• Guide, Microsoft 365, Sicurezza
• 9 Febbraio 2024

Le Policies per Microsoft Edge nel portale amministrativo di Microsoft 365 offrono strumenti avanzati per la gestione delle estensioni e la personalizzazione dell’esperienza di navigazione all’interno delle aziende. Queste policies consentono agli amministratori IT di implementare un controllo dettagliato sulle configurazioni e sulle estensioni del browser, migliorando la sicurezza e l’efficienza.

Gli amministratori possono bloccare o consentire l’installazione di estensioni, specificare i tipi di estensioni consentite e persino forzare l’installazione di estensioni necessarie per il lavoro degli utenti. È possibile anche configurare messaggi personalizzati che vengono visualizzati quando un’installazione di un’estensione viene bloccata​​.

Una parte fondamentale della gestione delle estensioni riguarda il controllo dei permessi richiesti dalle estensioni, che possono variare dall’accesso a determinati siti web alla modifica di dati su pagine web. Gli amministratori possono specificare quali permessi sono consentiti o bloccati, offrendo una maggiore protezione dei dati aziendali e personali​​.

Le policies includono impostazioni per abilitare modalità di gioco, configurare l’autenticazione HTTP e gestire l’identità e l’accesso. Viene data anche la possibilità di gestire le impostazioni di AI enterprise sicura, come le configurazioni per Copilot e altre funzionalità basate sull’intelligenza artificiale, assicurando che queste tecnologie siano utilizzate in modo sicuro e conforme alle politiche aziendali​​.

Inoltre, le policies consentono di gestire dettagliatamente le impostazioni di rete, il gestore delle password, la modalità kiosk, e molto altro, dimostrando l’ampia gamma di controllo che gli amministratori hanno sul comportamento di Microsoft Edge all’interno dell’azienda.

Per gestire le policies per Microsoft Edge collegatevi al portale di Microsoft 365 e scegliete Settings > Microsoft Edge. Questo vi permetterà di utilizzare il Microsoft Edge Management Service.

Figura 1: Policies per Microsoft Edge nel portale amministrativo di Microsoft 365

Abbiamo già parlato di Microsoft Edge for Business nell’articolo Distribuzione in ambienti enterprise di Microsoft Edge For Business – ICT Power

Microsoft Edge for Business offre funzionalità avanzate rispetto alla versione standard di Edge, tra cui maggiore sicurezza, gestione centralizzata, e supporto per le policy aziendali. Gli amministratori IT possono controllare e distribuire aggiornamenti, configurare impostazioni del browser per gli utenti e gestire estensioni aziendali. La differenza chiave risiede nella possibilità di personalizzare e ottimizzare Edge per ambienti aziendali, migliorando così la sicurezza e l’efficienza operativa.

Le principali differenze tra Microsoft Edge e Microsoft Edge for Business sono:

• Ciclo di rilascio:
  • Microsoft Edge: La versione standard di Microsoft Edge è orientata verso il consumatore e segue un ciclo di rilascio più frequente. Gli aggiornamenti vengono rilasciati regolarmente per fornire nuove funzionalità e miglioramenti.
  • Microsoft Edge for Business: Questa versione è orientata verso le esigenze delle aziende. Offre un ciclo di rilascio meno frequente, con una maggiore enfasi sulla stabilità e sulla gestione delle modifiche per le organizzazioni che necessitano di maggiore controllo sulla distribuzione e sugli aggiornamenti.
• Gestione e distribuzione:
  • Microsoft Edge: Può essere scaricato e installato dagli utenti da Microsoft Store o dal sito ufficiale di Microsoft Edge.
  • Microsoft Edge for Business: È progettato per essere distribuito e gestito in modo centralizzato all’interno di un ambiente aziendale. Gli amministratori IT possono utilizzare strumenti come Microsoft Endpoint Configuration Manager per distribuire e gestire la versione for Business in modo più efficace all’interno dell’organizzazione.
• Strumenti di gestione e sicurezza:
  • Microsoft Edge: Include funzionalità di sicurezza, ma Microsoft Edge for Business offre strumenti aggiuntivi specifici per l’ambiente aziendale. Ad esempio, offre integrazioni con Microsoft Endpoint Security e Azure Active Directory per una gestione più avanzata della sicurezza e dell’identità aziendale.
• Policy di gruppo e personalizzazione:
  • Microsoft Edge: Supporta alcune politiche di gruppo per la personalizzazione e la gestione, ma Microsoft Edge for Business offre un set più ampio di politiche di gruppo e opzioni di personalizzazione per adattarsi meglio alle esigenze aziendali.

Microsoft Edge for Business è disponibile dalla versione stabile di Microsoft Edge 116 (rilasciata il 21 agosto 2023). Come già detto non si tratta di un nuovo browser ma di una nuova esperienza dedicata al mondo del lavoro. Per maggiori informazioni potete fare riferimento alla pagina Microsoft Edge for Business FAQ – Microsoft Community Hub

Tutti gli utenti che fanno login con Microsoft Entra ID
attivano Microsoft Edge for Business in maniera automatica. Cambia l’icona di Edge (che riporta il simbolo della cartella di lavoro) e appare anche la foto profilo dell’utente. Nelle figure sotto potete visualizzare l’esperienza utente:

Figura 2: Versione di Microsoft Edge senza il profilo di lavoro

Figura 3: Accesso da parte dell’utente con le proprie credenziali di Microsoft Entra ID

Figura 4: Microsoft Edge diventa Microsoft Edge for Business dopo il login dell’utente

Il profilo di Microsoft Edge consente di sincronizzare diverse informazioni tra i dispositivi su cui si utilizza il browser. Quando accedete al vostro account Microsoft tramite il profilo di Edge vengono sincronizzati i seguenti dati:

• Segnalibri: I segnalibri (o preferiti) che avete salvato su un dispositivo saranno disponibili su tutti gli altri dispositivi in cui avete effettuato l’accesso con il vostro profilo Microsoft Edge.
• Password: Le password salvate nei vostri dispositivi saranno sincronizzate. Questo vi consente di accedere automaticamente a siti web o servizi online per i quali avete salvato le credenziali senza doverle inserire manualmente su ciascun dispositivo.
• Cronologia di navigazione: La cronologia di navigazione è sincronizzata tra i dispositivi.
• Estensioni: Se utilizzate estensioni nel vostro browser Edge, queste vengono sincronizzate tra i dispositivi in modo che possiate avere la stessa esperienza di navigazione ovunque vi connettiate.
• Schede aperte: Potete sincronizzare le schede aperte tra i dispositivi. Questo è utile se state lavorando su una determinata attività su un dispositivo e desiderate continuare da un altro dispositivo senza dover cercare nuovamente le stesse pagine.
• Impostazioni del browser: Alcune impostazioni del browser, come il tema, la lingua preferita e altre personalizzazioni, possono essere sincronizzate tra i dispositivi.

Creazione di un profilo di configurazione

Dal portale amministrativo di Microsoft 365 cliccate sulla scheda Configuration policies e create una nuova policy. In una configuration policy per Microsoft Edge potete configurare impostazioni relative alla sicurezza, privacy, esperienza utente, estensioni, accesso ai siti web, autenticazione, modalità kiosk e altre preferenze di navigazione. Questo include la gestione delle estensioni (consentite, bloccate, installazione forzata), impostazioni di sicurezza come Microsoft Defender SmartScreen, configurazioni di avvio, uso di modalità di efficienza energetica, personalizzazioni dell’interfaccia utente, e la gestione delle impostazioni relative alla stampa e al download. Puoi anche impostare politiche specifiche per l’integrazione con funzionalità AI come Copilot.

NOTA: Qualsiasi policy applicate tramite il Microsoft Edge Management Service verrà sovrascritta se è in conflitto con una Group Policy Object (GPO) oppure con una configurazione distribuita tramite Mobile Device Management (MDM).

Figura 5: Creazione di una nuova configuration policy per Microsoft Edge

Dopo la creazione della policy potete procedere con la sua configurazione.

Figura 6: Creazione della configuration policy per Microsoft Edge completata

Aggiungete quindi i Settings. Trovate un elenco completo di policy alla pagina Microsoft Edge Browser Policy Documentation | Microsoft Learn. Ce ne sono davvero tante e spaziano tra impostazioni di sicurezza, privacy, configurazioni di rete, gestione delle estensioni, impostazioni di navigazione, autenticazione e modalità kiosk, regole per l’uso di estensioni, configurazione dei motori di ricerca predefiniti, gestione dei download e policy di stampa. Altre impostazioni includono la configurazione dell’accesso ai contenuti web, la personalizzazione dell’esperienza utente, e l’attivazione di specifiche funzionalità per migliorare la produttività e la sicurezza.

A titolo di esempio io configurerò il gestore delle password e abiliterò il password generator.

Figura 7: Aggiunta delle configurazioni alla policy di configurazione di Microsoft Edge

Figura 8: Aggiunta delle configurazioni alla policy di configurazione di Microsoft Edge

Figura 9: Aggiunta delle configurazioni alla policy di configurazione di Microsoft Edge

Alla policy di Microsoft Edge possono essere aggiunte estensioni specifiche consentendo, bloccando, o installando forzatamente tramite un allow list, block list o force-install list. Questo include estensioni dal Microsoft Edge Add-ons store o tramite extension ID esterni, consentendo una gestione personalizzata e sicura delle estensioni utilizzate nell’organizzazione. Questi extension ID esterni consentono agli amministratori di specificare estensioni provenienti da fonti esterne, come il Chrome Web Store, per essere installate nel browser Edge tramite policy aziendali o configurazioni di gruppo, garantendo così la possibilità di estendere le funzionalità di Edge oltre gli add-on ufficialmente supportati.

Figura 10: Aggiunta delle estensioni alla policy di configurazione di Microsoft Edge

Figura 11: Aggiunta delle estensioni alla policy di configurazione di Microsoft Edge

Alla policy è possibile aggiungere customization settings per configurare l’accesso a funzionalità AI come Copilot e personalizzare le modalità di autenticazione e accesso ai siti web aziendali.

Figura 12: Aggiunta delle personalizzazioni alla policy di configurazione di Microsoft Edge

Infine, potete assegnare la policy ad un gruppo di utenti o dispositivi di Microsoft Entra.

Microsoft Edge management service funziona principalmente a livello utente, consentendo agli amministratori di applicare policy e configurazioni specifiche agli utenti attraverso il loro account Microsoft Entra. Tuttavia, è possibile applicare configurazioni anche a livello di dispositivo utilizzando token di iscrizione, che consentono di applicare policy indipendentemente dall’utente che ha effettuato l’accesso.

I token di iscrizione sono identificativi unici utilizzati in Microsoft Edge management service per assegnare policy e configurazioni a dispositivi specifici, indipendentemente dall’utente che effettua l’accesso. Questo consente agli amministratori IT di applicare impostazioni a livello di dispositivo, garantendo che le policy siano applicate uniformemente su tutti i dispositivi all’interno di un’organizzazione.

Figura 13: Assegnazione della policy di configurazione di Microsoft Edge ad un gruppo di utenti di Microsoft Entra

Figura 14: Assegnazione della policy di configurazione di Microsoft Edge ad un gruppo di utenti di Entra ID

Dopo la creazione di una policy in Microsoft Edge, questa viene distribuita ai dispositivi e agli utenti specificati tramite l’assegnazione a gruppi di sicurezza Microsoft Entra. Questa distribuzione avviene automaticamente e le impostazioni della policy si applicano al prossimo avvio di Edge da parte dell’utente. La frequenza di controllo delle policy da parte di Edge assicura che eventuali aggiornamenti o modifiche siano applicati in modo tempestivo.

Per verificare la corretta distribuzione e applicazione delle policy di Microsoft potete accedere alla pagina edge://policy per visualizzare l’elenco delle policy attive e i loro valori. Questo vi permetterà di confermare quali policy sono state applicate ai dispositivi o agli utenti che avete scelto.

Figura 15: Verifica della corretta applicazione della policy

Quando vengono applicate più policy a Microsoft Edge, il sistema utilizza una logica di precedenza per determinare quali impostazioni applicare in caso di conflitto. La precedenza è solitamente definita dall’ordine di applicazione delle policy: le policy a livello di dispositivo (GPO o MDM) hanno la precedenza su quelle applicate a livello di utente tramite Microsoft Edge management service. Se esistono impostazioni in conflitto, quelle con la priorità più alta (ad esempio, impostazioni a livello di dispositivo) sovrascriveranno le altre.

Creazione di una Cloud site list

Le site list nelle policy di Microsoft Edge si riferiscono a elenchi di siti web che sono specificati nelle impostazioni delle policy per controllare il comportamento del browser con quei siti. Questi possono includere siti consentiti o bloccati per l’accesso, configurazioni per la modalità IE (Internet Explorer) per siti specifici, o elenchi di siti per cui sono applicate regole particolari, come l’uso di estensioni, impostazioni di sicurezza, o altre restrizioni. Le site list permettono una gestione dettagliata dell’accesso a contenuti web basata su policy aziendali.

Una Cloud Site List in Microsoft Edge si riferisce a un elenco di siti web ospitato nel cloud che permette agli amministratori IT di gestire centralmente e aggiornare facilmente l’elenco senza dover distribuire manualmente aggiornamenti ai dispositivi individuali, assicurando che tutti gli utenti nell’organizzazione abbiano accesso agli stessi siti configurati per l’uso in IE Mode.

Abbiamo già avuto modo di parlare di come Configurare la modalità Internet Explorer (IE) in Microsoft Edge – ICT Power. Ancora oggi molte aziende necessitano di Internet Explorer 11 per garantire la compatibilità con i siti web esistenti, ma ormai Internet Explorer 11 è stato ufficialmente ritirato il 15 giugno 2022. Internet Explorer viene utilizzato solo per eseguire applicazioni web proprietarie che non funzionano con i browser moderni. Proprio per questo Microsoft ha previsto una modalità IE su Edge, tenendo conto anche che ancora quasi il 5% degli utenti utilizza Internet Explorer, preferendolo a programmi di navigazione web più moderni come Edge.

La modalità IE su Microsoft Edge permette la visualizzazione e l’utilizzo di tutti i siti necessari all’organizzazione in un singolo browser. Utilizza il motore Chromium integrato per i siti moderni e utilizza il motore Trident MSHTML di Internet Explorer 11 (IE11) per i siti legacy.

Per creare una nuova Cloud Site list fate clic sulla scheda Site lists e poi successivamente su + Create a new list. Procedete ad assegnare un nome alla lista.

Figura 16: Creazione di una nuova Cloud Site list

Per modificare il contenuto della lista ed aggiungere i siti web fate clic sul nome della lista creata.

Figura 17: Modifica della Cloud Site list

Fate clic su + Add site e aggiungete il sito o i siti web che volete avviare in modalità compatibilità. Le modalità di IE Mode in Microsoft Edge permettono al browser di eseguire pagine web che richiedono tecnologie specifiche di Internet Explorer all’interno di una scheda di Edge.

In  Modalità compatibilità, scegliete una delle opzioni seguenti:

• IE8Enterprise. Carica il sito nella modalità Enterprise di IE8.
• IE7Enterprise. Carica il sito nella modalità Enterprise di IE7.
• **IE**. Dove [x] è il numero di modalità documento e il sito viene caricato nella modalità documento specificata.
• Modalità predefinita. Carica il sito usando la modalità di compatibilità predefinita per la pagina.

La casella di controllo Allow Redirect si applica al trattamento dei reindirizzamenti lato server. Se selezioni questa casella, i reindirizzamenti lato server si apriranno nel browser specificato dal tag open-in.

Per una panoramica completa delle opzioni visitate la pagina Gestione elenco siti dell’organizzazione in Microsoft Edge | Microsoft Docs

Figura 18: Aggiunta di un sito e scelta della modalità di compatibilità

La Cloud Site List utilizzata per configurare la modalità IE in Microsoft Edge possiede un ID univoco. Questo ID serve per identificare e fare riferimento alla specifica lista di siti web ospitata nel cloud, facilitando la gestione, l’aggiornamento e l’applicazione della lista ai dispositivi degli utenti nell’ambito di un’organizzazione.

Figura 19: Lista dei siti che si apriranno in modalità IE mode

Selezionate il sito e fate clic su Publish site. Questa operazione aggiungerà il sito alla lista, ne permetterà il versioning e vi consentirà di tenere traccia di tutte le modifiche che avete apportato ad ogni singolo sito web della lista.

Figura 20: Pubblicazione del sito nella Cloud site list

Figura 21: Sito pubblicato correttamente nella Cloud Site List

Terminata la creazione della lista è necessaria distribuirla. Potete utilizzare sia le Group Policy utilizzando i passaggi descritti nella mia guida Configurare la modalità Internet Explorer (IE) in Microsoft Edge – ICT Power oppure potete utilizzare la modalità IE mode deployment cliccando sul link presente nella pagina, come mostrato nella figura sotto:

Figura 22: Distribuzione della lista con la modalità IE mode deployment

Si aprirà una nuova pagina che vi darà le indicazioni per la distribuzione della lista. Dopo aver indicato la modalità di distribuzione vi verrà comunicato come effettuarla. Io ho deciso di distribuire la mia lista utilizzando Intune. Per utilizzare Microsoft Intune sarà prima necessario effettuare il login al portale amministrativo di Microsoft 365.

Figura 23: IE mode configuration

Dopo aver effettuato il login procedete con l’inserimento delle informazioni richieste. La pagina è raggiungibile direttamente tramite il link Configure IE mode for Microsoft Edge | Setup IE mode site lists

Figura 24: IE mode configuration

Nella pagina Deploy your site list with a configuration profile del Configure IE mode for Microosft Edge wizard avete la possibilità di creare un profilo di configurazione di Microsoft Intune.

Un profilo di configurazione di Microsoft Intune è un insieme di impostazioni e regole che gli amministratori IT possono applicare a dispositivi e utenti all’interno della loro organizzazione per gestire e configurare dispositivi Windows, iOS, Android e macOS. Questi profili consentono di controllare aspetti come impostazioni di sicurezza, configurazioni di rete, restrizioni di applicazioni, e molto altro, per garantire che i dispositivi rispettino le politiche aziendali e le best practice di sicurezza.

Inserite le informazioni richieste, compilando i campi relativi ai nome del profilo che verrà visualizzato in Intune (nel mio caso IE mode list), l’ID univoco della Cloud Site list e i gruppi a cui distribuire il profilo di configurazione. Nelle figure sotto sono mostrati tutti i campi che ho modificato.Inizio modulo

Figura 25: Informazioni richieste per la creazione del profilo di configurazione di Microsoft Intune

Figura 26: Informazioni richieste per la creazione del profilo di configurazione di Microsoft Intune

Figura 27: Creazione del profilo di configurazione di Microsoft Intune completata

Completate il wizard come richiesto.

Figura 28: Completamento del wizard Configure IE mode for Microsoft Edge

Figura 29: Completamento del wizard Configure IE mode for Microsoft Edge

In Microsoft Intune sarà disponibile il profilo di configurazione che è stato creato e che eventualmente sarà possibile modificare. La lista dei siti web da aprire in IE mode invece continuerete a modificarla dal portale amministrativo di Microsoft 365.

Figura 30: Profilo di configurazione creato in Microsoft Intune

Figura 31: Configurazioni del profilo

Per verificare se la site list è stata applicata in Microsoft Edge potete accedere alla pagina delle policy interne del browser digitando edge://policy nella barra degli indirizzi. Qui troverete l’elenco delle policy attive, comprese quelle relative alla modalità IE o alla site list configurata. Cercate le policy specifiche che riguardano IE Mode, come InternetExplorerIntegrationSiteList oppure InternetExplorerIntegrationCloudSiteList, per vedere se l’elenco dei siti è stato applicato correttamente.Inizio modulo

Figura 32: La Cloud Site List è stata applicata correttamente in Microsoft Edge

Figura 33: Il sito è stato aperto in modalità IE mode

Conclusioni

Le Policies for Microsoft Edge rappresentano uno strumento essenziale per gli amministratori IT che desiderano ottimizzare e rendere sicura l’esperienza di navigazione all’interno delle loro organizzazioni. Attraverso la configurazione di queste policy, è possibile gestire dettagliatamente le impostazioni di sicurezza, privacy, estensioni e molto altro, garantendo conformità e efficienza. La facilità di gestione e l’applicabilità delle policy a livello di utente o dispositivo forniscono una flessibilità senza precedenti nell’adattare il browser Edge alle specifiche esigenze aziendali.