Browser Corporativo em 2026: Microsoft Edge ou Google Chrome Enterprise para PME?

Duarte Spínola  | 

A escolha do browser corporativo deixou de ser uma decisão trivial. Em 2026, com a complexidade crescente da gestão de dispositivos, requisitos de segurança (NIS2, GDPR), trabalho híbrido e múltiplos perfis de utilizador, o browser tornou-se numa plataforma crítica de gestão. Este artigo compara em detalhe o Microsoft Edge for Business e o Google Chrome Enterprise do ponto de vista de uma PME portuguesa, cobrindo gestão de políticas, segurança, deployment, custos, migração e todos os cenários práticos que um sysadmin encontra no terreno.


1. Visão Geral: Edge for Business vs Chrome Enterprise em 2026

O Microsoft Edge for Business é a evolução do Edge para ambientes empresariais, integrado nativamente no Windows 11 e gerido através do mesmo ecossistema Microsoft (Intune, Entra ID, Defender). O Google Chrome Enterprise é a oferta do Google para gestão centralizada do Chrome, independente do sistema operativo, com gestão via Google Workspace Admin Console ou ferramentas MDM terceiras.

Em 2026, a distinção fundamental é clara: o Edge for Business está incluído no Windows sem custo adicional de licenciamento browser, enquanto o Chrome Enterprise Core é gratuito mas o Chrome Enterprise Premium (relatórios avançados, políticas estendidas, gestão de extensões aprofundada) requer licença paga por utilizador.

Tabela de Comparação Global

Característica Microsoft Edge for Business Google Chrome Enterprise
Motor de renderização Chromium (Blink + V8) Chromium (Blink + V8)
Custo base Incluído no Windows 10/11 Chrome Enterprise Core: gratuito; Premium: ~5 €/utilizador/mês
Gestão de políticas GPO, Intune, ADMX, MDM de terceiros GPO, Google Workspace Admin, ADMX, MDM de terceiros
Integração de identidade Entra ID (Azure AD) nativo Google Workspace nativo; Entra ID via SAML/OIDC
Telemetria e relatórios Microsoft Purview, Defender for Cloud Chrome Enterprise Premium reports, Google Admin console
Modo de compatibilidade legacy Modo IE (Internet Explorer) Não (não suporta ActiveX/IE)
Kiosk mode Nativo (Edge kiosk, Assigned Access) Nativo (Chrome kiosk, PWA)
Sincronização empresarial Entra ID sync (perfis trabalho) Google Workspace sync
Deployment MSI, MSIX, winget, Intune MSI, Chrome Bundle, winget, Google Admin
Sistemas operativos Windows, macOS, Linux, Android, iOS Windows, macOS, Linux, Android, iOS, ChromeOS

Fonte: Microsoft Learn — Microsoft Edge Enterprise; Google — Chrome Enterprise


2. Gestão de Políticas: GPO, Intune e Mobile Device Management

A gestão centralizada de políticas é o núcleo de qualquer browser corporativo. Ambos os browsers suportam gestão via Group Policy Objects (GPO) no Active Directory, ADMX templates para MDM, e integração com soluções de Mobile Device Management.

Microsoft Edge for Business — Políticas

O Edge utiliza os ficheiros ADMX MicrosoftEdge.admx e MSEdgeUpdate.admx, disponíveis na página oficial de download de políticas do Edge. As políticas estão documentadas em Microsoft Learn — Microsoft Edge policies.

Via GPO (Active Directory on-premises):

# Copiar ADMX templates para o PolicyDefinitions do domínio
Copy-Item “\\fs01\SYSVOL\contoso.local\Policies\PolicyDefinitions\MicrosoftEdge.admx” `
“\\dc01\SYSVOL\contoso.local\Policies\PolicyDefinitions\”

# Verificar políticas aplicadas num cliente
gpresult /r /scope computer | Select-String “Edge”

; Exemplo: forçar página inicial corporativa
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“HomepageLocation”=”https://intranet.contoso.pt”
“RestoreOnStartup”=4
“StartupUrls”=”https://intranet.contoso.pt;https://portal.contoso.pt”

Via Microsoft Intune (cloud):

# Criar perfil de configuração Edge via Intune PowerShell SDK
Connect-MSGraph

$edgePolicy = @{
“@odata.type” = “#microsoft.graph.edgeManagementConfiguration”
“configurationType” = “microsoftEdge”
“policies” = @{
“HomepageLocation” = “https://intranet.contoso.pt”
“RestoreOnStartup” = 4
“ExtensionInstallBlocklist” = @(“*”)
“ExtensionInstallAllowlist” = @(“cjpalhdlnbpafiamejdnhcphjbkeiagm”)
}
}

No Intune, as políticas Edge são configuradas em Devices > Configuration profiles > Create profile > Windows 10 and later > Templates > Edge Management settings (Microsoft Learn — Configure Edge policies with Microsoft Intune).

Google Chrome Enterprise — Políticas

O Chrome utiliza os ficheiros ADMX Google.admx e GoogleUpdate.admx, disponíveis em Google Chrome Enterprise download. As políticas estão documentadas em Chrome Enterprise policy list.

Via GPO (Active Directory on-premises):

; Exemplo: forçar página inicial corporativa no Chrome
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“HomepageLocation”=”https://intranet.contoso.pt”
“RestoreOnStartup”=4
“StartupUrls”=”https://intranet.contoso.pt;https://portal.contoso.pt”

Via Google Workspace Admin Console:

Navegar para Device > Chrome > Settings > Browser settings e configurar as políticas por OU (Unidade Organizacional). As políticas aplicam-se a Chrome em Windows, macOS, Linux e ChromeOS.

// Exemplo de política exportada (JSON via Google Admin API)
{
“HomepageLocation”: “https://intranet.contoso.pt”,
“RestoreOnStartup”: 4,
“StartupUrls”: [“https://intranet.contoso.pt”, “https://portal.contoso.pt”],
“ExtensionInstallBlocklist”: [“*”],
“ExtensionInstallAllowlist”: [“cjpalhdlnbpafiamejdnhcphjbkeiagm”]
}

Tabela de Comparação — Gestão de Políticas

Aspecto Microsoft Edge Google Chrome
Número de políticas ~800+ (documentado em Microsoft Learn) ~400+ (documentado em chromeenterprise.google)
GPO on-premises Sim (ADMX completo) Sim (ADMX completo)
Intune (MDM cloud) Nativo, sem extensões Via ADMX ingestion ou conectores de terceiros
Google Workspace Não nativo Nativo (Admin Console)
Mac MDM (Jamf, etc.) Via plist + MDM Via plist + MDM
Políticas por OU Via Intune groups ou GPO WMI filtering Via Google Workspace OU nativo
Requisito de reinício Algumas exigem reinício do Edge Algumas exigem reinício do Chrome

Fonte: Microsoft Learn — Microsoft Edge group policies; Chrome Enterprise — Policy list


3. Perfis de Utilizador: Trabalho vs Pessoal

A separação entre perfil profissional e pessoal é crítica em PMEs com dispositivos partilhados ou políticas BYOD (Bring Your Own Device). Ambos os browsers suportam múltiplos perfis, mas a gestão e o isolamento diferem.

Microsoft Edge for Business — Perfis

O Edge for Business introduz o conceito de perfil de trabalho gerido (managed profile), automaticamente separado do perfil pessoal. Quando um utilizador inicia sessão com a conta Entra ID, o Edge cria um perfil de trabalho com:

  • Isolamento de favoritos, histórico, extensões, cookies e passwords em relação ao perfil pessoal
  • Aplicação automática de políticas corporativas apenas ao perfil de trabalho
  • Badge visual (ícone de maleta) que identifica o perfil gerido
  • Sincronização via Entra ID (favoritos, histórico, extensões, passwords, coleções)
# Política para forçar o início de sessão corporativo no Edge
# GPO: Computer Configuration > Administrative Templates > Microsoft Edge >
# “Configure browser sign-in” = 2 (Force sign-in with corporate account)

# Via registry
Set-ItemProperty -Path “HKLM\SOFTWARE\Policies\Microsoft\Edge” `
-Name “BrowserSignin” -Value 2 -Type DWord

; Forçar perfil de trabalho e bloquear perfil pessoal
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“BrowserSignin”=dword:00000002
“NonRemovableProfileEnabled”=dword:00000001

A política NonRemovableProfileEnabled garante que o perfil de trabalho não pode ser removido pelo utilizador, enquanto BrowserSignin=2 força o início de sessão com conta corporativa.

Google Chrome Enterprise — Perfis

O Chrome suporta múltiplos perfis, mas a distinção trabalho/pessoal é menos rigorosa sem gestão activa. A gestão é feita através de políticas:

; Bloquear perfis não geridos no Chrome
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“BrowserSignin”=dword:00000002
“RestrictSigninToPattern”=”.*@contoso\\.pt”
“ProfileAddingEnabled”=dword:00000001
“ProfileRemovingEnabled”=dword:00000000

A política BrowserSignin=2 força o início de sessão e RestrictSigninToPattern limita as contas permitidas a um domínio específico. No Google Workspace, o perfil é automaticamente gerido quando o utilizador inicia sessão com a conta Workspace.

Tabela de Comparação — Perfis

Funcionalidade Microsoft Edge Google Chrome
Perfil de trabalho gerido Sim (isolamento automático via Entra ID) Parcial (via Google Workspace)
Isolamento visual (badge) Sim (ícone de maleta) Não nativo
Forçar início de sessão BrowserSignin=2 BrowserSignin=2
Bloquear perfis pessoais NonRemovableProfileEnabled=1 ProfileAddingEnabled + RestrictSigninToPattern
Isolamento de cookies/sessões Sim (entre perfis) Sim (entre perfis)
Sincronização de perfil Via Entra ID Via Google Workspace
Aviso de perfil não gerido Sim (alerta vermelho) Não nativo

Fonte: Microsoft Learn — Microsoft Edge user data preferences; Chrome Enterprise — Browser sign-in


4. Gestão de Extensões: Allowlist, Blocklist e Force-Install

A gestão de extensões é um dos vectores de segurança mais importantes. Extensões maliciosas ou não autorizadas podem comprometer a segurança do browser, exfiltrar dados ou quebrar aplicações internas.

Microsoft Edge — Gestão de Extensões

O Edge suporta gestão de extensões via GPO, Intune e via o Microsoft Edge Add-ons store. As políticas principais são ExtensionInstallAllowlist, ExtensionInstallBlocklist, ExtensionInstallForceList e ExtensionInstallForcelist.

; Bloquear todas as extensões excepto as explicitamente permitidas
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“ExtensionInstallBlocklist”=hex(7):2a,00,00,00
“ExtensionInstallAllowlist”=hex(7):63,00,6a,00,70,00,61,00,6c,00,68,00,64,00,6c,00,6e,00,62,00,70,00,61,00,66,00,69,00,61,00,6d,00,65,00,6a,00,64,00,6e,00,68,00,63,00,70,00,68,00,6a,00,62,00,6b,00,65,00,69,00,61,00,67,00,6d,00,00,00,00,00

; Forçar instalação de extensão corporativa
“ExtensionInstallForcelist”=hex(7):65,00,78,00,74,00,65,00,6e,00,73,00,69,00,6f,00,6e,00,69,00,64,00,3b,00,68,00,74,00,74,00,70,00,73,00,3a,00,2f,00,2f,00,65,00,64,00,67,00,65,00,2e,00,6d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,00,2f,00,65,00,78,00,74,00,65,00,6e,00,73,00,69,00,6f,00,6e,00,73,00,2f,00,73,00,74,00,6f,00,72,00,65,00,00,00,00,00

# Via PowerShell — configurar force-install de extensão
$policyPath = “HKLM:\SOFTWARE\Policies\Microsoft\Edge”
Set-ItemProperty -Path $policyPath -Name “ExtensionInstallBlocklist” -Value @(“*”) -Type MultiString
Set-ItemProperty -Path $policyPath -Name “ExtensionInstallAllowlist” -Value @(“cjpalhdlnbpafiamejdnhcphjbkeiagm”) -Type MultiString
Set-ItemProperty -Path $policyPath -Name “ExtensionInstallForcelist” -Value @(“extensionid;https://edge.microsoft.com/extensions/store”) -Type MultiString

A política ExtensionInstallBlocklist=* combinada com ExtensionInstallAllowlist cria um modelo de zero-trust para extensões: tudo é bloqueado excepto o explicitamente permitido.

Documentação: Microsoft Learn — Manage Edge extensions in the enterprise

Google Chrome — Gestão de Extensões

O Chrome utiliza as mesmas políticas com nomes idênticos (Chromium partilha a base de políticas):

; Bloquear todas as extensões excepto as permitidas
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“ExtensionInstallBlocklist”=hex(7):2a,00,00,00
“ExtensionInstallAllowlist”=hex(7):63,00,6a,00,70,00,61,00,6c,00,68,00,64,00,6c,00,6e,00,62,00,70,00,61,00,66,00,69,00,61,00,6d,00,65,00,6a,00,64,00,6e,00,68,00,63,00,70,00,68,00,6a,00,62,00,6b,00,65,00,69,00,61,00,67,00,6d,00,00,00,00,00

; Forçar instalação
“ExtensionInstallForcelist”=hex(7):65,00,78,00,74,00,65,00,6e,00,73,00,69,00,6f,00,6e,00,69,00,64,00,3b,00,68,00,74,00,74,00,70,00,73,00,3a,00,2f,00,2f,00,63,00,6c,00,69,00,65,00,6e,00,74,00,73,00,32,00,2e,00,67,00,6f,00,6f,00,67,00,6c,00,65,00,2e,00,63,00,6f,00,6d,00,2f,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,2f,00,75,00,70,00,64,00,61,00,74,00,65,00,2f,00,63,00,72,00,78,00,00,00,00,00

No Google Workspace Admin Console, a gestão de extensões é feita em Device > Chrome > Settings > Browser > Apps and Extensions, onde é possível configurar allowlist/blocklist por OU, com instalação forçada e permissões granulares.

Tabela de Comparação — Extensões

Funcionalidade Microsoft Edge Google Chrome
Allowlist ExtensionInstallAllowlist ExtensionInstallAllowlist
Blocklist ExtensionInstallBlocklist ExtensionInstallBlocklist
Force-install ExtensionInstallForcelist ExtensionInstallForcelist
Store de extensões Microsoft Edge Add-ons Chrome Web Store
Bloquear Web Store ExtensionInstallBlocklist com * ExtensionInstallBlocklist com *
Instalação offline (CRX) Suportado via ExtensionInstallForcelist com URL Suportado via ExtensionInstallForcelist com URL
Gestão por OU Via Intune groups Via Google Workspace OU
Extensões obrigatórias (sem utilizador remover) ExtensionInstallForcelist ExtensionInstallForcelist
Permissões granulares por extensão Não nativo (apenas allow/block/force) Chrome Enterprise Premium: sim

Fonte: Microsoft Learn — Force-install Edge extensions; Chrome Enterprise — ExtensionInstallForcelist policy


5. Segurança: SmartScreen, Defender, Sandbox e Site Isolation

A segurança do browser é uma camada crítica na postura de segurança de qualquer PME. Em 2026, com o aumento de ataques de phishing, malware via browser e ataques zero-day, a comparação de funcionalidades de segurança é decisiva.

Microsoft Edge — Segurança

O Edge integra várias camadas de segurança que tiram proveito do ecossistema Microsoft:

  1. Microsoft Defender SmartScreen — Proteção contra phishing, sites maliciosos e downloads perigosos. O SmartScreen consulta uma base de dados em tempo real da Microsoft e bloqueia navegação para URLs conhecidos como maliciosos.
# Verificar estado do SmartScreen
Get-MpComputerStatus | Select-Object RealTimeProtectionEnabled, AMServiceEnabled

# Habilitar SmartScreen via política (predefinido: ligado)
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “SmartScreenEnabled” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “SmartScreenPuaEnabled” -Value 1 -Type DWord

  1. Microsoft Defender for Endpoint — O Edge integra-se nativamente com o Defender for Endpoint, enviando sinais de navegação para a plataforma XDR. Permite alertas e investigação automática de actividade suspeita no browser.
# Verificar integração Edge com Defender for Endpoint
Get-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “MicrosoftDefenderSecurityCenterAppEnabled”
  1. Application Guard (WDAG) — Isola sites não confiáveis num contentor Hyper-V separado. Se o site for malicioso, o ataque fica confinado ao contentor, que é destruído ao fechar.
# Habilitar Windows Defender Application Guard for Edge
Enable-WindowsOptionalFeature -Online -FeatureName “Windows-Defender-ApplicationGuard” -All

# Política: activar WDAG para sites não corporativos
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ApplicationGuardEnabled” -Value 1 -Type DWord

  1. Site Isolation — O Edge suporta Site Isolation (herdado do Chromium), colocando cada site num processo separado para limitar a exploração de vulnerabilidades de memory safety.
  1. Sandbox e Process Isolation — O Edge utiliza o modelo de processos do Chromium com sandboxing de renderizadores. A política RendererCodeIntegrityEnabled obriga os renderizadores a carregar apenas DLLs assinadas.
; Activar Code Integrity para renderizadores
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“RendererCodeIntegrityEnabled”=dword:00000001

Google Chrome — Segurança

O Chrome também oferece um conjunto robusto de funcionalidades de segurança:

  1. Google Safe Browsing — Equivalente ao SmartScreen, consulta a base de dados do Google para bloquear sites de phishing, malware e downloads perigosos. O Safe Browsing Enhanced oferece protecção em tempo real.
; Forçar Safe Browsing Enhanced
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“SafeBrowsingEnabled”=dword:00000001
“SafeBrowsingProtectionLevel”=dword:00000002
  1. Sandbox — O Chrome foi pioneiro na sandboxing de processos no Windows. Cada separador corre num processo sandboxed com permissões mínimas.
  1. Site Isolation — O Chrome introduziu Site Isolation em 2018 e continua a ser a referência. Configurável via política:
; Forçar Site Isolation para todos os sites
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“SitePerProcess”=dword:00000001
“IsolateOrigins”=”https://contoso.pt,https://intranet.contoso.pt”
  1. Chrome Cleanup / ESET integration — O Chrome integra uma funcionalidade de limpeza que detecta e remove software indesejado (detectado pelo ESET).
  1. Managed Deep Scanning — Disponível no Chrome Enterprise Premium, permite análise de downloads via sandbox do Google Cloud.

Tabela de Comparação — Segurança

Funcionalidade Microsoft Edge Google Chrome
Protecção anti-phishing SmartScreen (Microsoft) Safe Browsing (Google)
Protecção PUA (Potentially Unwanted Apps) SmartScreenPuaEnabled ChromeCleanupEnabled
Isolamento de sites não confiáveis Application Guard (Hyper-V) Não equivalente nativo
Sandbox de processos Chromium sandbox Chromium sandbox
Site Isolation Sim (Chromium) Sim (Chromium, pioneiro)
Code Integrity (DLL signing) RendererCodeIntegrityEnabled CodeIntegritySetting
Integração com EDR/XDR Defender for Endpoint nativo Via conectores de terceiros (CrowdStrike, SentinelOne)
Análise de downloads na cloud Defender SmartScreen + ATP Managed Deep Scanning (Premium)
Isolamento de cookies entre sites SameSite por defeito SameSite por defeito

Fonte: Microsoft Learn — Microsoft Edge security features; Chrome Enterprise — Safe Browsing


6. Gestão de Updates: Edge Update vs Chrome Update Policies

A gestão de updates é fundamental para manter a segurança e estabilidade do browser. Ambos os browsers baseados em Chromium utilizam um mecanismo de update automático, mas as políticas de gestão diferem.

Microsoft Edge — Gestão de Updates

O Edge utiliza o Microsoft Edge Update (baseado em Google Update/omaha), com políticas documentadas em Microsoft Learn — Microsoft Edge update policies.

; Desactivar auto-update para controlo manual (testes antes de deploy)
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\EdgeUpdate]
“UpdateDefault”=dword:00000001
“AutoUpdateCheckPeriodMinutes”=dword:00000720

; Para canais específicos (Stable=0, Beta=1, Dev=2)
“InstallDefault”=dword:00000001

; Bloquear downgrade de versão
“TargetVersionPrefix”=”120.”

# Verificar versão instalada do Edge
(Get-Item “C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe”).VersionInfo.ProductVersion

# Verificar políticas de update aplicadas
reg query “HKLM\SOFTWARE\Policies\Microsoft\EdgeUpdate” /s

O Edge oferece três canais: Stable, Beta e Dev. As PMEs devem usar o canal Stable. A política UpdateDefault=1 permite updates automáticos, enquanto UpdateDefault=0 desactiva completamente (não recomendado em produção exceto em ambientes geridos com WSUS/SCCM).

Integração com WSUS/SCCM: O Edge Stable pode ser distribuído via WSUS como update de produto classificado como “Updates”, permitindo aprovação manual antes de deploy.

Google Chrome — Gestão de Updates

O Chrome utiliza o Google Update (omaha), com políticas documentadas em Google Chrome Enterprise update policies.

; Configurar update do Chrome
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update]
“UpdateDefault”=dword:00000001
“AutoUpdateCheckPeriodMinutes”=dword:00000720

; Bloquear actualizações de canal específico
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“TargetVersionPrefix”=”120.”

; Desactivar auto-update completamente (não recomendado)
“UpdateDefault”=dword:00000000

# Verificar versão instalada do Chrome
(Get-Item “C:\Program Files\Google\Chrome\Application\chrome.exe”).VersionInfo.ProductVersion

# Verificar políticas de update do Chrome
reg query “HKLM\SOFTWARE\Policies\Google\Update” /s

O Chrome oferece quatro canais: Stable, Extended Stable (updates menos frequentes, a cada 8 semanas), Beta e Dev. O canal Extended Stable é ideal para PMEs que preferem estabilidade sobre novidades frequentes.

Tabela de Comparação — Updates

Aspecto Microsoft Edge Google Chrome
Canal Stable Sim (actualização ~4 semanas) Sim (actualização ~4 semanas)
Canal Extended Stable Não Sim (actualização ~8 semanas)
Canal Beta Sim Sim
Distribuição via WSUS Sim (clasificada como Updates) Não nativo
Distribuição via SCCM Sim (como aplicação) Sim (como aplicação)
Distribuição via Intune Sim (Win32 app) Sim (Win32 app)
Target version TargetVersionPrefix TargetVersionPrefix
Rollback de versão RollbackToTargetVersion RollbackToTargetVersion
Auto-update por defeito Sim Sim
Desactivar auto-update UpdateDefault=0 UpdateDefault=0
Componente de update MicrosoftEdgeUpdate.exe GoogleUpdate.exe

Fonte: Microsoft Learn — Microsoft Edge update policies; Chrome Enterprise — Update policies


7. Integração com Entra ID e Google Workspace: SSO e Autenticação

A integração com o sistema de identidade corporativa determina a experiência de autenticação do utilizador e a capacidade de impor políticas baseadas em identidade.

Microsoft Edge — Integração com Entra ID

O Edge tem integração nativa com o Microsoft Entra ID (antigo Azure AD). Quando um utilizador inicia sessão no Windows com conta Entra ID, o Edge herda automaticamente essa sessão (SSO transparente via Primary Refresh Token).

# Verificar se o dispositivo está Entra ID joined
dsregcmd /status | Select-String “AzureAdJoined|WorkplaceJoined|DomainJoined”
; Configurar SSO Entra ID no Edge
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“AADWebSSO”=dword:00000001
“AuthNegotiateDelegateAllowlist”=”*.contoso.pt”
“AuthSchemes”=”negotiate,ntlm,basic”

Para dispositivos Entra ID Joined, o SSO é automático sem configuração adicional. Para dispositivos Hybrid Joined, é necessário configurar o Seamless SSO no Entra ID Connect.

Conditional Access — O Edge suporta políticas de Conditional Access do Entra ID, incluindo:

  • Exigir MFA para acesso a sites corporativos
  • Bloquear acesso de dispositivos não conformes
  • Exigir dispositivo compliant via Intune
# Verificar tokens Entra ID em cache
Get-ItemProperty -Path “HKCU:\SOFTWARE\Microsoft\IdentityStore\Cache” -ErrorAction SilentlyContinue

Google Chrome — Integração com Entra ID e Google Workspace

O Chrome integra-se nativamente com Google Workspace, com SSO automático para serviços Google. Para integração com Entra ID, o Chrome suporta SAML SSO e OIDC.

; Configurar SSO SAML no Chrome para Entra ID
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“AuthSchemes”=”negotiate,ntlm,basic”
“AuthNegotiateDelegateAllowlist”=”*.contoso.pt”
“AuthServerAllowlist”=”*.contoso.pt”

Para SSO entre Google Workspace e Entra ID, configura-se uma federação SAML no Entra ID, permitindo que utilizadores do Google Workspace autentiquem via Entra ID.

Tabela de Comparação — Identidade e SSO

Funcionalidade Microsoft Edge Google Chrome
SSO nativo Entra ID Sim (via PRT, automático) Via SAML/OIDC (configuração)
SSO nativo Google Workspace Via SAML (configuração) Sim (automático)
Conditional Access Nativo (Entra ID + Intune) Via Google Workspace Context-Aware Access
Windows Hello / WebAuthn Sim (nativo) Sim (nativo)
Kerberos / NTLM Sim (AuthSchemes) Sim (AuthSchemes)
Token Broker Entra ID PRT Não aplicável
MFA no browser Via Entra ID Conditional Access Via Google Workspace MFA
Passwordless Passkeys com Entra ID Passkeys com Google Account

Fonte: Microsoft Learn — Entra ID SSO with Edge; Chrome Enterprise — Authentication policies


8. Modo IE, Compatibilidade Legacy e Sincronização

Modo IE e Compatibilidade Legacy

O modo Internet Explorer no Edge é uma das funcionalidades mais decisivas para PMEs que ainda dependem de aplicações web legacy (ActiveX, VBScript, sites desenhados para IE 11). O Chrome não suporta ActiveX nem modo IE.

; Activar modo IE no Edge
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“InternetExplorerIntegrationLevel”=dword:00000001
“InternetExplorerIntegrationSiteList”=”https://intranet.contoso.pt/iedgelist.xml”
“InternetExplorerIntegrationReloadInIEModeAllowed”=dword:00000001

Site list XML (exemplo):

<site-list version=”1″>
<site url=”legacyapp.contoso.pt”>
<compat-mode>IE11</compat-mode>
<open-in>IE11</open-in>
</site>
<site url=”oldportal.contoso.pt”>
<compat-mode>IE8</compat-mode>
<open-in>IE11</open-in>
</site>
</site-list>

A política InternetExplorerIntegrationLevel=1 activa o modo IE. A política InternetExplorerIntegrationSiteList aponta para um ficheiro XML (pode ser alojado num servidor interno ou no Microsoft 365 via SharePoint) que define que sites devem abrir em modo IE.

# Verificar se o modo IE está activo
reg query “HKLM\SOFTWARE\Policies\Microsoft\Edge” /v InternetExplorerIntegrationLevel

# Verificar site list carregada
reg query “HKLM\SOFTWARE\Policies\Microsoft\Edge” /v InternetExplorerIntegrationSiteList

# No Edge, verificar modo IE activo
# edge://settings/defaultBrowser → “Allow sites to be reloaded in Internet Explorer mode”

Documentação: Microsoft Learn — Configure IE mode for Edge

Sincronização de Favoritos, Histórico e Passwords

#### Microsoft Edge — Sync via Entra ID

O Edge sincroniza dados do perfil de trabalho via Entra ID para favoritos, histórico, passwords, extensões, coleções e configurações.

; Configurar sync do Edge via Entra ID
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“SyncTypesListDisabled”=hex(7):00,00

; Para desactivar sync de passwords especificamente
; “SyncTypesListDisabled”=”passwords”

# Verificar estado de sync do Edge
Get-ItemProperty -Path “HKCU:\SOFTWARE\Microsoft\Edge\BLBeacon” -ErrorAction SilentlyContinue

# Políticas de sync (via Intune)
# Edge > Sync > Configure sync types

#### Google Chrome — Sync via Google Workspace

O Chrome sincroniza dados via Google Account (perfis geridos pelo Workspace). O admin pode controlar que dados são sincronizados.

; Configurar sync do Chrome
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“SyncDisabled”=dword:00000000
“RestrictSigninToPattern”=”.*@contoso\\.pt”

No Google Workspace Admin Console: Device > Chrome > Settings > Browser > Chrome Sync, onde é possível desactivar sync selectivamente (bookmarks, history, passwords, extensions, themes, etc.).

Tabela de Comparação — Sync e Compatibilidade

Funcionalidade Microsoft Edge Google Chrome
Modo IE Sim (nativo, via site list XML) Não
ActiveX Suportado via modo IE Não
VBScript Suportado via modo IE Não
Sync de favoritos Via Entra ID Via Google Account
Sync de histórico Via Entra ID Via Google Account
Sync de passwords Via Entra ID (opcional) Via Google Account (opcional)
Sync de extensões Via Entra ID Via Google Account
Sync de coleções Via Entra ID Não equivalente (Bookmarks folders)
Roaming de configurações Sim (Entra ID) Sim (Google Account)
Controlo de sync por tipo SyncTypesListDisabled Google Admin Console por OU

Fonte: Microsoft Learn — Edge Enterprise sync; Chrome Enterprise — Chrome Sync policies


9. Deployment, Kiosk Mode e Custo: Quando Escolher Cada Um

Deployment MSI/MSIX

#### Microsoft Edge — Deployment

O Edge é distribuído como MSI (para Stable, Beta, Dev) e está pré-instalado no Windows 11. Para deployment corporativo, a Microsoft oferece o Edge para Empresas em Microsoft Edge Enterprise download.

# Instalação silenciosa via MSI
msiexec /i MicrosoftEdgeEnterpriseX64.msi /qn /norestart

# Via winget
winget install –id Microsoft.Edge –silent –accept-package-agreements

# Verificar instalação
Get-AppxPackage *MicrosoftEdge* | Select-Object Name, Version

# Via Intune — criar Win32 app com .intunewim
# Comando de instalação: msiexec /i MicrosoftEdgeEnterpriseX64.msi /qn /norestart
# Comando de desinstalação: msiexec /x {GUID} /qn
# Regra de detecção: Path = “C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe”
# File version = “120.0.0.0” ou superior

#### Google Chrome — Deployment

O Chrome é distribuído como MSI (GoogleChromeEnterpriseBundle) e pode ser descarregado em Google Chrome Enterprise download.

# Instalação silenciosa via MSI
msiexec /i GoogleChromeEnterpriseBundle.msi /qn /norestart

# Via winget
winget install –id Google.Chrome –silent –accept-package-agreements

# Verificar instalação
Get-Item “C:\Program Files\Google\Chrome\Application\chrome.exe” | Select-Object VersionInfo

Kiosk Mode

#### Microsoft Edge — Kiosk

O Edge suporta kiosk mode nativo, integrado com o Assigned Access do Windows 11.

# Configurar Edge como kiosk via Assigned Access
# GPO: Computer Configuration > Administrative Templates > Microsoft Edge >
# “Configure kiosk mode”

# Via PowerShell (Windows 11)
Set-AssignedAccess -AppUserModelId “Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge” `
-ProfileName “KioskUser”

# Política Edge para kiosk
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “KioskEnabled” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “KioskResetAfterIdleTimeout” -Value 300 -Type DWord

; Configurar URL de kiosk e modo digital signage
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“KioskEnabled”=dword:00000001
“KioskResetAfterIdleTimeout”=dword:0000012c
“URLAllowlist”=”https://portal.contoso.pt”

#### Google Chrome — Kiosk

O Chrome suporta kiosk mode via linha de comando ou via políticas.

# Iniciar Chrome em kiosk mode via linha de comando
& “C:\Program Files\Google\Chrome\Application\chrome.exe” `
–kiosk “https://portal.contoso.pt” `
–no-first-run `
–disable-popup-blocking
; Configurar Chrome como kiosk
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“KioskModeEnabled”=dword:00000001
“KioskModeForcedLaunch”=dword:00000001
“URLAllowlist”=”https://portal.contoso.pt”

Documentação: Microsoft Learn — Edge kiosk mode; Google Support — Chrome kiosk mode

Custo Comparado

Componente de Custo Microsoft Edge Google Chrome
Licença do browser Incluído no Windows (sem custo adicional) Gratuito (Core); Premium ~5 €/utilizador/mês
Gestão via GPO Sem custo (AD on-premises) Sem custo (AD on-premises)
Gestão via Intune Incluído no Microsoft 365 E3/E5 ou Intune standalone Não nativo (requer MDM terceiro ou ADMX ingestion)
Gestão via Google Workspace Não aplicável Incluído em Google Workspace (Business Starter ~5 €/utilizador/mês)
Relatórios avançados Incluído em Defender for Cloud / Purview Requer Chrome Enterprise Premium
Suporte técnico Incluído em suporte Microsoft Premier/Unified Google Workspace Support
Custo total para 50 utilizadores (1 ano) ~0 € (se já têm Windows + Microsoft 365) ~0 € (Core) ou ~3000 €/ano (Premium)

Quando Escolher Microsoft Edge

  • A infraestrutura é predominantemente Microsoft (Windows, Entra ID, Intune, Defender)
  • Existem aplicações web legacy que requerem modo IE / ActiveX
  • O objectivo é zero custo adicional de licenciamento browser
  • A PME já tem Microsoft 365 E3/E5 (Intune e Defender incluídos)
  • A integração com Conditional Access e Defender for Endpoint é prioritária

Quando Escolher Google Chrome

  • A infraestrutura é predominantemente Google (Google Workspace, ChromeOS devices)
  • A PME já paga Google Workspace e quer gestão unificada de dispositivos
  • Não há dependências de aplicações legacy IE/ActiveX
  • Há dispositivos multi-OS (Windows, macOS, Linux, ChromeOS) e é necessário gestão consistente
  • O Extended Stable (actualizações de 8 em 8 semanas) é preferível para estabilidade

Migração Entre Browsers

A migração de Chrome para Edge (ou vice-versa) é simplificada pelo facto de ambos serem baseados em Chromium. O Edge oferece um assistente de importação que migra favoritos, histórico, passwords e extensões do Chrome.

# Forçar importação automática do Chrome para Edge no primeiro arranque
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ImportAutofillFormData” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ImportBookmarks” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ImportHistory” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ImportPasswords” -Value 1 -Type DWord
Set-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “ImportExtensions” -Value 1 -Type DWord
; Configurar importação automática na primeira execução
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“ImportAutofillFormData”=dword:00000001
“ImportBookmarks”=dword:00000001
“ImportHistory”=dword:00000001
“ImportPasswords”=dword:00000001
“ImportExtensions”=dword:00000001
“ImportSearchEngine”=dword:00000001
“ImportShortcuts”=dword:00000001

Para migração de Edge para Chrome, o processo é manual via chrome://settings/importData ou via linha de comando:

# Iniciar Chrome e forçar importação do Edge
& “C:\Program Files\Google\Chrome\Application\chrome.exe” `
–import-from-edge –no-first-run

Tabela de Comparação — Deployment e Kiosk

Aspecto Microsoft Edge Google Chrome
Formato de instalação MSI, MSIX, winget, pré-instalado no Win11 MSI, Chrome Bundle, winget
Pré-instalado Sim (Windows 10/11) Não (requer instalação)
Kiosk via Assigned Access Sim (nativo Windows) Via linha de comando ou MDM
Kiosk digital signage KioskResetAfterIdleTimeout --kiosk + MDM
Migração de dados Assistente nativo (do Chrome) Assistente nativo (do Edge)
Desinstalação Não recomendado (componente Windows) Sim (MSI uninstall)
Roaming de favoritos Entra ID sync Google Account sync

Fonte: Microsoft Edge Enterprise download; Chrome Enterprise download; Microsoft Learn — Edge kiosk mode; Google Support — Chrome kiosk


10. Privacidade, Telemetria, Relatórios e Auditoria

Privacidade e Telemetria

#### Microsoft Edge

O Edge recolhe telemetria que pode ser configurada via política. A política OptionalDiagnosticDataLevel controla o nível de dados enviados à Microsoft.

; Configurar telemetria do Edge — nível mínimo (Required only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge]
“OptionalDiagnosticDataLevel”=dword:00000000
“DiagnosticDataReportingEnabled”=dword:00000000
“EdgeEnhanceImagesEnabled”=dword:00000000
“EdgeShoppingEnabled”=dword:00000000
“PersonalizationReportingEnabled”=dword:00000000
# Verificar configurações de telemetria do Edge
reg query “HKLM\SOFTWARE\Policies\Microsoft\Edge” /v OptionalDiagnosticDataLevel
reg query “HKLM\SOFTWARE\Policies\Microsoft\Edge” /v DiagnosticDataReportingEnabled

Para alinhar com GDPR e NIS2, recomenda-se:

  • OptionalDiagnosticDataLevel=0 (apenas dados obrigatórios)
  • EdgeEnhanceImagesEnabled=0 (desactiva envio de imagens para melhoramento)
  • EdgeShoppingEnabled=0 (desactiva funcionalidade de compras que envia URLs)
  • PersonalizationReportingEnabled=0 (desactiva personalização baseada em histórico)

Documentação: Microsoft Learn — Edge privacy settings

#### Google Chrome

O Chrome permite desactivar a telemetria via políticas:

; Desactivar telemetria do Chrome
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome]
“MetricsReportingEnabled”=dword:00000000
“UrlKeyedAnonymizedDataCollectionEnabled”=dword:00000000
“SafeBrowsingExtendedReportingEnabled”=dword:00000000

No Google Workspace Admin Console, o administrador pode desactivar a recolha de dados de utilização e diagnóstico em Device > Chrome > Settings > Device > Usage and Diagnostics.

Relatórios e Auditoria

#### Microsoft Edge

O Edge integra-se com o Microsoft Purview Compliance Portal para DLP (Data Loss Prevention) no browser, detectando tentativas de exfiltração de dados sensíveis (números de cartão de crédito, NIF, dados de saúde) via upload, download ou copy-paste.

# Verificar integração Edge com Purview DLP
Get-ItemProperty -Path “HKLM:\SOFTWARE\Policies\Microsoft\Edge” `
-Name “EdgeUrlBlocklist” -ErrorAction SilentlyContinue

# Verificar registos de auditoria do Edge no Event Viewer
Get-WinEvent -LogName “Microsoft-Windows-Application” -MaxEvents 50 |
Where-Object { $_.Message -like “*Edge*” } |
Select-Object TimeCreated, Id, Message | Format-Table -Wrap

Para auditoria de segurança, o Edge envia sinais ao Defender for Cloud Apps, permitindo sessões monitorizadas onde todas as actividades do utilizador no browser são registadas para revisão posterior.

#### Google Chrome

O Chrome Enterprise Premium oferece Chrome Browser Cloud Management com relatórios de:

  • Versões instaladas por utilizador/dispositivo
  • Extensões instaladas
  • Políticas aplicadas
  • Eventos de segurança (downloads bloqueados, phishing detectado)

No Google Workspace Admin Console: Device > Chrome > Reports, onde é possível ver:

  • Browser version report
  • Extension report
  • Policy status report

Para auditoria via API:

# Exemplo: consultar relatórios do Chrome via Google Admin SDK API
# Requer OAuth e Google Admin SDK .NET library
# Documentação: https://developers.google.com/admin-sdk/reports

Tabela de Comparação — Privacidade, Relatórios e Auditoria

Funcionalidade Microsoft Edge Google Chrome
Telemetria configurável OptionalDiagnosticDataLevel MetricsReportingEnabled
Desactivar personalização PersonalizationReportingEnabled=0 UrlKeyedAnonymizedDataCollectionEnabled=0
DLP no browser Microsoft Purview DLP nativo Via Google Workspace DLP (Premium)
Auditoria de sessões Defender for Cloud Apps Google Workspace Audit logs
Relatório de versões Intune + Defender for Cloud Chrome Enterprise Premium
Relatório de extensões Intune + Edge management service Chrome Enterprise Premium
Registos locais (Event Viewer) Sim (Microsoft-Windows-Application) Limitado (logs em %LocalAppData%)
Conformidade GDPR Configurável via políticas Configurável via políticas

Fonte: Microsoft Learn — Edge enterprise privacy; Chrome Enterprise — Privacy policies


Checklist Pré-Produção

Antes de aplicar qualquer política ou configuração deste artigo em ambiente produtivo, confirma os seguintes pontos:

  1. Versão do Windows nos dispositivos alvo (Windows 10 22H2 ou Windows 11 23H2+; Windows 10 atinge EOL em Outubro de 2025): winver ou Get-ComputerInfo | Select WindowsVersion, OsBuildNumber
  2. Versão do Microsoft Edge instalada (deve ser Stable; verificar canal): (Get-Item "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe").VersionInfo.ProductVersion
  3. Versão do Google Chrome instalada (deve ser Stable ou Extended Stable): (Get-Item "C:\Program Files\Google\Chrome\Application\chrome.exe").VersionInfo.ProductVersion
  4. ADMX templates actualizados — descarregar as versões mais recentes de Microsoft Edge ADMX e Google Chrome ADMX antes de importar no PolicyDefinitions do domínio.
  5. Licenciamento verificado — para Chrome Enterprise Premium, confirmar que as licenças por utilizador estão atribuídas no Google Workspace Admin Console; para Edge, confirmar que o Microsoft 365 E3/E5 ou Intune standalone inclui gestão de políticas Edge.
  6. Staging environment disponível — uma OU de teste no AD (ou grupo de teste no Intune/Google Workspace) com 3-5 dispositivos representativos para validar políticas antes de aplicar em produção.
  7. Backup do estado actual — exportar GPOs existentes (Backup-GPO -All -Path C:\GPOBackup) e snapshot de configuração do Google Workspace Admin antes de aplicar novas políticas.
  8. Teste de modo IE — se activar modo IE, validar a site list XML em staging com pelo menos uma aplicação legacy real e confirmar que abre correctamente em modo IE dentro do Edge.

⚠ Atenção

políticas mal configuradas de ExtensionInstallBlocklist=* (bloqueio total de extensões) sem ExtensionInstallAllowlist correspondente podem impedir os utilizadores de trabalhar se dependem de extensões legítimas. Políticas de BrowserSignin=2 (forçar início de sessão) sem Entra ID ou Google Workspace configurado correctamente resultam em loops de autenticação. Testar sempre em staging primeiro e aplicar em janela de manutenção.


Artigos Relacionados

Este artigo foi útil?

Duarte Spínola

Deixe um Comentário