使用 Microsoft Defender 應用程式防護 和 Microsoft Edge 時,您可以保護您的環境免受組織不信任的網站的影響。 此功能稱為網路邊界。
在網路邊界中,您可以新增網路網域、IPV4 和 IPv6 範圍、Proxy 伺服器等。 Microsoft Edge 中的 Microsoft Defender 應用程式防護會信任此界限中的月臺。
在 Intune 中,您可以建立網路界限配置檔,並將此原則部署至您的裝置。
如需在 Intune 中使用 Microsoft Defender 應用程式防護的詳細資訊,請移至 Windows 用戶端設定,以使用 Intune 保護裝置。
本功能適用於:
- 在 Intune 中註冊的 Windows 裝置
本文說明如何建立設定檔,以及新增受信任的網站。
開始之前
- 使用具有原則和配置檔管理員內建角色的帳戶登入 Microsoft Intune 系統管理中心。 如需內建角色的詳細資訊,請移至 Microsoft Intune 的角色型存取控制。
- 此功能會使用 NetworkIsolation CSP。
建立設定檔
選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。
輸入下列內容:
- 平台:選取 [Windows 10 及更新版本]。
- 設定檔類型:選取 範本網路>邊界。
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱:輸入設定檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的配置檔名稱是 Windows-Contoso 網路界限。
- 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [組態設定] 中,進行下列設定:
匯入:此選項可讓您匯入
.csv包含網路邊界詳細資料的檔案。界限類型:此設定會建立隔離的網路界限。 此界限中的網站會被視為 Microsoft Defender 應用程式防護所信任。 選項包括:
- IPv4 範圍:輸入網路中 IPv4 裝置範圍的逗號分隔清單。 來自這些裝置的資料會被視為您組織的一部分,並受到保護。 這些位置會被視為組織資料共用的安全目的地。
- IPv6 範圍:輸入網路中 IPv6 裝置範圍的逗號分隔清單。 來自這些裝置的資料會被視為您組織的一部分,並受到保護。 這些位置會被視為組織資料共用的安全目的地。
-
雲端資源:輸入管道分隔的 (
|) 您要保護的雲端中託管的組織資源網域清單。 -
網路網域:輸入以逗號分隔的網域清單,以建立界限。 來自這些網域中的任何一個的資料都會傳送至裝置,被視為組織資料,並受到保護。 這些位置會被視為組織資料共用的安全目的地。 例如,輸入
contoso.sharepoint.com, contoso.com。 -
代理伺服器:輸入以逗號分隔的代理伺服器清單。 此清單中的任何 Proxy 伺服器都位於網際網路層級,而不是組織內部。 例如,輸入
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59。 -
內部代理伺服器:輸入以逗號分隔的內部代理伺服器清單。 新增 雲端資源時會使用代理。 它們強制流量至相符的雲端資源。 例如,輸入
157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59。 - 中性資源:輸入可用於工作資源或個人資源的網域清單。
值:輸入您的清單。
自動偵測其他企業 Proxy 伺服器: 停用可 防止裝置自動偵測清單中不在此目的 Proxy 伺服器。 裝置接受已設定的 Proxy 清單。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。
自動偵測其他企業 IP 範圍: 停用可 防止裝置自動偵測清單中不在此目的 IP 範圍。 裝置接受已設定的 IP 範圍清單。 當設定為 [ 未設定 ] (預設) 時,Intune 不會變更或更新此設定。
選取[下一步]。
在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如
US-NC IT Team或JohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請參閱 針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤。選取 [下一步]。
在 [指派] 中,選取將接收您設定檔的使用者或使用者群組。 如需指派設定檔的詳細資訊,請移至指派使用者和裝置設定檔。
選取[下一步]。
在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。
當每個裝置下次簽入時,就會套用原則。