Использование границы сети для добавления надежных сайтов на устройствах Windows в Microsoft Intune

При использовании Application Guard в Microsoft Defender и Microsoft Edge можно защитить среду от сайтов, которым ваша организация не доверяет. Эта функция называется "граница сети".

В привязанной к сети можно добавить сетевые домены, диапазоны IPV4 и IPv6, прокси-серверы и многое другое. Application Guard в Microsoft Defender в Microsoft Edge доверяет сайтам в этой границе.

В Intune можно создать профиль границ сети и развернуть эту политику на своих устройствах.

Дополнительные сведения об использовании Application Guard в Microsoft Defender в Intune см. в разделе Параметры клиента Windows для защиты устройств с помощью Intune.

Данная функция применяется к:

• Устройства с Windows 11, зарегистрированные в Intune
• Устройства с Windows 10, зарегистрированные в Intune

В этой статье рассказывается, как создать профиль и добавить доверенные сайты.

Прежде чем начать

• Чтобы создать политику, как минимум, войдите в Центр администрирования Microsoft Intune с учетной записью со встроенной ролью Диспетчер политик и профилей. Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей для Microsoft Intune.
• Эта функция использует NetworkIsolation CSP.

Создание профиля

1. Войдите в Центр администрирования Microsoft Intune.

2. ВыберитеКонфигурация>устройств>Создать.

3. Укажите следующие свойства:

   • Платформа: выберите Windows 10 и более поздних версий.
   • Тип профиля: выберите Шаблоны>Граница сети.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя: введите описательное имя для профиля. Назначьте имена политикам, чтобы их можно было легко найти в последствии. Например, хорошее имя профиля — граница сети Windows-Contoso.
   • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В разделе Параметры конфигурациинастройте следующие параметры.

   • Тип границы: Этот параметр создает границу изолированной сети. Сайты, расположенные на этой границе, считаются доверенными для Application Guard в Microsoft Defender. Доступны следующие параметры:

     • Диапазон IPv4: Введите разделенный запятыми список диапазонов IPv4-адресов устройств в сети. Данные этих устройств считаются частью вашей организации и защищены. Эти расположения считаются безопасным местом назначения при предоставлении общего доступа к данным организации.
     • Диапазон IPv6: Введите разделенный запятыми список диапазонов IPv6-адресов устройств в сети. Данные этих устройств считаются частью вашей организации и защищены. Эти расположения считаются безопасным местом назначения при предоставлении общего доступа к данным организации.
     • Облачные ресурсы. Введите разделенный по каналу (|) список доменов ресурсов организации, размещенных в облаке, которое требуется защитить.
     • Сетевые домены: Введите разделенный запятыми список доменов, которые создают границы. Данные из любого из этих доменов, отправляющиеся на устройство, считаются данными организации и защищены. Эти расположения считаются безопасным местом назначения при предоставлении общего доступа к данным организации. Например, введите contoso.sharepoint.com, contoso.com.
     • Прокси-серверы: Введите разделенный запятыми список прокси-серверов. Любой прокси-сервер из этого списка находится на уровне Интернета и не является внутренним для организации. Например, введите 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Внутренние прокси-серверы: Введите разделенный запятыми список внутренних прокси-серверов. Эти прокси-серверы используются при добавлении облачных ресурсов. Они принудительно направляют трафик в соответствующие облачные ресурсы. Например, введите 157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59.
     • Нейтральные ресурсы: Введите список доменных имен, которые могут использоваться в качестве рабочих или персональных ресурсов.

   • Значение: Введите список.

   • Автоматическое обнаружение других корпоративных прокси-серверов: значение Отключить запрещает устройствам автоматически обнаруживать прокси-серверы, которых нет в списке. Устройства принимают настроенный список прокси-серверов. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.

   • Автоматическое обнаружение других корпоративных диапазонов IP-адресов: значение Отключить запрещает устройствам автоматически обнаруживать диапазоны IP-адресов, которых нет в списке. Устройства принимают настроенный список диапазонов IP-адресов. Если задано значение Не настроено (по умолчанию), Intune не изменяет или не обновляет этот параметр.

8. Нажмите кнопку Далее.

9. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах область см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.

   Нажмите кнопку Далее.

10. В поле Назначения выберите пользователей или группу пользователей, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

11. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Политика будет применена при следующей синхронизации устройства.

Ресурсы

После назначения профиля отслеживайте его состояние.

Обзор Application Guard в Microsoft Defender