Usare un limite di rete per aggiungere siti attendibili nei dispositivi Windows in Microsoft Intune

Quando si usano Microsoft Defender Application Guard e Microsoft Edge, è possibile proteggere l'ambiente da siti che l'organizzazione non considera attendibili. Questa funzionalità è definita limite di rete.

In un limite di rete è possibile aggiungere domini di rete, intervalli IPV4 e IPv6, server proxy e altro ancora. Microsoft Defender Application Guard in Microsoft Edge considera attendibili i siti in questo limite.

In Intune è possibile creare un profilo di limite di rete e distribuire questo criterio nei dispositivi.

Per altre informazioni sull'uso di Microsoft Defender Application Guard in Intune, passare a Impostazioni client Windows per proteggere i dispositivi usando Intune.

Questa funzionalità si applica a:

• Windows 11 dispositivi registrati in Intune
• Windows 10 dispositivi registrati in Intune

Questo articolo illustra come creare il profilo e aggiungere i siti attendibili.

Prima di iniziare

• Per creare i criteri, accedere almeno all'interfaccia di amministrazione Microsoft Intune con un account con il ruolo predefinito Criteri e Profile Manager. Per altre informazioni sui ruoli predefiniti, vedere Controllo degli accessi in base al ruolo per Microsoft Intune.
• Questa funzionalità usa il CSP NetworkIsolation.

Creare il profilo

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>Nuovo criterio.

3. Immettere le proprietà seguenti:

   • Piattaforma: selezionare Windows 10 e versioni successive.
   • Tipo di profilo: selezionare Modelli>Limite di rete.

4. Selezionare Crea.

5. In Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il profilo. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è limite di rete Windows-Contoso.
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

6. Selezionare Avanti.

7. In Impostazioni di configurazione completare le impostazioni seguenti:

   • Importa: questa opzione consente di importare un .csv file con i dettagli dei limiti di rete.

   • Tipo di limite: questa impostazione crea un limite di rete isolato. I siti in questo limite sono considerati attendibili da Microsoft Defender Application Guard. Le opzioni disponibili sono:

     • Intervallo IPv4: immettere un elenco delimitato da virgole degli intervalli IPv4 dei dispositivi della rete. I dati di questi dispositivi sono considerati parte dell'organizzazione e sono protetti. Questi percorsi sono considerati una destinazione sicura per la condivisione dei dati dell'organizzazione.
     • Intervallo IPv6: immettere un elenco delimitato da virgole degli intervalli IPv6 dei dispositivi della rete. I dati di questi dispositivi sono considerati parte dell'organizzazione e sono protetti. Questi percorsi sono considerati una destinazione sicura per la condivisione dei dati dell'organizzazione.
     • Risorse cloud: immettere un elenco di domini di risorse dell'organizzazione separati da pipe (|) ospitati nel cloud che si vuole proteggere.
     • Domini di rete: immettere un elenco delimitato da virgole dei domini che creano i limiti. I dati di questi domini vengono inviati a un dispositivo, sono considerati dati dell'organizzazione e sono protetti. Questi percorsi sono considerati una destinazione sicura per la condivisione dei dati dell'organizzazione. Immettere ad esempio contoso.sharepoint.com, contoso.com.
     • Server proxy: immettere un elenco di server proxy delimitato da virgole. Tutti i server proxy presenti in questo elenco sono a livello di Internet e non interni all'organizzazione. Immettere ad esempio 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Server proxy interni: immettere un elenco delimitato da virgole di server proxy interni. I proxy vengono usati quando si aggiungono risorse cloud. Forzano il traffico verso le risorse cloud corrispondenti. Immettere ad esempio 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Risorse neutrali: immettere un elenco di nomi di dominio che possono essere usati per le risorse di lavoro o personali.

   • Valore: immettere l'elenco.

   • Rilevamento automatico di altri server proxy aziendali: Disabilita impedisce ai dispositivi di rilevare automaticamente i server proxy non presenti nell'elenco. I dispositivi accettano l'elenco dei proxy configurato. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione.

   • Rilevamento automatico di altri intervalli IP aziendali:Disabilita impedisce ai dispositivi di rilevare automaticamente gli intervalli IP non presenti nell'elenco. I dispositivi accettano l'elenco di intervalli IP configurato. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione.

8. Selezionare Avanti.

9. In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Per altre informazioni sui tag degli ambiti, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

   Seleziona Avanti.

10. In Assegnazioni selezionare gli utenti o il gruppo utenti che riceveranno il profilo. Per altre informazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.

    Seleziona Avanti.

11. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Alla successiva sincronizzazione di ogni dispositivo, viene applicato il criterio.

Articoli correlati

• Dopo l'assegnazione del profilo, assicurarsi di monitorarne lo stato.
• Panoramica di Microsoft Defender Application Guard