iOS および Android 用の Microsoft Edge は、ユーザーが Web を閲覧できるように設計されており、マルチ ID をサポートしています。 ユーザーは、閲覧のために職場アカウントと個人用アカウントを追加できます。 2 つの ID は完全に分離されています。これは、他の Microsoft モバイル アプリで提供されているものと同様です。
この機能は、以下に適用されます。
- iOS/iPadOS 14.0 以降
- 登録済みデバイスの場合は Android 8.0 以降、登録解除されたデバイスの場合は Android 9.0 以降
注:
iOS および Android 用の Microsoft Edge では、ユーザーがデバイス上のネイティブ ブラウザー用に設定した設定は使用されません。これは、iOS および Android 用の Microsoft Edge ではこれらの設定にアクセスできないためです。
Microsoft 365 データの最も豊富で広範な保護機能は、Enterprise Mobility + Security スイート (Microsoft Intune、条件付きアクセスなどの Microsoft Entra ID P1 または P2 機能を含む) にサブスクライブするときに使用できます。 少なくとも、モバイル デバイスから iOS と Android 用の Microsoft Edge への接続のみを許可する条件付きアクセス ポリシーと、閲覧エクスペリエンスが保護されていることを保証する Intune アプリ保護ポリシーを展開する必要があります。
注:
iOS デバイスの新しい Web クリップ (ピン留めされた Web アプリ) は、保護されたブラウザーで開く必要がある場合にIntune Managed Browserではなく、Microsoft Edge for iOS および Android で開きます。 古い iOS Web クリップの場合は、これらの Web クリップを再ターゲットして、管理対象ブラウザーではなく、Microsoft Edge for iOS と Android で開かれていることを確認する必要があります。
Intune アプリ保護ポリシーを作成する
組織が SaaS と Web アプリケーションをますます採用するにつれて、ブラウザーは企業にとって不可欠なツールです。 多くの場合、ユーザーは外出先でモバイル ブラウザーからこれらのアプリケーションにアクセスする必要があります。 モバイル ブラウザーを介してアクセスされるデータが意図的または意図しないリークから保護されていることを確認することが重要です。 たとえば、ユーザーが組織のデータを個人アプリと誤って共有し、データが漏洩したり、ローカル デバイスにダウンロードされたりする可能性があり、これもリスクを伴います。
組織は、ユーザーがモバイル用 Microsoft Edgeを使用して閲覧したときにデータが漏洩しないように保護できます。アプリ保護ポリシーを構成することで、許可されるアプリと組織のデータに対して実行できるアクションを定義します。 アプリ保護ポリシーで使用できる選択肢により、組織は特定のニーズに合わせて保護を調整できます。 一部の場合、完全なシナリオを実装するために必要なポリシー設定が明らかでない場合があります。 組織がモバイル クライアント エンドポイントのセキュリティ強化に優先順位を付けるために、Microsoft では、iOS および Android モバイル アプリ管理用のアプリ保護ポリシーデータ保護フレームワークの分類を導入しました。
アプリ保護ポリシーのデータ保護フレームワークは、次の 3 つの異なる構成レベルに編成され、各レベルは前のレベルから構築されます。
- エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
- エンタープライズ強化データ保護 (レベル 2) では、アプリ保護ポリシーのデータ漏洩防止メカニズムと最小 OS 要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
- エンタープライズ高データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN 構成、およびアプリ保護ポリシー Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。
各構成レベルの具体的な提案と保護する必要がある最小アプリを確認するには、 アプリ保護ポリシーを使用したデータ保護フレームワークに関するページを参照してください。
デバイスが統合エンドポイント管理 (UEM) ソリューションに登録されているかどうかに関わらず、「アプリ保護ポリシーを作成して割り当てる方法」の手順を使用して、iOS アプリと Android アプリ両方の Intune アプリ保護ポリシーを作成する必要があります。 これらのポリシーは、少なくとも次の条件を満たす必要があります。
Microsoft Edge、Outlook、OneDrive、Office、Teams など、すべての Microsoft 365 モバイル アプリケーションが含まれており、ユーザーが Microsoft アプリ内の職場または学校のデータに安全にアクセスして操作できるようにします。
Microsoft Edge for iOS と Android のどちらを使用しているかに関係なく、すべてのユーザーに割り当てられ、確実に保護されます。
要件を満たすフレームワーク レベルを決定します。 ほとんどの組織では、データ保護とアクセス要件の制御を有効にするように、エンタープライズ拡張データ保護 (レベル 2) で定義されている設定を実装する必要があります。
注:
ブラウザーに関連する設定の 1 つは、"他のアプリとの Web コンテンツ転送を制限する" です。 Enterprise 拡張データ保護 (レベル 2) では、この設定の値は Microsoft Edge に構成されます。 Outlook とMicrosoft Teamsがアプリ保護ポリシーによって保護されている場合、これらのアプリは Microsoft Edge でリンクを開き、リンクが安全で保護されていることを確認します。 利用可能な設定の詳細については、「Android アプリ保護ポリシー設定」と「iOS アプリ保護ポリシー設定」を参照してください。
重要
Intune に登録されていない Android デバイス上のアプリに対して Intune アプリ保護ポリシーを適用するには、ユーザーもIntune ポータル サイトをインストールする必要があります。
条件付きアクセスを適用する
アプリ保護ポリシーを使用して Microsoft Edge を保護することが重要ですが、Microsoft Edge が企業アプリケーションを開くために必須のブラウザーであることを確認することも重要です。 それ以外の場合、ユーザーは保護されていない他のブラウザーを使用して企業アプリケーションにアクセスし、データ リークを引き起こす可能性があります。
組織は、Microsoft Entra条件付きアクセス ポリシーを使用して、ユーザーが iOS および Android 用の Microsoft Edge を使用して職場または学校のコンテンツにのみアクセスできるようにします。 これを行うには、すべての潜在的なユーザーを対象とする条件付きアクセス ポリシーが必要です。 これらのポリシーについては、「条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」で説明されています。
「 モバイル デバイスで承認されたクライアント アプリまたはアプリ保護ポリシーを要求する」の手順に従います。これにより、Microsoft Edge for iOS と Android が許可されますが、他のモバイル デバイス Web ブラウザーが Microsoft 365 エンドポイントに接続することをブロックします。
注:
このポリシーにより、モバイル ユーザーは、iOS および Android 用の Microsoft Edge 内からすべての Microsoft 365 エンドポイントにアクセスできるようになります。 このポリシーにより、ユーザーが InPrivate を使用して Microsoft 365 エンドポイントにアクセスすることもできなくなります。
条件付きアクセスを使用すると、Microsoft Entra アプリケーション プロキシを介して外部ユーザーに公開したオンプレミス サイトをターゲットにすることもできます。
詳細については、「Microsoft Entra アプリケーション プロキシを使用したリモート ユーザー向けのオンプレミス アプリの発行」を参照してください。
注:
アプリベースの条件付きアクセス ポリシーを使用するには、Microsoft Authenticator アプリを iOS デバイスにインストールする必要があります。 Android デバイスの場合、Intune ポータル サイト アプリが必要です。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。
ポリシーで保護されたブラウザーで Microsoft Entra に接続された Web アプリへのシングル サインオン
iOS および Android 用の Microsoft Edge では、Microsoft Entra接続されているすべての Web アプリ (SaaS およびオンプレミス) にシングル サインオン (SSO) を利用できます。 SSO を使用すると、ユーザーは資格情報を再入力することなく、Microsoft Edge for iOS と Android を介してMicrosoft Entra接続された Web アプリにアクセスできます。
SSO では、iOS デバイス用の Microsoft Authenticator アプリまたは Android 上のIntune ポータル サイトによってデバイスを登録する必要があります。 ユーザーがこれらのいずれかを持っている場合、ポリシーで保護されたブラウザーで Microsoft Entra に接続された Web アプリに移動すると、デバイスを登録するように求められます (これは、デバイスがまだ登録されていない場合にのみ当てはまります)。 Intune によって管理されているユーザーのアカウントにデバイスが登録されると、そのアカウントで Microsoft Entra に接続された Web アプリに対して SSO が有効になります。
注:
デバイス登録は、Microsoft Entra サービスを使用した単純なチェックインです。 完全なデバイス登録は必要ありません。また、デバイスに対する追加の特権も IT に付与されません。
アプリの構成を使用して閲覧環境を管理する
Microsoft Edge for iOS と Android では、Microsoft Intune などの統合エンドポイント管理を管理者がアプリの動作をカスタマイズできるようにするアプリ設定がサポートされています。
アプリ構成は、登録済みデバイスのモバイル デバイス管理 (MDM) OS チャネル (iOS の場合は管理対象アプリの構成チャネル、Android の場合は Android Enterprise チャネル) または MAM (モバイル アプリケーション管理) チャネルを介して配信できます。 iOS および Android 用の Microsoft Edge では、次の構成シナリオがサポートされています。
- 職場または学校アカウントのみを許可する
- 一般的なアプリ構成設定
- データ保護の設定:
- マネージド デバイスのその他のアプリ構成
重要
Android でのデバイス登録を必要とする構成シナリオでは、デバイスを Android Enterprise に登録し、Android 用 Microsoft Edge をマネージド Google Play ストア経由で展開する必要があります。 詳細については、「 Android Enterprise 個人所有の仕事用プロファイル デバイスの登録を設定 する」および「 管理対象 Android Enterprise デバイスのアプリ構成ポリシーを追加する」を参照してください。
各構成シナリオでは、その特定の要件が強調表示されています。 たとえば、構成シナリオでデバイスの登録が必要で、UEM プロバイダーと連携するか、Intune アプリ保護ポリシーを必要とするかなどです。
重要
アプリ構成キーでは、大文字と小文字が区別されます。 適切な大文字と小文字を区別して、構成を有効にします。
注:
Microsoft Intune では、MDM OS チャネルを介して配信されるアプリ構成は、マネージド デバイスのアプリ構成ポリシー (ACP) と呼ばれます。MAM (モバイル アプリケーション管理) チャネルを介して配信されるアプリ構成は、マネージド アプリのアプリ構成ポリシーと呼ばれます。
職場または学校アカウントのみを許可する
最大かつ高度に規制されているお客様のデータ セキュリティとコンプライアンス ポリシーを尊重することは、Microsoft 365 の価値の重要な柱です。 一部の企業では、企業環境内のすべての通信情報をキャプチャし、デバイスが会社の通信にのみ使用されるようにする必要があります。 これらの要件をサポートするために、登録されているデバイス上の iOS および Android 用の Microsoft Edge を構成して、アプリ内でプロビジョニングする企業アカウントを 1 つだけ許可できます。
組織で許可されているアカウント モード設定の構成の詳細については、こちらを参照してください。
この構成シナリオは、登録済みデバイスでのみ機能します。 ただし、任意の UEM プロバイダーがサポートされています。 Microsoft Intune を使用していない場合は、これらの構成キーを展開する方法に関する UEM ドキュメントを参照する必要があります。
一般的なアプリ構成シナリオ
iOS および Android 用の Microsoft Edge では、管理者は複数のアプリ内設定の既定の構成をカスタマイズできます。 この機能は、Microsoft Edge for iOS および Android に、アプリにサインインしている職場または学校アカウントに適用されたマネージド アプリApp Configurationポリシーがある場合に提供されます。
Microsoft Edge では、構成に関して次の設定がサポートされています。
- 新しいタブ ページ エクスペリエンス
- ブックマーク エクスペリエンス
- アプリの動作エクスペリエンス
- キオスク モード エクスペリエンス
これらの設定は、デバイスの登録状態に関係なく、アプリに展開できます。
新しいタブ ページのレイアウト
インスピレーションを得たレイアウトは、新しいタブ ページの既定のレイアウトです。 トップ サイトのショートカット、壁紙、ニュース フィードが表示されます。 ユーザーは好みに応じてレイアウトを変更できます。 組織で、レイアウト設定を管理することもできます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout |
フォーカス [フォーカス] が選択されています inspirational (既定値) [インスピレーション] が選択されています 情報 情報が選択されている 習慣 カスタムが選択され、トップ サイトショートカットトグルがオン、壁紙トグルがオン、ニュースフィードトグルがオンになっている |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom |
トップ サイト [トップ サイト] のショートカットを有効にします 壁紙 [壁紙] をオンにします ニュースフィード [ニュース フィード] を有効にします このポリシーを有効にするには、com.microsoft.intune.mam.managedbrowser.NewTabPageLayout を [カスタム] に設定する必要があります 既定値は topsites|wallpaper|newsfeed| です。 |
| com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable |
true (既定) ユーザーはページ レイアウト設定を変更できます 偽 ユーザーはページ レイアウト設定を変更できません。 ページ レイアウトは、ポリシーで指定された値によって決定されるか、既定値が使用されます |
重要
NewTabPageLayout ポリシーは、初期レイアウトを設定することを目的としています。 ユーザーは、参照に基づいてページ レイアウト設定を変更できます。 したがって、 NewTabPageLayout ポリシーは、ユーザーがレイアウト設定を変更しない場合にのみ有効になります。 UserSelectable =false を構成することで、NewTabPageLayout ポリシーを適用できます。
注:
バージョン 129.0.2792.84 の時点で、既定のページ レイアウトが インスピレーションに変更されています。
ニュース フィードをオフにする例
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout=custom
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.Custom=topsites
- com.microsoft.intune.mam.managedbrowser.NewTabPageLayout.UserSelectable=false
新しいタブ ページ エクスペリエンス
iOS および Android 用の Microsoft Edge には、organizationロゴ、ブランドの色、ホーム ページ、トップ サイト、業界ニュースなど、新しいタブ ページエクスペリエンスを調整するためのいくつかのオプションが組織に用意されています。
組織のロゴとブランドの色
organizationロゴとブランドの色の設定を使用すると、iOS および Android デバイスで Microsoft Edge 用の新しいタブ ページをカスタマイズできます。 バナーロゴはorganizationのロゴとして使用され、ページの背景色はorganizationのブランドカラーとして使用されます。 詳細については、「会社の ブランド化を構成する」を参照してください。
次に、次のキーと値のペアを使用して、organizationのブランドを Microsoft Edge for iOS および Android にプルします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandLogo |
true の場合、組織のブランド ロゴを表示します false (既定値) の場合、ロゴを公開しません |
| com.microsoft.intune.mam.managedbrowser.NewTabPage.BrandColor |
true の場合、組織のブランドの色を表示します false (既定値) の場合、色を公開しません |
ホームページのショートカット
この設定を使用すると、新しいタブ ページで Microsoft Edge for iOS と Android のホームページ ショートカットを構成できます。 構成したホームページ ショートカットは、ユーザーが Microsoft Edge for iOS および Android で新しいタブを開くと、検索バーの下の最初のアイコンとして表示されます。 ユーザーは、マネージド コンテキストでこのショートカットを編集または削除できません。 ホームページ のショートカットには、組織の名前が表示され、区別されます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.homepage このポリシー名は、[Microsoft Edge 構成設定] の [ ホームページのショートカット URL] の UI に置き換えられました |
有効な URL を指定します。 不正な URL は、セキュリティ対策としてブロックされます。 例: https://www.bing.com |
複数のトップ サイト ショートカット
ホームページ ショートカットを構成するのと同様に、iOS と Android 用の Microsoft Edge の [新しいタブ ページ] で複数のトップ サイト ショートカットを構成できます。 ユーザーは、マネージド コンテキストでこれらのショートカットを編集または削除できません。 注: ホームページ ショートカットを含め、合計 8 つのショートカットを構成できます。 ホームページ ショートカットを構成している場合、そのショートカットは、構成された最初のトップ サイトよりも優先されます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.managedTopSites | 値 URL のセットを指定します。 各トップ サイトのショートカットは、タイトルと URL で構成されます。 タイトルと URL を | 文字で区切ります。 例: GitHub|https://github.com/||LinkedIn|https://www.linkedin.com |
業界ニュース
Microsoft Edge for iOS と Android の新しいタブ ページ エクスペリエンスを構成して、organizationに関連する業界ニュースを表示できます。 この機能を有効にすると、Microsoft Edge for iOS および Android では、organizationのドメイン名を使用して、organization、organizationの業界、競合他社に関する Web からのニュースを集計し、ユーザーは Microsoft Edge for iOS および Android 内の一元化された新しいタブ ページから関連する外部ニュースをすべて見つけることができます。 業界ニュースは既定ではオフになっています。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.IndustryNews |
true の場合、新しいタブ ページに業界ニュースが表示されます false (既定値) の場合、新しいタブ ページに業界ニュースは表示されません |
新しいタブ ページ エクスペリエンスの代わりにホームページ
iOS および Android 用の Microsoft Edge を使用すると、組織は新しいタブ ページ エクスペリエンスを無効にし、代わりにユーザーが新しいタブを開いたときに Web サイトを起動できます。これはサポートされているシナリオですが、新しいタブ ページ エクスペリエンスを利用して、ユーザーに関連する動的コンテンツを提供することを検討してください。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | 有効な URL を指定します。 URL が指定されていない場合、アプリは新しいタブ ページ エクスペリエンスを使用します。 不正な URL は、セキュリティ対策としてブロックされます。 例: https://www.bing.com |
ブックマーク エクスペリエンス
iOS および Android 用の Microsoft Edge には、ブックマークを管理するためのいくつかのオプションが組織に用意されています。
マネージド ブックマーク
簡単にアクセスできるように、ユーザーが iOS および Android 用の Microsoft Edge を使用している場合に使用できるようにするブックマークを構成できます。
- ブックマークは職場または学校アカウントにのみ表示され、個人用アカウントには公開されません。
- ユーザーがブックマークを削除または変更することはできません。
- ブックマークが一覧の上部に表示されます。 ユーザーが作成するすべてのブックマークは、これらのブックマークの下に表示されます。
- アプリケーション プロキシリダイレクトを有効にしている場合は、内部 URL または外部 URL を使用してアプリケーション プロキシ Web アプリを追加できます。
- ブックマークは、Microsoft Entra ID で定義されているorganizationの名前の後にという名前のフォルダーに作成されます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.bookmarks このポリシー名は、Microsoft Edge 構成設定の マネージド ブックマーク の UI に置き換えられます |
この構成の値は、ブックマークの一覧です。 各ブックマークは、ブックマーク タイトルとブックマーク URL で構成されます。 タイトルと URL を | 文字で区切ります。例: Microsoft Bing|https://www.bing.com複数のブックマークを構成するには、各ペアを 2 文字 || で区切ります。例: Microsoft Bing|https://www.bing.com||Contoso|https://www.contoso.com |
マイ アプリのブックマーク
既定では、ユーザーは、iOS および Android 用の Microsoft Edge 内の organization フォルダー内でマイ アプリブックマークを構成しています。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MyApps |
true (既定値) は、iOS および Android ブックマーク用の Microsoft Edge 内のマイ アプリを示します false は、iOS と Android 用の Microsoft Edge 内のマイ アプリを非表示にします |
アプリの動作エクスペリエンス
iOS および Android 用の Microsoft Edge には、アプリの動作を管理するためのいくつかのオプションが組織に用意されています。
Microsoft Entra パスワード シングル サインオン
Microsoft Entra ID によって提供される Microsoft Entra パスワード シングル サインオン (SSO) 機能は、ID フェデレーションをサポートしていない Web アプリケーションにユーザー アクセス管理を提供します。 既定では、iOS および Android 用の Microsoft Edge では、Microsoft Entra資格情報に対して SSO は実行されません。 詳細については、「アプリケーションにパスワードベースのシングル サインオンを追加する」を参照してください。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PasswordSSO |
true Microsoft Entra パスワード シングル サインオンが有効になっています false (既定) Microsoft Entra パスワード シングル サインオンが無効になっています |
既定のプロトコル ハンドラー
既定では、iOS および Android 用の Microsoft Edge では、ユーザーが URL でプロトコルを指定しない場合、HTTPS プロトコル ハンドラーが使用されます。 一般に、これはベスト プラクティスと見なされますが、無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS |
true (既定値) の場合、既定のプロトコル ハンドラーは HTTPS です false の場合、既定のプロトコル ハンドラーは HTTP です |
オプションの診断データを無効にする
既定では、ユーザーは[設定]->[プライバシーとセキュリティ]>-[診断データ]->[オプションの診断データ] 設定からオプションの診断データを送信することを選択できます。 組織はこの設定を無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData |
true の場合、オプションの診断データ設定が無効になっています false (既定値) の場合、ユーザーがオプションをオンまたはオフにできます |
注:
オプションの診断データ設定は、最初の実行エクスペリエンス (FRE) 中にユーザーに対しても求められます。 組織は、MDM ポリシー EdgeDisableShareUsageData を使用して、この手順をスキップできます
特定の機能を無効にする
iOS および Android 用の Microsoft Edge を使用すると、組織は既定で有効になっている特定の機能を無効にすることができます。 これらの機能を無効にするには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disabledFeatures |
password では、エンド ユーザーのパスワードを保存するプロンプトが無効になります inprivate では、InPrivate ブラウズが無効になります autofill では、"アドレスの保存と入力" と "支払い情報の保存と入力" が無効になります。 以前に保存した情報でもオートフィルが無効になる translator では、トランスレーターが無効になります readaloud では、音声読み上げが無効になります drop では、ドロップが無効になります クーポン クーポンを無効にします 拡張機能 は拡張機能を無効にします developertools は 、ユーザーが開発者オプションにアクセスできないようにビルド バージョン番号を淡色表示します (Microsoft Edge for Android のみ) UIRAlert では、新しいタブ ページ画面でアカウントのポップアップが表示されないようにする [共有] メニューの [共有] を無効にする sendtodevices では、 メニューの [デバイスに送信] が無効になります weather は NTP の天気を無効にします (新しいタブ ページ) webinspector で Web Inspector の設定が無効になります (Microsoft Edge for iOS のみ) 複数の機能を無効にするには、 | で値を区切ります。 たとえば、inprivate|password では、InPrivate ストレージとパスワード ストレージの両方が無効になります。 |
パスワードのインポート機能を無効にする
iOS および Android 用の Microsoft Edge を使用すると、ユーザーはパスワード マネージャーからパスワードをインポートできます。 パスワードのインポートを無効にするには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords |
true の場合、パスワードのインポートは無効になります false (既定値) の場合、パスワードのインポートは許可されます |
注:
Microsoft Edge for iOS のパスワード マネージャーには、[ 追加] ボタンがあります。 パスワードのインポート機能が無効になっている場合、[ 追加] ボタンも無効になります。
Cookie モードを制御する
サイトが Microsoft Edge for Android 内でユーザーの Cookie を保存できるかどうかを制御できます。 これを行うには、次の設定を構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.cookieControlsMode |
0 (既定値) の場合、Cookie を許可します 1 の場合、Microsoft 以外の Cookie をブロックします 2 の場合、InPrivate モードで Microsoft 以外の Cookie をブロックします 3 の場合、すべての Cookie をブロックします |
注:
Microsoft Edge for iOS では、Cookie の制御はサポートされていません。
Android デバイスでのキオスク モード エクスペリエンス
Microsoft Edge for Android は、次の設定でキオスク アプリとして有効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.enableKioskMode |
true を指定すると、Android 用 Microsoft Edge のキオスク モードが有効になります false (既定値) の場合、キオスク モードは無効になります |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode |
true の場合、キオスク モードでアドレス バーが表示されます false (既定値) の場合、キオスク モードが有効になっているとき、アドレス バーが非表示になります |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode |
true の場合、キオスク モードで下部のアクション バーが表示されます false (既定値) の場合、キオスク モードが有効になっているとき、下部のバーが非表示になります |
注:
キオスク モードは、iOS/iPadOS デバイスではサポートされていません。 ただし、ロックされたビュー モード (MDM ポリシーのみ) を使用して、ロックされたビュー モードで URL アドレス バーが読み取り専用になるため、ユーザーが他の Web サイトに移動できない同様のユーザー エクスペリエンスを実現できます。
ロックされたビュー モード
iOS および Android 用の Microsoft Edge は、MDM ポリシー EdgeLockedViewModeEnabled を使用して、ロックされたビュー モードとして有効にすることができます。
| キー | 値 |
|---|---|
| EdgeLockedViewModeEnabled |
false (既定) ロックビュー モードが無効になっています true ロックビュー モードが有効になっています |
これにより、組織はさまざまなブラウザー機能を制限し、制御された集中的な閲覧エクスペリエンスを提供できます。
- URL アドレス バーが読み取り専用になり、ユーザーが Web アドレスを変更できなくなります
- ユーザーは新しいタブを作成できません
- Web ページのコンテキスト検索機能が無効になっています
- オーバーフロー メニューの下にある次のボタンは無効になっています
| ボタン | 状態コード |
|---|---|
| 新しい InPrivate タブ | 無効 |
| デバイスに送信 | 無効 |
| ドロップ | 無効 |
| 電話に追加 (Android) | 無効 |
| ページをダウンロード (Android) | 無効 |
ロックされたビュー モードは、多くの場合、MAM ポリシー com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL または MDM ポリシー EdgeNewTabPageCustomURL と共に使用されます。これにより、組織は Microsoft Edge を開いたときに自動的に起動される特定の Web ページを構成できます。 ユーザーはこの Web ページに制限されており、他の Web サイトに移動できないため、特定のタスクやコンテンツを使用するための制御された環境が提供されます。
注:
既定では、ロックされたビュー モードで新しいタブを作成することはできません。 タブの作成を許可するには、MDM ポリシー EdgeLockedViewModeAllowedActions を newtabs に設定します。
Chromium と iOS の間でネットワーク スタックを切り替える
既定では、iOS と Android の両方の Microsoft Edge では、同期サービス、自動検索候補、フィードバックの送信など、Microsoft Edge サービス通信に Chromium ネットワーク スタックが使用されます。 また、iOS 用の Microsoft Edge は、Microsoft Edge サービス通信の構成可能なオプションとして iOS ネットワーク スタックも提供します。
組織は、次の設定を構成することで、ネットワーク スタックの基本設定を変更できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref |
0 (既定値) の場合、Chromium ネットワーク スタックを使用します 1 の場合、iOS ネットワーク スタックを使用します |
注:
Chromium ネットワーク スタックの使用が推奨されます。 特定のアプリごとの VPN ソリューションなど、Chromium ネットワーク スタックでフィードバックを送信するときに同期の問題や失敗が発生した場合、iOS ネットワーク スタックを使用すると問題が解決する可能性があります。
プロキシ .pac ファイルの URLを設定する
組織は、iOS および Android 用の Microsoft Edge のプロキシ自動構成 (PAC) ファイルの URL を指定できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl | プロキシ .pac ファイルの有効な URL を指定します。 例: https://internal.site/example.pac |
PAC の failed-open サポート
既定では、iOS および Android 用の Microsoft Edge は、無効な PAC スクリプトまたは使用できない PAC スクリプトを使用してネットワーク アクセスをブロックします。 ただし、組織は既定の動作を PAC failed open に変更できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.proxyPacUrl.FailOpenEnabled |
false (既定値) の場合、ネットワーク アクセスをブロックします true の場合、ネットワーク アクセスを許可します |
ネットワーク リレーを構成する
Microsoft Edge for iOS では、iOS 17 のネットワーク リレーがサポートされるようになりました。 これらは、リモート アクセスとプライバシー ソリューションに使用できる特別な種類のプロキシです。 トラフィックのセキュリティで保護された透過的なトンネリングをサポートし、内部リソースにアクセスする際の VPN の最新の代替手段として機能します。 ネットワーク リレーの詳細については、「Apple デバイスでネットワーク リレーを使用する」を参照してください。
組織は、一致したドメインと除外されたドメインに基づいてトラフィックをルーティングするようにリレー プロキシ URL を構成できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProxyRelayUrl | リレー構成 JSON ファイルに有効な URL を指定します。 例: https://yourserver/relay_config.json |
ネットワーク リレーの JSON ファイルの例
{
"default": [{
"proxy_type": "http",
"host_name": "170.200.50.300",
"port": "3128",
"failover_allowed":0,
"match_domains": [
"domain1.com",
"domain2.com" ],
"excluded_domains": [
"domain3.com",
"domain4.com" ]
} ]
}
ユーザーが Android で Microsoft Edge にサインインするためのプロキシ
プロキシ自動構成 (PAC) は、通常、VPN プロファイルで構成されます。 ただし、プラットフォームの制限のため、PAC は、Microsoft Edge サインイン プロセス中に使用される Android WebView では認識できません。 ユーザーが Android で Microsoft Edge にサインインできない場合があります。
組織は、ユーザーが Android で Microsoft Edge にサインインするための MDM ポリシーを使用して専用プロキシを指定できます。
| キー | 値 |
|---|---|
| EdgeOneAuthProxy | 対応する値は文字列です 例 http://MyProxy.com:8080 |
iOS Web サイト データ ストア
Microsoft Edge for iOS の Web サイト データ ストアは、Cookie、ディスクキャッシュ、メモリ キャッシュ、さまざまな種類のデータを管理するために不可欠です。 ただし、Microsoft Edge for iOS には永続的な Web サイト データ ストアが 1 つだけあります。 既定では、このデータ ストアは個人アカウントでのみ使用されるため、職場または学校のアカウントで使用できない制限が生じる可能性があります。 そのため、Cookie を除く閲覧データは、職場または学校アカウントの各セッションの後に失われます。 ユーザー エクスペリエンスを向上させるために、組織は、Web サイト のデータ ストアを職場または学校アカウントで使用するように構成し、閲覧データの永続化を確保できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PersistentWebsiteDataStore |
0 Web サイト データ ストアは常に個人アカウントでのみ使用されます 1 Web サイト データ ストアは、最初にサインインしたアカウントによって使用されます 2 (既定値) Web サイト データ ストアは、サインイン順に関係なく職場または学校アカウントで使用されます |
注:
iOS 17 のリリースにより、複数の永続ストアがサポートされるようになりました。 職場アカウントと個人用アカウントには、独自の永続的なストアが指定されています。 そのため、このポリシーはバージョン 122 から無効になりました。
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen は、ユーザーが悪意のあるサイトやダウンロードを回避するのに役立つ機能です。 既定で有効になっています。 組織はこの設定を無効にすることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled |
true (既定値) の場合、Microsoft Defender SmartScreen が有効になっています。 false の場合、Microsoft Defender SmartScreen が無効になっています。 |
証明書の検証
既定では、Android 用の Microsoft Edge は、組み込みの証明書検証ツールと Microsoft ルート ストアをパブリック信頼のソースとして使用してサーバー証明書を検証します。 組織は、システム証明書検証ツールとシステム ルート証明書に切り替えることができます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled |
true (既定値) の場合、組み込みの証明書検証ツールと Microsoft ルート ストアを使用して証明書を検証します false の場合、システム証明書検証ツールとシステム ルート証明書をパブリック信頼のソースとして使用して証明書を検証します |
注:
このポリシーのユース ケースは、 Microsoft Edge for Android で Microsoft MAM Tunnel を使用する場合は、システム証明書検証ツールとシステム ルート証明書を使用する必要があるということです。
SSL 警告ページ コントロール
既定では、ユーザーは SSL エラーがあるサイトに移動するときに表示される警告ページをクリックできます。 組織は、動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed |
true (既定) ユーザーが SSL 警告ページをクリック スルーできるようにする false ユーザーが SSL 警告ページをクリック スルーできないようにする |
ポップアップ設定
既定では、ポップアップはブロックされます。 組織は、動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting |
1 すべてのサイトにポップアップの表示を許可する 2 (既定値) どのサイトにもポップアップを表示できない |
特定のサイトでのポップアップを許可する
このポリシーが構成されていない場合は、 DefaultPopupsSetting ポリシーの値 (設定されている場合)、またはユーザーの個人用構成がすべてのサイトに使用されます。 組織は、ポップアップを開くことができるサイトの一覧を定義できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
URL 形式の詳細については、「エンタープライズ ポリシー URL パターン形式」を参照してください。
特定のサイトのポップアップをブロックする
このポリシーが構成されていない場合は、 DefaultPopupsSetting ポリシーの値 (設定されている場合)、またはユーザーの個人用構成がすべてのサイトに使用されます。 組織は、ポップアップを開くのがブロックされているサイトの一覧を定義できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://[*.]contoso.com |
URL 形式の詳細については、「エンタープライズ ポリシー URL パターン形式」を参照してください。
既定の検索プロバイダー
既定では、Microsoft Edge は既定の検索プロバイダーを使用して、ユーザーがアドレス バーに URL 以外のテキストを入力したときに検索を実行します。 ユーザーは検索プロバイダーの一覧を変更できます。 組織は、検索プロバイダーの動作を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled |
true 既定の検索プロバイダーを有効にする false 既定の検索プロバイダーを無効にする |
検索プロバイダーを構成する
組織は、ユーザーの検索プロバイダーを構成できます。 検索プロバイダーを構成するには、 DefaultSearchProviderEnabled を 構成する必要があります。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | 対応する値は文字列です 例 My Intranet Search |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | 対応する値は文字列です 例 https://search.my.company/search?q={searchTerms} |
Copilot
注:
Copilot.microsoft.com、Web バージョンの Copilot へのアクセスをブロックする場合は、ポリシー AllowListURLs または BlockListURLs を使用できます。
Copilot は、iOS および Android 用の Microsoft Edge で利用できます。 ユーザーは、下のバーの [Copilot] ボタンを選択して Copilot を起動できます。
[設定]->[一般]->[Copilot] には 3 つの設定があります。
- Copilot を表示する – 下部バーに Bing ボタンを表示するかどうかを制御する
- 任意の Web ページまたは PDF へのアクセスを許可する – Copilot にページ コンテンツまたは PDF へのアクセスを許可するかどうかを制御します
- テキスト選択のクイック アクセス – Web ページ上のテキストが選択されているときにクイック チャット パネルを表示するかどうかを制御します
Copilot の設定を管理できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.Chat |
true (既定値) の場合、下部バーに Copilot ボタンが表示されます。
[Copilot を表示する] の設定は既定でオンになっており、ユーザーはオフにすることもできます 偽 下のバーに Copilot ボタンが表示されません。 [ Copilot の表示 ] の設定が無効になっており、ユーザーがオンにすることはできません |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext |
true (既定) [任意の Web ページまたは PDF へのアクセスを許可] および [テキストの選択へのクイック アクセス] はユーザーが有効にすることができます falseWeb ページまたは PDF へのアクセスを許可 し、 テキスト選択のクイック アクセス が無効になり、ユーザーがオンにすることはできません |
データ保護アプリ構成シナリオ
iOS および Android 用の Microsoft Edge では、アプリが Microsoft Intune によって管理され、アプリにサインインしている職場または学校アカウントに適用されたマネージド アプリ App Configuration ポリシーを使用してアプリが管理されている場合、次のデータ保護設定のアプリ構成ポリシーがサポートされます。
- アカウント同期を管理する
- 制限付き Web サイトを管理する
- プロキシ構成を管理する
- NTLM シングル サインオン サイトを管理する
これらの設定は、デバイスの登録状態に関係なく、アプリに展開できます。
アカウント同期を管理する
既定では、Microsoft Edge 同期を使用すると、ユーザーはサインインしているすべてのデバイスで閲覧データにアクセスできます。 同期でサポートされるデータには、次のものが含まれます。
- お気に入り
- パスワード
- 住所など (オートフィル フォーム エントリ)
同期機能はユーザーの同意によって有効になっており、ユーザーは上記のデータ型ごとに同期をオンまたはオフにすることができます。 詳細については、「 Microsoft Edge Sync」を参照してください。
組織には、iOS と Android で Microsoft Edge 同期を無効にする機能があります。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled |
true にすると Microsoft Edge 同期が無効になります false (既定値) は Microsoft Edge 同期を許可します |
制限付き Web サイトを管理する
組織は、iOS および Android 用 Microsoft Edge の職場または学校アカウント コンテキスト内でユーザーがアクセスできるサイトを定義できます。 許可リストを使用する場合、ユーザーは明示的に一覧表示されているサイトにのみアクセスできます。 ブロック リストを使用する場合、ユーザーは明示的にブロックされたサイトを除くすべてのサイトにアクセスできます。 両方ではなく、許可されたリストまたはブロックされたリストのみを適用する必要があります。 両方を適用する場合は、許可されたリストのみが適用されます。
また、組織は、ユーザーが制限付き Web サイトへの移動を試みた場合の動作も定義します。 既定では、切り替えが許可されます。 organizationで許可されている場合、制限付き Web サイトは、個人用アカウント コンテキスト、Microsoft Entra アカウントの InPrivate コンテキスト、またはサイトが完全にブロックされているかどうかで開くことができます。 サポートされているさまざまなシナリオの詳細については、「Microsoft Edge モバイルでの制限付き Web サイトの切り替え」を参照してください。 切り替えエクスペリエンスを許可することで、組織のユーザーは保護を維持しながら、企業リソースを安全に保ちます。
ユーザーが個人プロファイルに手動で切り替える必要が減り、ブロックされた URL を開く InPrivate モードのプロファイル切り替えエクスペリエンスを強化するために、次の 2 つの新しいポリシーが導入されました。
com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlockcom.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork
これらのポリシーは構成と組み合わせに基づいて異なる結果が得られますので、詳細なドキュメントを確認する前に、プロファイル切り替えエクスペリエンスがorganizationのニーズとうまく一致しているかどうかを確認するために、次のポリシーの提案を試して簡単に評価することを検討してください。 推奨されるプロファイル切り替え構成設定には、次の値が含まれます。
com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock=truecom.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=truecom.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock=1com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork=2
注:
iOS および Android 用の Microsoft Edge では、サイトが直接アクセスされている場合にのみ、サイトへのアクセスをブロックできます。 ユーザーが中間サービス (翻訳サービスなど) を使用してサイトにアクセスする場合、アクセスはブロックされません。
Edge://*、Edge://flags、Edge://net-exportなど、Edge で始まる URL は、マネージド アプリのアプリ構成ポリシー AllowListURLs または BlockListURLs ではサポートされていません。 これらの URL は 、com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList で無効にすることができます。
デバイスが管理されている場合は、管理対象デバイスのアプリ構成ポリシー URLAllowList または URLBlocklist を 使用することもできます。 関連情報については、「Microsoft Edge モバイル ポリシー」を参照してください。
次のキーと値のペアを使用して、iOS および Android 用の Microsoft Edge の許可またはブロックされたサイト リストを構成します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AllowListURLs このポリシー名は、Microsoft Edge 構成設定の [ 許可される URL] の UI に置き換えられました |
キーの対応する値は、URL の一覧です。 許可するすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.BlockListURLs このポリシー名は、Microsoft Edge 構成設定の [ブロックされた URL] の UI に置き換えられました |
キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 http://www.contoso.com/|https://www.bing.com/|https://expenses.contoso.com |
| com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock このポリシー名は、[Microsoft Edge 構成設定] の [ 制限付きサイトを個人用コンテキストにリダイレクトする ] の UI に置き換えられました |
true (既定値) を使用すると、iOS および Android 用の Microsoft Edge で制限付きサイトを移行できます。 個人用アカウントが無効になっていない場合、ユーザーは、制限付きサイトを開くために個人用コンテキストに切り替えるか、個人用アカウントを追加するように求められます。 com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked が true に設定されている場合、ユーザーは InPrivate コンテキストで制限付きサイトを開くことができます。 false を指定 すると、iOS および Android 用の Microsoft Edge がユーザーを切り替えなくなります。 ユーザーには、アクセスしようとしているサイトがブロックされていることを示すメッセージが表示されます。 |
| com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked |
true を指定すると、Microsoft Entra アカウントの InPrivate コンテキストで制限付きサイトを開くことができます。 Microsoft Entra アカウントが、iOS および Android 用の Microsoft Edge で構成されている唯一のアカウントである場合、制限付きサイトは InPrivate コンテキストで自動的に開かれます。 ユーザーに個人用アカウントが構成されている場合、ユーザーは InPrivate を開くか、個人用アカウントに切り替えるかを選択するように求められます。 false (既定値) の場合、制限付きサイトをユーザーの個人用アカウントで開く必要があります。 個人用アカウントが無効になっている場合、サイトはブロックされます。 この設定を有効にするには、com.microsoft.intune.mam.managedbrowser.AllowTransitionOnBlock を true に設定する必要があります。 |
| com.microsoft.intune.mam.managedbrowser.durationOfOpenInPrivateSnackBar | ユーザーにスナック バーの通知が表示される秒数を入力します"このサイトへのアクセスは、organizationによってブロックされます。 サイトにアクセスするために InPrivate モードで開きました。既定では、スナック バーの通知は 7 秒間表示されます。 |
定義されている許可リストまたはブロックリスト設定に関係なく、copilot.microsoft.com を除く次のサイトは常に許可されます。
https://*.microsoft.com/*http://*.microsoft.com/*https://microsoft.com/*http://microsoft.com/*https://*.windowsazure.com/*https://*.microsoftonline.com/*https://*.microsoftonline-p.com/*
[サイトのブロック] ポップアップの動作を制御する
ブロックされた Web サイトにアクセスしようとすると、ユーザーは InPrivate に切り替えるか、個人用アカウントを使用してブロックされた Web サイトを開くよう求められます。 InPrivate アカウントと個人用アカウントのユーザー設定を選択できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AutoTransitionModeOnBlock |
0: (既定) ユーザーが選択できるポップアップ ウィンドウを常に表示します。 1: 個人用アカウントサインイン時に個人用アカウントに自動的に切り替えます。 個人用アカウントがサインインしていない場合、動作は値 2 に変更されます。 2:com.microsoft.intune.mam.managedbrowser.openInPrivateIfBlocked=true で InPrivate スイッチが許可されている場合、InPrivate に自動的に切り替えます。 |
アカウント切り替え時の投稿要求の動作を制御する
ブロックされた Web サイトにアクセスしようとすると、ユーザーは InPrivate に切り替えるか、個人用アカウントを使用してブロックされた Web サイトを開くよう求められます。 アカウント切り替え中に投稿要求を処理する方法に関する設定を選択できます。 MAM ポリシーは iOS 専用です。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.IgnorePostRequestOnAutoTransition |
false: (既定値) URL ブロックがプライベート モードまたは個人用アカウントに切り替わると、投稿要求を続行します。 true: URL ブロックがプライベート モードまたは個人用アカウントに切り替わると、投稿要求を無視し、ブロックされたメッセージを表示します。 |
個人用プロファイルを仕事用プロファイルに切り替える動作を制御する
Microsoft Edge が個人用プロファイルの下にあり、ユーザーが仕事用プロファイルの下にある Outlook またはMicrosoft Teamsからリンクを開こうとしている場合、Microsoft Edge、Outlook、Microsoft Teamsは Intune によって管理されているため、既定では Microsoft Edge 作業プロファイルを使用してリンクを開きます。 ただし、リンクがブロックされると、ユーザーは個人用プロファイルに切り替えられます。 これにより、ユーザーの摩擦エクスペリエンスが発生します。
ユーザーのエクスペリエンスを向上させるためにポリシーを構成できます。 構成したポリシー値に従ってユーザーを個人プロファイルに切り替える可能性があるため、AutoTransitionModeOnBlock と共にこのポリシーを使用することを検討してください。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ProfileAutoSwitchToWork |
1: (既定値) URL が Microsoft Edge ポリシーによってブロックされている場合でも、仕事用プロファイルに切り替えます。 2: 個人用プロファイルがサインインしている場合、個人用プロファイルの下でブロックされた URL が開きます。 個人用プロファイルがサインインしていない場合、ブロックされた URL は InPrivate モードで開きます。 |
サブ リソース ブロックの管理
既定では、AllowListURLs と BlockListURL はナビゲーション レベルでのみ適用されます。 ブロックされた URL (BlockListURLs で構成された URL または AllowListURLs で構成されていない URL) を Web ページ内のサブリソースとして埋め込む場合、それらのサブリソース URL はブロックされません。
これらのサブリソースをさらに制限するために、サブリソース URL をブロックするようにポリシーを構成できます。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.ManageRestrictedSubresourceEnabled |
false: (既定値) サブ リソース URL がブロックされている場合でも、サブ リソース URL はブロックされません。 true: サブ リソース URL がブロック済みとして一覧表示されている場合、ブロックされます。 |
注:
BlockListURLs でこのポリシーを使用することを検討してください。 AllowListURLs で使用する場合は、すべてのサブリソース URL が AllowListURLs に含まれていることを確認します。 そうしないと、一部のサブリソースが読み込みに失敗する可能性があります
許可されたサイト リストとブロックされたサイト リストの URL 形式
さまざまな URL 形式を使用して、許可またはブロックされたサイト リストを作成できます。 これらの許可されるパターンの詳細を次の表に示します。
一覧に入力するときに、すべての URL に http:// または https:// のプレフィックスを付けてください。
ワイルドカード記号 (*) は、次の許可されるパターンの一覧の規則に従って使用できます。
ワイルドカードは、スラッシュ (
www.contoso.com/images) で区切られた場合、ホスト名の一部 (news-contoso.comなど) またはホスト名のコンポーネント全体 (host.contoso.comなど) またはパスの一部全体にのみ一致できます。アドレスにポート番号を指定できます。 ポート番号を指定しない場合、使用される値は次のとおりです。
- http の場合ポート 80
- https の場合ポート 443
ポート番号にワイルドカードを使用することは、Microsoft Edge for iOS でのみサポートされています。 たとえば、
http://www.contoso.com:*とhttp://www.contoso.com:*/を指定できます。CIDR 表記を使用した IPv4 アドレスの指定がサポートされています。 たとえば、127.0.0.1/24 (IP アドレスの範囲) を指定できます。
URL 詳細 一致します 一致しない http://www.contoso.com1 つのページに一致します www.contoso.comhost.contoso.comwww.contoso.com/imagescontoso.com/http://contoso.com1 つのページに一致します contoso.com/host.contoso.comwww.contoso.com/imageswww.contoso.comhttp://www.contoso.com/*www.contoso.comで始まるすべての URL と一致しますwww.contoso.comwww.contoso.com/imageswww.contoso.com/videos/tvshowshost.contoso.comhost.contoso.com/imageshttp://*.contoso.com/*contoso.comのすべてのサブドメインと一致しますdeveloper.contoso.com/resourcesnews.contoso.com/imagesnews.contoso.com/videoscontoso.host.comnews-contoso.comhttp://*contoso.com/*contoso.com/で終わるすべてのサブドメインと一致しますnews-contoso.comnews-contoso.com/dailynews-contoso.host.comnews.contoso.comhttp://www.contoso.com/images1 つのフォルダーと一致します www.contoso.com/imageswww.contoso.com/images/dogshttp://www.contoso.com:80ポート番号を使用して 1 つのページと一致します www.contoso.com:80https://www.contoso.com1 つのセキュリティで保護されたページと一致します www.contoso.comwww.contoso.com/imageshttp://www.contoso.com/images/*1 つのフォルダーとすべてのサブフォルダーに一致します www.contoso.com/images/dogswww.contoso.com/images/catswww.contoso.com/videoshttp://contoso.com:*1 つのページの任意のポート番号と一致します contoso.com:80contoso.com:808010.0.0.0/2410.0.0.0 から 10.0.0.255 までの IP アドレスの範囲に一致します 10.0.0.010.0.0.100192.168.1.1- 指定できない入力の一部の例を次に示します。
*.com*.contoso/*www.contoso.com/*imageswww.contoso.com/*images*pigswww.contoso.com/page*https://*http://*http://www.contoso.com: /*
Microsoft Edge の内部ページを無効にする
Edge://flagsやEdge://net-exportなどの Microsoft Edge 内部ページを無効にすることができます。 その他のページは、 Edge://about
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList | キーの対応する値は、ページ名の一覧です。 ブロックする内部ページを 1 つの値として入力し、パイプ | 文字で区切ることができます。 例: flags|net-export |
ファイルのアップロードを許可する Web サイトを管理する
ユーザーが Web サイトの表示のみを許可され、ファイルをアップロードできない場合があります。 組織には、ファイルのアップロードを受信できる Web サイトを指定するオプションがあります。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 https://contoso.com/|http://contoso.com/|https://[*.]contoso.com|[*.]contoso.com |
| com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls | キーの対応する値は、URL の一覧です。 ブロックするすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2|URL3 https://external.filesupload1.com/|http://external.filesupload2.com/|https://[*.]external.filesupload1.com|[*.]filesupload1.com |
内部 Web サイトを含むすべての Web サイトでファイルのアップロードをブロックする例
- com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
特定の Web サイトにファイルのアップロードを許可する例
- com.microsoft.intune.mam.managedbrowser.FileUploadAllowedForUrls=
https://[*.]contoso.com/|[*.]sharepoint.com/ - com.microsoft.intune.mam.managedbrowser.FileUploadBlockedForUrls=
*
URL 形式の詳細については、「エンタープライズ ポリシー URL パターン形式」を参照してください。
注:
iOS 上の Microsoft Edge の場合、アップロードに加えて貼り付けアクションがブロックされます。 アクション メニューに貼り付けオプションが表示されません。
プロキシ構成を管理する
Microsoft Edge for iOS と Android と Microsoft Entra アプリケーション プロキシを一緒に使用して、ユーザーにモバイル デバイス上のイントラネット サイトへのアクセスを許可できます。 例:
- ユーザーは、Intune によって保護されている Outlook モバイル アプリを使用しています。 その後、電子メールでイントラネット サイトへのリンクを選択し、iOS および Android 用 Microsoft Edge では、このイントラネット サイトがアプリケーション プロキシを介してユーザーに公開されていることを認識します。 ユーザーは、イントラネット サイトに到達する前に、適用可能な多要素認証と条件付きアクセスで認証するために、アプリケーション プロキシ経由で自動的にルーティングされます。 ユーザーはモバイル デバイス上でも内部サイトにアクセスできるようになり、Outlook のリンクは期待どおりに機能します。
- ユーザーが iOS または Android デバイスで Microsoft Edge for iOS と Android を開きます。 iOS および Android 用の Microsoft Edge が Intune で保護されていて、アプリケーション プロキシが有効になっている場合、ユーザーは使用している内部 URL を使用してイントラネット サイトにアクセスできます。 iOS および Android 用の Microsoft Edge は、このイントラネット サイトがアプリケーション プロキシを介してユーザーに公開されていることを認識します。 ユーザーは、イントラネット サイトに到達する前に認証するために、アプリケーション プロキシ経由で自動的にルーティングされます。
はじめに:
- Microsoft Entra アプリケーション プロキシを使用して内部アプリケーションを設定します。
- アプリケーション プロキシを構成し、アプリケーションを発行するには、セットアップ ドキュメントを参照してください。
- アプリがパススルー事前認証の種類で構成されている場合でも、ユーザーが Microsoft Entra アプリケーション プロキシ アプリに割り当てられていることを確認します。
- iOS および Android 用 Microsoft Edge アプリには 、Intune アプリ保護ポリシー が割り当てられている必要があります。
- Microsoft アプリには、他のアプリのデータ転送による Web コンテンツの転送を制限する設定が Microsoft Edge に設定されているアプリ保護ポリシーが必要です。
注:
iOS および Android 用の Microsoft Edge は、最後に成功した更新イベントに基づいて、アプリケーション プロキシ リダイレクト データを更新します。 更新は、最後に成功した更新イベントが 1 時間を超えるたびに試行されます。
次のキーと値のペアを使用して、iOS と Android 用の Microsoft Edge をターゲットにして、アプリケーション プロキシを有効にします。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.AppProxyRedirection このポリシー名は、Microsoft Edge 構成設定の下の アプリケーション プロキシ リダイレクト の UI に置き換えられました |
true の場合、Microsoft Entra アプリケーション プロキシのリダイレクト シナリオが有効になります false (既定値) にすると、Microsoft Entra アプリケーション プロキシ のシナリオが回避されます |
Microsoft Edge for iOS と Android と Microsoft Entra アプリケーション プロキシを組み合わせてオンプレミスの Web アプリへのシームレスな (保護された) アクセスに使用する方法の詳細については、Intune とMicrosoft Entraチームを組んでユーザー アクセスを向上させる方法に関するページを参照してください。 このブログ投稿では、Intune Managed Browserを参照していますが、コンテンツは iOS および Android 用の Microsoft Edge にも適用されます。
NTLM シングル サインオン サイトを管理する
組織では、ユーザーが NTLM で認証してイントラネット Web サイトにアクセスすることを要求する場合があります。 既定では、NTLM 資格情報のキャッシュが無効になっているため、NTLM 認証を必要とする Web サイトにアクセスするたびに、資格情報を入力するように求められます。
組織は、特定の Web サイトに対して NTLM 資格情報のキャッシュを有効にすることができます。 これらのサイトでは、ユーザーが資格情報を入力し、認証に成功すると、資格情報は既定で 30 日間キャッシュされます。
注:
プロキシ サーバーを使用している場合は、キー値の一部として https と http の両方を特に指定する NTLMSSOURLs ポリシーを使用して構成されていることを確認します。
現時点では、 HTTPS と http スキームの両方を NTLMSSOURLs キー値で指定する必要があります。 たとえば、 https://your-proxy-server:8080 と http://your-proxy-server:8080の両方を構成する必要があります。 現時点では、形式を host:port ( your-proxy-server:8080 など) として指定するだけでは不十分です。
さらに、NTLMSSOURLs ポリシーでプロキシ サーバーを構成する場合、ワイルドカード 記号 (*) はサポートされません。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NTLMSSOURLs | キーの対応する値は、URL の一覧です。 許可するすべての URL を 1 つの値として入力し、パイプ | 文字で区切ります。 例: URL1|URL2 http://app.contoso.com/|https://expenses.contoso.com サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。 |
| com.microsoft.intune.mam.managedbrowser.durationOfNTLMSSO | 資格情報をキャッシュする時間数 (既定値は 720 時間) |
Microsoft Edge スタートアップ Web ページ オプションを管理する
組織は、Microsoft Edge のスタートアップ Web ページ オプションを管理できます。既定値を [ 中断した場所で閲覧を続行する] または [常に新しい新しいタブで開始する] に設定します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.RestoreBrowsingOption |
0: (既定値) 構成なし 1:中断した場所で閲覧を続ける 2: 常に新しいタブから始める |
Web シングル サインオンの対話型モードを管理する
組織には、Web シングル Sign-On (WebSSO) の対話型モードを有効または無効にするオプションがあります。 対話型モードがアクティブ化されると、Microsoft Edge モバイルは現在のアカウントのサインイン状態を更新し、必要に応じて直接対話を通じて再認証するようにユーザーに求めるメッセージを表示します。
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.managedbrowser.EnableInteractiveModeForWebSSO |
false: (既定値) 無効 true: 有効にする |
モバイルでデスクトップ ビューを管理する
このポリシーは、Web サイトの既定の表示モードを決定します。 組織は、デスクトップまたはモバイル ビューで常に開くサイト URL パターンの一覧を指定できます。
| キー | 値 |
|---|---|
| DefaultDesktopSiteSetting |
1: すべての Web サイトが既定でデスクトップ ビューで開きます。 2: (既定) すべての Web サイトが既定でモバイル ビューで開きます。 |
| DesktopSiteForceForUrls | デスクトップ ビューで常に開くサイト URL パターンの一覧を指定します。 ポリシーが構成されていない場合は、"DefaultDesktopSiteSetting" で定義された既定の動作が適用されます。 有効な URL パターンの詳細については、「URL リスト ベースのポリシーのフィルター形式」を参照してください。 |
| MobileSiteForceForUrls | モバイル ビューで常に開くサイト URL パターンの一覧を指定します。 ポリシーが構成されていない場合は、"DefaultDesktopSiteSetting" で定義された既定の動作が適用されます。 有効な URL パターンの詳細については、「 URL リスト ベースのポリシーのフィルター形式」を参照してください。 |
マネージド デバイスのその他のアプリ構成
マネージド アプリのアプリ構成ポリシーを使用して最初に構成できる次のポリシーは、マネージド デバイスアプリ構成ポリシーを通じて使用できるようになりました。 マネージド アプリのポリシーを使用する場合、ユーザーは Microsoft Edge にサインインする必要があります。 管理対象デバイスにポリシーを使用する場合、ユーザーはポリシーを適用するために Microsoft Edge にサインインする必要はありません。
マネージド デバイスのアプリ構成ポリシーにはデバイス登録が必要であるため、統合エンドポイント管理 (UEM) がサポートされます。 MDM チャネルで他のポリシーを見つけるには、「Microsoft Edge モバイル ポリシー」を参照してください。
| MAM ポリシー | MDM ポリシー |
|---|---|
| com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL | EdgeNewTabPageCustomURL |
| com.microsoft.intune.mam.managedbrowser.MyApps | EdgeMyApps |
| com.microsoft.intune.mam.managedbrowser.defaultHTTPS | EdgeDefaultHTTPS |
| com.microsoft.intune.mam.managedbrowser.disableShareUsageData | EdgeDisableShareUsageData |
| com.microsoft.intune.mam.managedbrowser.disabledFeatures | EdgeDisabledFeatures |
| com.microsoft.intune.mam.managedbrowser.disableImportPasswords | EdgeImportPasswordsDisabled |
| com.microsoft.intune.mam.managedbrowser.enableKioskMode | EdgeEnableKioskMode |
| com.microsoft.intune.mam.managedbrowser.showAddressBarInKioskMode | EdgeShowAddressBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.showBottomBarInKioskMode | EdgeShowBottomBarInKioskMode |
| com.microsoft.intune.mam.managedbrowser.account.syncDisabled | EdgeSyncDisabled |
| com.microsoft.intune.mam.managedbrowser.NetworkStackPref | EdgeNetworkStackPref |
| com.microsoft.intune.mam.managedbrowser.SmartScreenEnabled | SmartScreenEnabled |
| com.microsoft.intune.mam.managedbrowser.MicrosoftRootStoreEnabled | MicrosoftRootStoreEnabled |
| com.microsoft.intune.mam.managedbrowser.SSLErrorOverrideAllowed | SSLErrorOverrideAllowed |
| com.microsoft.intune.mam.managedbrowser.DefaultPopupsSetting | DefaultPopupsSetting |
| com.microsoft.intune.mam.managedbrowser.PopupsAllowedForUrls | PopupsAllowedForUrls |
| com.microsoft.intune.mam.managedbrowser.PopupsBlockedForUrls | PopupsBlockedForUrls |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderEnabled | DefaultSearchProviderEnabled |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderName | DefaultSearchProviderName |
| com.microsoft.intune.mam.managedbrowser.DefaultSearchProviderSearchURL | DefaultSearchProviderSearchURL |
| com.microsoft.intune.mam.managedbrowser.Chat | EdgeCopilotEnabled |
| com.microsoft.intune.mam.managedbrowser.ChatPageContext | EdgeChatPageContext |
Microsoft Intune を使用してアプリ構成シナリオを展開する
モバイル アプリ管理プロバイダーとして Microsoft Intune を使用している場合は、次の手順に従って、マネージド アプリ アプリ構成ポリシーを作成できます。 構成を作成した後、その設定をユーザー グループに割り当てることができます。
Microsoft Intune 管理センターにサインインします。
[アプリ] を選択し、[アプリ構成ポリシー] を選択します。
[App Configuration ポリシー] ブレードで、[追加] を選択し、[マネージド アプリ] を選択します。
[基本] セクションで、名前を入力し、オプションのアプリ構成設定の説明を入力します。
[パブリック アプリ] で [パブリック アプリの選択] を選択し、[ターゲット アプリ] ブレードで、iOS と Android の両方のプラットフォーム アプリを選択して [Edge for iOS and Android] を選択します。 [ 選択] を選択 して、選択したパブリック アプリを保存します。
[ 次へ ] を選択して、アプリ構成ポリシーの基本設定を完了します。
[設定] セクションで、[Edge 構成設定] を展開します。
データ保護設定を管理する場合は、必要な設定を適切に構成します。
[アプリケーション プロキシ リダイレクト] で、使用可能なオプション ([有効]、[無効] (既定値)) から選択します。
[ホームページのショートカット URL] に、http:// または https:// のプレフィックスを含む有効な URL を指定 します。 不正な URL は、セキュリティ対策としてブロックされます。
[マネージド ブックマーク] には、タイトルと http:// または https:// のプレフィックスを含む有効な URL を指定します。
[許可された URL] には、有効な URL を指定します (これらの URL のみが許可されます。他のサイトにはアクセスできません)。 サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。
[ブロックされた URL] には、有効な URL を指定します (これらの URL のみがブロックされます)。 サポートされている URL 形式の種類の詳細については、「許可されたサイト一覧とブロックされたサイト一覧の URL 形式」を参照してください。
[制限付きサイトを個人用コンテキストにリダイレクトする] で、使用可能なオプション ([有効] (既定値)、[無効]) から選択します。
注:
ポリシーで許可された URL とブロックされた URL の両方が定義されている場合は、許可されたリストのみが適用されます。
上記のポリシーで公開されていないアプリ構成設定を増やす場合は、[ 全般構成設定 ] ノードを展開し、それに応じてキー値のペアを入力します。
設定の構成が完了したら、[ 次へ] を選択します。
[ 割り当て] セクションで 、[ 含めるグループの選択] を選択します。 アプリ構成ポリシーを割り当てるMicrosoft Entra グループを選択し、[選択] を選択します。
割り当てが完了したら、[ 次へ] を選択します。
[ アプリ構成ポリシーの作成] [確認と作成 ] ブレードで、構成されている設定を確認し、[ 作成] を選択します。
新しく作成した構成ポリシーが [アプリ構成] ブレードに表示されます。
iOS および Android 用の Microsoft Edge を使用して管理対象アプリ ログにアクセスする
iOS または Android デバイスに Microsoft Edge for iOS と Android がインストールされているユーザーは、Microsoft が公開したすべてのアプリの管理状態を表示できます。 次の手順を使用して、管理対象の iOS アプリまたは Android アプリのトラブルシューティングのためにログを送信できます。
デバイスで iOS 版と Android 版の Microsoft Edge を開きます。
アドレス ボックスに「
edge://intunehelp/」と入力 します。iOS および Android 用の Microsoft Edge では、トラブルシューティング モードが起動します。
Microsoft サポートからログを取得するには、ユーザーのインシデント ID を指定します。
アプリ ログに保存されている設定のリストについては、「クライアント アプリの保護ログを確認する」を参照してください。
診断ログ
edge://intunehelp/からの Intune ログに加えて、iOS と Android 用の Microsoft Edge の診断ログを提供するようにMicrosoft サポートから求められる場合があります。 ログを Microsoft サーバーにアップロードするか、ローカルに保存し、Microsoft サポートと直接共有できます。
Microsoft サーバーへのログのアップロード
Microsoft サーバーにログをアップロードするには、次の手順に従います。
- 問題を再現します。
- オーバーフロー メニューを開くには、右下隅にあるハンバーガー アイコンを選択します。
- 左にスワイプし、[ ヘルプとフィードバック] を選択します。
- [何が 起こっているのかを説明する] セクションで、問題の詳細を指定して、サポート チームが関連するログを特定できるようにします。
- 右上隅にあるボタンを選択して、Microsoft サーバーにログをアップロードします。
ログをローカルに保存し、Microsoft サポートと直接共有する
ログをローカルに保存して共有するには、次の手順に従います。
- 問題を再現します。
- 右下隅にあるハンバーガー メニューを選択して、オーバーフロー メニューを開きます。
- 左にスワイプし、[ ヘルプとフィードバック] を選択します。
- 診断データを選択します。
- Microsoft Edge for iOS の場合は、右上隅にある [共有 ] アイコンをタップします。 [OS 共有] ダイアログが表示され、ログをローカルに保存したり、他のアプリを介して共有したりできます。 Microsoft Edge for Android の場合は、右上隅にあるサブメニューを開き、ログを保存するオプションを選択します。 ログは、 Download>Edge フォルダーに 保存されます。
古いログを消去する場合は、診断データを選択するときに右上にある [クリア] アイコンを選択します。 次に、問題をもう一度再現して、新しいログのみがキャプチャされるようにします。
注:
ログを保存すると、Intune アプリケーション保護ポリシーも考慮されます。 そのため、診断データをローカル デバイスに保存できない場合があります。
モバイルで Edge アプリを強制的に起動する Deeplink メソッド
Edge モバイル用に設計された特定のディープリンクがあります。
| 配色 | ホスト | Path | 動作 |
|---|---|---|---|
| microsoft-edge-http:// | <any> |
<any> |
URL http:// を開く<any> |
| microsoft-edge-https:// | <any> |
<any> |
URL http:// を開く<any> |