト ショートカット

ホームページ ショートカットの構成と同様に、iOS と Android 用の Edge の新しいタブ ページで複数のトップ サイト ショートカットを構成できます。 ユーザーは、マネージド コンテキストでこれらのショートカットを編集または削除できません。 注: ホームページ ショートカットを含め、合計 8 つのショートカットを構成できます。 ホームページ ショートカットを構成している場合、そのショートカットは構成された最初のトップ サイトをオーバーライドします。

キー
com.microsoft.intune.mam.managedbrowser.managedTopSites 値 URL のセットを指定します。 各トップ サイトのショートカットは、タイトルと URL で構成されます。 タイトルと URL を | 文字で区切ります。
例: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com

業界ニュース

iOS および Android 用 の Edge 内の新しいタブ ページ エクスペリエンスを構成して、組織に関連する業界ニュースを表示できます。 この機能を有効にすると、iOS および Android 用の Edge は組織のドメイン名を使用して、組織、組織の業界、競合他社に関する Web からのニュースを集計するため、ユーザーは iOS および Android 用の Edge 内の一元化された新しいタブ ページから関連する外部ニュースをすべて見つけることができます。 業界ニュースは既定ではオフになっています。

キー
com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews true の場合、新しいタブ ページに業界ニュースが表示されます
false (既定値) の場合、新しいタブ ページに業界ニュースは表示されません

新しいタブ ページ エクスペリエンスの代わりにホームページ

iOS および Android 用の Edge を使用すると、組織は新しいタブ ページ エクスペリエンスを無効にし、代わりにユーザーが新しいタブを開いたときに Web サイトを起動できます。これはサポートされているシナリオですが、Microsoft では、組織が新しいタブ ページ エクスペリエンスを利用して、ユーザーに関連する動的コンテンツを提供することをおすすめします。

キー
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL 有効な URL を指定します。 URL が指定されていない場合、アプリは新しいタブ ページ エクスペリエンスを使用します。 不正な URL は、セキュリティ対策としてブロックされます。
例: https://www.bing.com

ブックマーク エクスペリエンス

iOS および Android 用の Edge には、ブックマークを管理するためのいくつかのオプションが組織に用意されています。

マネージド ブックマーク

簡単にアクセスできるように、ユーザーが iOS および Android 用の Edge を使用しているときに使用できるようにするブックマークを構成できます。

  • ブックマークは職場または学校アカウントにのみ表示され、個人用アカウントには公開されません。
  • ユーザーがブックマークを削除または変更することはできません。
  • ブックマークが一覧の上部に表示されます。 ユーザーが作成するすべてのブックマークは、これらのブックマークの下に表示されます。
  • アプリケーション プロキシリダイレクトを有効にしている場合は、内部 URL または外部 URL を使用してアプリケーション プロキシ Web アプリを追加できます。
  • ブックマークは、Microsoft Entra ID で定義されている組織の名前の後に名前が付けられたフォルダーに作成されます。
キー
com.microsoft.intune.mam.managedbrowser.bookmarks

このポリシー名は、Edge 構成設定の マネージド ブックマーク の UI に置き換えられました
この構成の値は、ブックマークの一覧です。 各ブックマークは、ブックマーク タイトルとブックマーク URL で構成されます。 タイトルと URL を | 文字で区切ります。
例: Microsoft Bing|https://www.bing.com

複数のブックマークを構成するには、各ペアを 2 文字 || で区切ります。
例: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com

マイ アプリのブックマーク

既定では、ユーザーは、iOS と Android 用の Edge 内の組織のフォルダー内でマイ アプリのブックマークを構成しています。

キー
com.microsoft.intune.mam.managedbrowser.MyApps true (既定値) の場合、iOS および Android 用の Edge ブックマーク内のマイ アプリを表示します
false の場合、iOS と Android 用の Edge 内のマイ アプリを非表示にします

アプリの動作エクスペリエンス

iOS および Android 用の Edge には、アプリの動作を管理するためのいくつかのオプションが組織に用意されています。

Microsoft Entra パスワード シングル サインオン

Microsoft Entra ID によって提供される Microsoft Entra パスワード シングル サインオン (SSO) 機能は、ID フェデレーションをサポートしていない Web アプリケーションにユーザー アクセス管理を提供します。 既定では、iOS および Android 用の Edge では、Microsoft Entra 資格情報で SSO は実行されません。 詳細については、「アプリケーションにパスワードベースのシングル サインオンを追加する」を参照してください。

キー
com.microsoft.intune.mam.managedbrowser.PasswordSSO true Microsoft Entra パスワード シングル サインオンが有効になっています
false (既定) Microsoft Entra パスワード シングル サインオンが無効になっています

既定のプロトコル ハンドラー

既定では、iOS および Android 用の Edge では、ユーザーが URL でプロトコルを指定しない場合、HTTPS プロトコル ハンドラーが使用されます。 一般に、これはベスト プラクティスと見なされますが、無効にすることができます。

キー
com.microsoft.intune.mam.managedbrowser.defaultHTTPS true (既定値) の場合、既定のプロトコル ハンドラーは HTTPS です
false の場合、既定のプロトコル ハンドラーは HTTP です

オプションの診断データを無効にする

既定では、ユーザーは[設定]->[プライバシーとセキュリティ]>-[診断データ]->[オプションの診断データ] 設定からオプションの診断データを送信することを選択できます。 組織はこの設定を無効にすることができます。

キー
com.microsoft.intune.mam.managedbrowser.disableShareUsageData true の場合、オプションの診断データ設定が無効になっています
false (既定値) の場合、ユーザーがオプションをオンまたはオフにできます

注:

オプションの診断データ設定は、最初の実行エクスペリエンス (FRE) 中にユーザーに対しても求められます。 組織は、MDM ポリシー EdgeDisableShareUsageData を使用して、この手順をスキップできます

特定の機能を無効にする

iOS および Android 用の Edge を使用すると、組織は既定で有効になっている特定の機能を無効にすることができます。 これらの機能を無効にするには、次の設定を構成します。

キー
com.microsoft.intune.mam.managedbrowser.disabledFeatures password では、エンド ユーザーのパスワードを保存するプロンプトが無効になります
inprivate では、InPrivate ブラウズが無効になります
autofill では、"アドレスの保存と入力" と "支払い情報の保存と入力" が無効になります。 以前に保存した情報でもオートフィルは無効になります
translator では、トランスレーターが無効になります
readaloud では、音声読み上げが無効になります
drop では、ドロップが無効になります
クーポン クーポンを無効にします
拡張機能 によって拡張機能が無効になります (Edge for Android のみ)
developertools では、ユーザーが開発者オプションにアクセスできないようにビルド バージョン番号がグレー表示になります (Android 用の Edge のみ)
UIRAlert は、新しいタブ ページ画面でのアカウントの再検証ポップアップを抑制します
[共有] メニューの [共有] を無効にする
sendtodevices では、 メニューの [デバイスに送信] が無効になります
weather は NTP の天気を無効にします (新しいタブ ページ)

複数の機能を無効にするには、| で値を区切ります。 たとえば、inprivate|password では、InPrivate ストレージとパスワード ストレージの両方が無効になります。

パスワードのインポート機能を無効にする

iOS および Android 用の Edge を使用すると、ユーザーはパスワード マネージャーからパスワードをインポートできます。 パスワードのインポートを無効にするには、次の設定を構成します。

キー
com.microsoft.intune.mam.managedbrowser.disableImportPasswords true の場合、パスワードのインポートは無効になります
false (既定値) の場合、パスワードのインポートは許可されます

注:

iOS 用の Edge のパスワード マネージャーには、[追加] ボタンがあります。 パスワードのインポート機能が無効になっている場合、[追加] ボタンも無効になります。

サイトが Android 用の Edge 内でユーザーの Cookie を保存できるかどうかを制御できます。 これを行うには、次の設定を構成します。

キー
com.microsoft.intune.mam.managedbrowser.cookieControlsMode 0 (既定値) の場合、Cookie を許可します
1 の場合、Microsoft 以外の Cookie をブロックします
2 の場合、InPrivate モードで Microsoft 以外の Cookie をブロックします
3 の場合、すべての Cookie をブロックします

注:

iOS 用の Edge では、Cookie の制御はサポートされていません。

Android デバイスでのキオスク モード エクスペリエンス

Android 用の Edge は、次の設定でキオスク アプリとして有効にすることができます。

キー
com.microsoft.intune.mam.managedbrowser.enableKioskMode true の場合、Android 用の Edge のキオスク モードが有効になります
false (既定値) の場合、キオスク モードは無効になります
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode true の場合、キオスク モードでアドレス バーが表示されます
false (既定値) の場合、キオスク モードが有効になっているとき、アドレス バーが非表示になります
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode true の場合、キオスク モードで下部のアクション バーが表示されます
false (既定値) の場合、キオスク モードが有効になっているとき、下部のバーが非表示になります

注:

キオスク モードは、iOS デバイスではサポートされていません。 ただし、ロックされたビュー モード (MDM ポリシーのみ) を使用して、ロックされたビュー モードで URL アドレス バーが読み取り専用になるため、ユーザーが他の Web サイトに移動できない同様のユーザー エクスペリエンスを実現できます。

ロックされたビュー モード

iOS および Android 用の Edge は、MDM ポリシー EdgeLockedViewModeEnabled を使用して、ロックされたビュー モードとして有効にすることができます。

キー
EdgeLockedViewModeEnabled false (既定) ロックビュー モードが無効になっています
true ロックビュー モードが有効になっています

これにより、組織はさまざまなブラウザー機能を制限し、制御された集中的な閲覧エクスペリエンスを提供できます。

  • URL アドレス バーが読み取り専用になり、ユーザーが Web アドレスを変更できなくなります
  • ユーザーは新しいタブを作成できません
  • Web ページのコンテキスト検索機能が無効になっています
  • オーバーフロー メニューの下にある次のボタンは無効になっています
ボタン 状態コード
新しい InPrivate タブ 無効
デバイスに送信 無効
ドロップ 無効
電話に追加 (Android) 無効
ページをダウンロード (Android) 無効

ロック ビュー モードは、多くの場合、MAM ポリシー com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL または MDM ポリシー EdgeNewTabPageCustomURL と共に使用されます。これにより、組織は Edge を開いたときに自動的に起動される特定の Web ページを構成できます。 ユーザーはこの Web ページに制限されており、他の Web サイトに移動できないため、特定のタスクやコンテンツの使用に特化した制御された環境が提供されます。

注:

既定では、ユーザーはロック ビュー モードで新しいタブを作成することはできません。 タブの作成を許可するには、MDM ポリシー EdgeLockedViewModeAllowedActionsnewtabs に設定します。

Chromium と iOS の間でネットワーク スタックを切り替える

既定では、iOS および Android 用の両方の Microsoft Edge では、同期サービス、自動検索候補、フィードバックの送信など、Microsoft Edge サービス通信用の Chromium ネットワーク スタックが使用されます。 また、iOS 用の Microsoft Edge は、Microsoft Edge サービス通信の構成可能なオプションとして iOS ネットワーク スタックも提供します。

組織は、次の設定を構成することで、ネットワーク スタックの基本設定を変更できます。

キー
com.microsoft.intune.mam.managedbrowser.NetworkStackPref 0 (既定値) の場合、Chromium ネットワーク スタックを使用します
1 の場合、iOS ネットワーク スタックを使用します

注:

Chromium ネットワーク スタックの使用をおすすめします。 特定のアプリごとの VPN ソリューションなど、Chromium ネットワーク スタックでフィードバックを送信するときに同期の問題や失敗が発生した場合、iOS ネットワーク スタックを使用すると問題が解決する可能性があります。

プロキシ .pac ファイルの URLを設定する

組織は、iOS および Android 用の Microsoft Edge のプロキシ自動構成 (PAC) ファイルの URL を指定できます。

キー
com.microsoft.intune.mam.managedbrowser.proxyPacUrl プロキシ .pac ファイルの有効な URL を指定します。
例: https://internal.site/example.pac

PAC の failed-open サポート

既定では、iOS および Android 用 Microsoft Edge では、無効な PAC スクリプトまたは使用できない PAC スクリプトを使用してネットワーク アクセスがブロックされます。 ただし、組織は既定の動作を PAC failed open に変更できます。

キー
com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled false (既定値) の場合、ネットワーク アクセスをブロックします
true の場合、ネットワーク アクセスを許可します

ネットワーク リレーを構成する

iOS 用 Edge は、iOS 17 のネットワーク リレーをサポートするようになりました。 これらは、リモート アクセスとプライバシー ソリューションに使用できる特別な種類のプロキシです。 トラフィックのセキュリティで保護された透過的なトンネリングをサポートし、内部リソースにアクセスする際の VPN の最新の代替手段として機能します。 ネットワーク リレーの詳細については、「Apple デバイスでネットワーク リレーを使用する」を参照してください。

組織は、一致したドメインと除外されたドメインに基づいてトラフィックをルーティングするようにリレー プロキシ URL を構成できます。

キー
com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl リレー構成 JSON ファイルに有効な URL を指定します。
例: https://yourserver/relay_config.json

ネットワーク リレーの JSON ファイルの例
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}

ユーザーが Android で Edge にサインインするためのプロキシ

プロキシ自動構成 (PAC) は、通常、VPN プロファイルで構成されます。 ただし、プラットフォームの制限により、PAC は Android WebView で認識できません。これは、Edge サインイン プロセス中に使用されます。 ユーザーは Android で Edge にサインインできない可能性があります。

組織は、ユーザーが Android で Edge にサインインできるように、MDM ポリシーを使用して専用プロキシを指定できます。

キー
EdgeOneAuthProxy 対応する値は文字列です
http://MyProxy.com:8080

iOS Web サイト データ ストア

iOS 用 Edge の Web サイト データ ストアは、Cookie、ディスクとメモリ キャッシュ、さまざまな種類のデータを管理するために不可欠です。 ただし、iOS 用 Edge には永続的な Web サイト データ ストアが 1 つしかありません。 既定では、このデータ ストアは個人アカウントでのみ使用され、職場または学校のアカウントでは利用できないという制限が生まれます。 そのため、Cookie を除く閲覧データは、職場または学校アカウントの各セッションの後に失われます。 ユーザー エクスペリエンスを向上させるために、組織は、Web サイト のデータ ストアを職場または学校アカウントで使用するように構成し、閲覧データの永続化を確保できます。

キー
com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore 0 Web サイト データ ストアは常に個人アカウントでのみ使用されます
1 の場合、Web サイト データ ストアは、最初にサインインしたアカウントによって使用されます
2 (既定値) Web サイト データ ストアは、サインイン順に関係なく、職場または学校のアカウントによって使用されます

注:

iOS 17 のリリースにより、複数の永続ストアがサポートされるようになりました。 職場アカウントと個人用アカウントには、独自の永続的なストアが指定されています。 そのため、このポリシーはバージョン 122 から無効になりました。

Microsoft Defender SmartScreen

Microsoft Defender SmartScreen は、ユーザーが悪意のあるサイトやダウンロードを回避するのに役立つ機能です。 これは既定では有効になっています。 組織はこの設定を無効にすることができます。

キー
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled true (既定値) の場合、Microsoft Defender SmartScreen が有効になっています。
false の場合、Microsoft Defender SmartScreen が無効になっています。

証明書の検証

既定では、Android 用の Microsoft Edge は、組み込みの証明書検証ツールと Microsoft ルート ストアをパブリック信頼のソースとして使用してサーバー証明書を検証します。 組織は、システム証明書検証ツールとシステム ルート証明書に切り替えることができます。

キー
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled true (既定値) の場合、組み込みの証明書検証ツールと Microsoft ルート ストアを使用して証明書を検証します
false の場合、システム証明書検証ツールとシステム ルート証明書をパブリック信頼のソースとして使用して証明書を検証します

注:

このポリシーのユース ケースとして、Android 用の Edge で Microsoft MAM Tunnel を使用する場合は、システム証明書検証ツールとシステム ルート証明書を使用する必要があります。

SSL 警告ページ コントロール

既定では、ユーザーは、SSL エラーが発生したサイトにユーザーが移動したときに表示される警告ページをクリック スルーできます。 組織は、動作を管理できます。

キー
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed true (既定) ユーザーが SSL 警告ページをクリック スルーできるようにする
false ユーザーが SSL 警告ページをクリック スルーできないようにする

ポップアップ設定

既定では、ポップアップはブロックされます。 組織は、動作を管理できます。

キー
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting 1 すべてのサイトにポップアップの表示を許可する
2 (既定値) すべてのサイトに対してポップアップの表示を許可しない

特定のサイトでのポップアップを許可する

このポリシーが構成されていない場合、ユーザーの個人用の構成、または DefaultPopupsSetting ポリシー (設定されている場合) の既定値がすべてのサイトで使用されます。 組織は、ポップアップを開くことができるサイトの一覧を定義できます。

キー
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。

例:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

URL 形式の詳細については、「エンタープライズ ポリシー URL パターン形式」を参照してください。

特定のサイトのポップアップをブロックする

このポリシーが構成されていない場合、ユーザーの個人用の構成、または DefaultPopupsSetting ポリシー (設定されている場合) の既定値がすべてのサイトで使用されます。 組織は、ポップアップを開くのがブロックされているサイトの一覧を定義できます。

キー
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。

例:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com

URL 形式の詳細については、「エンタープライズ ポリシー URL パターン形式」を参照してください。

既定の検索プロバイダー

既定では、ユーザーがアドレス バーに URL 以外のテキストを入力した場合、Edge は既定の検索プロバイダーを使用して検索を実行します。 ユーザーは検索プロバイダーの一覧を変更できます。 組織は、検索プロバイダーの動作を管理できます。

キー
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled true 既定の検索プロバイダーを有効にする
false 既定の検索プロバイダーを無効にする

検索プロバイダーを構成する

組織は、ユーザーの検索プロバイダーを構成できます。 検索プロバイダーを構成するには、最初にポリシー DefaultSearchProviderEnabled を構成する必要があります。

キー
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName 対応する値は文字列です
My Intranet Search
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL 対応する値は文字列です
https://search.my.company/search?q={searchTerms}

Copilot

注:

バージョン 128 の時点で、職場または学校アカウントの Copilot は非推奨になりました。 そのため、バージョン 128 では、次のポリシーは無効になります。 Copilot.microsoft.com、Web バージョンの Copilot へのアクセスをブロックする場合は、ポリシー AllowListURLs または BlockListURLs を使用できます。

Copilot は、iOS および Android 用の Microsoft Edge で利用できます。 ユーザーは下部バーの [Copilot] ボタンをクリックして Copilot を起動できます。

[設定]->[一般]->[Copilot] には 3 つの設定があります。

  • Copilot を表示する – 下部バーに Bing ボタンを表示するかどうかを制御する
  • 任意の Web ページまたは PDF へのアクセスを許可する – Copilot にページ コンテンツまたは PDF へのアクセスを許可するかどうかを制御します
  • テキスト選択のクイック アクセス – Web ページ上のテキストが選択されているときにクイック チャット パネルを表示するかどうかを制御します

Copilot の設定を管理できます。

キー
com.microsoft.intune.mam.managedbrowser.Chat true (既定値) の場合、下部バーに Copilot ボタンが表示されます。 [Copilot を表示する] の設定は既定でオンになっており、ユーザーはオフにすることもできます
false の場合、下部バーに Copilot ボタンが表示されません。 [Copilot を表示する] の設定は無効になっており、ユーザーは有効にすることはできません
com.microsoft.intune.mam.managedbrowser.ChatPageContext true (既定) [任意の Web ページまたは PDF へのアクセスを許可] および [テキストの選択へのクイック アクセス] はユーザーが有効にすることができます
false[任意の Web ページまたは PDF へのアクセスを許可] および [テキストの選択へのクイック アクセス] は無効になり、ユーザーは有効にすることはできません

データ保護アプリ構成シナリオ

iOS および Android 用の Edge では、アプリが、アプリにサインインしている職場または学校アカウントに適用されたマネージド アプリのアプリ構成ポリシーを使用して Microsoft Intune によって管理されている場合、次のデータ保護設定のアプリ構成ポリシーがサポートされます。

  • アカウント同期を管理する
  • 制限付き Web サイトを管理する
  • プロキシ構成を管理する
  • NTLM シングル サインオン サイトを管理する

これらの設定は、デバイスの登録状態に関係なく、アプリに展開できます。

アカウント同期を管理する

既定では、Microsoft Edge 同期を使用すると、ユーザーはサインインしているすべてのデバイスで閲覧データにアクセスできます。 同期でサポートされるデータには、次のものが含まれます。

  • お気に入り
  • パスワード
  • 住所など (オートフィル フォーム エントリ)

同期機能はユーザーの同意によって有効になっており、ユーザーは上記のデータ型ごとに同期をオンまたはオフにすることができます。 詳細については、「Microsoft Edge 同期」を参照してください。

組織には、iOS と Android で Edge 同期を無効にする機能があります。

キー
com.microsoft.intune.mam.managedbrowser.account.syncDisabled true の場合、Edge 同期が無効になります
false (既定値) の場合、Edge 同期が許可されます

制限付き Web サイトを管理する

組織は、iOS および Android 用の Edge の職場または学校アカウント コンテキスト内でユーザーがアクセスできるサイトを定義できます。 許可リストを使用する場合、ユーザーは明示的に一覧表示されているサイトにのみアクセスできます。 ブロック リストを使用する場合、ユーザーは明示的にブロックされたサイトを除くすべてのサイトにアクセスできます。 両方ではなく、許可されたリストまたはブロックされたリストのみを適用する必要があります。 両方を適用する場合は、許可されたリストのみが適用されます。

また、組織は、ユーザーが制限付き Web サイトへの移動を試みた場合の動作も定義します。 既定では、切り替えが許可されます。 組織で許可されている場合、制限付き Web サイトは、サイトが完全にブロックされているかどうかに関係なく、個人用アカウント コンテキスト、Microsoft Entra アカウントの InPrivate コンテキストで開くことができます。 サポートされているさまざまなシナリオの詳細については、「Microsoft Edge モバイルでの制限付き Web サイトの切り替え」を参照してください。 切り替えエクスペリエンスを許可することで、組織のユーザーは保護を維持しながら、企業リソースを安全に保ちます。

ユーザーが個人プロファイルに手動で切り替えたり、InPrivate モードでブロックされた URL を開いたりする必要性を減らすことで、プロファイル切り替えエクスペリエンスを強化するために、次の 2 つの新しいポリシーが導入されました。

  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork

これらのポリシーは構成と組み合わせに基づいて異なる結果が得られますので、詳細なドキュメントを確認する前に、プロファイル切り替えエクスペリエンスがorganizationのニーズとうまく一致しているかどうかを確認するために、以下のポリシーの提案を試してみることをお勧めします。 推奨されるプロファイル切り替え構成設定には、次の値が含まれます。

  • com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=true
  • com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true
  • com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1
  • com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2

注:

iOS および Android 用の Edge では、サイトが直接アクセスされている場合にのみ、サイトへのアクセスをブロックできます。 ユーザーが中間サービス (翻訳サービスなど) を使用してサイトにアクセスする場合、アクセスはブロックされません。 、、などEdge://*Edge://flagsEdge://net-export、Edge で始まる URL は、マネージド アプリのアプリ構成ポリシー AllowListURLs または BlockListURLs ではサポートされていません。 これらの URL は 、com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList で無効にすることができます。

デバイスが管理されている場合は、管理対象デバイスのアプリ構成ポリシー URLAllowList または URLBlocklist を 使用することもできます。 関連情報については、「Microsoft Edge モバイル ポリシー」を参照してください。

次のキーと値のペアを使用して、iOS および Android 用の Edge の許可またはブロックされたサイト一覧を構成します。

キー
com.microsoft.intune.mam.managedbrowser.AllowListURLs

このポリシー名は、[Edge 構成設定] の [ 許可される URL] の UI に置き換えられました
キーの対応する値は、URL の一覧です。 許可するすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。

例:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.BlockListURLs

このポリシー名は、[Edge 構成設定 ] の [ブロックされた URL] の UI に置き換えられました
キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。

例:
URL1|URL2|URL3
http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock true (既定値) の場合、iOS および Android 用の Edge が制限付きサイトを移行できます。 個人用アカウントが無効になっていない場合、ユーザーは、制限付きサイトを開くために個人用コンテキストに切り替えるか、個人用アカウントを追加するように求められます。 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked が true に設定されている場合、ユーザーは InPrivate コンテキストで制限付きサイトを開くことができます。
false の場合、iOS および Android 用の Edge がユーザーを切り替えなくなります。 ユーザーには、アクセスしようとしているサイトがブロックされていることを示すメッセージが表示されます。
com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked

このポリシー名は、[Edge 構成設定] の [ 制限されたサイトを個人用コンテキストにリダイレクトする ] の UI に置き換えられました
true を指定すると、Microsoft Entra アカウントの InPrivate コンテキストで制限付きサイトを開くことができます。 iOS および Android 用の Edge で構成されている唯一のアカウントが Microsoft Entra アカウントの場合、制限付きサイトは InPrivate コンテキストで自動的に開かれます。 ユーザーに個人用アカウントが構成されている場合、ユーザーは InPrivate を開くか、個人用アカウントに切り替えるかを選択するように求められます。
false (既定値) の場合、制限付きサイトをユーザーの個人用アカウントで開く必要があります。 個人用アカウントが無効になっている場合、サイトはブロックされます。
この設定を有効にするには、com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock を true に設定する必要があります。
com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar 「このサイトへのアクセスは組織によってブロックされています。 サイトにアクセスできるように InPrivate モードで開きました。」というスナック バー通知がユーザーに表示される秒数を入力します。既定では、スナック バー通知は 7 秒間表示されます。

定義されている許可リストまたはブロック リストの設定に関係なく、copilot.microsoft.com を除く次のサイトは常に許可されます。

  • https://*.microsoft.com/*
  • http://*.microsoft.com/*
  • https://microsoft.com/*
  • http://microsoft.com/*
  • https://*.windowsazure.com/*
  • https://*.microsoftonline.com/*
  • https://*.microsoftonline-p.com/*

[サイトのブロック] ポップアップの動作を制御する

ブロックされた Web サイトにアクセスしようとすると、ユーザーは InPrivate または個人用アカウントに切り替えてブロックされた Web サイトを開くよう求められます。 InPrivate アカウントと個人用アカウントのユーザー設定を選択できます。

キー
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock 0: (既定) ユーザーが選択できるポップアップ ウィンドウを常に表示します。
1: 個人用アカウントでサインインしたときに、個人用アカウントに自動的に切り替えます。個人用アカウントがサインインしていない場合、動作は値 2 に変更されます。
2:com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true で InPrivate スイッチが許可されている場合、InPrivate に自動的に切り替えます。

個人用プロファイルを仕事用プロファイルに切り替える動作を制御する

Edge が個人用プロファイルの下にあり、ユーザーが Outlook または仕事用プロファイルの下にあるMicrosoft Teamsからリンクを開こうとしている場合、既定では、Edge、Outlook、Microsoft Teamsの両方がIntuneによって管理されているため、Intuneは Edge 作業プロファイルを使用してリンクを開きます。 ただし、リンクがブロックされると、ユーザーは個人用プロファイルに切り替えられます。 これにより、ユーザーの摩擦エクスペリエンスが発生します

ユーザーのエクスペリエンスを向上させるためにポリシーを構成できます。 このポリシーは、構成したポリシー値に従ってユーザーを個人用プロファイルに切り替える可能性があるため、AutoTransitionModeOnBlock と共に使用することをお勧めします。

キー
com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork 1: (既定値) URL が Edge ポリシーによってブロックされている場合でも、仕事用プロファイルに切り替えます。
2: 個人用プロファイルがサインインしている場合、個人用プロファイルの下でブロックされた URL が開きます。 個人用プロファイルがサインインしていない場合、ブロックされた URL は InPrivate モードで開かれます。

許可されたサイト リストとブロックされたサイト リストの URL 形式

さまざまな URL 形式を使用して、許可またはブロックされたサイト リストを作成できます。 これらの許可されるパターンの詳細を次の表に示します。

  • 一覧に入力するときに、すべての URL に http:// または https:// のプレフィックスを付けてください。

  • ワイルドカード記号 (*) は、次の許可されるパターンの一覧の規則に従って使用できます。

  • ワイルドカードは、ホスト名のコンポーネントの一部 (例: news-contoso.com) またはコンポーネント全体 (例: host.contoso.com)、またはスラッシュ (www.contoso.com/images) で区切られたパスの一部/全体にのみ一致します。

  • アドレスにポート番号を指定できます。 ポート番号を指定しない場合、使用される値は次のとおりです。

    • http の場合ポート 80
    • https の場合ポート 443
  • ポート番号にワイルドカードを使用することはサポートされていません。 たとえば、http://www.contoso.com:*http://www.contoso.com:*/ はサポートされていません。

    URL 詳細 一致します 一致しません
    http://www.contoso.com 1 つのページに一致します www.contoso.com host.contoso.com
    www.contoso.com/images
    contoso.com/
    http://contoso.com 1 つのページに一致します contoso.com/ host.contoso.com
    www.contoso.com/images
    www.contoso.com
    http://www.contoso.com/* www.contoso.com で始まるすべての URL と一致します www.contoso.com
    www.contoso.com/images
    www.contoso.com/videos/tvshows
    host.contoso.com
    host.contoso.com/images
    http://*.contoso.com/* contoso.com のすべてのサブドメインと一致します developer.contoso.com/resources
    news.contoso.com/images
    news.contoso.com/videos
    contoso.host.com
    news-contoso.com
    http://*contoso.com/* contoso.com/ で終わるすべてのサブドメインと一致します news-contoso.com
    news-contoso.com/daily
    news-contoso.host.com
    news.contoso.com
    http://www.contoso.com/images 1 つのフォルダーと一致します www.contoso.com/images www.contoso.com/images/dogs
    http://www.contoso.com:80 ポート番号を使用して 1 つのページと一致します www.contoso.com:80
    https://www.contoso.com 1 つのセキュリティで保護されたページと一致します www.contoso.com www.contoso.com/images
    http://www.contoso.com/images/* 1 つのフォルダーとすべてのサブフォルダーに一致します www.contoso.com/images/dogs
    www.contoso.com/images/cats
    www.contoso.com/videos
  • 指定できない入力の一部の例を次に示します。

    • *.com
    • *.contoso/*
    • www.contoso.com/*images
    • www.contoso.com/*images*pigs
    • www.contoso.com/page*
    • IP アドレス
    • https://*
    • http://*
    • http://www.contoso.com:*
    • http://www.contoso.com: /*

Edge 内部ページを無効にする

Edge://net-exportなどの Edge://flags Edge 内部ページを無効にすることができます。 その他のページは、 Edge://about

キー
com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList キーの対応する値は、ページ名の一覧です。 ブロックする内部ページは、パイプ | 文字で区切って 1 つの値として入力できます。

例:
flags|net-export

ファイルのアップロードを許可する Web サイトを管理する

ユーザーは Web サイトの表示のみができ、ファイルをアップロードできない場合があります。 組織には、ファイルのアップロードを受信できる Web サイトを指定するオプションがあります。

キー
com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。

例:
URL1|URL2|URL3
https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com
com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。

例:
URL1|URL2|URL3
https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com

内部 Web サイトを含むすべての Web サイトでファイルのアップロードをブロックする例

  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

特定の Web サイトにファイルのアップロードを許可する例

  • com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=https://[*.]contoso.com/|[*.]sharepoint.com/
  • com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=*

URL 形式の詳細については、「エンタープライズ ポリシー URL パターン形式」を参照してください。

注:

iOS 用の Edge では、アップロードに加えて貼り付け操作がブロックされます。 アクション メニューに貼り付けオプションは表示されません。

プロキシ構成を管理する

iOS および Android 用の Edge と Microsoft Entra アプリケーション プロキシを組み合わせて使用して、ユーザーがモバイル デバイス上のイントラネット サイトにアクセスできるようにします。 例:

  • ユーザーは、Intune によって保護されている Outlook モバイル アプリを使用しています。 次に、メール内のイントラネット サイトへのリンクをクリックすると、iOS および Android 用の Edge は、このイントラネット サイトがアプリケーション プロキシを介してユーザーに公開されていることを認識します。 ユーザーは、イントラネット サイトに到達する前に、適用できる多要素認証と条件付きアクセスで認証するために、アプリケーション プロキシ経由で自動的にルーティングされます。 ユーザーはモバイル デバイス上でも内部サイトにアクセスできるようになり、Outlook のリンクは期待どおりに機能します。
  • ユーザーが iOS または Android デバイスで、iOS および Android 用の Edge を開きます。 iOS および Android 用の Edge が Intune で保護されていて、アプリケーション プロキシが有効になっている場合、ユーザーは使用する内部 URL を使用してイントラネット サイトに移動できます。 iOS および Android 用の Edge は、このイントラネット サイトがアプリケーション プロキシを介してユーザーに公開されていることを認識します。 ユーザーは、イントラネット サイトに到達する前に認証するために、アプリケーション プロキシ経由で自動的にルーティングされます。

はじめに:

  • Microsoft Entra アプリケーション プロキシを使用して内部アプリケーションを設定します。
    • アプリケーション プロキシを構成し、アプリケーションを発行するには、セットアップ ドキュメントを参照してください。
    • アプリがパススルー事前認証の種類で構成されている場合でも、ユーザーが Microsoft Entra アプリケーション プロキシ アプリに割り当てられていることを確認します。
  • iOS および Android 用の Edge アプリには、Intune アプリ保護ポリシーが割り当てられている必要があります。
  • Microsoft アプリには、他のアプリのデータ転送による Web コンテンツの転送を制限する設定が Microsoft Edge に設定されているアプリ保護ポリシーが必要です。

注:

iOS および Android 用の Edge では、最後に成功した更新イベントに基づいてアプリケーション プロキシ リダイレクト データが更新されます。 更新は、最後に成功した更新イベントが 1 時間を超えるたびに試行されます。

アプリケーション プロキシを有効にするには、次のキーと値のペアを使用して iOS および Android 用の Edge をターゲットにします。

キー
com.microsoft.intune.mam.managedbrowser.AppProxyRedirection

このポリシー名は、Edge 構成設定の下の アプリケーション プロキシ リダイレクト の UI に置き換えられました
true の場合、Microsoft Entra アプリケーション プロキシのリダイレクト シナリオが有効になります
false (既定値) にすると、Microsoft Entra アプリケーション プロキシ のシナリオが回避されます

オンプレミスの Web アプリへのシームレスな (保護された) アクセスを実現するために、iOS および Android 用の Edge と Microsoft Entra アプリケーション プロキシを使用する方法の詳細については、「Intune と Microsoft Entra の連携を強化してユーザー アクセスを向上させる」を参照してください。 このブログ投稿では、Intune Managed Browser を参照していますが、コンテンツは iOS および Android 用の Edge にも適用されます。

NTLM シングル サインオン サイトを管理する

組織は、イントラネット Web サイトにアクセスするために、NTLM でユーザーの認証を要求する場合があります。 既定では、NTLM 資格情報のキャッシュが無効になっているため、NTLM 認証を必要とする Web サイトにアクセスするたびに、資格情報を入力するように求められます。

組織は、特定の Web サイトに対して NTLM 資格情報のキャッシュを有効にすることができます。 これらのサイトでは、ユーザーが資格情報を入力し、認証に成功すると、資格情報は既定で 30 日間キャッシュされます。

注:

プロキシ サーバーを使用している場合は、キー値の一部として httpshttp の両方を特に指定する NTLMSSOURLs ポリシーを使用して構成されていることを確認します。

現時点では、 HTTPShttp スキームの両方を NTLMSSOURLs キー値で指定する必要があります。 たとえば、 と http://your-proxy-server:8080の両方https://your-proxy-server:8080を構成する必要があります。 現在、host:port (など your-proxy-server:8080) として形式を指定するだけでは十分ではありません。

さらに、NTLMSSOURLs ポリシーでプロキシ サーバーを構成する場合、ワイルドカード 記号 (*) はサポートされません。

キー
com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs キーの対応する値は、URL の一覧です。 許可するすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。

例:
URL1|URL2
http://app.contoso.com/|https://expenses.contoso.com

サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。
com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO 資格情報をキャッシュする時間数 (既定値は 720 時間)

マネージド デバイスの追加のアプリ構成

マネージド アプリのアプリ構成ポリシーを使用して最初に構成できる次のポリシーは、マネージド デバイスのアプリ構成ポリシーを通じて使用できるようになりました。 マネージド アプリのポリシーを使用する場合、ユーザーは Microsoft Edge にサインインする必要があります。 マネージド デバイスにポリシーを使用する場合、ユーザーは Edge にサインインしてポリシーを適用する必要はありません。

マネージド デバイスのアプリ構成ポリシーにはデバイス登録が必要であるため、統合エンドポイント管理 (UEM) がサポートされます。 MDM チャネルで他のポリシーを見つけるには、「Microsoft Edge モバイル ポリシー」を参照してください。

MAM ポリシー MDM ポリシー
com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL EdgeNewTabPageCustomURL
com.microsoft.intune.mam.managedbrowser.MyApps EdgeMyApps
com.microsoft.intune.mam.managedbrowser.defaultHTTPS EdgeDefaultHTTPS
com.microsoft.intune.mam.managedbrowser.disableShareUsageData EdgeDisableShareUsageData
com.microsoft.intune.mam.managedbrowser.disabledFeatures EdgeDisabledFeatures
com.microsoft.intune.mam.managedbrowser.disableImportPasswords EdgeImportPasswordsDisabled
com.microsoft.intune.mam.managedbrowser.enableKioskMode EdgeEnableKioskMode
com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode EdgeShowAddressBarInKioskMode
com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode EdgeShowBottomBarInKioskMode
com.microsoft.intune.mam.managedbrowser.account.syncDisabled EdgeSyncDisabled
com.microsoft.intune.mam.managedbrowser.NetworkStackPref EdgeNetworkStackPref
com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled SmartScreenEnabled
com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled MicrosoftRootStoreEnabled
com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed SSLErrorOverrideAllowed
com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting DefaultPopupsSetting
com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls PopupsAllowedForUrls
com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls PopupsBlockedForUrls
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled DefaultSearchProviderEnabled
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName DefaultSearchProviderName
com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL DefaultSearchProviderSearchURL
com.microsoft.intune.mam.managedbrowser.Chat EdgeCopilotEnabled
com.microsoft.intune.mam.managedbrowser.ChatPageContext EdgeChatPageContext

Microsoft Intune を使用してアプリ構成シナリオを展開する

モバイル アプリ管理プロバイダーとして Microsoft Intune を使用している場合は、次の手順に従って、マネージド アプリのアプリ構成ポリシーを作成できます。 構成を作成した後、その設定をユーザー グループに割り当てることができます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [アプリ] を選択し、[アプリ構成ポリシー] を選択します。

  3. [アプリ構成ポリシー] ブレードで、[追加] を選択し、[マネージド アプリ] を選択します。

  4. [基本] セクションで、名前を入力し、オプションのアプリ構成設定の説明を入力します。

  5. [パブリック アプリ][パブリック アプリの選択] を選択し、[ターゲット アプリ] ブレードで、iOS と Android の両方のプラットフォーム アプリを選択して、[iOS および Android 用の Edge] を選択します。 [選択] をクリックして、選択したパブリック アプリを保存します。

  6. [次へ] をクリックして、アプリ構成ポリシーの基本設定を完了します。

  7. [設定] セクションで、[Edge 構成設定] を展開します。

  8. データ保護設定を管理する場合は、必要な設定を適切に構成します。

    • [アプリケーション プロキシ リダイレクト] で、使用可能なオプション ([有効][無効] (既定値)) から選択します。

    • [ホームページのショートカット URL] に、http:// または https:// のプレフィックスを含む有効な URL を指定 します。 不正な URL は、セキュリティ対策としてブロックされます。

    • [マネージド ブックマーク] には、タイトルと http:// または https:// のプレフィックスを含む有効な URL を指定します。

    • [許可された URL] には、有効な URL を指定します (これらの URL のみが許可されます。他のサイトにはアクセスできません)。 サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。

    • [ブロックされた URL] には、有効な URL を指定します (これらの URL のみがブロックされます)。 サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。

    • [制限付きサイトを個人用コンテキストにリダイレクトする] で、使用可能なオプション ([有効] (既定値)、[無効]) から選択します。

    注:

    ポリシーで許可された URL とブロックされた URL の両方が定義されている場合は、許可されたリストのみが適用されます。

  9. 上記のポリシーで公開されていない追加のアプリ構成設定を行う場合は、[全般構成設定] ノードを展開し、それに応じてキー値のペアを入力します。

  10. 設定の構成が完了したら、[次へ] を選択します。

  11. [割り当て] セクションで、[含めるグループの選択] を選択します。 アプリ構成ポリシーを割り当てる Microsoft Entra グループを選択し、[選択] を選択します。

  12. 割り当てが完了したら、[次へ] を選択します。

  13. [アプリ構成ポリシーの作成] の [確認と作成] ブレードで、構成されている設定を確認し、[作成] を選択します。

新しく作成した構成ポリシーが [アプリ構成] ブレードに表示されます。

iOS および Android 用の Microsoft Edge を使用して管理対象アプリ ログにアクセスする

iOS または Android デバイスに iOS および Android 用の Edge がインストールされているユーザーは、Microsoft が発行したすべてのアプリの管理状態を表示できます。 次の手順を使用して、管理対象の iOS アプリまたは Android アプリのトラブルシューティングのためにログを送信できます。

  1. デバイスで iOS および Android 用の Edge を開きます。

  2. アドレス ボックスに「edge://intunehelp/」と入力 します。

  3. iOS および Android 用の Edge でトラブルシューティング モードが起動します。

Microsoft サポートからログを取得するには、ユーザーのインシデント ID を指定します。

アプリ ログに保存されている設定のリストについては、「クライアント アプリの保護ログを確認する」を参照してください。

診断ログ

edge://intunehelp/ からの Intune ログに加えて、iOS および Android 用の Microsoft Edge の診断ログを提供するように Microsoft サポートから求められる場合があります。 ログをローカル デバイスにダウンロードし、Microsoft サポートに共有できます。 ログをローカル デバイスにダウンロードするには:

1. オーバーフロー メニューからヘルプとフィードバックを開く

2. [診断データ] をクリックする

3. iOS 用の Microsoft Edge の場合は、右上の [共有] アイコンをクリックします。 OS 共有ダイアログが表示されます。 ログをローカルに保存するか、他のアプリと共有することを選択できます。 Android 用の Microsoft Edge の場合は、右上隅にあるサブ メニューをクリックしてログを保存します。 ログは、Download ->Edge フォルダーに格納されます。

[クリア] アイコンをクリックしてログを最初にクリアして、更新ログを取得することもできます。

注:

ログを保存すると、Intune アプリケーション保護ポリシーも考慮されます。 そのため、診断データをローカル デバイスに保存できない場合があります。

次の手順