透過 Configuration Manager 使用受管理的瀏覽器原則管理網際網路存取
適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
自 System Center 2012 Configuration Manager SP2 起,您可以部署 Intune Managed Browser,即網頁瀏覽應用程式,並且將此應用程式與受管理的瀏覽器原則建立關聯。 受管理的瀏覽器原則會設定允許清單或封鎖清單,以限制受管理瀏覽器的使用者可瀏覽的網站。
由於此應用程式是受管理的應用程式,因此,您也可以將行動應用程式管理原則套用到此應用程式,例如,控制剪下、複製和貼上等功能的使用、防止螢幕擷取,同時也可確保使用者按一下內容的連結時,只會在其他受管理的應用程式中開啟。 如需詳細資訊,請參閱如何使用 Configuration Manager 中的行動應用程式管理原則來控制應用程式。
.jpeg "System_CAPS_important") 重要事項 |
|---|
如果使用者自行安裝受管理的瀏覽器,則它將不會受到您指定的任何原則所管理。 若要確保瀏覽器會由 Configuration Manager 所管理,在您可將應用程式部署為受管理的應用程式以供其使用之前,使用者必須先解除安裝該應用程式。 |
您可以針對下列裝置類型建立受管理的瀏覽器原則:
執行 Android 4 和更新版本的裝置
執行 iOS 7 和更新版本的裝置
.jpeg "System_CAPS_note") 注意事項 |
|---|
如需 Intune Managed Browser App 的詳細資訊,如為 iOS 請參閱 iTunes,如為 Android 請參閱 Google Play。 |
建立受管理的瀏覽器原則
-
在 Configuration Manager 主控台中,按一下 [軟體程式庫]。
-
在 [軟體程式庫] 工作區中,展開 [應用程式管理],然後按一下 [應用程式管理原則]。
-
在 [首頁] 索引標籤的 [建立] 群組中,按一下 [建立應用程式管理原則]。
-
在 [一般] 頁面上,輸入該原則的名稱和描述,然後按 [下一步]。
-
在 [原則類型] 頁面上選取該平台,針對原則類型選取 [受管理的瀏覽器],然後按 [下一步]。
在 [受管理的瀏覽器] 頁面中,選取下列其中一個選項:
- **允許受管理的瀏覽器只開啟下列 URL** - 指定受管理的瀏覽器可開啟的 URL 清單。 - **禁止受管理的瀏覽器開啟下列 URL** - 指定要禁止受管理的瀏覽器開啟的 URL 清單。注意事項您不能在同一個受管理的瀏覽器原則中同時包含允許和封鎖的 URL。
如需您可指定的 URL 格式詳細資訊,請參閱本主題中的適用於允許和封鎖 URL 的 URL 格式。
注意事項[一般] 原則類型可讓您修改您部署之應用程式的功能,讓這些應用程式能夠符合公司的規範及安全性原則。 例如,您可以限制受限制 App 中的剪下、複製及貼上作業。 如需一般原則類型的詳細資訊,請參閱如何使用 Configuration Manager 中的行動應用程式管理原則來控制應用程式。
-
完成精靈。
新原則會顯示在 [軟體程式庫] 工作區的 [應用程式管理原則] 節點中。
針對受管理的瀏覽器應用程式建立軟體部署
建立受管理的瀏覽器原則之後,您接著可針對受管理的瀏覽器應用程式建立軟體部署類型。 您必須將受管理的瀏覽器 App 之一般與受管理的瀏覽器原則產生關聯。
如需詳細資訊,請參閱如何在 Configuration Manager 中建立和部署行動裝置的應用程式。
受管理瀏覽器的安全性與隱私權
在 iOS 裝置上,無法開啟使用者利用過期或未受信任的憑證瀏覽的網站。
受管理的瀏覽器不會使用使用者在其裝置上針對內建瀏覽器所做的設定。 這是因為受管理的瀏覽器沒有這些設定的存取權。
如果您在與受管理瀏覽器相關聯的行動應用程式管理原則中設定了 [需要簡單的 PIN 以進行存取] 或 [需要公司認證以進行存取] 選項,而且使用者按下驗證頁面上的說明連結,則他們可以瀏覽任何的網際網路網站,而無論是否已將其加入受管理瀏覽器原則的封鎖清單中。
受管理的瀏覽器可以在直接存取網站時,只封鎖網站的存取。 使用中繼服務 (例如翻譯服務) 存取網站時,它無法封鎖存取。
參考資訊
適用於允許和封鎖 URL 的 URL 格式
使用下列資訊,來了解您在允許和封鎖清單中指定 URL 時可使用的允許格式與萬用字元。
您可以根據下列許可模式清單中的規則,來使用萬用字元符號 '*' 。
確定您在清單中輸入 UTL 時,已在所有 URL 中加上 http 或 https 的前置詞。
您可以在位址中指定連接埠號碼。 如果未指定連接埠號碼,將使用下列值:
針對 http 使用連接埠 80
針對 https 使用連接埠 443
不支援針對連接埠號碼使用萬用字元,例如 https://www.contoso.com:\* 和 https://www.contoso.com: /*
使用下表來了解您在指定 URL 時可使用的允許模式:
URL
說明
相符項
不符合
https://www.contoso.com
比對單一頁面
www.contoso.com
host.contoso.com
www.contoso.com/images
contoso.com/
https://contoso.com
比對單一頁面
contoso.com/
host.contoso.com
www.contoso.com/images
www.contoso.com
https://www.contoso.com/*
比對所有以 www.contoso.com 開始的 URL
www.contoso.com
www.contoso.com/images
www.contoso.com/videos/tvshows
host.contoso.com
host.contoso.com/images
http://*.contoso.com/*
比對 contoso.com 下方的所有子網域
developer.contoso.com/resources
news.contoso.com/images
news.contoso.com/videos
contoso.host.com
https://www.contoso.com/images
比對單一資料夾
www.contoso.com/images
www.contoso.com/images/dogs
https://www.contoso.com:80
使用連接埠號碼來比對單一頁面
https://www.contoso.com:80
https://www.contoso.com
比對單一且安全的頁面
https://www.contoso.com
https://www.contoso.com
https://www.contoso.com/images/*
符合單一資料夾及所有子資料夾
www.contoso.com/images/dogs
www.contoso.com/images/cats
www.contoso.com/videos
以下是一些您無法指定的輸入範例:
*.com
*.contoso/*
IP 位址
https://*
http://*
| 注意事項 |
|---|
永遠允許 *.microsoft.com - 一律視為允許。 |
如何解決允許和封鎖清單間的衝突
如果將多個受管理的瀏覽器原則部署到裝置且設定發生衝突,則會針對衝突評估這兩種模式 (允許或封鎖) 和 URL 清單。 一旦發生衝突,會採用下列行為:
如果每個原則中的模式都一樣,但 URL 清單不同,則不會在裝置上強制執行 URL。
如果每個原則中的模式都不同,但 URL 清單一樣,則不會在裝置上強制執行 URL。
如果裝置是第一次接收受管理的瀏覽器原則且有兩個原則發生衝突,則不會在裝置上強制執行 URL。 請使用 [原則] 工作區的 [原則衝突] 節點來檢視衝突。
如果裝置已經接收受管理的瀏覽器原則且部署的第二個原則含有發生衝突的設定,則會在裝置上保留原始的設定。 請使用 [原則] 工作區的 [原則衝突] 節點來檢視衝突。