Verwenden einer Netzwerkgrenze zum Hinzufügen vertrauenswürdiger Websites zu Windows-Geräten in Microsoft Intune

Bei Verwendung von Microsoft Defender Application Guard und Microsoft Edge können Sie Ihre Umgebung vor Websites schützen, die von Ihrer Organisation nicht als vertrauenswürdig eingestuft werden. Dieses Feature wird als Netzwerkgrenze bezeichnet. Es ermöglicht Ihnen das Hinzufügen von Netzwerkdomänen, IPv4- und IPv6-Bereichen, Proxyservern und mehr zu Ihrer Netzwerkgrenze. Elemente in dieser Grenze sind vertrauenswürdig.

In Intune können Sie ein Netzwerkbegrenzungsprofil erstellen, das Sie auf Ihren Geräten bereitstellen können.

Weitere Informationen zur Verwendung von Microsoft Defender Application Guard in Intune finden Sie unter Windows-Clienteinstellungen zum Schützen von Geräten mit Intune.

Diese Funktion gilt für:

  • Bei Intune registrierte Windows 11-Geräte
  • Bei Intune registrierte Windows 10-Geräte

In diesem Artikel erfahren Sie, wie Sie das Profil erstellen und vertrauenswürdige Websites hinzufügen.

Bevor Sie beginnen

Dieses Feature nutzt NetworkIsolation CSP.

Erstellen des Profils

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

  2. Wählen Sie Geräte>Konfigurationsprofile>Profil erstellen aus.

  3. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profil: Wählen Sie Vorlagen>Netzwerkgrenze aus.
  4. Wählen Sie Erstellen aus.

  5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Profilname ist beispielsweise Windows-Geräte: Profil Netzwerkgrenze.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
  6. Wählen Sie Weiter aus.

  7. Konfigurieren Sie in den Konfigurationseinstellungen die folgenden Einstellungen:

    • Begrenzungstyp: Über diese Einstellung wird eine isolierte Netzwerkgrenze erstellt. Websites innerhalb dieser Grenze werden von Microsoft Defender Application Guard als vertrauenswürdig eingestuft. Folgende Optionen sind verfügbar:

      • IPv4-Bereich: Geben Sie eine durch Kommas getrennte Liste von IPv4-Bereichen der Geräte in Ihrem Netzwerk ein. Daten dieser Geräte werden als zu Ihrer Organisation gehörend angesehen und geschützt. Diese Speicherorte werden als sicheres Ziel für die Übermittlung von Organisationsdaten betrachtet.
      • IPv6-Bereich: Geben Sie eine durch Kommas getrennte Liste von IPv6-Bereichen der Geräte in Ihrem Netzwerk ein. Daten dieser Geräte werden als zu Ihrer Organisation gehörend angesehen und geschützt. Diese Speicherorte werden als sicheres Ziel für die Übermittlung von Organisationsdaten betrachtet.
      • Cloudressourcen: Geben Sie eine durch senkrechte Striche getrennte Liste der Organisationsressourcendomänen ein, die in der Cloud gehostet werden, die Sie schützen möchten.
      • Network-Domänen: Geben Sie eine durch Trennzeichen getrennte Liste der Domänen an, die die Grenzen bilden. Daten aus diesen Domänen werden an ein Gerät gesendet, als Organisationsdaten betrachtet und geschützt. Diese Speicherorte werden als sicheres Ziel für die Übermittlung von Organisationsdaten betrachtet. Geben Sie beispielsweise contoso.sharepoint.com, contoso.com ein.
      • Proxyserver: Geben Sie eine durch Trennzeichen getrennte Liste von Proxyservern ein. Jeder Proxyserver in dieser Liste befindet sich auf der Internetebene und nicht innerhalb der Organisation. Geben Sie beispielsweise 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59 ein.
      • Interne Proxyserver: Geben Sie eine kommagetrennte Liste der internen Proxyserver ein. Diese Proxys werden beim Hinzufügen von Cloudressourcen verwendet. Sie erzwingen den Datenverkehr an die entsprechenden Cloudressourcen. Geben Sie beispielsweise 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59 ein.
      • Neutrale Ressourcen: Geben Sie eine Liste der Domänennamen ein, die für Arbeitsressourcen oder persönliche Ressourcen verwendet werden können.
    • Wert: Geben Sie Ihre Liste ein.

    • Automatische Erkennung anderer Unternehmensproxyserver: Die Option Deaktivieren verhindert, dass Geräte Proxyserver automatisch erkennen, die nicht in der Liste enthalten sind. Die Geräte akzeptieren die konfigurierte Liste der Proxys. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.

    • Automatische Erkennung weiterer Unternehmens-IP-Adressbereiche: Die Option Deaktivieren verhindert, dass Geräte IP-Bereiche automatisch erkennen, die nicht in der Liste enthalten sind. Die Geräte akzeptieren die konfigurierte Liste von IP-Adressbereichen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.

  8. Wählen Sie Weiter aus.

  9. Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie US-NC IT Team oder JohnGlenn_ITDepartment zu filtern. Weitere Informationen zu Bereichstags finden Sie unter Verwenden der RBAC und von Bereichstags für verteilte IT.

    Wählen Sie Weiter aus.

  10. Wählen Sie unter Zuweisungen die Benutzer oder Benutzergruppen aus, denen Ihr Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wählen Sie Weiter aus.

  11. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Wenn die Geräte das nächste Mal einchecken, wird die Richtlinie angewendet.

Nächste Schritte

Überwachen Sie den Profilstatus, nachdem das Profil zugewiesen wurde.

Übersicht über Microsoft Defender Application Guard