Granica sieci umożliwia dodawanie zaufanych witryn na urządzeniach z systemem Windows w usłudze Microsoft Intune
W przypadku korzystania z Microsoft Defender Application Guard i przeglądarki Microsoft Edge możesz chronić środowisko przed witrynami, którym organizacja nie ufa. Ta funkcja jest nazywana granicą sieci.
W powiązanej sieci można dodawać domeny sieciowe, zakresy IPV4 i IPv6, serwery proxy i inne. Microsoft Defender Application Guard w przeglądarce Microsoft Edge ufa lokacjom w tej granicy.
W Intune można utworzyć profil granic sieci i wdrożyć te zasady na urządzeniach.
Aby uzyskać więcej informacji na temat korzystania z Microsoft Defender Application Guard w Intune, przejdź do pozycji Ustawienia klienta systemu Windows, aby chronić urządzenia przy użyciu Intune.
Ta funkcja ma zastosowanie do:
- Windows 11 urządzeń zarejestrowanych w Intune
- Windows 10 urządzeń zarejestrowanych w Intune
W tym artykule pokazano, jak utworzyć profil i dodać zaufane witryny.
Przed rozpoczęciem
- Aby utworzyć zasady, co najmniej zaloguj się do centrum administracyjnego Microsoft Intune przy użyciu konta z wbudowaną rolą Policy and Profile Manager. Aby uzyskać więcej informacji na temat wbudowanych ról, przejdź do obszaru Kontrola dostępu oparta na rolach dla Microsoft Intune.
- Ta funkcja używa elementu NetworkIsolation CSP.
Tworzenie profilu
Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>Nowe zasady.
Wprowadź następujące właściwości:
- Platforma: wybierz pozycję Windows 10 i nowsze.
- Typ profilu: wybierz pozycję Szablony>Granica sieci.
Wybierz pozycję Utwórz.
W obszarze Podstawy wprowadź następujące właściwości:
- Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą profilu jest granica sieci Windows-Contoso.
- Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
Wybierz pozycję Dalej.
W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia:
Typ granicy: to ustawienie powoduje utworzenie izolowanej granicy sieci. Witryny w ramach tej granicy są zaufane przez funkcję Microsoft Defender Application Guard. Dostępne opcje:
- Zakres IPv4: wprowadź rozdzieloną przecinkami listę zakresów adresów IPv4 urządzeń w sieci. Dane z tych urządzeń są uważane za część organizacji i są chronione. Te lokalizacje są uznawane za bezpieczne miejsca docelowe danych organizacji, które mają być udostępniane.
- Zakres IPv6: wprowadź rozdzieloną przecinkami listę zakresów adresów IPv6 urządzeń w sieci. Dane z tych urządzeń są uważane za część organizacji i są chronione. Te lokalizacje są uznawane za bezpieczne miejsca docelowe danych organizacji, które mają być udostępniane.
-
Zasoby w chmurze: wprowadź rozdzielaną
|
potokami listę domen zasobów organizacji hostowanych w chmurze, które mają być chronione. -
Domeny sieciowe: wprowadź rozdzieloną przecinkami listę domen, które tworzą granice. Dane z dowolnej z tych domen są wysyłane do urządzenia oraz są uznawane za dane organizacji i są chronione. Te lokalizacje są uznawane za bezpieczne miejsca docelowe danych organizacji, które mają być udostępniane. Na przykład wprowadź
contoso.sharepoint.com, contoso.com
. -
Serwery proxy: Wprowadź rozdzieloną przecinkami listę serwerów proxy. Każdy serwer proxy na tej liście jest na poziomie Internetu, a nie w organizacji. Na przykład wprowadź
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59
. -
Wewnętrzne serwery proxy: wprowadź rozdzieloną przecinkami listę wewnętrznych serwerów proxy. Serwery proxy są używane podczas dodawania zasobów w chmurze. Wymuszają one ruch do dopasowanych zasobów w chmurze. Na przykład wprowadź
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59
. - Zasoby neutralne: wprowadź listę nazw domen, które mogą być używane dla zasobów służbowych lub osobistych.
Wartość: wprowadź listę.
Automatyczne wykrywanie innych serwerów proxy przedsiębiorstwa: Wyłącz uniemożliwia urządzeniom automatyczne wykrywanie serwerów proxy, których nie ma na liście. Urządzenia akceptują skonfigurowaną listę serwerów proxy. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
Automatyczne wykrywanie innych zakresów adresów IP przedsiębiorstwa: Wyłącz uniemożliwia urządzeniom automatyczne wykrywanie zakresów adresów IP, których nie ma na liście. Urządzenia akceptują skonfigurowaną listę zakresów adresów IP. W przypadku ustawienia Nie skonfigurowano (wartość domyślna) usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
Wybierz pozycję Dalej.
W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak
US-NC IT Team
lubJohnGlenn_ITDepartment
. Aby uzyskać więcej informacji na temat tagów zakresu, przejdź do tematu Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonej infrastruktury IT.Wybierz pozycję Dalej.
W obszarze Przypisania wybierz grupę użytkowników lub użytkowników, którzy otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.
Wybierz pozycję Dalej.
W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.
Przy kolejnym zaewidencjonowaniu każdego urządzenia zasady zostaną zastosowane.
Zasoby
Po przypisaniu profilu pamiętaj, aby monitorować jego stan.