Usare un limite di rete per aggiungere siti attendibili nei dispositivi Windows in Microsoft Intune
Quando si usa Microsoft Defender Application Guard e Microsoft Edge, è possibile proteggere l'ambiente da siti che l'organizzazione non considera attendibili. Questa funzionalità è definita limite di rete.
In un limite di rete è possibile aggiungere domini di rete, intervalli IPV4 e IPv6, server proxy e altro ancora. Microsoft Defender Application Guard in Microsoft Edge considera attendibili i siti in questo limite.
In Intune è possibile creare un profilo di limite di rete e distribuire questo criterio nei dispositivi.
Per altre informazioni sull'uso di Microsoft Defender Application Guard in Intune, passare a Impostazioni client Windows per proteggere i dispositivi con Intune.
Questa funzionalità si applica a:
- Dispositivi Windows 11 registrati in Intune
- Dispositivi Windows 10 registrati in Intune
Questo articolo illustra come creare il profilo e aggiungere i siti attendibili.
Prima di iniziare
- Per creare i criteri, accedere almeno all'interfaccia di amministrazione di Microsoft Intune con un account con il ruolo predefinito Criteri e Profile Manager . Per altre informazioni sui ruoli predefiniti, vedere Controllo degli accessi in base al ruolo per Microsoft Intune.
- Questa funzionalità usa il CSP NetworkIsolation.
Creare il profilo
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>Nuovo criterio.
Immettere le proprietà seguenti:
- Piattaforma: selezionare Windows 10 e versioni successive.
- Tipo di profilo: selezionare Modelli>Limite di rete.
Selezionare Crea.
In Informazioni di base immettere le proprietà seguenti:
- Nome: immettere un nome descrittivo per il profilo. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è limite di rete Windows-Contoso.
- Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
Selezionare Avanti.
In Impostazioni di configurazione completare le impostazioni seguenti:
Tipo di limite: questa impostazione crea un limite di rete isolato. I siti in questo limite sono considerati attendibili da Microsoft Defender Application Guard. Le opzioni disponibili sono:
- Intervallo IPv4: immettere un elenco delimitato da virgole degli intervalli IPv4 dei dispositivi della rete. I dati di questi dispositivi sono considerati parte dell'organizzazione e sono protetti. Questi percorsi sono considerati una destinazione sicura per la condivisione dei dati dell'organizzazione.
- Intervallo IPv6: immettere un elenco delimitato da virgole degli intervalli IPv6 dei dispositivi della rete. I dati di questi dispositivi sono considerati parte dell'organizzazione e sono protetti. Questi percorsi sono considerati una destinazione sicura per la condivisione dei dati dell'organizzazione.
-
Risorse cloud: immettere un elenco di domini di risorse dell'organizzazione separati da pipe (
|
) ospitati nel cloud che si vuole proteggere. -
Domini di rete: immettere un elenco delimitato da virgole dei domini che creano i limiti. I dati di questi domini vengono inviati a un dispositivo, sono considerati dati dell'organizzazione e sono protetti. Questi percorsi sono considerati una destinazione sicura per la condivisione dei dati dell'organizzazione. Immettere ad esempio
contoso.sharepoint.com, contoso.com
. -
Server proxy: immettere un elenco di server proxy delimitato da virgole. Tutti i server proxy presenti in questo elenco sono a livello di Internet e non interni all'organizzazione. Immettere ad esempio
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59
. -
Server proxy interni: immettere un elenco delimitato da virgole di server proxy interni. I proxy vengono usati quando si aggiungono risorse cloud. Forzano il traffico verso le risorse cloud corrispondenti. Immettere ad esempio
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59
. - Risorse neutrali: immettere un elenco di nomi di dominio che possono essere usati per le risorse di lavoro o personali.
Valore: immettere l'elenco.
Rilevamento automatico di altri server proxy aziendali: Disabilita impedisce ai dispositivi di rilevare automaticamente i server proxy non presenti nell'elenco. I dispositivi accettano l'elenco dei proxy configurato. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione.
Rilevamento automatico di altri intervalli IP aziendali:Disabilita impedisce ai dispositivi di rilevare automaticamente gli intervalli IP non presenti nell'elenco. I dispositivi accettano l'elenco di intervalli IP configurato. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione.
Selezionare Avanti.
In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio
US-NC IT Team
oJohnGlenn_ITDepartment
. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.Seleziona Avanti.
In Assegnazioni selezionare gli utenti o il gruppo utenti che riceveranno il profilo. Per altre informazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.
Seleziona Avanti.
In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.
Alla successiva sincronizzazione di ogni dispositivo, viene applicato il criterio.
Risorse
Dopo l'assegnazione del profilo, assicurarsi di monitorarne lo stato.