若要查看每个配置级别的具体建议以及必须受保护的核心应用，请查看 使用应用保护策略的数据保护框架 。

无论设备是否在统一的终结点管理 (UEM) 解决方案中注册，都需要使用 如何创建和分配应用保护策略 中的步骤，为 iOS 和 Android 应用创建 Intune 应用保护策略。 这些策略至少必须满足以下条件：

对于需要在 Android 上进行设备注册的配置方案，必须在 Android Enterprise 中注册设备，并且必须通过托管的 Google Play 商店部署适用于 Android 的 Microsoft Edge。 有关详细信息，请参阅 设置 Android Enterprise 个人拥有的工作配置文件设备的注册 和 为托管 Android Enterprise 设备添加应用配置策略 。

每个配置方案都突出显示了其特定要求。 例如，配置方案是否需要设备注册，是否由此适用于任何 UEM 提供程序，或者是否需要 Intune 应用保护策略。

应用配置密钥区分大小写。 使用正确的大小写来确保配置生效。

使用 Microsoft Intune，通过 MDM OS 通道传递的应用配置称为 托管设备 应用配置策略 (ACP)；通过 MAM（移动应用程序管理）通道提供的应用配置称为 托管应用 应用配置策略。

仅允许工作或学校帐户

尊重我们最大的、受严格监管的客户的数据安全和合规政策是 Microsoft 365 价值的关键支柱。 某些公司要求在其企业环境中捕获所有通信信息，并确保设备仅用于公司通信。 为了支持这些要求，可以将已注册设备上的Microsoft适用于 iOS 和 Android 的 Edge 配置为仅允许在应用中预配单个公司帐户。

可在此处详细了解如何配置组织允许的帐户模式设置：

此配置方案仅适用于已注册的设备。 但是，支持任何 UEM 提供程序。 如果未使用 Microsoft Intune，则需要参阅 UEM 文档，了解如何部署这些配置密钥。

常规应用配置方案

Microsoft Edge for iOS 和 Android 使管理员能够自定义多个应用内设置的默认配置。 当适用于 iOS 和 Android 的 Edge 应用程序配置策略适用于登录到该应用程序的工作或学校帐户时，将提供此功能。

Microsoft Edge 支持以下配置设置：

无论设备注册状态如何，都可以将这些设置部署到应用。

新标签页页面布局

鼓舞 人心的 布局是新选项卡页的默认布局。 它显示热门网站快捷方式、壁纸和新闻源。 用户可以根据自己的偏好更改布局。 组织还可以管理布局设置。

从版本 129.0.2792.84 开始，默认页面布局已更改为 鼓舞人心 。

关闭新闻流的示例

新选项卡页体验

Microsoft Edge for iOS 和 Android 为组织提供了多个用于调整“新选项卡页”体验的选项，包括组织徽标、品牌颜色、主页、热门网站和行业新闻。

组织徽标和品牌颜色

组织徽标和品牌颜色设置允许你在 iOS 和 Android 设备上自定义 Microsoft Edge 的“新建选项卡页 ”。 横幅徽标 用作组织的徽标， 页面背景色 用作组织的品牌颜色。 有关详细信息，请参阅 配置公司品牌 。

接下来，使用以下键/值对将组织的品牌提升到适用于 iOS 和 Android 的 Microsoft Edge 中：

Microsoft Edge for iOS 和 Android 为组织提供了多个用于管理书签的选项。

为了便于访问，可以配置希望用户在使用适用于 iOS 和 Android 的 Microsoft Edge 时可用的书签。

应用行为体验

Microsoft Edge for iOS 和 Android 为组织提供了多个用于管理应用行为的选项。

Microsoft Entra 密码单一登录

Microsoft Entra ID 提供的 Microsoft Entra 密码单一登录 (SSO) 功能为不支持联合身份验证的 Web 应用程序提供用户访问管理。 默认情况下，适用于 iOS 和 Android 的 Microsoft Edge 不会使用Microsoft Entra凭据执行 SSO。 有关详细信息，请参阅 将基于密码的单一登录添加到应用程序 。

禁用导入密码功能

Microsoft Edge for iOS 和 Android 允许用户从密码管理器导入密码。 若要禁用导入密码，请配置以下设置：

iOS 设备不支持展台模式。 但是，你可能希望仅使用锁定视图模式 (MDM 策略) 来实现类似的用户体验，其中用户无法导航到其他网站，因为 URL 地址栏在锁定视图模式下变为只读。

锁定视图模式

Microsoft，可以使用 MDM 策略 EdgeLockedViewModeEnabled 将适用于 iOS 和 Android 的 Edge 启用为锁定视图模式。

锁定视图模式通常与 MAM 策略 com.microsoft.intune.mam.managedbrowser.NewTabPage.CustomURL 或 MDM 策略 EdgeNewTabPageCustomURL 一起使用，使组织能够配置在打开Microsoft Edge 时自动启动的特定网页。 用户仅限于此网页，无法导航到其他网站，从而为特定任务或内容使用提供受控环境。

默认情况下，不允许用户在锁定视图模式下创建新选项卡。 若要允许创建标签页，请将 MDM 策略 EdgeLockedViewModeAllowedActions 设置为“ newtabs ”。

在 Chromium 和 iOS 之间切换网络堆栈

默认情况下，适用于 iOS 和 Android 的 Microsoft Edge 使用Chromium网络堆栈进行Microsoft Edge 服务通信，包括同步服务、自动搜索建议和发送反馈。 iOS Microsoft Edge 还提供 iOS 网络堆栈作为 Microsoft Edge 服务通信的可配置选项。

组织可以通过配置以下设置来修改其网络堆栈首选项。

建议使用 Chromium 网络堆栈。 如果在向 Chromium 网络堆栈发送反馈时遇到同步问题或失败（例如，使用某些每应用 VPN 解决方案），使用 iOS 网络堆栈可能会解决问题。

设置代理 .pac 文件 URL

组织可以为适用于 iOS 和 Android 的 Microsoft Edge 指定代理自动配置 (PAC) 文件的 URL

配置网络中继

Microsoft Edge for iOS 现在支持 iOS 17 上的网络中继。 这些是一种特殊类型的代理，可用于远程访问和隐私解决方案。 它们支持安全透明的流量隧道，在访问内部资源时充当 VPN 的新式替代方案。 有关网络中继的详细信息，请参阅 在 Apple 设备上使用网络中继 。

组织可以配置中继代理 URL，以基于匹配和排除的域路由流量。

用于在 Android 中登录 Microsoft Edge 的用户代理

代理自动配置 (PAC) 通常在 VPN 配置文件中配置。 但是，由于平台限制，Android WebView 无法识别 PAC，Android WebView 在 Microsoft Edge 登录过程中使用。 用户可能无法在 Android 中登录到 Edge。

组织可以通过 MDM 策略指定专用代理，让用户在 Android 中登录到 Microsoft Edge。

随着 iOS 17 的发布，现在支持多个持久存储。 工作和个人帐户具有其自己的指定持久存储。 因此，此策略从版本 122 开始不再有效。

Microsoft Defender SmartScreen

Microsoft Defender SmartScreen 是一项功能，可帮助用户避免恶意网站和下载。 默认情况下启用它。 组织可以禁用此设置。

默认情况下，适用于 Android 的 Microsoft Edge 使用内置证书验证程序和 Microsoft 根存储作为公共信任源来验证服务器证书。 组织可以切换到系统证书验证程序和系统根证书。

有关 URL 格式的详细信息，请参阅 企业策略 URL 模式格式 。

在特定网站上阻止弹出窗口

如果未配置此策略，则 defaultPopupsSetting 策略中的值 (（如果设置) ）或用户的个人配置将用于所有站点。 组织可以定义阻止其打开弹出窗口的网站列表。

有关 URL 格式的详细信息，请参阅 企业策略 URL 模式格式 。

默认搜索提供程序

默认情况下，当用户在地址栏中输入非 URL 文本时，Microsoft Edge 使用默认搜索提供程序来执行搜索。 用户可以更改搜索提供程序列表。 组织可以管理搜索提供程序行为。

Copilot

从版本 128 开始，已弃用适用于工作或学校帐户的 Copilot。 因此，以下策略在版本 128 中将不再有效。 如果要阻止访问 Copilot 的 Web 版本，copilot.microsoft.com，可以使用策略 AllowListURLs 或 BlockListURLs。

Copilot 在适用于 iOS 和 Android 的 Microsoft Edge 上可用。 用户可以通过单击底部栏中的 Copilot 按钮启动 Copilot。

“ 设置 ”->“ 常规 ”->“ Copilot ”中有三个设置。

可以管理 Copilot 的设置。

数据保护应用配置方案

Microsoft Edge for iOS 和 Android 支持以下数据保护设置的应用配置策略时，应用由Microsoft Intune托管应用应用程序配置策略应用于登录到应用的工作或学校帐户：

无论设备注册状态如何，都可以将这些设置部署到应用。

管理帐户同步

默认情况下，通过 Microsoft Edge 同步，用户可以访问他们所有已登录设备上的浏览数据。 同步支持的数据包括：

用户同意后即可启用同步功能，并且用户可以针对上面列出的每种数据类型打开或关闭同步功能。 有关详细信息，请参阅 Microsoft Edge Sync 。

组织能够在 iOS 和 Android 上禁用 Edge 同步。

管理受限网站

组织可以定义用户可以在 Microsoft Edge for iOS 和 Android 中的工作或学校帐户上下文中访问的网站。 如果使用允许列表，则用户只能访问明确列出的网站。 如果使用阻止列表，则用户可以访问除明确阻止的网站之外的所有网站。 应仅强制实施允许列表或阻止列表，而不应同时强制实施两者。 如果两者都强制执行，则仅执行允许列表。

组织还定义当用户尝试导航到受限网站时会发生什么情况。 默认情况下，允许转换。 如果组织允许，则可以在个人帐户上下文、Microsoft Entra帐户的 InPrivate 上下文中打开受限网站，或者是否完全阻止该网站。 有关受支持的各种方案的详细信息，请参阅 Microsoft Edge 移动 设备中的受限网站转换。 通过允许转换体验，组织的用户将保持受保护，同时确保公司资源的安全。

为了通过减少用户手动切换到个人配置文件或 InPrivate 模式以打开阻止的 URL 来增强配置文件切换体验，我们引入了两个新策略：

由于这些策略会根据其配置和组合带来不同的结果，因此我们建议在浏览详细文档之前，尝试以下策略建议进行快速评估，以查看配置文件切换体验是否与组织的需求保持一致。 建议的配置文件切换配置设置包括以下值：

Microsoft Edge for iOS 和 Android 仅当直接访问站点时，才能阻止访问这些站点。 当用户使用中间服务（如翻译服务）访问站点时，它不会阻止访问。 托管应用的应用配置策略 AllowListURLs 或 BlockListURLs 不支持以 Edge 开头的 URL，例如 Edge://* 、 Edge://flags 和 Edge://net-export 。 可以使用 com.microsoft.intune.mam.managedbrowser.InternalPagesBlockList 禁用这些 URL。

如果设备是托管的，则还可以对托管设备使用应用配置策略 URLAllowList 或 URLBlocklist 。 有关相关信息，请参阅 Microsoft Edge 移动策略 。

使用以下键/值对为适用于 iOS 和 Android 的 Microsoft Edge 配置允许或阻止的站点列表。

无论定义的允许列表或阻止列表设置如何，始终允许以下网站（copilot.microsoft.com 除外）：

控制“已阻止站点”弹出窗口的行为

尝试访问阻止的网站时，系统会提示用户使用切换到 InPrivate 或个人帐户打开被阻止的网站。 可以在 InPrivate 和个人帐户之间选择首选项。

控制帐户切换时发布请求的行为

尝试访问阻止的网站时，系统会提示用户使用切换到 InPrivate 或个人帐户打开被阻止的网站。 可以选择有关如何在帐户切换期间处理发布请求的首选项。 MAM 策略仅适用于 iOS。

控制将个人配置文件切换到工作配置文件的行为

当Microsoft Edge 位于个人配置文件下，并且用户尝试从工作配置文件下的 Outlook 或 Microsoft Teams 打开链接时，Intune默认使用 Edge 工作配置文件打开链接，因为 Microsoft Edge、Outlook 和 Microsoft Teams 由 Intune 管理。 但是，当链接被阻止时，用户将切换到个人配置文件。 这会导致用户的摩擦体验。

可以配置策略来增强用户体验。 建议将此策略与 AutoTransitionModeOnBlock 一起使用，因为它可能会根据配置的策略值将用户切换到个人配置文件。

管理子资源阻止

默认情况下，AllowListURLs 和 BlockListURLs 仅适用于导航级别。 嵌入阻止的 URL (在 BlockListURLs 中配置的 URL 或未在 AllowListURLs 中配置的 URL) 网页中的子资源时，不会阻止这些子资源 URL。

若要进一步限制这些子资源，可以将策略配置为阻止子资源 URL。

建议将此策略与 BlockListURLs 结合使用。 如果与 AllowListURLs 一起使用，请确保所有子资源 URL 都包含在 AllowListURLs 中。 否则，某些子资源可能无法加载

允许和阻止的网站列表的 URL 格式

可以使用各种 URL 格式生成允许/阻止的网站列表。 下表详细介绍了这些允许的模式。

允许特定网站上传文件的示例

有关 URL 格式的详细信息，请参阅 企业策略 URL 模式格式 。

对于 iOS 上的 Microsoft Edge，除了上传之外，还会阻止粘贴作。 用户不会在作菜单中看到粘贴选项。

管理代理配置

可以将 Microsoft Edge for iOS 和 Android 和 Microsoft Entra 应用程序代理 一起使用，以允许用户访问其移动设备上的 Intranet 站点。 例如：

开始之前：

Microsoft Edge for iOS 和 Android 基于上次成功刷新事件更新应用程序代理重定向数据。 每当上次成功刷新事件超过一小时时，就会尝试更新。

使用以下键/值对将适用于 iOS 和 Android 的 Edge 作为目标，以启用应用程序代理。

有关如何同时使用 Microsoft Edge for iOS 和 Android 以及Microsoft Entra应用程序代理来无缝 (和保护) 访问本地 Web 应用的详细信息，请参阅 更好地协作：Intune和Microsoft Entra协同提高用户访问 。 此博客文章引用了 Intune Managed Browser，但内容也适用于适用于 iOS 和 Android 的 Edge。

管理 NTLM 单一登录站点

组织可能要求用户通过 NTLM 进行身份验证才能访问 Intranet 网站。 默认情况下，当用户访问需要 NTLM 身份验证的网站时，系统会提示用户输入凭据，因为 NTLM 凭据缓存已禁用。

组织可以为特定网站启用 NTLM 凭据缓存。 对于这些站点，在用户输入凭据并成功进行身份验证后，默认情况下会缓存凭据 30 天。

如果使用的是代理服务器，请确保使用 NTLMSSOURLs 策略对其进行配置，在该策略中专门将 https 和 http 指定为键值的一部分。

目前，需要在 NTLMSSOURLs 键值中指定 https 和 http 方案。 例如，需要同时 https://your-proxy-server:8080 配置 和 http://your-proxy-server:8080 。 目前，将格式指定为 host：port (（如 your-proxy-server:8080 ) ）是不够的。

此外，在 NTLMSSOURLs 策略中配置代理服务器时，不支持通配符 (*) 。

托管设备的其他应用配置

以下策略最初通过托管应用的应用配置策略进行配置，现在可通过托管设备应用配置策略使用。 使用托管应用的策略时，用户必须登录到 Microsoft Edge。 使用托管设备的策略时，用户无需登录到 Edge 即可应用策略。

由于托管设备的应用配置策略需要设备注册，因此支持任何统一的终结点管理 (UEM)。 若要在 MDM 通道下查找更多策略，请参阅 Microsoft Edge 移动策略 。

使用 Microsoft Intune 部署应用配置方案

如果使用 Microsoft Intune 作为移动应用管理提供商，则可通过以下步骤创建托管应用应用配置策略。 创建配置后，可以将其设置分配给用户组。

在本地保存日志，并与 Microsoft 支持部门 直接共享

按照以下步骤在本地保存日志并共享日志：

如果要清除旧日志，请在选择 诊断数据 时选择右上角的 “清除 ”图标。 然后，再次重现问题，以确保只捕获新的日志。

保存日志也遵循 Intune 应用保护策略。 因此可能不允许将诊断数据保存到本地设备。