Granica sieci umożliwia dodawanie zaufanych witryn na urządzeniach z systemem Windows w usłudze Microsoft Intune

W przypadku korzystania z funkcji Microsoft Defender Application Guard i Microsoft Edge możesz chronić swoje środowisko przed witrynami, którym organizacja nie ufa. Ta funkcja jest nazywana granicą sieci.

W powiązanej sieci można dodawać domeny sieciowe, zakresy IPV4 i IPv6, serwery proxy i inne. Funkcja Microsoft Defender Application Guard w przeglądarce Microsoft Edge ufa witrynom w tej granicy.

W usłudze Intune można utworzyć profil granic sieci i wdrożyć te zasady na urządzeniach.

Aby uzyskać więcej informacji na temat korzystania z funkcji Microsoft Defender Application Guard w usłudze Intune, przejdź do pozycji Ustawienia klienta systemu Windows w celu ochrony urządzeń przy użyciu usługi Intune.

Ta funkcja ma zastosowanie do:

• Urządzenia z systemem Windows 11 zarejestrowane w usłudze Intune
• Urządzenia z systemem Windows 10 zarejestrowane w usłudze Intune

W tym artykule pokazano, jak utworzyć profil i dodać zaufane witryny.

Przed rozpoczęciem

• Aby utworzyć zasady, co najmniej zaloguj się do centrum administracyjnego usługi Microsoft Intune przy użyciu konta z wbudowaną rolą Policy and Profile Manager . Aby uzyskać więcej informacji na temat wbudowanych ról, przejdź do tematu Kontrola dostępu oparta na rolach dla usługi Microsoft Intune.
• Ta funkcja używa elementu NetworkIsolation CSP.

Tworzenie profilu

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>Nowe zasady.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz pozycję Windows 10 i nowsze.
   • Typ profilu: wybierz pozycję Szablony>Granica sieci.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą profilu jest granica sieci Windows-Contoso.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia:

   • Typ granicy: to ustawienie powoduje utworzenie izolowanej granicy sieci. Witryny w ramach tej granicy są zaufane przez funkcję Microsoft Defender Application Guard. Dostępne opcje:

     • Zakres IPv4: wprowadź rozdzieloną przecinkami listę zakresów adresów IPv4 urządzeń w sieci. Dane z tych urządzeń są uważane za część organizacji i są chronione. Te lokalizacje są uznawane za bezpieczne miejsca docelowe danych organizacji, które mają być udostępniane.
     • Zakres IPv6: wprowadź rozdzieloną przecinkami listę zakresów adresów IPv6 urządzeń w sieci. Dane z tych urządzeń są uważane za część organizacji i są chronione. Te lokalizacje są uznawane za bezpieczne miejsca docelowe danych organizacji, które mają być udostępniane.
     • Zasoby w chmurze: wprowadź rozdzielaną| potokami listę domen zasobów organizacji hostowanych w chmurze, które mają być chronione.
     • Domeny sieciowe: wprowadź rozdzieloną przecinkami listę domen, które tworzą granice. Dane z dowolnej z tych domen są wysyłane do urządzenia oraz są uznawane za dane organizacji i są chronione. Te lokalizacje są uznawane za bezpieczne miejsca docelowe danych organizacji, które mają być udostępniane. Na przykład wprowadź contoso.sharepoint.com, contoso.com.
     • Serwery proxy: Wprowadź rozdzieloną przecinkami listę serwerów proxy. Każdy serwer proxy na tej liście jest na poziomie Internetu, a nie w organizacji. Na przykład wprowadź 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Wewnętrzne serwery proxy: wprowadź rozdzieloną przecinkami listę wewnętrznych serwerów proxy. Serwery proxy są używane podczas dodawania zasobów w chmurze. Wymuszają one ruch do dopasowanych zasobów w chmurze. Na przykład wprowadź 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Zasoby neutralne: wprowadź listę nazw domen, które mogą być używane dla zasobów służbowych lub osobistych.

   • Wartość: wprowadź listę.

   • Automatyczne wykrywanie innych serwerów proxy przedsiębiorstwa: Wyłącz uniemożliwia urządzeniom automatyczne wykrywanie serwerów proxy, których nie ma na liście. Urządzenia akceptują skonfigurowaną listę serwerów proxy. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

   • Automatyczne wykrywanie innych zakresów adresów IP przedsiębiorstwa: Wyłącz uniemożliwia urządzeniom automatyczne wykrywanie zakresów adresów IP, których nie ma na liście. Urządzenia akceptują skonfigurowaną listę zakresów adresów IP. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

8. Wybierz pozycję Dalej.

9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, przejdź do tematu Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonej infrastruktury IT.

   Wybierz pozycję Dalej.

10. W obszarze Przypisania wybierz grupę użytkowników lub użytkowników, którzy otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Przy kolejnym zaewidencjonowaniu każdego urządzenia zasady zostaną zastosowane.

Zasoby

Po przypisaniu profilu pamiętaj, aby monitorować jego stan.

Omówienie programu Microsoft Defender Application Guard