Granica sieci umożliwia dodawanie zaufanych witryn na urządzeniach z systemem Windows w usłudze Microsoft Intune

W przypadku korzystania z Microsoft Defender Application Guard i przeglądarki Microsoft Edge możesz chronić środowisko przed witrynami, którym organizacja nie ufa. Ta funkcja jest nazywana granicą sieci.

W granicach sieci można dodawać domeny sieciowe, zakresy IPV4 i IPv6, serwery proxy i inne. Microsoft Defender Application Guard w przeglądarce Microsoft Edge ufa lokacjom w tej granicy.

W Intune można utworzyć profil granic sieci i wdrożyć te zasady na urządzeniach.

Aby uzyskać więcej informacji na temat korzystania z Microsoft Defender Application Guard w Intune, przejdź do pozycji Ustawienia klienta systemu Windows, aby chronić urządzenia przy użyciu Intune.

Ta funkcja ma zastosowanie do:

• Windows 11 urządzeń zarejestrowanych w Intune
• Windows 10 urządzeń zarejestrowanych w Intune

W tym artykule pokazano, jak utworzyć profil i dodać zaufane witryny.

Przed rozpoczęciem

• Aby utworzyć zasady, co najmniej zaloguj się do centrum administracyjnego Microsoft Intune przy użyciu konta z wbudowaną rolą Policy and Profile Manager. Aby uzyskać więcej informacji na temat wbudowanych ról, przejdź do obszaru Kontrola dostępu oparta na rolach dla Microsoft Intune.
• Ta funkcja używa elementu NetworkIsolation CSP.

Tworzenie profilu

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>Nowe zasady.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz pozycję Windows 10 i nowsze.
   • Typ profilu: wybierz pozycję Szablony>Granica sieci.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą profilu jest granica sieci Windows-Contoso.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia:

   • Importuj: ta opcja umożliwia zaimportowanie .csv pliku ze szczegółami granicy sieci.

   • Typ granicy: to ustawienie powoduje utworzenie izolowanej granicy sieci. Witryny w ramach tej granicy są zaufane przez funkcję Microsoft Defender Application Guard. Dostępne opcje:

     • Zakres IPv4: wprowadź rozdzieloną przecinkami listę zakresów adresów IPv4 urządzeń w sieci. Dane z tych urządzeń są uważane za część organizacji i są chronione. Te lokalizacje są uznawane za bezpieczne miejsca docelowe danych organizacji, które mają być udostępniane.
     • Zakres IPv6: wprowadź rozdzieloną przecinkami listę zakresów adresów IPv6 urządzeń w sieci. Dane z tych urządzeń są uważane za część organizacji i są chronione. Te lokalizacje są uznawane za bezpieczne miejsca docelowe danych organizacji, które mają być udostępniane.
     • Zasoby w chmurze: wprowadź rozdzielaną| potokami listę domen zasobów organizacji hostowanych w chmurze, które mają być chronione.
     • Domeny sieciowe: wprowadź rozdzieloną przecinkami listę domen, które tworzą granice. Dane z dowolnej z tych domen są wysyłane do urządzenia oraz są uznawane za dane organizacji i są chronione. Te lokalizacje są uznawane za bezpieczne miejsca docelowe danych organizacji, które mają być udostępniane. Na przykład wprowadź contoso.sharepoint.com, contoso.com.
     • Serwery proxy: Wprowadź rozdzieloną przecinkami listę serwerów proxy. Każdy serwer proxy na tej liście jest na poziomie Internetu, a nie w organizacji. Na przykład wprowadź 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Wewnętrzne serwery proxy: wprowadź rozdzieloną przecinkami listę wewnętrznych serwerów proxy. Serwery proxy są używane podczas dodawania zasobów w chmurze. Wymuszają one ruch do dopasowanych zasobów w chmurze. Na przykład wprowadź 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Zasoby neutralne: wprowadź listę nazw domen, które mogą być używane dla zasobów służbowych lub osobistych.

   • Wartość: wprowadź listę.

   • Automatyczne wykrywanie innych serwerów proxy przedsiębiorstwa: Wyłącz uniemożliwia urządzeniom automatyczne wykrywanie serwerów proxy, których nie ma na liście. Urządzenia akceptują skonfigurowaną listę serwerów proxy. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

   • Automatyczne wykrywanie innych zakresów adresów IP przedsiębiorstwa: Wyłącz uniemożliwia urządzeniom automatyczne wykrywanie zakresów adresów IP, których nie ma na liście. Urządzenia akceptują skonfigurowaną listę zakresów adresów IP. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

8. Wybierz pozycję Dalej.

9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat znaczników zakresu, przejdź do artykułu Używanie kontroli dostępu opartej na rolach (RBAC) i znaczników zakresu w rozproszonej infrastrukturze informatycznej.

   Wybierz pozycję Dalej.

10. W obszarze Przypisania wybierz grupę użytkowników lub użytkowników, którzy otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Przy kolejnym zaewidencjonowaniu każdego urządzenia zasady zostaną zastosowane.

Artykuły pokrewne

• Po przypisaniu profilu pamiętaj, aby monitorować jego stan.
• Omówienie programu Microsoft Defender Application Guard