使用网络边界在 Microsoft Intune 中的 Windows 设备上添加受信任的站点
使用 Microsoft Defender 应用程序防护 和 Microsoft Edge 时,可以保护环境免受组织不信任的站点的防护。 此功能称为网络边界。
在网络绑定中,可以添加网络域、IPV4 和 IPv6 范围、代理服务器等。 Microsoft Edge 中的Microsoft Defender 应用程序防护信任此边界中的站点。
在 Intune 中,可以创建网络边界配置文件,并将此策略部署到设备。
有关在 Intune 中使用Microsoft Defender 应用程序防护的详细信息,请转到使用 Intune 保护设备的 Windows 客户端设置。
此功能适用于:
- Intune 中注册的 Windows 11 设备
- Intune 中注册的 Windows 10 设备
本文介绍如何创建配置文件和添加受信任的站点。
准备工作
- 若要创建策略,请至少使用具有策略和配置文件管理器内置角色的帐户登录到 Microsoft Intune 管理中心。 有关内置角色的详细信息,请转到Microsoft Intune的基于角色的访问控制。
- 此功能使用 NetworkIsolation CSP。
创建配置文件
选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。
输入以下属性:
- 平台:选择“Windows 10 及更高版本”。
- 配置文件类型:选择 “模板>网络边界”。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:输入配置文件的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称是 Windows-Contoso 网络边界。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
选择 下一步。
在“配置设置”中,配置以下设置:
边界类型:此设置创建隔离的网络边界。 Microsoft Defender 应用程序防护将此边界中的站点视为受信任。 选项包括:
- IPv4 范围:输入网络中设备的 IPv4 范围列表,以逗号分隔。 这些设备的数据被视为组织的一部分,并受到保护。 这些位置被视为共享组织数据的安全目标。
- IPv6 范围:输入网络中设备的 IPv6 范围列表,以逗号分隔。 这些设备的数据被视为组织的一部分,并受到保护。 这些位置被视为共享组织数据的安全目标。
-
云资源:输入管道分隔 (
|) 要保护的云中托管的组织资源域列表。 -
网络域:输入创建边界的域列表,以逗号分隔。 这些域中任何域的数据都将发送到设备、被视为组织数据并受到保护。 这些位置被视为要共享到的组织数据的安全目标。 例如,输入
contoso.sharepoint.com, contoso.com。 -
代理服务器:输入以逗号分隔的代理服务器列表。 此列表中的任何代理服务器都是 Internet 级别的,而不是面向组织的内部的服务器。 例如,输入
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59。 -
内部代理服务器:输入以逗号分隔的内部代理服务器列表。 添加 云资源 时将使用代理。 它们强制流量流向匹配的云资源。 例如,输入
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59。 - 中性资源:输入可用于工作资源或个人资源的域名列表。
值:输入列表。
其他企业代理服务器的自动检测:禁用 阻止设备自动检测列表中不包含的代理服务器。 设备接受配置的代理列表。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
自动检测其他企业 IP 范围:禁用 阻止设备自动检测列表中未包含的 IP 范围。 设备接受配置的 IP 范围列表。 设置为“未配置”(默认)时,Intune 不会更改或更新此设置。
选择 下一步。
在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如
US-NC IT Team或JohnGlenn_ITDepartment)。 有关范围标记的详细信息,请转到 使用分布式 IT 的 RBAC 和范围标记。选择 下一步。
在“分配”中,选择要接收配置文件的用户或用户组。 有关分配配置文件的详细信息,请转到 分配用户和设备配置文件。
选择 下一步。
在“查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。
每台设备在下次签入时,将应用该策略。