• Статья

Управление доступом в Интернет с помощью политик управляемого браузера в Microsoft Intune

 

Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Начиная с System Center 2012 Configuration Manager с пакетом обновления 2 (SP2), можно развернуть приложение Intune Managed Browser (для просмотра веб-страниц) и связать приложение с политикой управляемого браузера. Политика управляемого браузера настраивает список разрешений или список блокировок, ограничивающий веб-сайты, которые могут посещать пользователи управляемого браузера.

Поскольку это приложение является управляемым, к нему также можно применить политики управления мобильными приложениями, например для управления вырезанием, копированием и вставкой, предотвращения захвата экрана и обеспечения того, что выбираемые пользователем ссылки на содержимое открываются только в других управляемых приложениях. Дополнительные сведения см. в разделе Управление приложениями с помощью политик управления мобильными приложениями в Configuration Manager.

System_CAPS_importantВажно

Если пользователи самостоятельно устанавливают управляемый браузер, он не будет управляться никакими из тех политик, которые вы задаете. Чтобы обеспечить управление браузером из Configuration Manager, пользователи должны удалить это приложение, после чего вы сможете развернуть его для них в качестве управляемого приложения.

Политики управляемого браузера можно создать для следующих типов устройств:

  • Устройства под управлением Android 4 и более поздней версии.

  • Устройства под управлением iOS 7 и более поздней версии.

System_CAPS_noteПримечание

Дополнительные сведения о приложении Intune Managed Browser см. на страницах iTunes для iOS и Google Play для Android.

Создание политики управляемого браузера

  1. В консоли Configuration Manager выберите пункт Библиотека программного обеспечения.

  2. В рабочей области Библиотека программного обеспечения разверните узел Управление приложениями и выберите Политики управления приложениями.

  3. На вкладке Главная в группе Создать нажмите кнопку Создать политику управления приложениями.

  4. На странице Общие введите имя и описание для политики, а затем нажмите кнопку Далее.

  5. На странице Тип политики выберите платформу, затем Управляемый браузер для типа политики и нажмите кнопку Далее.

    На странице Управляемый браузер выберите один из следующих параметров:

    - **Разрешить Managed Browser открывать только указанные ниже URL-адреса** — укажите список URL-адресов, которые можно открыть в управляемом браузере.

- **Запретить Managed Browser открывать указанные ниже URL-адреса** — укажите список URL-адресов, которые нужно запретить открывать в управляемом браузере.
    System_CAPS_noteПримечание

    В одну и ту же политику управляемого браузера нельзя включить как разрешенные, так и запрещенные URL-адреса.

    Дополнительные сведения о допустимых форматах URL-адресов см. в разделе Формат для разрешенных и заблокированных URL-адресов этой статьи.

    System_CAPS_noteПримечание

    Тип политики Общий позволяет изменять функциональные возможности развертываемых приложений, чтобы привести их в соответствие с корпоративной политикой безопасности и требованиями. Например, можно запретить функцию вырезания, копирования и вставки в конкретном приложении. Дополнительные сведения о типе политики "Общая" см. в разделе Управление приложениями с помощью политик управления мобильными приложениями в Configuration Manager.

  6. Завершите работу мастера.

Новая политика отображается в узле Политики управления приложениями рабочей области Библиотека программного обеспечения.

Создание развертывания программного обеспечения для приложения управляемого браузера

После создания политики управляемого браузера можно создать развертывание программного обеспечения для приложения управляемого браузера. Приложение Managed Browser необходимо связать как с общей политикой, так и с политикой управляемого браузера.

Дополнительные сведения см. в статье Создание и развертывание приложений для мобильных устройств в Configuration Manager.

Обеспечение безопасности и конфиденциальности управляемого браузера

  • На устройствах iOS нельзя открыть посещаемые пользователями веб-сайты, сертификат которых имеет истекший срок действия или не является доверенным.

  • Параметры, настроенные пользователями для встроенного браузера на их устройствах, не применяются к управляемому браузеру. Это вызвано тем, что управляемый браузер не имеет доступа к этим параметрам.

  • Если вы настраиваете параметры Требовать простой ПИН-код для доступа или Требовать для доступа учетные данные организации в политике управления мобильными приложениями, сопоставленной с управляемым браузером, и пользователь щелкает ссылку на справку на странице проверки подлинности, он сможет просматривать все веб-сайты независимо от того, были ли они добавлены в список блокировок в политике управляемого браузера.

  • Управляемый браузер может заблокировать доступ к сайтам только в том случае, если доступ к ним осуществляется напрямую. Он не может блокировать доступ при использовании промежуточных служб (например службы перевода) для доступа к сайту.

Справочные сведения

Формат для разрешенных и заблокированных URL-адресов

Ниже приведены сведения о допустимых форматах и подстановочных знаках, которые можно использовать при указании URL-адресов в списках разрешений и блокировок.

  • Подстановочный знак "*" можно использовать в соответствии с приведенным ниже списком разрешенных шаблонов.

  • Убедитесь, что для всех вводимых в список URL-адресов используется префикс http или https.

  • В адресе можно указать номера портов. Если не указать номер порта, будут использоваться следующие значения:

    • Порт 80 для http

    • Порт 443 для https

    Использование подстановочных знаков для номера порта не поддерживается, например https://www.contoso.com:\* и https://www.contoso.com: /*.

  • В следующей таблице приведены сведения о шаблонах, которые можно использовать при указании URL-адресов.

    URL-адрес

    Описание

    Соответствует

    Не соответствует

    https://www.contoso.com

    Соответствует отдельной странице

    www.contoso.com

    host.contoso.com

    www.contoso.com/images

    contoso.com/

    https://contoso.com

    Соответствует отдельной странице

    contoso.com/

    host.contoso.com

    www.contoso.com/images

    www.contoso.com

    https://www.contoso.com/*

    Соответствует всем URL-адресам, начинающимся с www.contoso.com

    www.contoso.com

    www.contoso.com/images

    www.contoso.com/videos/tvshows

    host.contoso.com

    host.contoso.com/images

    http://*.contoso.com/*

    Соответствует всем поддоменам в contoso.com

    developer.contoso.com/resources

    news.contoso.com/images

    news.contoso.com/videos

    contoso.host.com

    https://www.contoso.com/images

    Соответствует отдельной папке

    www.contoso.com/images

    www.contoso.com/images/dogs

    https://www.contoso.com:80

    Соответствует отдельной странице с использованием номера порта

    https://www.contoso.com:80

    https://www.contoso.com

    Соответствует отдельной защищенной странице

    https://www.contoso.com

    https://www.contoso.com

    https://www.contoso.com/images/*

    Соответствует отдельной папке и всем вложенным в нее папкам

    www.contoso.com/images/dogs

    www.contoso.com/images/cats

    www.contoso.com/videos

  • Ниже приведены примеры некоторых входных данных, которые нельзя указать:

System_CAPS_noteПримечание

*.microsoft.com всегда рассматривается как разрешенный адрес.

Разрешение конфликтов между списками разрешений и блокировок

Если на устройстве развернуто несколько политик управляемого браузера и их параметры конфликтуют между собой, производится оценка конфликта как по режимам (разрешение или блокировка), так и по спискам URL-адресов. В случае конфликта применяются следующие правила:

  • Если режимы каждой политики совпадают, а списки URL-адресов различаются, соответствующие URL-адреса не применяются к данному устройству.

  • Если режимы каждой политики различаются, а списки URL-адресов совпадают, соответствующие URL-адреса не применяются к данному устройству.

  • Если устройство впервые получает политики управляемого браузера и две политики вступают в конфликт, соответствующие URL-адреса не применяются к данному устройству. Чтобы просмотреть конфликты, используйте узел Конфликты политик в рабочей области Политика.

  • Если устройство уже получило политику управляемого браузера и развертывается вторая политика с конфликтующими параметрами, на устройстве продолжают действовать исходные параметры. Чтобы просмотреть конфликты, используйте узел Конфликты политик в рабочей области Политика.