使用 Intune 和 GPO 禁用 Microsoft Edge 工作区

在本文中，您将了解如何使用 Intune 和 GPO 禁用 Microsoft Edge 工作区。这两种方法都会阻止用户访问工作区功能。

Microsoft Edge 工作区有助于提高组织中用户的工作效率。这是 Edge 中的一项新功能，可让用户将选项卡组织到专用窗口中。

某些组织可能希望限制其用户对其 Edge 工作区功能的访问，在这种情况下，您可以使用 Intune 或组策略。 Intune 中的“Edge 工作区”策略允许你启用或禁用 Edge 浏览器的工作区功能。我们将在本文中演示这两种方法，您可以选择最适合您的一种。

请注意，Edge Workspaces 是为拥有 Microsoft Entra 帐户并使用 Edge 版本 114 或更高版本的用户启用的。您可以使用 EdgeWorkspacesEnabled 策略为您的用户管理边缘工作区。

什么是 Microsoft Edge 工作区？

Microsoft Edge 工作区的概念很有趣。使用边缘工作区，用户可以将浏览任务组织到专用窗口中。用户及其协作者各自为每个边缘工作区构建和管理自己的选项卡和收藏夹集。边缘工作区不断更新并自动保存。

Edge 工作区可供在 Edge 版本 114 或更高版本上使用 Microsoft Entra 帐户登录的用户启用。只有使用匹配的 Microsoft Entra 帐户登录 Microsoft Edge 的用户才能访问在 Microsoft Entra 租户中创建的 Edge 工作区。用户必须有权访问 OneDrive for Business 许可证才能创建边缘工作区。

如需进一步阅读，我们建议您阅读 Microsoft 关于 Microsoft Edge Workspaces 的文章。

在 Microsoft Edge 浏览器中查找工作区

如果您不熟悉 Edge 中的工作区，工作区图标位于浏览器的左上角。下面的屏幕截图显示了顶部工具栏上工作区图标的位置。

从边缘工具栏中隐藏工作区

Edge 用户可以通过以下步骤从工具栏中隐藏工作区：

• 启动 Microsoft Edge 浏览器。
• 在浏览器左上角，右键单击工作区图标，然后选择从工具栏中隐藏。

使用 Intune 禁用 Microsoft Edge 工作区

在本部分中，我们将创建一个 Intune 策略，该策略将为 Windows 10 和 Windows 11 用户禁用 Microsoft Edge 工作区。

首先，登录 Intune 管理中心。选择设备 > Windows > Windows 策略 > 配置描述文件。要添加新的个人资料，请选择+ 创建个人资料。

在创建配置文件窗口中，配置以下设置并选择创建。

• 平台：Windows 10 及更高版本
• 配置文件类型：设置目录

在基本标签中，输入以下详细信息：

• 名称：输入配置文件的描述性名称，以便以后轻松识别。例如，一个好的配置文件名称是使用 Intune 禁用 Microsoft Edge 工作区。
• 描述：输入配置文件的简短描述。此设置是可选的，但建议使用。例如，您可以输入描述“为用户禁用边缘工作区功能”。

点击下一步。

在配置设置部分的设置目录下，单击添加设置。 Intune 设置目录允许你启用和配置 Windows 的 Edge 工作区设置。

在设置选择器窗口中，在搜索框中键入“工作区”，然后单击搜索。从搜索结果中，选择 Microsoft Edge Workspaces 设置。

在底部窗格中，您将看到适用于 Windows 设备的 Edge 工作区设置列表。从设置列表中，选择设置“启用工作区”。关闭设置选择器窗口。

启用工作区：根据 Intune，如果启用此策略，用户将能够访问 Microsoft Edge 工作区功能。如果禁用或不配置此策略，用户将无法访问 Microsoft Edge 工作区功能。

由于我们要禁用 Edge 浏览器的工作区，因此请将 Edge Workspaces 选项设置为“禁用”。这将关闭用户对边缘工作区的访问。

在 Intune 中，范围标签决定管理员可以查看哪些对象。在范围标签部分中，您可以指定范围标签。指定范围标签是可选的，您可以跳过此步骤。点击下一步。

在分配窗口中，指定要禁用 Microsoft Edge 工作区的设备或用户组。我们建议首先将配置文件部署到几个测试组，如果测试成功，然后将其扩展到更多组。选择下一步。

在查看 + 创建页面上，查看您为使用 Intune 为 Windows 用户禁用 Edge 工作区而定义的所有设置，然后选择创建。

在 Intune 中创建配置策略后，会显示一条通知：“策略创建成功”。这确认策略已创建并且正在应用于我们选择的组。我们创建的 Edge 工作区配置文件显示在 Intune 的配置配置文件列表中。

在 Windows 设备上同步策略

为设备分配策略后，您必须等待策略应用到目标组，并且设备在签入 Microsoft Intune 服务后将收到您的配置文件设置。为了从 Intune 接收策略，设备必须在线。您还可以在计算机上强制同步 Intune 政策，以从 Intune 获取最新的政策和设置。

在 Intune 中监视禁用边缘工作区策略分配

要监控 Intune 中应用于 Windows 设备的 Edge Workspaces 策略，请选择该策略并查看设备和用户签入状态。

在设备和用户签入状态下，我们可以看到成功接收政策的设备总数。在某些情况下，禁用 Edge 工作区策略可能无法应用于某些 Windows 设备。要解决这些问题，您需要通过查看 Windows 计算机上的 Intune 日志来排查问题。

下面的屏幕截图显示 Intune 中的禁用边缘工作区策略已成功应用于我们的设备。点击查看报告可查看已收到策略设置的所有 Windows 设备。

最终用户体验

设备成功接收 Intune 策略设置后，我们现在将验证工作区图标是否已从 Edge 浏览器中删除。登录 Windows 设备并启动 Edge 浏览器。工作区图标已从 Edge 浏览器中删除，如下面的屏幕截图所示。

使用 GPO 禁用边缘工作区

在此方法中，我们将使用组策略在运行加入 Active Directory 域的 Edge 浏览器的 Windows 计算机上禁用 Edge 工作区。

在继续之前，要使用组策略管理 Edge 工作区，管理员必须安装 Microsoft Edge 版本 114 或更高版本以及策略文件版本 114。如果您已下载 Edge 浏览器的最新策略文件，则必须导入它们以检索 GPMC 中的设置。请参阅以下指南为 Edge 浏览器导入 ADMX 文件。

创建组策略时，无需在域级别应用它。您可以将其应用到选定的 OU，也可以将 GPO 链接到多个 OU。

要创建新的 GPO，您可以登录到域控制器或安装有 GPMC 的成员服务器。您还可以在 Windows 11 上安装 GPMC 并配置组策略。

• 从“开始”菜单启动服务器管理器，然后选择“工具”>“组策略管理控制台”。
• 在组策略管理控制台中，展开域，右键单击组策略对象或OU，然后选择新建。
• 输入组策略的名称，例如“禁用 Edge Workspace”，然后点击确定。

在组策略管理编辑器中，导航至计算机配置 > 策略 > 管理模板 > Microsoft Edge > 边缘工作区设置。右键单击启用工作区设置，然后选择编辑。

从策略描述中，我们看到将“启用工作区”策略设置为“禁用”将从 Edge 浏览器中完全删除工作区图标。单击应用和确定。

在下面的屏幕截图中，我们看到启用工作区 GPO 已配置，并且设置为禁用。

配置组策略对象后，如果尚未将 GPO 链接到 OU，则需要将其链接到 OU。您还可以将其链接到域，但这样做会使 GPO 适用于域中的每台计算机，因此不建议这样做。最好的方法是选择一个测试 OU、连接您的 GPO 并测试策略设置。

是时候更新客户端计算机上的组策略并检查对 Edge 工作区功能的访问是否已被删除。您可以使用多种方法在远程计算机上执行组策略更新。在测试客户端计算机上，您可以通过运行 gpupdate /force 命令手动执行组策略更新。

登录已收到 GPO 的计算机，然后启动 Microsoft Edge 浏览器。我们看到 Edge 工作区被禁用。这就完成了使用 GPO 禁用 Edge 工作区的步骤。