使用 Configuration Manager 的托管浏览器策略管理 Internet 访问
适用对象:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
从 System Center 2012 Configuration Manager SP2 开始你可以部署 Intune 托管浏览器和 Web 浏览应用程序,还可将应用程序与托管浏览器策略关联。 托管浏览器策略可配置允许列表或阻止列表,限制托管浏览器的用户可以访问的网站。
由于此应用是托管应用,因此你还可以向其应用移动应用程序管理策略,如控制使用剪切、复制和粘贴,阻止屏幕捕获,以及确保用户单击的内容链接仅在其他托管应用中打开。 有关详细信息,请参阅如何使用 Configuration Manager 中的移动应用程序管理策略控制应用。
.jpeg "System_CAPS_important"){kind=icon} 重要事项 |
|---|
如果用户自行安装托管浏览器,则该浏览器将不受任何所指定策略的管理。 若要确保浏览器由 配置管理器 管理,则用户必须先卸载该应用,然后你才可以将其作为托管应用部署给这些用户。 |
可以针对以下设备类型创建托管浏览器策略:
运行 Android 4 和更高版本的设备
运行 iOS 7 和更高版本的设备
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
有关 Intune 托管浏览器应用的详细信息,请参阅 iTunes(对于 iOS)和 Google Play(对于 Android)。 |
创建托管浏览器策略
-
在 配置管理器 控制台中,单击“软件库”。
-
在“软件库”工作区中,展开“应用程序管理”,然后单击“应用程序管理策略”。
-
在“主页”选项卡的“创建”组中,单击“创建应用程序管理策略”。
-
在“常规”页上,输入策略的名称和说明,然后单击“下一步”。
-
在“策略类型”页上,依次选择平台和策略类型的“托管浏览器”,然后单击“下一步”。
在“托管浏览器”页上,选择下列选项之一:
- **仅允许托管浏览器打开下面列出的 URL** – 指定托管浏览器可以打开的 URL 列表。 - **阻止托管浏览器打开下面列出的 URL** – 指定将阻止托管浏览器打开的 URL 列表。注意不能在相同的托管浏览器策略中同时包括允许的 URL 和阻止的 URL。
有关可以指定的 URL 格式的详细信息,请参阅本主题中的允许的 URL 和阻止的 URL 的格式。
注意“常规” 策略类型可让你修改你部署的应用的功能,以帮助其符合公司的合规性和安全策略。 例如,可以限制受限应用中的剪切、复制和粘贴操作。 有关“常规”策略类型的详细信息,请参阅如何使用 Configuration Manager 中的移动应用程序管理策略控制应用。
-
完成向导。
新策略显示在“软件库”工作区的“应用程序管理策略”节点中。
创建托管浏览器应用的软件部署
在创建托管浏览器策略后,可以创建托管浏览器应用的软件部署类型。 必须关联托管浏览器应用的常规和托管浏览器策略。
有关详细信息,请参阅 如何在 Configuration Manager 中针对移动设备创建和部署应用程序。
托管浏览器的安全和隐私
在 iOS 设备上,如果用户访问的网站的证书已过期或不受信任,则无法打开该网站。
托管浏览器不使用用户在设备上对内置浏览器进行的设置。 这是因为托管浏览器无权访问这些设置。
如果在与托管浏览器关联的移动应用程序管理策略中配置**“访问需要简单 PIN”或“访问需要公司凭据”**选项,并且用户单击身份验证页上的帮助链接,则他们可以浏览任何 Internet 站点,而无论这些网站是否已添加到托管浏览器策略中的阻止列表。
托管浏览器仅能在直接访问站点时阻止访问。 使用中间服务(例如翻译服务)访问站点时,该策略则无法阻止访问。
参考信息
允许的 URL 和阻止的 URL 的格式
使用以下信息来了解有关指定允许和阻止列表中的 URL 时允许使用的格式和通配符。
可以根据下面的允许模式列表中的规则使用通配符“*”。
在将 URL 输入列表时,确保对所有 URL 添加**“http”或“https”**作为前缀。
可以在地址中指定端口号。 如果未指定端口号,将使用以下值:
对于 http,使用端口 80
对于 https,使用端口 443
不支持对端口号使用通配符,例如,“https://www.contoso.com:*”和“https://www.contoso.com: / *”
使用下表了解指定 URL 时可以使用的允许模式:
URL
描述
匹配
不匹配
https://www.contoso.com
匹配单个页面
www.contoso.com
host.contoso.com
www.contoso.com/images
contoso.com/
https://contoso.com
匹配单个页面
contoso.com/
host.contoso.com
www.contoso.com/images
www.contoso.com
https://www.contoso.com/*
匹配以 www.contoso.com 开头的所有 URL
www.contoso.com
www.contoso.com/images
www.contoso.com/videos/tvshows
host.contoso.com
host.contoso.com/images
http://*.contoso.com/*
匹配 contoso.com 下的所有子域
developer.contoso.com/resources
news.contoso.com/images
news.contoso.com/videos
contoso.host.com
https://www.contoso.com/images
匹配单个文件夹
www.contoso.com/images
www.contoso.com/images/dogs
https://www.contoso.com:80
匹配单个页面(使用端口号)
https://www.contoso.com:80
https://www.contoso.com
匹配单个安全页面
https://www.contoso.com
https://www.contoso.com
https://www.contoso.com/images/*
匹配单个文件夹和所有子文件夹
www.contoso.com/images/dogs
www.contoso.com/images/cats
www.contoso.com/videos
以下是一些你不能指定的输入的示例:
*.com
*.contoso/*
IP 地址
https://*
http://*
| 注意 |
|---|
始终允许 *.microsoft.com – 始终视为允许。 |
允许和阻止列表之间的冲突的解决方式
如果向一个设备部署多个托管浏览器策略,并且出现设置冲突,则将评估模式(允许或阻止)以及 URL 列表中的冲突。 发生冲突时,以下行为适用:
如果每个策略中的模式相同但 URL 列表不同,则不会在设备上强制执行 URL。
如果每个策略中的模式不同但 URL 列表相同,则不会在设备上强制执行 URL。
如果设备是首次接收托管浏览器策略而两个策略发生冲突,则不会在设备上强制执行 URL。 使用**“策略”工作区的“策略冲突”**节点查看这些冲突。
如果设备已接收托管浏览器策略而部署的第二个策略具有冲突的设置,则将在设备上保留原始设置。 使用**“策略”工作区的“策略冲突”**节点查看这些冲突。