• Artikel

Verwalten des Internetzugriffs mittels Richtlinien für verwaltete Browser mit Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Einstieg in System Center 2012 Configuration Manager SP2 können Sie Intune Managed Browser, eine Webbrowser-Anwendung, bereitstellen und der Anwendung eine Richtlinie für verwaltete Browser zuordnen. Die Richtlinie für verwaltete Browser konfiguriert die Liste "Zulassen" oder "Blockieren", um die Websites einzuschränken, die Benutzer des verwalteten Browsers besuchen können.

Da diese App eine verwaltete App ist, können Sie darauf auch Verwaltungsrichtlinien für mobile Anwendungen anwenden. Hierzu zählt beispielsweise, die Verwendung der Funktionen zum Ausschneiden, Kopieren und Einfügen zu steuern, Bildschirmaufnahmen zu verhindern und sicherzustellen, dass Links zu Inhalten, auf die Benutzer klicken, in anderen verwalteten Apps geöffnet werden. Details finden Sie unter Steuern von Apps mithilfe von Verwaltungsrichtlinien für mobile Anwendungen in Configuration Manager.

System_CAPS_importantWichtig

Wenn Benutzer den verwalteten Browser selbst installieren, wird er durch keine von Ihnen angegebenen Richtlinien verwaltet. Um sicherzustellen, dass der Browser von Configuration Manager verwaltet wird, muss die App deinstalliert werden, bevor Sie sie als verwaltete Anwendung bereitstellen können.

Sie können Richtlinien für verwaltete Browser für die folgenden Gerätetypen erstellen:

  • Geräte unter Android 4 und höher

  • Geräte unter iOS 7 und höher

System_CAPS_noteHinweis

Weitere Informationen zur Intune Managed Browser-App finden Sie unter iTunes für iOS und Google Play für Android.

Erstellen einer Richtlinie für verwaltete Browser

  1. Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.

  2. Erweitern Sie im Arbeitsbereich Softwarebibliothek den Knoten Anwendungsverwaltung, und klicken Sie dann auf Anwendungsverwaltungsrichtlinien.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Anwendungsverwaltungsrichtlinie erstellen.

  4. Geben Sie auf der Seite Allgemein den Namen und die Beschreibung für die Richtlinie ein, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Richtlinientyp die Plattform aus, wählen Sie Verwalteter Browser als Richtlinientyp aus, und klicken Sie dann auf Weiter.

    Wählen Sie auf der Seite Verwalteter Browser eine der folgenden Optionen aus:

    - **Der verwaltete Browser kann nur die unten aufgeführten URLs öffnen** – Geben Sie eine Liste mit URLs an, die der verwaltete Browser öffnen kann.

- **Der verwaltete Browser kann die unten aufgeführten URLs nicht öffnen** – Geben Sie eine Liste mit URLs an, die der verwaltete Browser nicht öffnen kann.
    System_CAPS_noteHinweis

    Eine Richtlinie für verwaltete Browser kann nicht sowohl zulässige als auch blockierte URLs enthalten.

    Weitere Informationen zu den festlegbaren URL-Formaten finden Sie in diesem Thema unter URL-Format für zulässige und blockierte URLs.

    System_CAPS_noteHinweis

    Mit dem Richtlinientyp Allgemein können Sie die Funktionalität von bereitgestellten Apps ändern, um sie an die Konformitäts- und Sicherheitsrichtlinien Ihres Unternehmens anzupassen. Sie können z. B. Ausschneide-, Kopier- und Einfügevorgänge innerhalb einer eingeschränkten App einschränken. Weitere Informationen zum Richtlinientyp "Allgemein" finden Sie unter Steuern von Apps mithilfe von Verwaltungsrichtlinien für mobile Anwendungen in Configuration Manager.

  6. Schließen Sie den Assistenten ab.

Die neue Richtlinie wird im Knoten Anwendungsverwaltungsrichtlinien des Arbeitsbereichs Softwarebibliothek angezeigt.

Erstellen einer Softwarebereitstellung für die Managed Browser-App

Nachdem Sie die Richtlinie für verwaltete Browser erstellt haben, können Sie einen Softwarebereitstellungstyp für die Managed Browser-App erstellen. Sie müssen der Managed Browser-App eine Richtlinie "Allgemein" und eine Richtlinie "Verwalteter Browser" zuordnen.

Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Anwendungen für mobile Geräte in Configuration Manager.

Sicherheit und Datenschutz für den verwalteten Browser

  • Auf iOS-Geräten können von Benutzern besuchte Websites, deren Zertifikat abgelaufen oder nicht vertrauenswürdig ist, nicht geöffnet werden.

  • Einstellungen, die Benutzer für den integrierten Browser auf ihren Geräten vornehmen, werden nicht vom verwalteten Browser verwendet. Dies liegt daran, da der verwaltete Browser keinen Zugriff auf diese Einstellungen hat.

  • Wenn Sie die Option Einfache PIN für Zugriff anfordern oder Unternehmensanmeldeinformationen für Zugriff anfordern in einer Richtlinie für die Verwaltung mobiler Anwendung konfigurieren, die mit dem verwalteten Browser verknüpft ist, und ein Benutzer auf der Authentifizierungsseite auf den Hilfe-Link klickt, kann er beliebige Websites auch dann durchsuchen, wenn diese in der Richtlinie für verwaltete Browser einer Sperrliste hinzugefügt wurden.

  • Der verwaltete Browser kann nur den Zugriff auf Websites blockieren, wenn darauf direkt zugegriffen wird. Der Zugriff auf die Website kann nicht blockiert werden, wenn dafür Zwischendienste (z. B. ein Übersetzungsdienst) verwendet werden.

Referenzinformationen

URL-Format für zulässige und blockierte URLs

Nachfolgend wird erläutert, welche Formate und Platzhalter Sie zum Festlegen von URLs in den Zulassungs- und Sperrlisten verwenden können.

  • Sie können das Platzhaltersymbol '*" gemäß den Regeln in der nachfolgenden Liste mit zugelassenen Mustern verwenden.

  • Stellen Sie sicher, dass Sie bei der Eingabe in die Liste allen URLs http oder https voranstellen.

  • Sie können Portnummern in der Adresse angeben. Wenn Sie keine Portnummer angeben, werden folgende Werte verwendet:

    • Port 80 für http

    • Port 443 für https

    Das Verwenden von Platzhaltern für die Portnummer wird nicht unterstützt: Beispiele: https://www.contoso.com :* und https://www.contoso.com: / *

  • In der folgenden Tabelle sind die zugelassenen Muster aufgeführt, die Sie zum Festlegen von URLs verwenden können:

    URL

    Beschreibung

    Treffer

    Stimmt nicht überein mit

    https://www.contoso.com

    Entspricht einer einzelnen Seite

    www.contoso.com

    host.contoso.com

    www.contoso.com/images

    contoso.com/

    https://contoso.com

    Entspricht einer einzelnen Seite

    contoso.com/

    host.contoso.com

    www.contoso.com/images

    www.contoso.com

    https://www.contoso.com/*

    Entspricht allen URLs, die mit www.contoso.com beginnen

    www.contoso.com

    www.contoso.com/images

    www.contoso.com/videos/tvshows

    host.contoso.com

    host.contoso.com/images

    http://*.contoso.com/*

    Entspricht allen Unterdomänen unter "contoso.com"

    developer.contoso.com/resources

    news.contoso.com/images

    news.contoso.com/videos

    contoso.host.com

    https://www.contoso.com/images

    Entspricht einem einzelnen Ordner

    www.contoso.com/images

    www.contoso.com/images/dogs

    https://www.contoso.com:80

    Entspricht einer einzelnen Seite mit einer Portnummer

    https://www.contoso.com:80

    https://www.contoso.com

    Entspricht einer einzelnen, sicheren Seite

    https://www.contoso.com

    https://www.contoso.com

    https://www.contoso.com/images/*

    Entspricht einem einzelnen Ordner und allen Unterordnern

    www.contoso.com/images/dogs

    www.contoso.com/images/cats

    www.contoso.com/videos

  • Es folgen Beispiele für einige der Eingaben, die Sie nicht festlegen können:

System_CAPS_noteHinweis

*. microsoft.com ist immer zulässig – es wird immer als zulässig behandelt.

Lösen von Konflikten zwischen der Zulassungs- und Sperrliste

Wenn mehrere Richtlinien für verwaltete Browser für ein Gerät bereitgestellt werden und Einstellungen in Konflikt stehen, werden sowohl der Modus (zulassen oder blockieren) als auch die URL-Listen ausgewertet. Bei einem Konflikt gilt folgendes Verhalten:

  • Wenn die Modi in jeder Richtlinie identisch sind, aber die URL-Listen voneinander abweichen, werden die URLs auf dem Gerät nicht erzwungen.

  • Wenn die Modi in jeder Richtlinie voneinander abweichen, aber die URL-Listen identisch sind , werden die URLs auf dem Gerät nicht erzwungen.

  • Wenn ein Gerät erstmals Richtlinien für verwaltete Browser empfängt und zwei Richtlinien in Konflikt stehen, werden die URLs auf dem Gerät nicht erzwungen. Sie können die Konflikte über den Knoten Richtlinienkonflikte des Arbeitsbereichs Richtlinie anzeigen.

  • Wenn ein Gerät bereits ein Richtlinie für verwaltete Browser erhalten hat und eine zweite Richtlinie mit in Konflikt stehenden Einstellungen bereitgestellt wird, bleiben die ursprünglichen Einstellungen auf dem Gerät bestehen. Sie können die Konflikte über den Knoten Richtlinienkonflikte des Arbeitsbereichs Richtlinie anzeigen.