Verwenden einer Netzwerkgrenze zum Hinzufügen vertrauenswürdiger Websites zu Windows-Geräten in Microsoft Intune
Wenn Sie Microsoft Defender Application Guard und Microsoft Edge verwenden, können Sie Ihre Umgebung vor Websites schützen, denen Ihre Organisation nicht vertraut. Dieses Feature wird als Netzwerkgrenze bezeichnet.
In einer netzwerkgebundenen Umgebung können Sie Netzwerkdomänen, IPV4- und IPv6-Bereiche, Proxyserver und vieles mehr hinzufügen. Microsoft Defender Application Guard in Microsoft Edge vertraut Websites in dieser Grenze.
In Intune können Sie ein Netzwerkbegrenzungsprofil erstellen und diese Richtlinie auf Ihren Geräten bereitstellen.
Weitere Informationen zur Verwendung von Microsoft Defender Application Guard in Intune erhalten Sie unter Windows-Clienteinstellungen zum Schützen von Geräten mit Intune.
Diese Funktion gilt für:
- Bei Intune registrierte Windows 11-Geräte
- Bei Intune registrierte Windows 10-Geräte
In diesem Artikel erfahren Sie, wie Sie das Profil erstellen und vertrauenswürdige Websites hinzufügen.
Bevor Sie beginnen
- Um die Richtlinie zu erstellen, melden Sie sich mindestens beim Microsoft Intune Admin Center mit einem Konto an, das über die integrierte Rolle Richtlinien- und Profil-Manager verfügt. Weitere Informationen zu den integrierten Rollen findest du unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.
- Dieses Feature nutzt NetworkIsolation CSP.
Erstellen des Profils
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Geräte>Geräte verwalten>Konfiguration>Erstellen>Neue Richtlinie aus.
Geben Sie die folgenden Eigenschaften ein:
- Plattform: Wählen Sie Windows 10 und höher aus.
- Profiltyp: Wählen Sie Vorlagen>Netzwerkgrenze aus.
Wählen Sie Erstellen aus.
Geben Sie in Grundlagen die folgenden Eigenschaften ein:
- Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Profilname ist z. B. die Netzwerkgrenze Windows-Contoso.
- Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
Wählen Sie Weiter aus.
Konfigurieren Sie in den Konfigurationseinstellungen die folgenden Einstellungen:
Begrenzungstyp: Über diese Einstellung wird eine isolierte Netzwerkgrenze erstellt. Websites innerhalb dieser Grenze werden von Microsoft Defender Application Guard als vertrauenswürdig eingestuft. Folgende Optionen sind verfügbar:
- IPv4-Bereich: Geben Sie eine durch Kommas getrennte Liste von IPv4-Bereichen der Geräte in Ihrem Netzwerk ein. Daten dieser Geräte werden als zu Ihrer Organisation gehörend angesehen und geschützt. Diese Speicherorte werden als sicheres Ziel für die Übermittlung von Organisationsdaten betrachtet.
- IPv6-Bereich: Geben Sie eine durch Kommas getrennte Liste von IPv6-Bereichen der Geräte in Ihrem Netzwerk ein. Daten dieser Geräte werden als zu Ihrer Organisation gehörend angesehen und geschützt. Diese Speicherorte werden als sicheres Ziel für die Übermittlung von Organisationsdaten betrachtet.
-
Cloudressourcen: Geben Sie eine durch Pipe getrennte
|
Liste () der Organisationsressourcendomänen ein, die in der Cloud gehostet werden, die Sie schützen möchten. -
Network-Domänen: Geben Sie eine durch Trennzeichen getrennte Liste der Domänen an, die die Grenzen bilden. Daten aus diesen Domänen werden an ein Gerät gesendet, als Organisationsdaten betrachtet und geschützt. Diese Speicherorte werden als sicheres Ziel für die Übermittlung von Organisationsdaten betrachtet. Geben Sie beispielsweise
contoso.sharepoint.com, contoso.com
ein. -
Proxyserver: Geben Sie eine durch Trennzeichen getrennte Liste von Proxyservern ein. Jeder Proxyserver in dieser Liste befindet sich auf der Internetebene und nicht innerhalb der Organisation. Geben Sie beispielsweise
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59
ein. -
Interne Proxyserver: Geben Sie eine kommagetrennte Liste der internen Proxyserver ein. Diese Proxys werden beim Hinzufügen von Cloudressourcen verwendet. Sie erzwingen den Datenverkehr an die entsprechenden Cloudressourcen. Geben Sie beispielsweise
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59
ein. - Neutrale Ressourcen: Geben Sie eine Liste der Domänennamen ein, die für Arbeitsressourcen oder persönliche Ressourcen verwendet werden können.
Wert: Geben Sie Ihre Liste ein.
Automatische Erkennung anderer Unternehmensproxyserver: Die Option Deaktivieren verhindert, dass Geräte Proxyserver automatisch erkennen, die nicht in der Liste enthalten sind. Die Geräte akzeptieren die konfigurierte Liste der Proxys. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Automatische Erkennung weiterer Unternehmens-IP-Adressbereiche: Die Option Deaktivieren verhindert, dass Geräte IP-Bereiche automatisch erkennen, die nicht in der Liste enthalten sind. Die Geräte akzeptieren die konfigurierte Liste von IP-Adressbereichen. Wenn die Standardeinstellung Nicht konfiguriert festgelegt ist, wird sie von Intune nicht geändert oder aktualisiert.
Wählen Sie Weiter aus.
Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie
US-NC IT Team
oderJohnGlenn_ITDepartment
zu filtern. Weitere Informationen zu Bereichstags findest du unter Verwenden von RBAC und Bereichsmarkierungen für verteilte IT.Wählen Sie Weiter aus.
Wählen Sie unter Zuweisungen die Benutzer oder Benutzergruppen aus, denen Ihr Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen findest du unter Zuweisen von Benutzer- und Geräteprofilen.
Wählen Sie Weiter aus.
Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.
Wenn die Geräte das nächste Mal einchecken, wird die Richtlinie angewendet.
Ressourcen
Überwachen Sie den Profilstatus, nachdem das Profil zugewiesen wurde.