Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I criteri di configurazione delle app (ACP) personalizzano il comportamento e le funzionalità Microsoft Edge for Business in ogni piattaforma. Nel piano Secure Enterprise Browser, gli ACL interagiscono con i criteri di protezione delle app (passaggio 2) e l'accesso condizionale (passaggio 1) per offrire un'esperienza di browser a livelli Zero Trust nei dispositivi gestiti e BYOD.
Questo passaggio definisce tre configurazioni ACP progressive per piattaforma, Livello 1 (Basic), Livello 2 (Avanzato) e Livello 3 (Alto), in modo da standardizzare l'esperienza utente, bloccare le superfici rischiose e allineare le restrizioni alla riservatezza dei dati e al rischio utente. Questi criteri integrano i controlli di protezione dei dati (APP) anziché sostituirli.
Nota
I criteri di configurazione delle app personalizzano le funzionalità e il comportamento del browser. Integrano i criteri di protezione delle app incentrati sulla protezione dei dati.
Selezione dei criteri in base alla registrazione del dispositivo
Configurazione app Criteri (questo passaggio) sono progettati per i dispositivi non registrati usando il canale di configurazione App gestite, mentre i criteri del catalogo delle impostazioni (passaggio 5) sono progettati per i dispositivi registrati con controlli a livello di dispositivo.
Importante
Scegliere il tipo di criterio appropriato in base allo stato di registrazione del dispositivo per evitare conflitti di criteri.
Selezione livello di sicurezza
I tre livelli di sicurezza (livello 1, 2, 3) non sono cumulativi, ma rappresentano configurazioni progressivamente più rigide progettate per diversi ruoli utente e requisiti di riservatezza dei dati.
Linee guida per l'implementazione
- Valutare gli scenari e i ruoli utente per determinare quale livello è appropriato per ogni gruppo di utenti
- Distribuire un solo livello per utente/dispositivo, non tutti e tre i livelli contemporaneamente
- Allineare l'assegnazione del livello di sicurezza con i requisiti di accesso ai dati e al ruolo aziendale
Assegnazioni di esempio
- Livello 1 (Basic): utenti generali, flussi di lavoro di produttività standard (circa l'80% degli utenti)
- Livello 2 (avanzato): Finanza, risorse umane, personale IT che gestisce i dati sensibili (circa il 15% degli utenti)
- Livello 3 (alto):Executives, SecOps, Legal, users with access to highly confidential data (~5% of users)
Criteri di configurazione delle app per Windows
I criteri di configurazione delle app di Windows consentono la personalizzazione del browser tramite le impostazioni dell'app gestita.
Documentazione Microsoft:
Prerequisiti:
- Windows 11
- Microsoft Edge installato
- Intune la registrazione o mam gestita
- Account ID Entra utente
Livello 1 - Configurazione del browser di base per Windows
La configurazione di livello 1 fornisce controlli di sicurezza del browser di base, mantenendo al tempo stesso la produttività degli utenti.
- Passare all'interfaccia di amministrazione Microsoft Intune.
- Selezionare App>Gestisci app>Configurazione>Crea>app gestite.
- Nella scheda Informazioni di base immettere:
- Nome: Edge Windows ACP Level 1 Basic
- Descrizione: Personalizzazione avanzata del browser per Microsoft Edge Windows con controlli di base completi per l'analisi delle lacune ACP
- In Criteri di destinazione per selezionare App selezionate.
- Scegliere + Selezionare le app pubbliche.
- Nel pannello Selezionare le app per la destinazione cercare e selezionare Microsoft Edge Windows e quindi selezionare Seleziona.
- Seleziona Avanti.
- Nel passaggio Impostazioni espandere Impostazioni di configurazione generale.
- Configurare ogni impostazione usando il nome e il valore specificati:
- Seleziona Avanti.
- Per Assegnazioni, assegnare al gruppo SEB-Level1-Users .
- Selezionare Avanti per esaminare le impostazioni. Scegliere quindi Crea.
Livello 2 - Configurazione avanzata del browser per Windows
La configurazione di livello 2 aggiunge controlli di sicurezza avanzati e restrizioni per gli ambienti sensibili.
- Passare all'interfaccia di amministrazione Microsoft Intune.
- Selezionare App>Gestisci app>Configurazione>Crea>app gestite.
- Nella scheda Informazioni di base immettere:
- Nome: Edge Windows ACP Level 2 Enhanced
- Descrizione: Personalizzazione avanzata del browser con controlli di sicurezza avanzati e gestione completa delle funzionalità
- In Criteri di destinazione per selezionare App selezionate.
- Scegliere + Selezionare le app pubbliche.
- Nel pannello Selezionare le app per la destinazione cercare e selezionare Microsoft Edge Windows e quindi selezionare Seleziona.
- Seleziona Avanti.
- Nel passaggio Impostazioni espandere Impostazioni di configurazione generale.
- Configurare ogni impostazione usando il nome e il valore specificati:
- Seleziona Avanti.
- Per Assegnazioni, assegnare al gruppo SEB-Level2-Users .
- Selezionare Avanti per esaminare le impostazioni. Scegliere quindi Crea.
Livello 3 - Configurazione di sicurezza elevata per Windows
La configurazione di livello 3 impone la massima sicurezza con controlli zero trust e una prevenzione completa della perdita dei dati.
Passare all'interfaccia di amministrazione Microsoft Intune.
Selezionare App>Gestisci app>Configurazione>Crea>app gestite.
Nella scheda Informazioni di base immettere:
- Nome: Edge Windows ACP Level 3 High
- Descrizione: Personalizzazione elevata del browser con controlli aziendali completi, configurazione zero trust e isolamento completo della sicurezza
In Criteri di destinazione per selezionare App selezionate.
- Scegliere + Selezionare le app pubbliche.
- Nel pannello Selezionare le app per la destinazione cercare e selezionare Microsoft Edge Windows e quindi selezionare Seleziona.
Seleziona Avanti.
Nel passaggio Impostazioni espandere Impostazioni di configurazione generale.
Configurare ogni impostazione usando il nome e il valore specificati:
Seleziona Avanti.
Per Assegnazioni, assegnare al gruppo SEB-Level3-Users .
Selezionare Avanti per esaminare le impostazioni. Scegliere quindi Crea.
Convalida (tutti i livelli di Windows)
Applicazione criteri
- Nell'interfaccia di amministrazione Intune verificare lo stato di distribuzione dei criteri Catalogo impostazioni, Baseline di sicurezza, APP e ACP per i dispositivi Windows di destinazione.
Verifica dell'endpoint
- Nel dispositivo client aprire Microsoft Edge e passare a
edge://policy. - Verificare che tutte le chiavi dei criteri configurate vengano visualizzate con i valori previsti e non mostrino uno stato di errore .
Imposizione di URL e funzionalità
- Livello 1: Verificare che i controlli di sicurezza di base siano attivi, tra cui SmartScreen, la prevenzione del rilevamento e le impostazioni di restrizione di base.
- Livello 2: Convalidare restrizioni avanzate, ad esempio il blocco delle estensioni, le restrizioni di sincronizzazione dei dati e i comportamenti clear-on-exit.
- Livello 3: Provare a passare agli URL non consentiti e verificare che siano bloccati o isolati, ad esempio Application Guard.
Criteri di aggiornamento
- In
edge://policycercare Aggiorna per assicurarsi che il comportamento di aggiornamento configurato (ad esempio, controlli giornalieri, ore eliminate, aggiunta della versione) corrisponda al livello di sicurezza assegnato.
Controlli di isolamento (solo livello 3)
- Verificare che gli URL a rischio elevato o non approvati attivino il comportamento di isolamento previsto, ad esempio l'isolamento forzato dell'applicazione o un contenitore di esplorazione sicuro.
Criteri di Configurazione app per Android
I criteri di configurazione delle app Android personalizzano Microsoft Edge for Business comportamento nei dispositivi mobili. Questi criteri definiscono le impostazioni predefinite del browser, limitano le funzionalità rischiose e applicano le protezioni della privacy in linea con i framework di sicurezza aziendali.
Documentazione Microsoft:
Prerequisiti:
- Android 10.0+ (8.0+ per dispositivi senza utente)
- Microsoft Edge per Android installato
- Portale aziendale o Intune app installata
- Microsoft Intune licenza assegnata all'utente
- Dispositivo abilitato per MAM o MDM registrato tramite Intune
- Utente connesso con Microsoft Entra ID account
Livello 1 : configurazione di base del browser per dispositivi mobili per Android
La configurazione di livello 1 fornisce controlli di sicurezza del browser di base, mantenendo al tempo stesso la produttività degli utenti.
- Passare all'interfaccia di amministrazione Microsoft Intune.
- Selezionare App>Gestisci app>Configurazione>Crea>app gestite.
- Nella scheda Informazioni di base immettere:
- Nome: Edge Android ACP Level 1 Basic
- Descrizione: Configurazione del browser di base per Microsoft Edge Android con impostazioni di sicurezza essenziali e controlli mobili fondamentali
- In Criteri di destinazione per selezionare App selezionate.
- Scegliere + Selezionare le app pubbliche.
- Nel pannello Selezionare le app per la destinazione cercare e selezionare Microsoft Edge (Android) e quindi selezionare Seleziona.
- Seleziona Avanti.
- Nel passaggio Impostazioni espandere Impostazioni di configurazione generale.
- Configurare ogni impostazione usando il nome e il valore specificati:
| Name | Valore | Documentazione |
|---|---|---|
| com.microsoft.intune.mam .managedbrowser. PasswordSSO |
true | Microsoft Entra password single sign-on |
| com.microsoft.intune.mam .managedbrowser. SmartScreenEnabled |
true | Microsoft Defender SmartScreen |
| EdgeMyApps | true | Abilitare EdgeMyApps |
| EdgeDefaultHTTPS | true | Applicare https predefinito |
| EdgeDisableShareUsageData | true | Disabilitare la condivisione dei dati di utilizzo |
| EdgeImportPasswordsDisabled | False | Disabilitare l'importazione della password |
| EdgeNewTabPageLayout | 0 | Configurare il nuovo layout di pagina della scheda |
| EdgeEnableKioskMode | False | Abilitare la modalità tutto schermo |
| EdgeShowAddressBarInKioskMode | true | Mostra barra degli indirizzi in modalità tutto schermo |
| SmartScreenEnabled | true | Abilitare SmartScreen |
| SearchSuggestEnabled | False | Abilitare i suggerimenti per la ricerca |
| TranslateEnabled | true | Abilitare la conversione |
| HideFirstRunExperience | true | Nascondere l'esperienza di prima esecuzione |
| SSLErrorOverrideAllowed | true | Consenti override degli errori SSL |
| DefaultBrowserSettingEnabled | true | Abilita come browser predefinito |
| EdgeCopilotEnabled | true | Abilitare Edge Copilot |
| EdgeSharedDeviceSupportEnabled | true | Abilitare il supporto per dispositivi condivisi |
| ExperimentationAndConfigurationServiceControl | 1 | Controllo del servizio di sperimentazione e configurazione |
| DefaultPopupsSetting | 2 | Impostazione popup predefinita |
| DefaultCookiesSetting | 1 | Impostazione predefinita dei cookie |
| BiometricAuthenticationBeforeFilling | False | Autenticazione biometrica prima del riempimento |
| PasswordManagerEnabled | False | Abilitare gestione password |
| EdgeBrandLogo | true | Abilitare il logo del marchio Edge |
| EdgeBrandColor | #0078d4 |
Impostare il colore del marchio Edge |
| DefaultSearchProviderEnabled | true | Abilitare il provider di ricerca predefinito |
| DefaultSearchProviderName | "Ricerca aziendale preferita" | Nome del provider di ricerca predefinito |
| DefaultSearchProviderSearchURL | "https://search.company.com?q={searchTerms}" | URL di ricerca del provider di ricerca predefinito |
| DefaultSearchProviderSuggestURL | "https://search.company.com/suggest?q={searchTerms}" | URL di suggerimento del provider di ricerca predefinito |
| DefaultSearchProviderKeyword | "società" | Parola chiave del provider di ricerca predefinito |
| Impostazioni proxy | {"ProxyServer": "IP:Port", "ProxyBypassList": "*.company.com", "ProxyMode": "direct"} | Configurare le impostazioni proxy |
- In Impostazioni di Gestione applicazioni mobili di Microsoft Tunnel:
| Name | Valore |
|---|---|
| Tunnel abilitato | Non configurata |
| Nome connessione | Non configurata |
| Sito di Microsoft Tunnel | Non configurata |
| Per-App VPN (solo Android) | Nessuna VPN Per-App |
| Script di configurazione automatica | Non configurata |
| Indirizzo | Non configurata |
| Numero porta | Non configurata |
| Certificato radice | Non configurata |
- Espandere Le impostazioni di configurazione di Edge e configurare:
| Name | Valore |
|---|---|
| Reindirizzamento del proxy dell'applicazione | Disabilita |
| URL collegamento alla home page | https://www.company.com |
| Segnalibri gestiti | Portale aziendale |https://portal.company.com |
| URL consentiti | Lasciare vuoto (il livello 3 usa URL consentiti) |
| URL bloccati | Lasciare vuoto (il livello 2 usa GLI URL bloccati) |
| Reindirizzare i siti con restrizioni al contesto personale | Disabilita |
- Selezionare Avanti.
- In Assegnazioni assegnare al gruppo SEB-Level1-Users .
- Selezionare Avanti per esaminare le impostazioni. Scegliere quindi Crea.
Livello 2 - Configurazione avanzata del browser per dispositivi mobili per Android
La configurazione di livello 2 aggiunge controlli di sicurezza avanzati e restrizioni per gli ambienti sensibili.
- Passare all'interfaccia di amministrazione Microsoft Intune.
- Selezionare App>Gestisci app>Configurazione>Crea>app gestite.
- Nella scheda Informazioni di base immettere:
- Nome: Edge Android ACP Level 2 Enhanced
- Descrizione: Configurazione avanzata del browser per Microsoft Edge Android con più controlli di sicurezza e funzionalità di protezione dei dati
- In Criteri di destinazione per selezionare App selezionate.
- Scegliere + Selezionare le app pubbliche.
- Nel pannello Selezionare le app per la destinazione cercare e selezionare Microsoft Edge (Android) e quindi selezionare Seleziona.
- Seleziona Avanti.
- Nel passaggio Impostazioni espandere Impostazioni di configurazione generale.
- Configurare ogni impostazione usando il nome e il valore specificati:
| Name | Valore | Documentazione |
|---|---|---|
| com.microsoft.intune.mam .managedbrowser. PasswordSSO |
true | Microsoft Entra password single sign-on |
| com.microsoft.intune.mam .managedbrowser. SmartScreenEnabled |
true | Microsoft Defender SmartScreen |
| EdgeMyApps | true | Abilitare EdgeMyApps |
| EdgeDefaultHTTPS | true | Applicare https predefinito |
| EdgeDisableShareUsageData | true | Disabilitare la condivisione dei dati di utilizzo |
| EdgeImportPasswordsDisabled | true | Disabilitare l'importazione della password |
| EdgeNewTabPageLayout | 1 | Configurare il nuovo layout di pagina della scheda |
| EdgeEnableKioskMode | False | Abilitare la modalità tutto schermo |
| EdgeShowAddressBarInKioskMode | true | Mostra barra degli indirizzi in modalità tutto schermo |
| SmartScreenEnabled | true | Abilitare SmartScreen |
| SearchSuggestEnabled | False | Abilitare i suggerimenti per la ricerca |
| TranslateEnabled | true | Abilitare la conversione |
| HideFirstRunExperience | true | Nascondere l'esperienza di prima esecuzione |
| SSLErrorOverrideAllowed | False | Consenti override degli errori SSL |
| DefaultBrowserSettingEnabled | False | Impostare come browser predefinito |
| EdgeCopilotEnabled | False | Abilitare Edge Copilot |
| EdgeSharedDeviceSupportEnabled | true | Abilitare il supporto per dispositivi condivisi |
| ExperimentationAndConfigurationServiceControl | 0 | Controllo del servizio di sperimentazione e configurazione |
| EdgeSyncDisabled | true | Disabilitare la sincronizzazione del browser |
| SavingBrowserHistoryDisabled | False | Disabilitare il salvataggio della cronologia del browser |
| DefaultPopupsSetting | 2 | Impostazione popup predefinita |
| DefaultCookiesSetting | 2 | Impostazione predefinita dei cookie |
| BiometricAuthenticationBeforeFilling | true | Autenticazione biometrica prima del riempimento |
| PasswordManagerEnabled | False | Abilitare gestione password |
| EdgeBrandLogo | true | Abilitare il logo del marchio Edge |
| EdgeBrandColor | #0078d4 |
Impostare il colore del marchio Edge |
| DefaultSearchProviderEnabled | true | Abilitare il provider di ricerca predefinito |
| DefaultSearchProviderName | "Ricerca aziendale preferita" | Nome del provider di ricerca predefinito |
| DefaultSearchProviderSearchURL | "https://search.company.com?q={searchTerms}" | URL di ricerca del provider di ricerca predefinito |
| DefaultSearchProviderSuggestURL | "https://search.company.com/suggest?q={searchTerms}" | URL di suggerimento del provider di ricerca predefinito |
| DefaultSearchProviderKeyword | "società" | Parola chiave del provider di ricerca predefinito |
| Impostazioni proxy | {"ProxyServer": "IP:Port", "ProxyBypassList": "*.company.com", "ProxyMode": "direct"} | Configurare le impostazioni proxy |
| EdgeDisabledFeatures | password|riempimento automatico|copilot|raccolte|readaloud | Disabilitare le funzionalità |
- Espandere Le impostazioni di configurazione di Edge e configurare:
| Impostazione | Valore |
|---|---|
| URL consentiti | Lasciare vuoto (il livello 2 usa invece gli URL bloccati: quando vengono configurati gli URL bloccati, il campo URL consentiti diventa non disponibile) |
| URL bloccati | *.facebook.com, *.twitter.com, *.instagram.com, *.tiktok.com |
| Reindirizzare i siti con restrizioni al contesto personale | Attivazione |
- Selezionare Avanti.
- In Assegnazioni assegnare al gruppo SEB-Level2-Users .
- Selezionare Avanti per esaminare le impostazioni. Scegliere quindi Crea.
Livello 3 - Configurazione per dispositivi mobili ad alta sicurezza per Android
La configurazione di livello 3 impone la massima sicurezza con controlli zero trust e una prevenzione completa della perdita dei dati.
- Passare all'interfaccia di amministrazione Microsoft Intune.
- Selezionare App>Gestisci app>Configurazione>Crea>app gestite.
- Nella scheda Informazioni di base immettere:
- Nome: Edge Android ACP Level 3 High
- Descrizione: Configurazione del browser ad alta sicurezza per Microsoft Edge Android con restrizioni massime, isolamento rigoroso e controlli completi sulla privacy
- In Criteri di destinazione per selezionare App selezionate.
- Scegliere + Selezionare le app pubbliche.
- Nel pannello Selezionare le app per la destinazione cercare e selezionare Microsoft Edge (Android) e quindi selezionare Seleziona.
- Seleziona Avanti.
- Nel passaggio Impostazioni espandere Impostazioni di configurazione generale.
- Configurare ogni impostazione usando il nome e il valore specificati:
| Name | Valore | Documentazione |
|---|---|---|
| com.microsoft.intune.mam .managedbrowser. PasswordSSO |
False | Microsoft Entra password single sign-on |
| com.microsoft.intune.mam .managedbrowser. SmartScreenEnabled |
true | SmartScreen abilitato |
| EdgeMyApps | False | Abilitare EdgeMyApps |
| EdgeDefaultHTTPS | true | Applicare https predefinito |
| EdgeDisableShareUsageData | true | Disabilitare la condivisione dei dati di utilizzo |
| EdgeImportPasswordsDisabled | true | Disabilitare l'importazione delle password |
| EdgeNewTabPageLayout | 2 | Configurare il nuovo layout di pagina della scheda |
| EdgeEnableKioskMode | true | Abilitare la modalità tutto schermo |
| EdgeShowAddressBarInKioskMode | False | Mostra barra degli indirizzi in modalità tutto schermo |
| SmartScreenEnabled | true | SmartScreen abilitato |
| SearchSuggestEnabled | False | Disabilitare i suggerimenti per la ricerca |
| EdgeSyncDisabled | true | Disabilitare la sincronizzazione del browser |
| InPrivateModeAvailability | 1 | Disabilitare la modalità InPrivate |
| SavingBrowserHistoryDisabled | true | Disabilitare il salvataggio della cronologia del browser |
| DefaultPopupsSetting | 2 | Impostazione popup predefinita |
| TranslateEnabled | False | Disabilitare la conversione |
| HideFirstRunExperience | true | Nascondere l'esperienza di prima esecuzione |
| SSLErrorOverrideAllowed | False | Override degli errori SSL consentito |
| EdgeSharedDeviceSupportEnabled | False | Disabilitare il supporto dei dispositivi condivisi |
| AutofillCreditCardEnabled | False | Disabilitare il riempimento automatico per le istruzioni di pagamento |
| DownloadRestrictions | 2 | Restrizioni per il download |
| ExperimentationAndConfigurationServiceControl | 0 | Controllo del servizio di sperimentazione e configurazione |
| DefaultBrowserSettingEnabled | False | Impostare come browser predefinito |
| EdgeCopilotEnabled | False | Abilitare Edge Copilot |
| DefaultCookiesSetting | 4 | Impostazione predefinita dei cookie |
| DefaultJavaScriptSetting | 2 | Impostazione predefinita di JavaScript |
| DefaultGeolocationSetting | 2 | Impostazione di georilevazione predefinita |
| BiometricAuthenticationBeforeFilling | true | Autenticazione biometrica prima del riempimento |
| PasswordManagerEnabled | False | Abilitare gestione password |
| EdgeDisabledFeatures | inprivate|autofill|password|translator|readaloud|drop| coupon|extensions|copilot|collections|myapps |
Disabilitare le funzionalità |
| EdgeBrandLogo | true | Abilitare il logo del marchio Edge |
| EdgeBrandColor | #0078d4 |
Impostare il colore del marchio Edge |
| DefaultSearchProviderEnabled | true | Abilitare il provider di ricerca predefinito |
| DefaultSearchProviderName | "Ricerca aziendale preferita" | Nome del provider di ricerca predefinito |
| DefaultSearchProviderSearchURL | "https://search.company.com?q={searchTerms}" | URL di ricerca del provider di ricerca predefinito |
| DefaultSearchProviderSuggestURL | "https://search.company.com/suggest?q={searchTerms}" | URL di suggerimento del provider di ricerca predefinito |
| DefaultSearchProviderKeyword | "società" | Parola chiave del provider di ricerca predefinito |
| Impostazioni proxy | {"ProxyServer": "IP:Port", "ProxyBypassList": "*.company.com", "ProxyMode": "fixed_servers"} | Configurare le impostazioni proxy |
| EdgeBlockSignInEnabled | true | Blocca l'accesso abilitato |
- Espandere Le impostazioni di configurazione di Edge e configurare:
| Impostazione | Valore |
|---|---|
| URL consentiti | *.company.com, *.microsoft.com, login.microsoftonline.com |
| URL bloccati | Lasciare vuoto (il livello 3 usa gli URL consentiti: quando sono configurati gli URL consentiti, il campo URL bloccati diventa non disponibile) |
- Selezionare Avanti.
- In Assegnazioni assegnare al gruppo SEB-Level3-Users .
- Selezionare Avanti per esaminare le impostazioni. Scegliere quindi Crea.
Convalida (tutti i livelli Android)
Applicazione criteri
- Nell'interfaccia di amministrazione Intune verificare lo stato della distribuzione ACP per i dispositivi Android assegnati.
Configurazione del browser
- In un dispositivo Android aprire Microsoft Edge e passare a
edge://policyper verificare che i valori di configurazione previsti siano presenti e non contrassegnati come errori.
Filtro per gli URL
- Livello 1: Verificare che gli URL consentiti funzionino come previsto.
- Livello 2: Verificare che gli URL bloccati (ad esempio i domini dei social media) siano limitati.
- Livello 3: Verificare che siano accessibili solo GLI URL aziendali consentiti.
Restrizioni delle funzionalità
- Convalidare le funzionalità con restrizioni in base al livello di sicurezza assegnato, ad esempio la modalità InPrivate, il riempimento automatico, l'importazione della password, le estensioni e la visibilità di Copilot.
Home page e segnalibri
- Verificare che la home page gestita e i segnalibri gestiti vengano visualizzati correttamente in Microsoft Edge.
Impostazioni di sicurezza
- Verificare che SmartScreen, l'imposizione HTTPS e le restrizioni per la condivisione dei dati funzionino in base ai criteri applicati.
Integrazione VPN (se configurata)
- Per le distribuzioni che usano Microsoft Tunnel, assicurarsi che le impostazioni VPN per app connettono e instradano il traffico come definito nell'ACP.
Criteri di Configurazione app per iOS/iPadOS
I criteri di configurazione delle app iOS definiscono e applicano il comportamento del browser per Microsoft Edge for Business nei dispositivi iPhone e iPad. Questi criteri offrono un controllo progressivo sulla privacy, la sicurezza e la protezione dei dati, allineandosi al contempo ai principi di Zero Trust.
Documentazione Microsoft:
Prerequisiti:
- iOS/iPadOS 17+
- Microsoft Edge per iOS installato
- Portale aziendale o Intune app installata
- Microsoft Intune licenza assegnata all'utente
- Dispositivo abilitato per MAM o MDM registrato tramite Intune
- Utente connesso con Microsoft Entra ID account
Importante
Nei criteri di Configurazione app iOS, gli URL consentiti e gli URL bloccati si escludono a vicenda. Quando si configura uno, l'altro diventa non disponibile.
Livello 1: configurazione del browser per dispositivi mobili di base per iOS
La configurazione di livello 1 fornisce controlli di sicurezza del browser di base, mantenendo al tempo stesso la produttività degli utenti.
- Passare all'interfaccia di amministrazione Microsoft Intune.
- Selezionare App>Gestisci app>Configurazione>Crea>app gestite.
- Nella scheda Informazioni di base immettere:
- Nome: Edge iOS ACP Level 1 Basic
- Descrizione: Configurazione del browser di base per Microsoft Edge iOS con le impostazioni di sicurezza essenziali e i controlli mobili fondamentali
- In Criteri di destinazione per selezionare App selezionate.
- Scegliere + Selezionare le app pubbliche.
- Nel pannello Selezionare le app di destinazione cercare e selezionare Microsoft Edge.
- Scegliere Microsoft Edge (iOS/iPadOS) e quindi Selezionare.
- Seleziona Avanti.
- Nel passaggio Impostazioni espandere Impostazioni di configurazione generale.
- Configurare ogni impostazione usando il nome e il valore specificati:
- Espandere Le impostazioni di configurazione di Edge e configurare:
| Impostazione | Valore |
|---|---|
| Reindirizzamento del proxy dell'applicazione | Disabilita |
| URL collegamento alla home page | https://www.company.com |
| Segnalibri gestiti | Portale aziendale |https://portal.company.com |
| URL consentiti | Lasciare vuoto (il livello 3 usa URL consentiti) |
| URL bloccati | Lasciare vuoto (il livello 2 usa GLI URL bloccati) |
| Reindirizzare i siti con restrizioni al contesto personale | Disabilita |
- Seleziona Avanti.
- In Assegnazioni assegnare al gruppo SEB-Level1-Users .
- Selezionare Avanti per esaminare le impostazioni. Al termine, scegliere Crea .
Livello 2 : configurazione avanzata del browser per dispositivi mobili per iOS
La configurazione di livello 2 aggiunge controlli di sicurezza avanzati e restrizioni per gli ambienti sensibili.
- Passare all'interfaccia di amministrazione Microsoft Intune.
- Selezionare App>Gestisci app>Configurazione>Crea>app gestite.
- Nella scheda Informazioni di base immettere:
- Nome: Edge iOS ACP Level 2 Enhanced
- Descrizione: Configurazione avanzata del browser per Microsoft Edge iOS con più controlli di sicurezza e funzionalità di protezione dei dati
- In Criteri di destinazione per selezionare App selezionate.
- Scegliere + Selezionare le app pubbliche.
- Nel pannello Selezionare le app di destinazione cercare e selezionare Microsoft Edge.
- Scegliere Microsoft Edge (iOS/iPadOS) e quindi Selezionare.
- Seleziona Avanti.
- Nel passaggio Impostazioni espandere Impostazioni di configurazione generale.
- Configurare ogni impostazione usando il nome e il valore specificati:
| Name | Valore | Documentazione |
|---|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO | true | Accesso Single Sign-On con password |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | true | SmartScreen abilitato |
| EdgeMyApps | true | Abilitare EdgeMyApps |
| EdgeDefaultHTTPS | true | Impostazione predefinita di HTTPS applicata |
| EdgeDisableShareUsageData | true | Disabilitare la condivisione dei dati di utilizzo |
| EdgeImportPasswordsDisabled | true | Disabilitare l'importazione della password |
| EdgeProxyPacUrl | Proxy PAC URL | |
| BiometricAuthenticationBeforeFilling | true | Autenticazione biometrica prima del riempimento |
| PasswordManagerEnabled | False | Disabilitare gestione password |
| SmartScreenEnabled | true | SmartScreen abilitato |
| SearchSuggestEnabled | False | Disabilitare i suggerimenti per la ricerca |
| TranslateEnabled | true | Traduzione abilitata |
| HideFirstRunExperience | true | Nascondere l'esperienza di prima esecuzione |
| SSLErrorOverrideAllowed | False | Override degli errori SSL consentito |
| EdgeNetworkStackPref | 0 | Preferenza dello stack di rete |
| DefaultBrowserSettingEnabled | False | Impostazione predefinita del browser abilitata |
| EdgeCopilotEnabled | False | Disabilitare Edge Copilot |
| EdgeSharedDeviceSupportEnabled | true | Abilitare il supporto per dispositivi condivisi |
| ExperimentationAndConfigurationServiceControl | 0 | Controllo del servizio di sperimentazione e configurazione |
| EdgeSyncDisabled | true | Disabilitare la sincronizzazione del browser |
| SavingBrowserHistoryDisabled | False | Disabilitare il salvataggio della cronologia del browser |
| DefaultPopupsSetting | 2 | Disabilitare i popup |
| EdgeBrandLogo | true | Personalizzazione dell'organizzazione : logo |
| EdgeBrandColor | #0078d4 |
Personalizzazione dell'organizzazione : colore |
| DefaultSearchProviderEnabled | true | Provider di ricerca predefinito abilitato |
| DefaultSearchProviderName | Ricerca aziendale preferita | Nome del provider di ricerca predefinito |
| DefaultSearchProviderSearchURL | https://search.company.com?q={searchTerms} |
URL di ricerca del provider di ricerca predefinito |
| DefaultSearchProviderSuggestURL | https://search.company.com/suggest?q={searchTerms} |
URL di suggerimento del provider di ricerca predefinito |
| DefaultSearchProviderKeyword | azienda | Parola chiave del provider di ricerca predefinito |
| EdgeDisabledFeatures | password|riempimento automatico|copilot|raccolte|readaloud | Disabilitare le funzionalità |
| EdgeBlockSignInEnabled | False | Blocca l'accesso abilitato |
- Espandere Le impostazioni di configurazione di Edge e configurare:
| Impostazione | Valore |
|---|---|
| URL consentiti | Lasciare vuoto (il livello 2 usa invece gli URL bloccati: quando vengono configurati gli URL bloccati, il campo URL consentiti diventa non disponibile) |
| URL bloccati | *.facebook.com, *.twitter.com, *.instagram.com, *.tiktok.com |
| Reindirizzare i siti con restrizioni al contesto personale | Attivazione |
- Seleziona Avanti.
- In Assegnazioni assegnare al gruppo SEB-Level2-Users .
- Selezionare Avanti per esaminare le impostazioni. Al termine, scegliere Crea .
Livello 3: configurazione per dispositivi mobili con sicurezza elevata per iOS
La configurazione di livello 3 impone la massima sicurezza con controlli zero trust e una prevenzione completa della perdita dei dati.
- Passare all'interfaccia di amministrazione Microsoft Intune.
- Selezionare App>Gestisci app>Configurazione>Crea>app gestite.
- Nella scheda Informazioni di base immettere:
- Nome: Edge iOS ACP Level 3 High
- Descrizione: Configurazione del browser ad alta sicurezza per Microsoft Edge iOS con restrizioni massime, isolamento rigoroso e controlli completi sulla privacy
- In Criteri di destinazione per selezionare App selezionate.
- Scegliere + Selezionare le app pubbliche.
- Nel pannello Selezionare le app di destinazione cercare e selezionare Microsoft Edge (iOS/iPadOS) e quindi selezionare Seleziona.
- Seleziona Avanti.
- Nel passaggio Impostazioni espandere Impostazioni di configurazione generale.
- Configurare ogni impostazione usando il nome e il valore specificati:
| Name | Valore | Documentazione |
|---|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO | False | Accesso Single Sign-On con password |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | true | SmartScreen abilitato |
| EdgeMyApps | False | Abilitare EdgeMyApps |
| EdgeDefaultHTTPS | true | Impostazione predefinita di HTTPS applicata |
| EdgeDisableShareUsageData | true | Disabilitare la condivisione dei dati di utilizzo |
| EdgeImportPasswordsDisabled | true | Disabilitare l'importazione della password |
| EdgeProxyPacUrl | Proxy PAC URL | |
| BiometricAuthenticationBeforeFilling | true | Autenticazione biometrica prima del riempimento |
| PasswordManagerEnabled | False | Disabilitare gestione password |
| SmartScreenEnabled | true | SmartScreen abilitato |
| SearchSuggestEnabled | False | Disabilitare i suggerimenti per la ricerca |
| TranslateEnabled | False | Traduzione abilitata |
| HideFirstRunExperience | true | Nascondere l'esperienza di prima esecuzione |
| SSLErrorOverrideAllowed | False | Override degli errori SSL consentito |
| EdgeNetworkStackPref | 0 | Preferenza dello stack di rete |
| DefaultBrowserSettingEnabled | False | Impostazione predefinita del browser abilitata |
| EdgeCopilotEnabled | False | Disabilitare Edge Copilot |
| EdgeSharedDeviceSupportEnabled | False | Disabilitare il supporto dei dispositivi condivisi |
| ExperimentationAndConfigurationServiceControl | 0 | Controllo del servizio di sperimentazione e configurazione |
| EdgeSyncDisabled | true | Disabilitare la sincronizzazione del browser |
| SavingBrowserHistoryDisabled | true | Disabilitare il salvataggio della cronologia del browser |
| DefaultPopupsSetting | 2 | Disabilitare i popup |
| EdgeBrandLogo | true | Personalizzazione dell'organizzazione : logo |
| EdgeBrandColor | #0078d4 |
Personalizzazione dell'organizzazione : colore |
| DefaultSearchProviderEnabled | true | Provider di ricerca predefinito abilitato |
| DefaultSearchProviderName | Ricerca aziendale preferita | Nome del provider di ricerca predefinito |
| DefaultSearchProviderSearchURL | https://search.company.com?q={searchTerms} |
URL di ricerca del provider di ricerca predefinito |
| DefaultSearchProviderSuggestURL | https://search.company.com/suggest?q={searchTerms} |
URL di suggerimento del provider di ricerca predefinito |
| DefaultSearchProviderKeyword | azienda | Parola chiave del provider di ricerca predefinito |
| EdgeDisabledFeatures | inprivate|autofill|password|translator|readaloud|drop| coupon|extensions|copilot|collections|myapps|share |
Disabilitare le funzionalità |
| EdgeBlockSignInEnabled | true | Blocca l'accesso abilitato |
- Espandere Le impostazioni di configurazione di Edge e configurare:
| Impostazione | Valore |
|---|---|
| URL consentiti | *.company.com, *.microsoft.com, login.microsoftonline.com |
| URL bloccati | Lasciare vuoto (il livello 3 usa gli URL consentiti: quando sono configurati gli URL consentiti, il campo URL bloccati diventa non disponibile) |
- Per-App VPN (facoltativo): integrazione con Microsoft Tunnel se necessario per il routing del traffico sicuro isolato
- Seleziona Avanti.
- In Assegnazioni assegnare al gruppo SEB-Level3-Users .
- Selezionare Avanti per esaminare le impostazioni. Al termine, scegliere Crea .
Convalida (tutti i livelli iOS)
Applicazione criteri
- Nell'interfaccia di amministrazione Intune verificare che i criteri di protezione delle app assegnati e Configurazione app siano stati distribuiti correttamente nei dispositivi iOS di destinazione.
verifica Configurazione app
- Nel dispositivo aprire Microsoft Edge e passare a Impostazioni.
- Verificare che i valori di configurazione gestita, ad esempio home page, provider di ricerca, gestione password e funzionalità disabilitate, corrispondano alle impostazioni ACP applicate.
Filtro per gli URL
- Livello 1: Verificare che gli URL consentiti funzionino come previsto.
- Livello 2: Verificare che non sia possibile accedere alle categorie di URL bloccate, ad esempio i domini dei social media.
- Livello 3: Verificare che siano accessibili solo gli URL aziendali consentiti configurati.
Restrizioni delle funzionalità
- Convalidare le funzionalità con restrizioni in base al livello assegnato, tra cui:
- Livello 1: SmartScreen, blocco popup e controlli di sicurezza di base.
- Livello 2: Sincronizzazione disabilitata, importazione password bloccata, autenticazione biometrica per il riempimento abilitata, Controllo dell'esplorazione in InPrivate.
- Livello 3: InPrivate disabilitato, il salvataggio della cronologia disabilitato, la modalità dispositivo condiviso disabilitata e le restrizioni avanzate (ad esempio Raccolte, estensioni, Drop, Copilot) applicate.
Home page e segnalibri
- Verificare che la home page gestita e tutti i segnalibri gestiti configurati vengano visualizzati correttamente in Microsoft Edge.
Controllo delle dipendenze dei criteri
- Assicurarsi che l'utente sia connesso a Edge usando il proprio account aziendale o dell'istituto di istruzione (ID Entra), in quanto le impostazioni Configurazione app si applicano solo nel contesto del profilo di lavoro gestito.
Passaggio successivo
Continuare con il passaggio 5 per configurare i criteri del catalogo delle impostazioni per i dispositivi Windows e macOS registrati.