ネットワーク境界を使用して Microsoft Intune で Windows デバイスに信頼済みサイトを追加する

Microsoft Defender Application Guard と Microsoft Edge を使用する場合は、組織が信頼していないサイトから環境を保護できます。 この機能は、ネットワーク境界と呼ばれます。

ネットワーク バインドでは、ネットワーク ドメイン、IPV4 および IPv6 範囲、プロキシ サーバーなどを追加できます。 Microsoft Edge の Microsoft Defender Application Guard は、この境界内のサイトを信頼します。

Intune では、ネットワーク境界プロファイルを作成し、このポリシーをデバイスに展開できます。

Intune での Microsoft Defender Application Guard の使用の詳細については、「 Windows クライアント設定」を参照して、Intune を使用してデバイスを保護します

この機能は、以下に適用されます。

  • Intune に登録されている Windows 11 デバイス
  • Intune に登録されている Windows 10 デバイス

この記事では、プロファイルを作成し、信頼済みサイトを追加する方法について説明します。

はじめに

プロファイルを作成する

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。

  3. 次のプロパティを入力します。

    • [プラットフォーム]: [Windows 10 以降] を選択します。
    • プロファイルの種類: [テンプレート>ネットワーク境界] を選択します。
  4. [作成] を選択します。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なプロファイル名は Windows-Contoso のネットワーク境界です。
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。
  6. [次へ] を選択します。

  7. [構成設定] で、次の設定を構成します。

    • 境界の種類: この設定により、分離されたネットワーク境界が作成されます。 この境界内のサイトは、Microsoft Defender Application Guard によって信頼済みと見なされます。 次のようなオプションがあります。

      • IPv4 の範囲: ネットワーク内のデバイスの IPv4 範囲をコンマで区切ったリストを入力します。 これらのデバイスからのデータは組織の一部と見なされ、保護されます。 これらの場所は、組織のデータを共有する安全な保存先と見なされます。
      • IPv6 の範囲: ネットワーク内のデバイスの IPv6 範囲をコンマで区切ったリストを入力します。 これらのデバイスからのデータは組織の一部と見なされ、保護されます。 これらの場所は、組織のデータを共有する安全な保存先と見なされます。
      • クラウド リソース: 保護するクラウドでホストされている組織リソース ドメインのパイプ区切り (|) の一覧を入力します。
      • ネットワーク ドメイン: 境界を作成するドメインをコンマで区切ったリストを入力します。 これらのドメインのデータは、デバイスに送信され、組織データと見なされて保護されます。 これらの場所は、組織のデータを共有する安全な保存先と見なされます。 たとえば、「contoso.sharepoint.com, contoso.com」と入力します。
      • プロキシ サーバー: プロキシ サーバーをコンマで区切ったリストを入力します。 このリスト内のプロキシ サーバーはインターネット レベルであり、組織内部のものではありません。 たとえば、「157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59」と入力します。
      • 内部プロキシ サーバー: 内部プロキシ サーバーのコンマ区切りリストを入力します。 これらのプロキシは、クラウド リソースを追加するときに使用されます。 これらにより、トラフィックは一致したクラウド リソースに強制されます。 たとえば、「157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59」と入力します。
      • ニュートラル リソース: 仕事用リソースまたは個人用リソースに使用できるドメイン名のリストを入力します。
    • : リストを入力します。

    • その他のエンタープライズ プロキシ サーバーの自動検出: [無効] に設定すると、デバイスでは、リスト内にないプロキシ サーバーを自動的に検出できなくなります。 デバイスでは、プロキシの構成済みリストを受け入れます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    • その他のエンタープライズ IP アドレス範囲の自動検出: [無効] に設定すると、デバイスでは、リスト内にない IP アドレス範囲を自動的に検出できなくなります。 デバイスでは、IP アドレス範囲の構成済みリストを受け入れます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  8. [次へ] を選択します。

  9. スコープ タグ (オプション) で、US-NC IT TeamJohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。

    [次へ] を選択します。

  10. [割り当て] で、プロファイルを受け取るユーザーまたはユーザー グループを選択します。 プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

    [次へ] を選択します。

  11. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

次に各デバイスがチェックインするときに、ポリシーが適用されます。

リソース

プロファイルを割り当てた後、必ずその状態を監視します

Microsoft Defender Application Guard の概要