Использование границы сети для добавления надежных сайтов на устройствах Windows в Microsoft Intune
При использовании Application Guard в Microsoft Defender и Microsoft Edge можно защитить среду от сайтов, которым ваша организация не доверяет. Эта функция называется "граница сети".
В привязанной к сети можно добавить сетевые домены, диапазоны IPV4 и IPv6, прокси-серверы и многое другое. Application Guard в Microsoft Defender в Microsoft Edge доверяет сайтам в этой границе.
В Intune можно создать профиль границ сети и развернуть эту политику на своих устройствах.
Дополнительные сведения об использовании Application Guard в Microsoft Defender в Intune см. в разделе Параметры клиента Windows для защиты устройств с помощью Intune.
Данная функция применяется к:
- Устройства с Windows 11, зарегистрированные в Intune
- Устройства с Windows 10, зарегистрированные в Intune
В этой статье рассказывается, как создать профиль и добавить доверенные сайты.
Прежде чем начать
- Чтобы создать политику, как минимум, войдите в Центр администрирования Microsoft Intune с учетной записью со встроенной ролью Диспетчер политик и профилей. Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей для Microsoft Intune.
- Эта функция использует NetworkIsolation CSP.
Создание профиля
Войдите в Центр администрирования Microsoft Intune.
Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.
Укажите следующие свойства:
- Платформа: выберите Windows 10 и более поздних версий.
- Тип профиля: выберите Шаблоны>Граница сети.
Нажмите Создать.
В разделе Основные укажите следующие свойства.
- Имя: введите описательное имя для профиля. Назначьте имена политикам, чтобы их можно было легко найти в последствии. Например, хорошее имя профиля — граница сети Windows-Contoso.
- Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
Нажмите кнопку Далее.
В разделе Параметры конфигурациинастройте следующие параметры.
Тип границы: Этот параметр создает границу изолированной сети. Сайты, расположенные на этой границе, считаются доверенными для Application Guard в Microsoft Defender. Доступны следующие параметры:
- Диапазон IPv4: Введите разделенный запятыми список диапазонов IPv4-адресов устройств в сети. Данные этих устройств считаются частью вашей организации и защищены. Эти расположения считаются безопасным местом назначения при предоставлении общего доступа к данным организации.
- Диапазон IPv6: Введите разделенный запятыми список диапазонов IPv6-адресов устройств в сети. Данные этих устройств считаются частью вашей организации и защищены. Эти расположения считаются безопасным местом назначения при предоставлении общего доступа к данным организации.
-
Облачные ресурсы. Введите разделенный по каналу (
|
) список доменов ресурсов организации, размещенных в облаке, которое требуется защитить. -
Сетевые домены: Введите разделенный запятыми список доменов, которые создают границы. Данные из любого из этих доменов, отправляющиеся на устройство, считаются данными организации и защищены. Эти расположения считаются безопасным местом назначения при предоставлении общего доступа к данным организации. Например, введите
contoso.sharepoint.com, contoso.com
. -
Прокси-серверы: Введите разделенный запятыми список прокси-серверов. Любой прокси-сервер из этого списка находится на уровне Интернета и не является внутренним для организации. Например, введите
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59
. -
Внутренние прокси-серверы: Введите разделенный запятыми список внутренних прокси-серверов. Эти прокси-серверы используются при добавлении облачных ресурсов. Они принудительно направляют трафик в соответствующие облачные ресурсы. Например, введите
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59
. - Нейтральные ресурсы: Введите список доменных имен, которые могут использоваться в качестве рабочих или персональных ресурсов.
Значение: Введите список.
Автоматическое обнаружение других корпоративных прокси-серверов: значение Отключить запрещает устройствам автоматически обнаруживать прокси-серверы, которых нет в списке. Устройства принимают настроенный список прокси-серверов. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.
Автоматическое обнаружение других корпоративных диапазонов IP-адресов: значение Отключить запрещает устройствам автоматически обнаруживать диапазоны IP-адресов, которых нет в списке. Устройства принимают настроенный список диапазонов IP-адресов. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.
Нажмите кнопку Далее.
В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например
US-NC IT Team
илиJohnGlenn_ITDepartment
. Дополнительные сведения о тегах область см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.Нажмите кнопку Далее.
В поле Назначения выберите пользователей или группу пользователей, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
Нажмите кнопку Далее.
Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
Политика будет применена при следующей синхронизации устройства.
Ресурсы
После назначения профиля отслеживайте его состояние.