Gebruik een netwerkgrens om vertrouwde sites toe te voegen op Windows-apparaten in Microsoft Intune

Wanneer u Microsoft Defender Application Guard en Microsoft Edge gebruikt, kunt u uw omgeving beveiligen tegen sites die uw organisatie niet vertrouwt. Deze functie wordt een netwerkgrens genoemd.

In een netwerk gebonden kunt u netwerkdomeinen, IPV4- en IPv6-bereiken, proxyservers en meer toevoegen. Microsoft Defender Application Guard in Microsoft Edge vertrouwt sites in deze grens.

In Intune kunt u een netwerkgrensprofiel maken en dit beleid implementeren op uw apparaten.

Ga naar Windows-clientinstellingen om apparaten te beveiligen met Intune voor meer informatie over het gebruik van Microsoft Defender Application Guard in Intune.

Deze functie is van toepassing op:

• Windows 11 apparaten die zijn ingeschreven bij Intune
• Windows 10 apparaten die zijn ingeschreven bij Intune

In dit artikel wordt beschreven hoe u het profiel maakt en vertrouwde sites toevoegt.

Voordat u begint

• Als u het beleid wilt maken, meldt u zich minimaal aan bij het Microsoft Intune-beheercentrum met een account met de ingebouwde rol Beleid en Profielbeheer. Ga naar Op rollen gebaseerd toegangsbeheer voor Microsoft Intune voor meer informatie over de ingebouwde rollen.
• Deze functie maakt gebruik van de NetworkIsolation-CSP.

Het profiel maken

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Apparaten>Configuratie>maken.

3. Geef de volgende eigenschappen op:

   • Platform: selecteer Windows 10 en hoger.
   • Profieltype: Selecteer Sjablonen>Netwerkgrens.

4. Selecteer Maken.

5. Voer in Basis de volgende eigenschappen in:

   • Naam: voer een beschrijvende naam in voor het profiel. Geef uw beleid een naam, zodat u ze later eenvoudig kunt identificeren. Een goede profielnaam is bijvoorbeeld de netwerkgrens Windows-Contoso.
   • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

6. Selecteer Volgende.

7. Configureer in Configuratie-instellingen de volgende instellingen:

   • Grenstype: met deze instelling wordt een geïsoleerde netwerkgrens gemaakt. Sites binnen deze grens worden beschouwd als vertrouwd door Microsoft Defender Application Guard. Uw opties:

     • IPv4-bereik: voer een door komma's gescheiden lijst met IPv4-bereiken met apparaten in uw netwerk in. Gegevens van deze apparaten worden beschouwd als onderdeel van uw organisatie en worden beveiligd. Deze locaties worden beschouwd als een veilige bestemming voor organisatiegegevens om mee te delen.
     • IPv6-bereik: voer een door komma's gescheiden lijst met IPv6-bereiken met apparaten in uw netwerk in. Gegevens van deze apparaten worden beschouwd als onderdeel van uw organisatie en worden beveiligd. Deze locaties worden beschouwd als een veilige bestemming voor organisatiegegevens om mee te delen.
     • Cloudresources: voer een door pijpen gescheiden (|) lijst in met organisatieresourcedomeinen die worden gehost in de cloud en die u wilt beveiligen.
     • Netwerkdomeinen: voer een door komma's gescheiden lijst met domeinen in waarmee de grenzen worden gemaakt. Gegevens van een van deze domeinen worden verzonden naar een apparaat, worden beschouwd als organisatiegegevens en worden beveiligd. Deze locaties worden beschouwd als een veilige bestemming voor organisatiegegevens om mee te delen. Voer bijvoorbeeld in contoso.sharepoint.com, contoso.com.
     • Proxyservers: voer een door komma's gescheiden lijst met proxyservers in. Elke proxyserver in deze lijst bevindt zich op internetniveau en niet intern voor de organisatie. Voer bijvoorbeeld in 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Interne proxyservers: voer een door komma's gescheiden lijst met interne proxyservers in. De proxy's worden gebruikt bij het toevoegen van cloudresources. Ze forceren verkeer naar de overeenkomende cloudresources. Voer bijvoorbeeld in 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Neutrale resources: voer een lijst met domeinnamen in die kunnen worden gebruikt voor werkresources of persoonlijke resources.

   • Waarde: voer uw lijst in.

   • Automatische detectie van andere bedrijfsproxyservers: Met Uitschakelen voorkomt u dat apparaten automatisch proxyservers detecteren die niet in de lijst voorkomen. De apparaten accepteren de geconfigureerde lijst met proxy's. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt.

   • Automatische detectie van andere BEDRIJFS-IP-bereiken: Met Uitschakelen voorkomt u dat apparaten automatisch IP-bereiken detecteren die niet in de lijst voorkomen. De apparaten accepteren de geconfigureerde lijst met IP-bereiken. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt.

8. Selecteer Volgende.

9. Wijs in Bereiktags (optioneel) een tag toe om het profiel te filteren op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. Ga voor meer informatie over bereiktags naar RBAC en bereiktags gebruiken voor gedistribueerde IT.

   Selecteer Volgende.

10. Selecteer in Toewijzingen de gebruikers of gebruikersgroep die uw profiel zullen ontvangen. Ga naar Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Selecteer Volgende.

11. Controleer uw instellingen in Beoordelen en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.

De volgende keer dat elk apparaat wordt ingecheckt, wordt het beleid toegepast.

Middelen

Nadat het profiel is toegewezen, controleert u de status ervan.

overzicht van Microsoft Defender Application Guard