Utiliser une limite réseau pour ajouter des sites de confiance sur des appareils Windows dans Microsoft Intune
Lorsque vous utilisez Microsoft Defender Application Guard et Microsoft Edge, vous pouvez protéger votre environnement contre les sites auxquels votre organisation n’a pas confiance. Cette fonctionnalité est appelée limite réseau.
Dans un réseau lié, vous pouvez ajouter des domaines réseau, des plages IPV4 et IPv6, des serveurs proxy, etc. Microsoft Defender Application Guard dans Microsoft Edge approuve les sites dans cette limite.
Dans Intune, vous pouvez créer un profil de limite réseau et déployer cette stratégie sur vos appareils.
Pour plus d’informations sur l’utilisation de Microsoft Defender Application Guard dans Intune, consultez Paramètres du client Windows pour protéger les appareils à l’aide d’Intune.
Cette fonctionnalité s’applique à :
- Appareils Windows 11 inscrits dans Intune
- Appareils Windows 10 inscrits dans Intune
Cet article explique comment créer le profil et ajouter des sites de confiance.
Avant de commencer
- Pour créer la stratégie, connectez-vous au minimum au Centre d’administration Microsoft Intune avec un compte disposant du rôle intégré Gestionnaire de stratégies et de profils. Pour plus d’informations sur les rôles intégrés, consultez Contrôle d’accès en fonction du rôle pour Microsoft Intune.
- Cette fonctionnalité utilise le fournisseur de services de configuration NetworkIsolation.
Créer le profil
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Appareils>Gérer les appareils>Configuration>Créer une>stratégie.
Entrez les propriétés suivantes :
- Plateforme : sélectionnez Windows 10 et ultérieur.
- Type de profil : sélectionnez Modèles>Limite réseau.
Sélectionnez Créer.
Dans Informations de base, entrez les propriétés suivantes :
- Nom : entrez un nom descriptif pour le profil. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de profil est la limite réseau Windows-Contoso.
- Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.
Sélectionnez Suivant.
Dans Paramètres de configuration, configurez les paramètres suivants :
Type de limite : ce paramètre crée une limite réseau isolée. Les sites au sein de cette limite sont considérés comme approuvés par Microsoft Defender Application Guard. Les options disponibles sont les suivantes :
- Plage IPv4 : entrez une liste séparée par des virgules de plages IPv4 d’appareils de votre réseau. Les données de ces appareils sont considérées comme faisant partie de votre organisation et sont protégées. Ces emplacements sont considérés comme une destination sécurisée pour le partage des données de l’organisation.
- Plage IPv6 : entrez une liste séparée par des virgules de plages IPv6 d’appareils de votre réseau. Les données de ces appareils sont considérées comme faisant partie de votre organisation et sont protégées. Ces emplacements sont considérés comme une destination sécurisée pour le partage des données de l’organisation.
-
Ressources cloud : entrez une liste séparée par un canal (
|
) des domaines de ressources d’organisation hébergés dans le cloud que vous souhaitez protéger. -
Domaines réseau : entrez une liste séparée par des virgules des domaines qui créent les limites. Les données de tous ces domaines sont envoyées à un appareil, sont considérées comme des données de l’organisation et sont protégées. Ces emplacements sont considérés comme une destination sécurisée pour le partage des données de l’organisation. Par exemple, entrez
contoso.sharepoint.com, contoso.com
. -
Serveurs proxy : entrez une liste de serveurs proxy séparés par des virgules. Tout serveur proxy dans cette liste se trouve au niveau Internet et n’est pas interne à l’organisation. Par exemple, entrez
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59
. -
Serveurs proxy internes : entrez une liste de serveurs proxy internes séparés par des virgules. Les proxys sont utilisés lors de l’ajout de ressources cloud. Ils forcent le trafic vers les ressources cloud correspondantes. Par exemple, entrez
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59
. - Ressources neutres : entrez une liste de noms de domaine qui peuvent être utilisés pour les ressources de travail ou les ressources personnelles.
Valeur : entrez votre liste.
Détection automatique d’autres serveurs proxy d’entreprise : l’option Désactiver empêche les appareils de détecter automatiquement les serveurs proxy qui ne figurent pas dans la liste. Les appareils acceptent la liste de proxys configurée. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.
Détection automatique d’autres plages d’adresses IP d’entreprise : Désactivez empêche les appareils de détecter automatiquement les plages d’adresses IP qui ne figurent pas dans la liste. Les appareils acceptent la liste configurée de plages d’adresses IP. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.
Sélectionnez Suivant.
Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple
US-NC IT Team
ouJohnGlenn_ITDepartment
. Pour plus d’informations sur les balises d’étendue, consultez Utiliser RBAC et les balises d’étendue pour l’informatique distribuée.Sélectionnez Suivant.
Dans Affectations, sélectionnez les utilisateurs ou le groupe d’utilisateurs qui recevront votre profil. Pour plus d’informations sur l’attribution de profils, accédez à Attribuer des profils d’utilisateur et d’appareil.
Sélectionnez Suivant.
Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie apparaît également dans la liste des profils.
Lors du prochain enregistrement de chaque appareil, la stratégie est appliquée.
Ressources
Une fois le profil affecté, veillez à superviser son état.