Поделиться через


Использование границы сети для добавления надежных сайтов на устройствах Windows в Microsoft Intune

При использовании Microsoft Defender Application Guard и Microsoft Edge вы можете защитить среду от сайтов, которым ваша организация не доверяет. Эта функция называется "граница сети".

В привязанной к сети можно добавить сетевые домены, диапазоны IPV4 и IPv6, прокси-серверы и многое другое. Microsoft Defender Application Guard в Microsoft Edge доверяет сайтам в этой границе.

В Intune можно создать профиль границ сети и развернуть эту политику на своих устройствах.

Дополнительные сведения об использовании Application Guard в Microsoft Defender в Intune см. в разделе Параметры клиента Windows для защиты устройств с помощью Intune.

Данная функция применяется к:

  • Устройства с Windows 11, зарегистрированные в Intune
  • Устройства с Windows 10, зарегистрированные в Intune

В этой статье рассказывается, как создать профиль и добавить доверенные сайты.

Прежде чем начать

Создание профиля

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.

  3. Укажите следующие свойства:

    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: выберите Шаблоны>Граница сети.
  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя: введите описательное имя для профиля. Назначьте имена политикам, чтобы их можно было легко найти в последствии. Например, хорошее имя профиля — граница сети Windows-Contoso.
    • Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
  6. Нажмите кнопку Далее.

  7. В разделе Параметры конфигурациинастройте следующие параметры.

    • Тип границы: Этот параметр создает границу изолированной сети. Сайты, расположенные на этой границе, считаются доверенными для Application Guard в Microsoft Defender. Доступны следующие параметры:

      • Диапазон IPv4: Введите разделенный запятыми список диапазонов IPv4-адресов устройств в сети. Данные этих устройств считаются частью вашей организации и защищены. Эти расположения считаются безопасным местом назначения при предоставлении общего доступа к данным организации.
      • Диапазон IPv6: Введите разделенный запятыми список диапазонов IPv6-адресов устройств в сети. Данные этих устройств считаются частью вашей организации и защищены. Эти расположения считаются безопасным местом назначения при предоставлении общего доступа к данным организации.
      • Облачные ресурсы. Введите разделенный по каналу (|) список доменов ресурсов организации, размещенных в облаке, которое требуется защитить.
      • Сетевые домены: Введите разделенный запятыми список доменов, которые создают границы. Данные из любого из этих доменов, отправляющиеся на устройство, считаются данными организации и защищены. Эти расположения считаются безопасным местом назначения при предоставлении общего доступа к данным организации. Например, введите contoso.sharepoint.com, contoso.com.
      • Прокси-серверы: Введите разделенный запятыми список прокси-серверов. Любой прокси-сервер из этого списка находится на уровне Интернета и не является внутренним для организации. Например, введите 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
      • Внутренние прокси-серверы: Введите разделенный запятыми список внутренних прокси-серверов. Эти прокси-серверы используются при добавлении облачных ресурсов. Они принудительно направляют трафик в соответствующие облачные ресурсы. Например, введите 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
      • Нейтральные ресурсы: Введите список доменных имен, которые могут использоваться в качестве рабочих или персональных ресурсов.
    • Значение: Введите список.

    • Автоматическое обнаружение других корпоративных прокси-серверов: значение Отключить запрещает устройствам автоматически обнаруживать прокси-серверы, которых нет в списке. Устройства принимают настроенный список прокси-серверов. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.

    • Автоматическое обнаружение других корпоративных диапазонов IP-адресов: значение Отключить запрещает устройствам автоматически обнаруживать диапазоны IP-адресов, которых нет в списке. Устройства принимают настроенный список диапазонов IP-адресов. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.

  8. Нажмите кнопку Далее.

  9. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах области см. в статье Использование RBAC и тегов области для распределенной ИТ-службы.

    Нажмите кнопку Далее.

  10. В поле Назначения выберите пользователей или группу пользователей, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

  11. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Политика будет применена при следующей синхронизации устройства.

Ресурсы

После назначения профиля отслеживайте его состояние.

Обзор Application Guard в Microsoft Defender