ネットワーク境界を使用して Microsoft Intune で Windows デバイスに信頼済みサイトを追加する

Microsoft Defender Application Guardと Microsoft Edge を使用する場合、organizationが信頼していないサイトから環境を保護できます。 この機能は、ネットワーク境界と呼ばれます。

ネットワーク バインドでは、ネットワーク ドメイン、IPV4 および IPv6 範囲、プロキシ サーバーなどを追加できます。 Microsoft Edge のMicrosoft Defender Application Guardは、この境界内のサイトを信頼します。

Intune では、ネットワーク境界プロファイルを作成し、このポリシーをデバイスに展開できます。

Intune でMicrosoft Defender Application Guardを使用する方法の詳細については、「Windows クライアント設定」を参照して、Intune を使用してデバイスを保護します。

この機能は、以下に適用されます。

• Intune に登録されている Windows 11 デバイス
• Intune に登録されている Windows 10 デバイス

この記事では、プロファイルを作成し、信頼済みサイトを追加する方法について説明します。

はじめに

• ポリシーを作成するには、少なくとも、ポリシーとプロファイル マネージャーの組み込みロールを持つアカウントを使用して、Microsoft Intune管理センターにサインインします。 組み込みのロールの詳細については、「Microsoft Intuneのロールベースのアクセス制御」を参照してください。
• この機能では、NetworkIsolation CSP に関するページを参照してください。

プロファイルを作成する

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス構成の作成] を>選択します>。

3. 次のプロパティを入力します。

   • [プラットフォーム]: [Windows 10 以降] を選択します。
   • プロファイルの種類: [テンプレート] [ネットワーク境界] を>選択します。

4. [作成] を選択します。

5. [Basics]\(基本\) で次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なプロファイル名は Windows-Contoso のネットワーク境界です。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

6. [次へ] を選択します。

7. [構成設定] で、次の設定を構成します。

   • 境界の種類: この設定により、分離されたネットワーク境界が作成されます。 この境界内のサイトは、Microsoft Defender Application Guard によって信頼済みと見なされます。 次のようなオプションがあります。

     • IPv4 の範囲: ネットワーク内のデバイスの IPv4 範囲をコンマで区切ったリストを入力します。 これらのデバイスからのデータは組織の一部と見なされ、保護されます。 これらの場所は、組織のデータを共有する安全な保存先と見なされます。
     • IPv6 の範囲: ネットワーク内のデバイスの IPv6 範囲をコンマで区切ったリストを入力します。 これらのデバイスからのデータは組織の一部と見なされ、保護されます。 これらの場所は、組織のデータを共有する安全な保存先と見なされます。
     • クラウド リソース: 保護するクラウドでホストされているorganizationリソース ドメインのパイプ区切り (|) リストを入力します。
     • ネットワーク ドメイン: 境界を作成するドメインをコンマで区切ったリストを入力します。 これらのドメインのデータは、デバイスに送信され、組織データと見なされて保護されます。 これらの場所は、組織のデータを共有する安全な保存先と見なされます。 たとえば、「contoso.sharepoint.com, contoso.com」と入力します。
     • プロキシ サーバー: プロキシ サーバーをコンマで区切ったリストを入力します。 このリスト内のプロキシ サーバーはインターネット レベルであり、組織内部のものではありません。 たとえば、「157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59」と入力します。
     • 内部プロキシ サーバー: 内部プロキシ サーバーのコンマ区切りリストを入力します。 これらのプロキシは、クラウド リソースを追加するときに使用されます。 これらにより、トラフィックは一致したクラウド リソースに強制されます。 たとえば、「157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59」と入力します。
     • ニュートラル リソース: 仕事用リソースまたは個人用リソースに使用できるドメイン名のリストを入力します。

   • 値: リストを入力します。

   • その他のエンタープライズ プロキシ サーバーの自動検出: [無効] に設定すると、デバイスでは、リスト内にないプロキシ サーバーを自動的に検出できなくなります。 デバイスでは、プロキシの構成済みリストを受け入れます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

   • その他のエンタープライズ IP アドレス範囲の自動検出: [無効] に設定すると、デバイスでは、リスト内にない IP アドレス範囲を自動的に検出できなくなります。 デバイスでは、IP アドレス範囲の構成済みリストを受け入れます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

8. [次へ] を選択します。

9. スコープ タグ (オプション) で、US-NC IT Team や JohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。

   [次へ] を選択します。

10. [割り当て] で、プロファイルを受け取るユーザーまたはユーザー グループを選択します。 プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

    [次へ] を選択します。

11. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

次に各デバイスがチェックインするときに、ポリシーが適用されます。

リソース

プロファイルを割り当てた後、必ずその状態を監視します。

Microsoft Defender Application Guard の概要