Browser Corporativo em 2026: Microsoft Edge ou Google Chrome Enterprise para PME?
✎ Duarte Spínola |
A escolha do browser corporativo deixou de ser uma decisão trivial. Em 2026, com a complexidade crescente da gestão de dispositivos, requisitos de segurança (NIS2, GDPR), trabalho híbrido e múltiplos perfis de utilizador, o browser tornou-se numa plataforma crítica de gestão. Este artigo compara em detalhe o Microsoft Edge for Business e o Google Chrome Enterprise do ponto de vista de uma PME portuguesa, cobrindo gestão de políticas, segurança, deployment, custos, migração e todos os cenários práticos que um sysadmin encontra no terreno.
1. Visão Geral: Edge for Business vs Chrome Enterprise em 2026
O Microsoft Edge for Business é a evolução do Edge para ambientes empresariais, integrado nativamente no Windows 11 e gerido através do mesmo ecossistema Microsoft (Intune, Entra ID, Defender). O Google Chrome Enterprise é a oferta do Google para gestão centralizada do Chrome, independente do sistema operativo, com gestão via Google Workspace Admin Console ou ferramentas MDM terceiras.
Em 2026, a distinção fundamental é clara: o Edge for Business está incluído no Windows sem custo adicional de licenciamento browser, enquanto o Chrome Enterprise Core é gratuito mas o Chrome Enterprise Premium (relatórios avançados, políticas estendidas, gestão de extensões aprofundada) requer licença paga por utilizador.
Tabela de Comparação Global
| Característica | Microsoft Edge for Business | Google Chrome Enterprise |
|---|---|---|
| Motor de renderização | Chromium (Blink + V8) | Chromium (Blink + V8) |
| Custo base | Incluído no Windows 10/11 | Chrome Enterprise Core: gratuito; Premium: ~5 €/utilizador/mês |
| Gestão de políticas | GPO, Intune, ADMX, MDM de terceiros | GPO, Google Workspace Admin, ADMX, MDM de terceiros |
| Integração de identidade | Entra ID (Azure AD) nativo | Google Workspace nativo; Entra ID via SAML/OIDC |
| Telemetria e relatórios | Microsoft Purview, Defender for Cloud | Chrome Enterprise Premium reports, Google Admin console |
| Modo de compatibilidade legacy | Modo IE (Internet Explorer) | Não (não suporta ActiveX/IE) |
| Kiosk mode | Nativo (Edge kiosk, Assigned Access) | Nativo (Chrome kiosk, PWA) |
| Sincronização empresarial | Entra ID sync (perfis trabalho) | Google Workspace sync |
| Deployment | MSI, MSIX, winget, Intune | MSI, Chrome Bundle, winget, Google Admin |
| Sistemas operativos | Windows, macOS, Linux, Android, iOS | Windows, macOS, Linux, Android, iOS, ChromeOS |
Fonte: Microsoft Learn — Microsoft Edge Enterprise; Google — Chrome Enterprise
2. Gestão de Políticas: GPO, Intune e Mobile Device Management
A gestão centralizada de políticas é o núcleo de qualquer browser corporativo. Ambos os browsers suportam gestão via Group Policy Objects (GPO) no Active Directory, ADMX templates para MDM, e integração com soluções de Mobile Device Management.
Microsoft Edge for Business — Políticas
O Edge utiliza os ficheiros ADMX MicrosoftEdge.admx e MSEdgeUpdate.admx, disponíveis na página oficial de download de políticas do Edge. As políticas estão documentadas em Microsoft Learn — Microsoft Edge policies.
Via GPO (Active Directory on-premises):
Copy-Item “\\fs01\SYSVOL\contoso.local\Policies\PolicyDefinitions\MicrosoftEdge.admx” `
“\\dc01\SYSVOL\contoso.local\Policies\PolicyDefinitions\”
# Verificar políticas aplicadas num cliente
gpresult /r /scope computer | Select-String “Edge”
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“HomepageLocation”=”https://intranet.contoso.pt”
“RestoreOnStartup”=4
“StartupUrls”=”https://intranet.contoso.pt;https://portal.contoso.pt”
Via Microsoft Intune (cloud):
Connect-MSGraph
$edgePolicy = @{
“@odata.type” = “#microsoft.graph.edgeManagementConfiguration”
“configurationType” = “microsoftEdge”
“policies” = @{
“HomepageLocation” = “https://intranet.contoso.pt”
“RestoreOnStartup” = 4
“ExtensionInstallBlocklist” = @(“*”)
“ExtensionInstallAllowlist” = @(“cjpalhdlnbpafiamejdnhcphjbkeiagm”)
}
}
No Intune, as políticas Edge são configuradas em Devices > Configuration profiles > Create profile > Windows 10 and later > Templates > Edge Management settings (Microsoft Learn — Configure Edge policies with Microsoft Intune).
Google Chrome Enterprise — Políticas
O Chrome utiliza os ficheiros ADMX Google.admx e GoogleUpdate.admx, disponíveis em Google Chrome Enterprise download. As políticas estão documentadas em Chrome Enterprise policy list.
Via GPO (Active Directory on-premises):
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“HomepageLocation”=”https://intranet.contoso.pt”
“RestoreOnStartup”=4
“StartupUrls”=”https://intranet.contoso.pt;https://portal.contoso.pt”
Via Google Workspace Admin Console:
Navegar para Device > Chrome > Settings > Browser settings e configurar as políticas por OU (Unidade Organizacional). As políticas aplicam-se a Chrome em Windows, macOS, Linux e ChromeOS.
{
“HomepageLocation”: “https://intranet.contoso.pt”,
“RestoreOnStartup”: 4,
“StartupUrls”: [“https://intranet.contoso.pt”, “https://portal.contoso.pt”],
“ExtensionInstallBlocklist”: [“*”],
“ExtensionInstallAllowlist”: [“cjpalhdlnbpafiamejdnhcphjbkeiagm”]
}
Tabela de Comparação — Gestão de Políticas
| Aspecto | Microsoft Edge | Google Chrome |
|---|---|---|
| Número de políticas | ~800+ (documentado em Microsoft Learn) | ~400+ (documentado em chromeenterprise.google) |
| GPO on-premises | Sim (ADMX completo) | Sim (ADMX completo) |
| Intune (MDM cloud) | Nativo, sem extensões | Via ADMX ingestion ou conectores de terceiros |
| Google Workspace | Não nativo | Nativo (Admin Console) |
| Mac MDM (Jamf, etc.) | Via plist + MDM | Via plist + MDM |
| Políticas por OU | Via Intune groups ou GPO WMI filtering | Via Google Workspace OU nativo |
| Requisito de reinício | Algumas exigem reinício do Edge | Algumas exigem reinício do Chrome |
Fonte: Microsoft Learn — Microsoft Edge group policies; Chrome Enterprise — Policy list
3. Perfis de Utilizador: Trabalho vs Pessoal
A separação entre perfil profissional e pessoal é crítica em PMEs com dispositivos partilhados ou políticas BYOD (Bring Your Own Device). Ambos os browsers suportam múltiplos perfis, mas a gestão e o isolamento diferem.
Microsoft Edge for Business — Perfis
O Edge for Business introduz o conceito de perfil de trabalho gerido (managed profile), automaticamente separado do perfil pessoal. Quando um utilizador inicia sessão com a conta Entra ID, o Edge cria um perfil de trabalho com:
- Isolamento de favoritos, histórico, extensões, cookies e passwords em relação ao perfil pessoal
- Aplicação automática de políticas corporativas apenas ao perfil de trabalho
- Badge visual (ícone de maleta) que identifica o perfil gerido
- Sincronização via Entra ID (favoritos, histórico, extensões, passwords, coleções)
# GPO: Computer Configuration > Administrative Templates > Microsoft Edge >
# “Configure browser sign-in” = 2 (Force sign-in with corporate account)
# Via registry
Set-ItemProperty -Path “HKLM\SOFTWARE\Policies\Microsoft\Edge” `
-Name “BrowserSignin” -Value 2 -Type DWord
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“BrowserSignin”=dword:00000002
“NonRemovableProfileEnabled”=dword:00000001
A política NonRemovableProfileEnabled garante que o perfil de trabalho não pode ser removido pelo utilizador, enquanto BrowserSignin=2 força o início de sessão com conta corporativa.
Google Chrome Enterprise — Perfis
O Chrome suporta múltiplos perfis, mas a distinção trabalho/pessoal é menos rigorosa sem gestão activa. A gestão é feita através de políticas:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“BrowserSignin”=dword:00000002
“RestrictSigninToPattern”=”.*@contoso\\.pt”
“ProfileAddingEnabled”=dword:00000001
“ProfileRemovingEnabled”=dword:00000000
A política BrowserSignin=2 força o início de sessão e RestrictSigninToPattern limita as contas permitidas a um domínio específico. No Google Workspace, o perfil é automaticamente gerido quando o utilizador inicia sessão com a conta Workspace.
Tabela de Comparação — Perfis
| Funcionalidade | Microsoft Edge | Google Chrome |
|---|---|---|
| Perfil de trabalho gerido | Sim (isolamento automático via Entra ID) | Parcial (via Google Workspace) |
| Isolamento visual (badge) | Sim (ícone de maleta) | Não nativo |
| Forçar início de sessão | BrowserSignin=2 |
BrowserSignin=2 |
| Bloquear perfis pessoais | NonRemovableProfileEnabled=1 |
ProfileAddingEnabled + RestrictSigninToPattern |
| Isolamento de cookies/sessões | Sim (entre perfis) | Sim (entre perfis) |
| Sincronização de perfil | Via Entra ID | Via Google Workspace |
| Aviso de perfil não gerido | Sim (alerta vermelho) | Não nativo |
Fonte: Microsoft Learn — Microsoft Edge user data preferences; Chrome Enterprise — Browser sign-in
4. Gestão de Extensões: Allowlist, Blocklist e Force-Install
A gestão de extensões é um dos vectores de segurança mais importantes. Extensões maliciosas ou não autorizadas podem comprometer a segurança do browser, exfiltrar dados ou quebrar aplicações internas.
Microsoft Edge — Gestão de Extensões
O Edge suporta gestão de extensões via GPO, Intune e via o Microsoft Edge Add-ons store. As políticas principais são ExtensionInstallAllowlist, ExtensionInstallBlocklist, ExtensionInstallForceList e ExtensionInstallForcelist.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“ExtensionInstallBlocklist”=hex(7):2a,00,00,00
“ExtensionInstallAllowlist”=hex(7):63,00,6a,00,70,00,61,00,6c,00,68,00,64,00,6c,00,6e,00,62,00,70,00,61,00,66,00,69,00,61,00,6d,00,65,00,6a,00,64,00,6e,00,68,00,63,00,70,00,68,00,6a,00,62,00,6b,00,65,00,69,00,61,00,67,00,6d,00,00,00,00,00
; Forçar instalação de extensão corporativa
“ExtensionInstallForcelist”=hex(7):65,00,78,00,74,00,65,00,6e,00,73,00,69,00,6f,00,6e,00,69,00,64,00,3b,00,68,00,74,00,74,00,70,00,73,00,3a,00,2f,00,2f,00,65,00,64,00,67,00,65,00,2e,00,6d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,00,2f,00,65,00,78,00,74,00,65,00,6e,00,73,00,69,00,6f,00,6e,00,73,00,2f,00,73,00,74,00,6f,00,72,00,65,00,00,00,00,00
$policyPath = “HKLM:\SOFTWARE\Policies\Microsoft\Edge”
Set-ItemProperty -Path $policyPath -Name “ExtensionInstallBlocklist” -Value @(“*”) -Type MultiString
Set-ItemProperty -Path $policyPath -Name “ExtensionInstallAllowlist” -Value @(“cjpalhdlnbpafiamejdnhcphjbkeiagm”) -Type MultiString
Set-ItemProperty -Path $policyPath -Name “ExtensionInstallForcelist” -Value @(“extensionid;https://edge.microsoft.com/extensions/store”) -Type MultiString
A política ExtensionInstallBlocklist=* combinada com ExtensionInstallAllowlist cria um modelo de zero-trust para extensões: tudo é bloqueado excepto o explicitamente permitido.
Documentação: Microsoft Learn — Manage Edge extensions in the enterprise
Google Chrome — Gestão de Extensões
O Chrome utiliza as mesmas políticas com nomes idênticos (Chromium partilha a base de políticas):
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“ExtensionInstallBlocklist”=hex(7):2a,00,00,00
“ExtensionInstallAllowlist”=hex(7):63,00,6a,00,70,00,61,00,6c,00,68,00,64,00,6c,00,6e,00,62,00,70,00,61,00,66,00,69,00,61,00,6d,00,65,00,6a,00,64,00,6e,00,68,00,63,00,70,00,68,00,6a,00,62,00,6b,00,65,00,69,00,61,00,67,00,6d,00,00,00,00,00
; Forçar instalação
“ExtensionInstallForcelist”=hex(7):65,00,78,00,74,00,65,00,6e,00,73,00,69,00,6f,00,6e,00,69,00,64,00,3b,00,68,00,74,00,74,00,70,00,73,00,3a,00,2f,00,2f,00,63,00,6c,00,69,00,65,00,6e,00,74,00,73,00,32,00,2e,00,67,00,6f,00,6f,00,67,00,6c,00,65,00,2e,00,63,00,6f,00,6d,00,2f,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,2f,00,75,00,70,00,64,00,61,00,74,00,65,00,2f,00,63,00,72,00,78,00,00,00,00,00
No Google Workspace Admin Console, a gestão de extensões é feita em Device > Chrome > Settings > Browser > Apps and Extensions, onde é possível configurar allowlist/blocklist por OU, com instalação forçada e permissões granulares.
Tabela de Comparação — Extensões
| Funcionalidade | Microsoft Edge | Google Chrome |
|---|---|---|
| Allowlist | ExtensionInstallAllowlist |
ExtensionInstallAllowlist |
| Blocklist | ExtensionInstallBlocklist |
ExtensionInstallBlocklist |
| Force-install | ExtensionInstallForcelist |
ExtensionInstallForcelist |
| Store de extensões | Microsoft Edge Add-ons | Chrome Web Store |
| Bloquear Web Store | ExtensionInstallBlocklist com * |
ExtensionInstallBlocklist com * |
| Instalação offline (CRX) | Suportado via ExtensionInstallForcelist com URL |
Suportado via ExtensionInstallForcelist com URL |
| Gestão por OU | Via Intune groups | Via Google Workspace OU |
| Extensões obrigatórias (sem utilizador remover) | ExtensionInstallForcelist |
ExtensionInstallForcelist |
| Permissões granulares por extensão | Não nativo (apenas allow/block/force) | Chrome Enterprise Premium: sim |
Fonte: Microsoft Learn — Force-install Edge extensions; Chrome Enterprise — ExtensionInstallForcelist policy
5. Segurança: SmartScreen, Defender, Sandbox e Site Isolation
A segurança do browser é uma camada crítica na postura de segurança de qualquer PME. Em 2026, com o aumento de ataques de phishing, malware via browser e ataques zero-day, a comparação de funcionalidades de segurança é decisiva.
Microsoft Edge — Segurança
O Edge integra várias camadas de segurança que tiram proveito do ecossistema Microsoft:
- Microsoft Defender SmartScreen — Proteção contra phishing, sites maliciosos e downloads perigosos. O SmartScreen consulta uma base de dados em tempo real da Microsoft e bloqueia navegação para URLs conhecidos como maliciosos.
Get-MpComputerStatus | Select-Object RealTimeProtectionEnabled, AMServiceEnabled
# Habilitar SmartScreen via política (predefinido: ligado)
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “SmartScreenEnabled” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “SmartScreenPuaEnabled” -Value 1 -Type DWord
- Microsoft Defender for Endpoint — O Edge integra-se nativamente com o Defender for Endpoint, enviando sinais de navegação para a plataforma XDR. Permite alertas e investigação automática de actividade suspeita no browser.
Get-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “MicrosoftDefenderSecurityCenterAppEnabled”
- Application Guard (WDAG) — Isola sites não confiáveis num contentor Hyper-V separado. Se o site for malicioso, o ataque fica confinado ao contentor, que é destruído ao fechar.
Enable-WindowsOptionalFeature -Online -FeatureName “Windows-Defender-ApplicationGuard” -All
# Política: activar WDAG para sites não corporativos
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ApplicationGuardEnabled” -Value 1 -Type DWord
- Site Isolation — O Edge suporta Site Isolation (herdado do Chromium), colocando cada site num processo separado para limitar a exploração de vulnerabilidades de memory safety.
- Sandbox e Process Isolation — O Edge utiliza o modelo de processos do Chromium com sandboxing de renderizadores. A política
RendererCodeIntegrityEnabledobriga os renderizadores a carregar apenas DLLs assinadas.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“RendererCodeIntegrityEnabled”=dword:00000001
Google Chrome — Segurança
O Chrome também oferece um conjunto robusto de funcionalidades de segurança:
- Google Safe Browsing — Equivalente ao SmartScreen, consulta a base de dados do Google para bloquear sites de phishing, malware e downloads perigosos. O Safe Browsing Enhanced oferece protecção em tempo real.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“SafeBrowsingEnabled”=dword:00000001
“SafeBrowsingProtectionLevel”=dword:00000002
- Sandbox — O Chrome foi pioneiro na sandboxing de processos no Windows. Cada separador corre num processo sandboxed com permissões mínimas.
- Site Isolation — O Chrome introduziu Site Isolation em 2018 e continua a ser a referência. Configurável via política:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“SitePerProcess”=dword:00000001
“IsolateOrigins”=”https://contoso.pt,https://intranet.contoso.pt”
- Chrome Cleanup / ESET integration — O Chrome integra uma funcionalidade de limpeza que detecta e remove software indesejado (detectado pelo ESET).
- Managed Deep Scanning — Disponível no Chrome Enterprise Premium, permite análise de downloads via sandbox do Google Cloud.
Tabela de Comparação — Segurança
| Funcionalidade | Microsoft Edge | Google Chrome |
|---|---|---|
| Protecção anti-phishing | SmartScreen (Microsoft) | Safe Browsing (Google) |
| Protecção PUA (Potentially Unwanted Apps) | SmartScreenPuaEnabled |
ChromeCleanupEnabled |
| Isolamento de sites não confiáveis | Application Guard (Hyper-V) | Não equivalente nativo |
| Sandbox de processos | Chromium sandbox | Chromium sandbox |
| Site Isolation | Sim (Chromium) | Sim (Chromium, pioneiro) |
| Code Integrity (DLL signing) | RendererCodeIntegrityEnabled |
CodeIntegritySetting |
| Integração com EDR/XDR | Defender for Endpoint nativo | Via conectores de terceiros (CrowdStrike, SentinelOne) |
| Análise de downloads na cloud | Defender SmartScreen + ATP | Managed Deep Scanning (Premium) |
| Isolamento de cookies entre sites | SameSite por defeito | SameSite por defeito |
Fonte: Microsoft Learn — Microsoft Edge security features; Chrome Enterprise — Safe Browsing
6. Gestão de Updates: Edge Update vs Chrome Update Policies
A gestão de updates é fundamental para manter a segurança e estabilidade do browser. Ambos os browsers baseados em Chromium utilizam um mecanismo de update automático, mas as políticas de gestão diferem.
Microsoft Edge — Gestão de Updates
O Edge utiliza o Microsoft Edge Update (baseado em Google Update/omaha), com políticas documentadas em Microsoft Learn — Microsoft Edge update policies.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\EdgeUpdate]
“UpdateDefault”=dword:00000001
“AutoUpdateCheckPeriodMinutes”=dword:00000720
; Para canais específicos (Stable=0, Beta=1, Dev=2)
“InstallDefault”=dword:00000001
; Bloquear downgrade de versão
“TargetVersionPrefix”=”120.”
(Get-Item “C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe”).VersionInfo.ProductVersion
# Verificar políticas de update aplicadas
reg query “HKLM\SOFTWARE\Policies\Microsoft\EdgeUpdate” /s
O Edge oferece três canais: Stable, Beta e Dev. As PMEs devem usar o canal Stable. A política UpdateDefault=1 permite updates automáticos, enquanto UpdateDefault=0 desactiva completamente (não recomendado em produção exceto em ambientes geridos com WSUS/SCCM).
Integração com WSUS/SCCM: O Edge Stable pode ser distribuído via WSUS como update de produto classificado como “Updates”, permitindo aprovação manual antes de deploy.
Google Chrome — Gestão de Updates
O Chrome utiliza o Google Update (omaha), com políticas documentadas em Google Chrome Enterprise update policies.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update]
“UpdateDefault”=dword:00000001
“AutoUpdateCheckPeriodMinutes”=dword:00000720
; Bloquear actualizações de canal específico
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“TargetVersionPrefix”=”120.”
; Desactivar auto-update completamente (não recomendado)
“UpdateDefault”=dword:00000000
(Get-Item “C:\Program Files\Google\Chrome\Application\chrome.exe”).VersionInfo.ProductVersion
# Verificar políticas de update do Chrome
reg query “HKLM\SOFTWARE\Policies\Google\Update” /s
O Chrome oferece quatro canais: Stable, Extended Stable (updates menos frequentes, a cada 8 semanas), Beta e Dev. O canal Extended Stable é ideal para PMEs que preferem estabilidade sobre novidades frequentes.
Tabela de Comparação — Updates
| Aspecto | Microsoft Edge | Google Chrome |
|---|---|---|
| Canal Stable | Sim (actualização ~4 semanas) | Sim (actualização ~4 semanas) |
| Canal Extended Stable | Não | Sim (actualização ~8 semanas) |
| Canal Beta | Sim | Sim |
| Distribuição via WSUS | Sim (clasificada como Updates) | Não nativo |
| Distribuição via SCCM | Sim (como aplicação) | Sim (como aplicação) |
| Distribuição via Intune | Sim (Win32 app) | Sim (Win32 app) |
| Target version | TargetVersionPrefix |
TargetVersionPrefix |
| Rollback de versão | RollbackToTargetVersion |
RollbackToTargetVersion |
| Auto-update por defeito | Sim | Sim |
| Desactivar auto-update | UpdateDefault=0 |
UpdateDefault=0 |
| Componente de update | MicrosoftEdgeUpdate.exe | GoogleUpdate.exe |
Fonte: Microsoft Learn — Microsoft Edge update policies; Chrome Enterprise — Update policies
7. Integração com Entra ID e Google Workspace: SSO e Autenticação
A integração com o sistema de identidade corporativa determina a experiência de autenticação do utilizador e a capacidade de impor políticas baseadas em identidade.
Microsoft Edge — Integração com Entra ID
O Edge tem integração nativa com o Microsoft Entra ID (antigo Azure AD). Quando um utilizador inicia sessão no Windows com conta Entra ID, o Edge herda automaticamente essa sessão (SSO transparente via Primary Refresh Token).
dsregcmd /status | Select-String “AzureAdJoined|WorkplaceJoined|DomainJoined”
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“AADWebSSO”=dword:00000001
“AuthNegotiateDelegateAllowlist”=”*.contoso.pt”
“AuthSchemes”=”negotiate,ntlm,basic”
Para dispositivos Entra ID Joined, o SSO é automático sem configuração adicional. Para dispositivos Hybrid Joined, é necessário configurar o Seamless SSO no Entra ID Connect.
Conditional Access — O Edge suporta políticas de Conditional Access do Entra ID, incluindo:
- Exigir MFA para acesso a sites corporativos
- Bloquear acesso de dispositivos não conformes
- Exigir dispositivo compliant via Intune
Get-ItemProperty -Path “HKCU:\SOFTWARE\Microsoft\IdentityStore\Cache” -ErrorAction SilentlyContinue
Google Chrome — Integração com Entra ID e Google Workspace
O Chrome integra-se nativamente com Google Workspace, com SSO automático para serviços Google. Para integração com Entra ID, o Chrome suporta SAML SSO e OIDC.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“AuthSchemes”=”negotiate,ntlm,basic”
“AuthNegotiateDelegateAllowlist”=”*.contoso.pt”
“AuthServerAllowlist”=”*.contoso.pt”
Para SSO entre Google Workspace e Entra ID, configura-se uma federação SAML no Entra ID, permitindo que utilizadores do Google Workspace autentiquem via Entra ID.
Tabela de Comparação — Identidade e SSO
| Funcionalidade | Microsoft Edge | Google Chrome |
|---|---|---|
| SSO nativo Entra ID | Sim (via PRT, automático) | Via SAML/OIDC (configuração) |
| SSO nativo Google Workspace | Via SAML (configuração) | Sim (automático) |
| Conditional Access | Nativo (Entra ID + Intune) | Via Google Workspace Context-Aware Access |
| Windows Hello / WebAuthn | Sim (nativo) | Sim (nativo) |
| Kerberos / NTLM | Sim (AuthSchemes) |
Sim (AuthSchemes) |
| Token Broker | Entra ID PRT | Não aplicável |
| MFA no browser | Via Entra ID Conditional Access | Via Google Workspace MFA |
| Passwordless | Passkeys com Entra ID | Passkeys com Google Account |
Fonte: Microsoft Learn — Entra ID SSO with Edge; Chrome Enterprise — Authentication policies
8. Modo IE, Compatibilidade Legacy e Sincronização
Modo IE e Compatibilidade Legacy
O modo Internet Explorer no Edge é uma das funcionalidades mais decisivas para PMEs que ainda dependem de aplicações web legacy (ActiveX, VBScript, sites desenhados para IE 11). O Chrome não suporta ActiveX nem modo IE.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“InternetExplorerIntegrationLevel”=dword:00000001
“InternetExplorerIntegrationSiteList”=”https://intranet.contoso.pt/iedgelist.xml”
“InternetExplorerIntegrationReloadInIEModeAllowed”=dword:00000001
Site list XML (exemplo):
<site url=”legacyapp.contoso.pt”>
<compat-mode>IE11</compat-mode>
<open-in>IE11</open-in>
</site>
<site url=”oldportal.contoso.pt”>
<compat-mode>IE8</compat-mode>
<open-in>IE11</open-in>
</site>
</site-list>
A política InternetExplorerIntegrationLevel=1 activa o modo IE. A política InternetExplorerIntegrationSiteList aponta para um ficheiro XML (pode ser alojado num servidor interno ou no Microsoft 365 via SharePoint) que define que sites devem abrir em modo IE.
reg query “HKLM\SOFTWARE\Policies\Microsoft\Edge” /v InternetExplorerIntegrationLevel
# Verificar site list carregada
reg query “HKLM\SOFTWARE\Policies\Microsoft\Edge” /v InternetExplorerIntegrationSiteList
# No Edge, verificar modo IE activo
# edge://settings/defaultBrowser → “Allow sites to be reloaded in Internet Explorer mode”
Documentação: Microsoft Learn — Configure IE mode for Edge
Sincronização de Favoritos, Histórico e Passwords
#### Microsoft Edge — Sync via Entra ID
O Edge sincroniza dados do perfil de trabalho via Entra ID para favoritos, histórico, passwords, extensões, coleções e configurações.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“SyncTypesListDisabled”=hex(7):00,00
; Para desactivar sync de passwords especificamente
; “SyncTypesListDisabled”=”passwords”
Get-ItemProperty -Path “HKCU:\SOFTWARE\Microsoft\Edge\BLBeacon” -ErrorAction SilentlyContinue
# Políticas de sync (via Intune)
# Edge > Sync > Configure sync types
#### Google Chrome — Sync via Google Workspace
O Chrome sincroniza dados via Google Account (perfis geridos pelo Workspace). O admin pode controlar que dados são sincronizados.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“SyncDisabled”=dword:00000000
“RestrictSigninToPattern”=”.*@contoso\\.pt”
No Google Workspace Admin Console: Device > Chrome > Settings > Browser > Chrome Sync, onde é possível desactivar sync selectivamente (bookmarks, history, passwords, extensions, themes, etc.).
Tabela de Comparação — Sync e Compatibilidade
| Funcionalidade | Microsoft Edge | Google Chrome |
|---|---|---|
| Modo IE | Sim (nativo, via site list XML) | Não |
| ActiveX | Suportado via modo IE | Não |
| VBScript | Suportado via modo IE | Não |
| Sync de favoritos | Via Entra ID | Via Google Account |
| Sync de histórico | Via Entra ID | Via Google Account |
| Sync de passwords | Via Entra ID (opcional) | Via Google Account (opcional) |
| Sync de extensões | Via Entra ID | Via Google Account |
| Sync de coleções | Via Entra ID | Não equivalente (Bookmarks folders) |
| Roaming de configurações | Sim (Entra ID) | Sim (Google Account) |
| Controlo de sync por tipo | SyncTypesListDisabled |
Google Admin Console por OU |
Fonte: Microsoft Learn — Edge Enterprise sync; Chrome Enterprise — Chrome Sync policies
9. Deployment, Kiosk Mode e Custo: Quando Escolher Cada Um
Deployment MSI/MSIX
#### Microsoft Edge — Deployment
O Edge é distribuído como MSI (para Stable, Beta, Dev) e está pré-instalado no Windows 11. Para deployment corporativo, a Microsoft oferece o Edge para Empresas em Microsoft Edge Enterprise download.
msiexec /i MicrosoftEdgeEnterpriseX64.msi /qn /norestart
# Via winget
winget install –id Microsoft.Edge –silent –accept-package-agreements
# Verificar instalação
Get-AppxPackage *MicrosoftEdge* | Select-Object Name, Version
# Via Intune — criar Win32 app com .intunewim
# Comando de instalação: msiexec /i MicrosoftEdgeEnterpriseX64.msi /qn /norestart
# Comando de desinstalação: msiexec /x {GUID} /qn
# Regra de detecção: Path = “C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe”
# File version = “120.0.0.0” ou superior
#### Google Chrome — Deployment
O Chrome é distribuído como MSI (GoogleChromeEnterpriseBundle) e pode ser descarregado em Google Chrome Enterprise download.
msiexec /i GoogleChromeEnterpriseBundle.msi /qn /norestart
# Via winget
winget install –id Google.Chrome –silent –accept-package-agreements
# Verificar instalação
Get-Item “C:\Program Files\Google\Chrome\Application\chrome.exe” | Select-Object VersionInfo
Kiosk Mode
#### Microsoft Edge — Kiosk
O Edge suporta kiosk mode nativo, integrado com o Assigned Access do Windows 11.
# GPO: Computer Configuration > Administrative Templates > Microsoft Edge >
# “Configure kiosk mode”
# Via PowerShell (Windows 11)
Set-AssignedAccess -AppUserModelId “Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge” `
-ProfileName “KioskUser”
# Política Edge para kiosk
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “KioskEnabled” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “KioskResetAfterIdleTimeout” -Value 300 -Type DWord
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“KioskEnabled”=dword:00000001
“KioskResetAfterIdleTimeout”=dword:0000012c
“URLAllowlist”=”https://portal.contoso.pt”
#### Google Chrome — Kiosk
O Chrome suporta kiosk mode via linha de comando ou via políticas.
& “C:\Program Files\Google\Chrome\Application\chrome.exe” `
–kiosk “https://portal.contoso.pt” `
–no-first-run `
–disable-popup-blocking
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“KioskModeEnabled”=dword:00000001
“KioskModeForcedLaunch”=dword:00000001
“URLAllowlist”=”https://portal.contoso.pt”
Documentação: Microsoft Learn — Edge kiosk mode; Google Support — Chrome kiosk mode
Custo Comparado
| Componente de Custo | Microsoft Edge | Google Chrome |
|---|---|---|
| Licença do browser | Incluído no Windows (sem custo adicional) | Gratuito (Core); Premium ~5 €/utilizador/mês |
| Gestão via GPO | Sem custo (AD on-premises) | Sem custo (AD on-premises) |
| Gestão via Intune | Incluído no Microsoft 365 E3/E5 ou Intune standalone | Não nativo (requer MDM terceiro ou ADMX ingestion) |
| Gestão via Google Workspace | Não aplicável | Incluído em Google Workspace (Business Starter ~5 €/utilizador/mês) |
| Relatórios avançados | Incluído em Defender for Cloud / Purview | Requer Chrome Enterprise Premium |
| Suporte técnico | Incluído em suporte Microsoft Premier/Unified | Google Workspace Support |
| Custo total para 50 utilizadores (1 ano) | ~0 € (se já têm Windows + Microsoft 365) | ~0 € (Core) ou ~3000 €/ano (Premium) |
Quando Escolher Microsoft Edge
- A infraestrutura é predominantemente Microsoft (Windows, Entra ID, Intune, Defender)
- Existem aplicações web legacy que requerem modo IE / ActiveX
- O objectivo é zero custo adicional de licenciamento browser
- A PME já tem Microsoft 365 E3/E5 (Intune e Defender incluídos)
- A integração com Conditional Access e Defender for Endpoint é prioritária
Quando Escolher Google Chrome
- A infraestrutura é predominantemente Google (Google Workspace, ChromeOS devices)
- A PME já paga Google Workspace e quer gestão unificada de dispositivos
- Não há dependências de aplicações legacy IE/ActiveX
- Há dispositivos multi-OS (Windows, macOS, Linux, ChromeOS) e é necessário gestão consistente
- O Extended Stable (actualizações de 8 em 8 semanas) é preferível para estabilidade
Migração Entre Browsers
A migração de Chrome para Edge (ou vice-versa) é simplificada pelo facto de ambos serem baseados em Chromium. O Edge oferece um assistente de importação que migra favoritos, histórico, passwords e extensões do Chrome.
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ImportAutofillFormData” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ImportBookmarks” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ImportHistory” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ImportPasswords” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ImportExtensions” -Value 1 -Type DWord
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“ImportAutofillFormData”=dword:00000001
“ImportBookmarks”=dword:00000001
“ImportHistory”=dword:00000001
“ImportPasswords”=dword:00000001
“ImportExtensions”=dword:00000001
“ImportSearchEngine”=dword:00000001
“ImportShortcuts”=dword:00000001
Para migração de Edge para Chrome, o processo é manual via chrome://settings/importData ou via linha de comando:
& “C:\Program Files\Google\Chrome\Application\chrome.exe” `
–import-from-edge –no-first-run
Tabela de Comparação — Deployment e Kiosk
| Aspecto | Microsoft Edge | Google Chrome |
|---|---|---|
| Formato de instalação | MSI, MSIX, winget, pré-instalado no Win11 | MSI, Chrome Bundle, winget |
| Pré-instalado | Sim (Windows 10/11) | Não (requer instalação) |
| Kiosk via Assigned Access | Sim (nativo Windows) | Via linha de comando ou MDM |
| Kiosk digital signage | KioskResetAfterIdleTimeout |
--kiosk + MDM |
| Migração de dados | Assistente nativo (do Chrome) | Assistente nativo (do Edge) |
| Desinstalação | Não recomendado (componente Windows) | Sim (MSI uninstall) |
| Roaming de favoritos | Entra ID sync | Google Account sync |
Fonte: Microsoft Edge Enterprise download; Chrome Enterprise download; Microsoft Learn — Edge kiosk mode; Google Support — Chrome kiosk
10. Privacidade, Telemetria, Relatórios e Auditoria
Privacidade e Telemetria
#### Microsoft Edge
O Edge recolhe telemetria que pode ser configurada via política. A política OptionalDiagnosticDataLevel controla o nível de dados enviados à Microsoft.
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“OptionalDiagnosticDataLevel”=dword:00000000
“DiagnosticDataReportingEnabled”=dword:00000000
“EdgeEnhanceImagesEnabled”=dword:00000000
“EdgeShoppingEnabled”=dword:00000000
“PersonalizationReportingEnabled”=dword:00000000
reg query “HKLM\SOFTWARE\Policies\Microsoft\Edge” /v OptionalDiagnosticDataLevel
reg query “HKLM\SOFTWARE\Policies\Microsoft\Edge” /v DiagnosticDataReportingEnabled
Para alinhar com GDPR e NIS2, recomenda-se:
OptionalDiagnosticDataLevel=0(apenas dados obrigatórios)EdgeEnhanceImagesEnabled=0(desactiva envio de imagens para melhoramento)EdgeShoppingEnabled=0(desactiva funcionalidade de compras que envia URLs)PersonalizationReportingEnabled=0(desactiva personalização baseada em histórico)
Documentação: Microsoft Learn — Edge privacy settings
#### Google Chrome
O Chrome permite desactivar a telemetria via políticas:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“MetricsReportingEnabled”=dword:00000000
“UrlKeyedAnonymizedDataCollectionEnabled”=dword:00000000
“SafeBrowsingExtendedReportingEnabled”=dword:00000000
No Google Workspace Admin Console, o administrador pode desactivar a recolha de dados de utilização e diagnóstico em Device > Chrome > Settings > Device > Usage and Diagnostics.
Relatórios e Auditoria
#### Microsoft Edge
O Edge integra-se com o Microsoft Purview Compliance Portal para DLP (Data Loss Prevention) no browser, detectando tentativas de exfiltração de dados sensíveis (números de cartão de crédito, NIF, dados de saúde) via upload, download ou copy-paste.
Get-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “EdgeUrlBlocklist” -ErrorAction SilentlyContinue
# Verificar registos de auditoria do Edge no Event Viewer
Get-WinEvent -LogName “Microsoft-Windows-Application” -MaxEvents 50 |
Where-Object { $_.Message -like “*Edge*” } |
Select-Object TimeCreated, Id, Message | Format-Table -Wrap
Para auditoria de segurança, o Edge envia sinais ao Defender for Cloud Apps, permitindo sessões monitorizadas onde todas as actividades do utilizador no browser são registadas para revisão posterior.
#### Google Chrome
O Chrome Enterprise Premium oferece Chrome Browser Cloud Management com relatórios de:
- Versões instaladas por utilizador/dispositivo
- Extensões instaladas
- Políticas aplicadas
- Eventos de segurança (downloads bloqueados, phishing detectado)
No Google Workspace Admin Console: Device > Chrome > Reports, onde é possível ver:
- Browser version report
- Extension report
- Policy status report
Para auditoria via API:
# Requer OAuth e Google Admin SDK .NET library
# Documentação: https://developers.google.com/admin-sdk/reports
Tabela de Comparação — Privacidade, Relatórios e Auditoria
| Funcionalidade | Microsoft Edge | Google Chrome |
|---|---|---|
| Telemetria configurável | OptionalDiagnosticDataLevel |
MetricsReportingEnabled |
| Desactivar personalização | PersonalizationReportingEnabled=0 |
UrlKeyedAnonymizedDataCollectionEnabled=0 |
| DLP no browser | Microsoft Purview DLP nativo | Via Google Workspace DLP (Premium) |
| Auditoria de sessões | Defender for Cloud Apps | Google Workspace Audit logs |
| Relatório de versões | Intune + Defender for Cloud | Chrome Enterprise Premium |
| Relatório de extensões | Intune + Edge management service | Chrome Enterprise Premium |
| Registos locais (Event Viewer) | Sim (Microsoft-Windows-Application) | Limitado (logs em %LocalAppData%) |
| Conformidade GDPR | Configurável via políticas | Configurável via políticas |
Fonte: Microsoft Learn — Edge enterprise privacy; Chrome Enterprise — Privacy policies
Checklist Pré-Produção
Antes de aplicar qualquer política ou configuração deste artigo em ambiente produtivo, confirma os seguintes pontos:
- Versão do Windows nos dispositivos alvo (Windows 10 22H2 ou Windows 11 23H2+; Windows 10 atinge EOL em Outubro de 2025):
winverouGet-ComputerInfo | Select WindowsVersion, OsBuildNumber - Versão do Microsoft Edge instalada (deve ser Stable; verificar canal):
(Get-Item "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe").VersionInfo.ProductVersion - Versão do Google Chrome instalada (deve ser Stable ou Extended Stable):
(Get-Item "C:\Program Files\Google\Chrome\Application\chrome.exe").VersionInfo.ProductVersion - ADMX templates actualizados — descarregar as versões mais recentes de Microsoft Edge ADMX e Google Chrome ADMX antes de importar no PolicyDefinitions do domínio.
- Licenciamento verificado — para Chrome Enterprise Premium, confirmar que as licenças por utilizador estão atribuídas no Google Workspace Admin Console; para Edge, confirmar que o Microsoft 365 E3/E5 ou Intune standalone inclui gestão de políticas Edge.
- Staging environment disponível — uma OU de teste no AD (ou grupo de teste no Intune/Google Workspace) com 3-5 dispositivos representativos para validar políticas antes de aplicar em produção.
- Backup do estado actual — exportar GPOs existentes (
Backup-GPO -All -Path C:\GPOBackup) e snapshot de configuração do Google Workspace Admin antes de aplicar novas políticas. - Teste de modo IE — se activar modo IE, validar a site list XML em staging com pelo menos uma aplicação legacy real e confirmar que abre correctamente em modo IE dentro do Edge.
⚠ Atenção
políticas mal configuradas de ExtensionInstallBlocklist=* (bloqueio total de extensões) sem ExtensionInstallAllowlist correspondente podem impedir os utilizadores de trabalhar se dependem de extensões legítimas. Políticas de BrowserSignin=2 (forçar início de sessão) sem Entra ID ou Google Workspace configurado correctamente resultam em loops de autenticação. Testar sempre em staging primeiro e aplicar em janela de manutenção.
Artigos Relacionados
- Microsoft Edge Enterprise — Documentação oficial — Referência completa de deployment, políticas e segurança do Edge em ambiente empresarial
- Google Chrome Enterprise — Central de ajuda — Guias de deployment, gestão e segurança do Chrome Enterprise
- Microsoft Learn — Microsoft Edge policy settings — Lista completa de políticas do Edge com sintaxe e descrição
- Chrome Enterprise Policy List — Lista completa de políticas do Chrome com exemplos
- Microsoft Learn — Configure IE mode for Edge — Guia detalhado de configuração do modo Internet Explorer no Edge
- Google Support — Chrome Enterprise kiosk mode — Configuração de kiosk mode no Chrome Enterprise
- Microsoft Learn — Microsoft Edge security features — Visão geral de segurança do Edge (SmartScreen, Defender, WDAG, Site Isolation)
- Microsoft Learn — Microsoft Intune documentation — Documentação completa do Intune para gestão de dispositivos e políticas
- Google Workspace Admin Help — Chrome management — Ajuda do Google Workspace Admin para gestão do Chrome Enterprise
