Usare un limite di rete per aggiungere siti attendibili nei dispositivi Windows in Microsoft Intune

Quando si usano Microsoft Defender Application Guard e Microsoft Edge, è possibile proteggere l'ambiente da siti che l'organizzazione non considera attendibili. Questa funzionalità è definita limite di rete.

In un limite di rete è possibile aggiungere domini di rete, intervalli IPV4 e IPv6, server proxy e altro ancora. Microsoft Defender Application Guard in Microsoft Edge considera attendibili i siti in questo limite.

In Intune è possibile creare un profilo di limite di rete e distribuire questo criterio nei dispositivi.

Per altre informazioni sull'uso di Microsoft Defender Application Guard in Intune, passare a Impostazioni client Windows per proteggere i dispositivi con Intune.

Questa funzionalità si applica a:

• Windows 11 dispositivi registrati in Intune
• Windows 10 dispositivi registrati in Intune

Questo articolo illustra come creare il profilo e aggiungere i siti attendibili.

Prima di iniziare

• Per creare i criteri, accedere almeno all'interfaccia di amministrazione Microsoft Intune con un account con il ruolo predefinito Criteri e Profile Manager. Per altre informazioni sui ruoli predefiniti, vedere Controllo degli accessi in base al ruolo per Microsoft Intune.
• Questa funzionalità usa il CSP NetworkIsolation.

Creare il profilo

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Device Configuration Create (Crea configurazione>dispositivi>).

3. Immettere le proprietà seguenti:

   • Piattaforma: selezionare Windows 10 e versioni successive.
   • Tipo di profilo: selezionare Modelli>Limite di rete.

4. Selezionare Crea.

5. In Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il profilo. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è limite di rete Windows-Contoso.
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

6. Selezionare Avanti.

7. In Impostazioni di configurazione completare le impostazioni seguenti:

   • Tipo di limite: questa impostazione crea un limite di rete isolato. I siti in questo limite sono considerati attendibili da Microsoft Defender Application Guard. Le opzioni disponibili sono:

     • Intervallo IPv4: immettere un elenco delimitato da virgole degli intervalli IPv4 dei dispositivi della rete. I dati di questi dispositivi sono considerati parte dell'organizzazione e sono protetti. Questi percorsi sono considerati una destinazione sicura per la condivisione dei dati dell'organizzazione.
     • Intervallo IPv6: immettere un elenco delimitato da virgole degli intervalli IPv6 dei dispositivi della rete. I dati di questi dispositivi sono considerati parte dell'organizzazione e sono protetti. Questi percorsi sono considerati una destinazione sicura per la condivisione dei dati dell'organizzazione.
     • Risorse cloud: immettere un elenco di domini di risorse dell'organizzazione separati da pipe (|) ospitati nel cloud che si vuole proteggere.
     • Domini di rete: immettere un elenco delimitato da virgole dei domini che creano i limiti. I dati di questi domini vengono inviati a un dispositivo, sono considerati dati dell'organizzazione e sono protetti. Questi percorsi sono considerati una destinazione sicura per la condivisione dei dati dell'organizzazione. Immettere ad esempio contoso.sharepoint.com, contoso.com.
     • Server proxy: immettere un elenco di server proxy delimitato da virgole. Tutti i server proxy presenti in questo elenco sono a livello di Internet e non interni all'organizzazione. Immettere ad esempio 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Server proxy interni: immettere un elenco delimitato da virgole di server proxy interni. I proxy vengono usati quando si aggiungono risorse cloud. Forzano il traffico verso le risorse cloud corrispondenti. Immettere ad esempio 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Risorse neutrali: immettere un elenco di nomi di dominio che possono essere usati per le risorse di lavoro o personali.

   • Valore: immettere l'elenco.

   • Rilevamento automatico di altri server proxy aziendali: Disabilita impedisce ai dispositivi di rilevare automaticamente i server proxy non presenti nell'elenco. I dispositivi accettano l'elenco dei proxy configurato. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione.

   • Rilevamento automatico di altri intervalli IP aziendali:Disabilita impedisce ai dispositivi di rilevare automaticamente gli intervalli IP non presenti nell'elenco. I dispositivi accettano l'elenco di intervalli IP configurato. Quando questa opzione è impostata su Non configurato (impostazione predefinita), Intune non modifica o aggiorna questa impostazione.

8. Selezionare Avanti.

9. In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

   Seleziona Avanti.

10. In Assegnazioni selezionare gli utenti o il gruppo utenti che riceveranno il profilo. Per altre informazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.

    Seleziona Avanti.

11. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Alla successiva sincronizzazione di ogni dispositivo, viene applicato il criterio.

Risorse

Dopo l'assegnazione del profilo, assicurarsi di monitorarne lo stato.

Panoramica di Microsoft Defender Application Guard