Übersicht über das Migrationstool für Firewallregeln zur Endpunktsicherheit

Wenn Sie Microsoft Intune verwenden, können Sie das Migrationstool für Endpunktsicherheits-Firewallregeln verwenden, bei dem es sich um ein PowerShell-Skript handelt, um eine große Anzahl vorhandener Gruppenrichtlinien für Windows-Firewallregeln in Intune-Endpunktsicherheitsrichtlinien zu verschieben. Endpunktsicherheit in Microsoft Intune bietet umfangreiche Verwaltungsfunktionen für die Konfiguration der Windows-Firewall und eine präzise Verwaltung von Firewallregeln.

Wenn Sie das Migrationstool für Firewallregeln für die Endpunktsicherheit auf einem Referenzclient Windows 10/11 ausführen, auf dem Firewallregeln basierend auf Gruppenrichtlinie angewendet werden, kann das Tool automatisch Richtlinien für Firewallregeln für die Endpunktsicherheit in Intune erstellen.When you run the Endpoint security firewall rule tool on a reference Windows 10/11 client that has firewall rules based on Gruppenrichtlinie applied, the tool can automatically create Endpoint security firewall rule policies in Intune. Nachdem die Endpunktsicherheitsregeln erstellt wurden, können Administratoren die Regeln an Microsoft Entra Gruppen ausrichten, um MDM und gemeinsam verwaltete Clients zu konfigurieren.

Laden Sie das Migrationstool für Firewallregeln zur Endpunktsicherheit herunter:

Verwenden des Tools

Tipp

Das PowerShell-Skript des Tools sucht nach Endpunktsicherheitsrichtlinien für MDM. Wenn keine Richtlinien für MDM vorhanden sind, kann das Skript eine Schleife ausführen und kann nicht beendet werden. Um diese Bedingung zu umgehen, fügen Sie entweder eine Richtlinie für MDM hinzu, bevor Sie das Skript ausführen, oder bearbeiten Sie die Zeile 46 des Skripts wie folgt: while(($profileNameExist) -and ($profiles.Count -gt 0))

Führen Sie das Tool auf einem Referenzcomputer aus, um die aktuelle Konfiguration der Windows Firewallregeln dieses Computers zu migrieren. Bei Ausführung des Tools werden alle auf dem Gerät vorhandenen aktivierten Firewallregeln exportiert und neue Intune-Richtlinien automatisch anhand der erfassten Regeln erstellt.

1. Melden Sie sich mit lokalen Administratorrechten beim Referenzcomputer an.

2. Herunterladen der erforderlichen PowerShell-Module von GitHub

   Die ZIP-Datei sollte in einen Stammordner extrahiert werden, in dem Sie das Skript im nächsten Schritt ablegen.

3. Laden Sie die Datei Export-FirewallRules.zip herunter, und entpacken Sie diese.

   Die ZIP-Datei enthält die Skriptdatei Export-FirewallRules.ps1. Extrahieren Sie das Skript in den Stammordner aus dem vorherigen Schritt, in dem Sie nun über den Export-FirewallRules.ps1 Unterordner und "Intune-PowerShell-Management-master" verfügen sollten.

4. Starten Sie PowerShell mit dem folgenden Schalter: "PowerShell.exe -Executionpolicy Bypass"

5. Führen Sie das Skript Export-FirewallRules.ps1 auf dem Computer aus.

   Das Skript lädt alle Voraussetzungen herunter, die es zur Ausführung benötigt. Geben Sie die entsprechenden Intune-Administratoranmeldeinformationen ein, wenn Sie dazu aufgefordert werden. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter Erforderliche Berechtigungen.

   Hinweis

   Remoteassemblys werden standardmäßig nicht im .NET Framework 4 und höher ausgeführt. Um eine Remoteassembly auszuführen, müssen Sie sie entweder als voll vertrauenswürdig ausführen oder eine Sandbox-AppDomain erstellen, in der sie ausgeführt werden soll. Informationen zum Durchführen dieser Konfigurationsänderung finden Sie unter loadFromRemoteSources-Element in der Microsoft .NET Framework-Dokumentation. Wenn Sie "[System.Runtime.InteropServices.RuntimeEnvironment]::SystemConfigurationFile" in einem PowerShell-Fenster ausführen, erhalten Sie den Pfad zu Ihrer Konfigurationsdatei. Denken Sie daran, die .NET Framework Sicherheitsänderung zu rückgängig machen, wenn Sie Ihre Firewallregeln importiert haben.

6. Geben Sie einen Richtliniennamen ein, wenn Sie dazu aufgefordert werden. Der Richtlinienname muss für den Mandanten eindeutig sein.

   Wenn mehr als 150 Firewallregeln gefunden werden, werden mehrere Richtlinien erstellt.

   Vom Tool erstellte Richtlinien werden im Microsoft Intune Admin Center im Bereich Endpunktsicherheitsfirewall> angezeigt.

   Hinweis

   Standardmäßig werden nur aktivierte und per GPO erstellte Firewallregeln migriert. Das Tool unterstützt Schalter, mit deren Hilfe Sie diese Standardwerte ändern können.

   Die Ausführungsdauer des Tools hängt von der Anzahl gefundener Firewallregeln ab.

7. Nach Ausführung des Tools gibt es eine Anzahl von Firewallregeln aus, die nicht automatisch migriert werden konnten. Weitere Informationen finden Sie unter Nicht unterstützte Konfigurationen.

Optionen

Mit den folgenden Schaltern (Parametern) können Sie das Standardverhalten des Tools ändern.

• IncludeLocalRules – Verwenden Sie diesen Schalter, um alle lokal erstellten/standardmäßigen Windows-Firewallregeln in den Export einzubeziehen. Die Verwendung dieses Schalters kann zu einer großen Anzahl einbezogener Regeln führen.

• IncludedDisabledRules – Dieser Schalter schließt alle aktivierten und deaktivierten Windows-Firewallregeln in den Export ein. Die Verwendung dieses Schalters kann zu einer großen Anzahl einbezogener Regeln führen.

Nicht unterstützte Konfigurationen

Die folgenden auf der Registrierung basierenden Einstellungen werden aufgrund mangelnder MDM-Unterstützung in Windows nicht unterstützt. Diese Einstellungen sind zwar ungewöhnlich, aber wenn Sie diese Einstellungen benötigen, sollten Sie diesen Bedarf über Ihre Standardsupportkanäle melden.

GPO-Feld	Grund
TYPE-VALUE =/ "Security=" IFSECURE-VAL	Dies ist eine IPSec-bezogene Einstellung, die nicht von der mobilen Geräteverwaltung von Windows unterstützt wird.
TYPE-VALUE =/ "Security2_9=" IFSECURE2-9-VAL	Dies ist eine IPSec-bezogene Einstellung, die nicht von der mobilen Geräteverwaltung von Windows unterstützt wird.
TYPE-VALUE =/ "Security2=" IFSECURE2-10-VAL	Dies ist eine IPSec-bezogene Einstellung, die nicht von der mobilen Geräteverwaltung von Windows unterstützt wird.
TYPE-VALUE =/ "IF=" IF-VAL	Die Schnittstellenkennung (LUID) kann nicht verwaltet werden.
TYPE-VALUE =/ "Defer=" DEFER-VAL	Eingehende NAT-Durchläufe werden nicht über Gruppenrichtlinie oder Windows MDM verfügbar gemacht
TYPE-VALUE =/ "LSM=" BOOL-VAL	Lose Source Mapped nicht über Gruppenrichtlinie oder Windows MDM verfügbar gemacht
TYPE-VALUE =/ "Platform=" PLATFORM-VAL	Die Betriebssystem-Versionsverwaltung wird nicht über Gruppenrichtlinien oder die mobile Geräteverwaltung von Windows zur Verfügung gestellt.
TYPE-VALUE =/ "RMauth=" STR-VAL	Dies ist eine IPSec-bezogene Einstellung, die nicht von der mobilen Geräteverwaltung von Windows unterstützt wird.
TYPE-VALUE =/ "RUAuth=" STR-VAL	Dies ist eine IPSec-bezogene Einstellung, die nicht von der mobilen Geräteverwaltung von Windows unterstützt wird.
TYPE-VALUE =/ "AuthByPassOut=" BOOL-VAL	Dies ist eine IPSec-bezogene Einstellung, die nicht von der mobilen Geräteverwaltung von Windows unterstützt wird.
TYPE-VALUE =/ "LOM=" BOOL-VAL	Nur lokal zugeordnete Regeln werden nicht über Gruppenrichtlinien oder die mobile Geräteverwaltung von Windows zur Verfügung gestellt.
TYPE-VALUE =/ "Platform2=" PLATFORM-OP-VAL	Redundante Einstellungen werden nicht über Gruppenrichtlinien oder die mobile Geräteverwaltung von Windows zur Verfügung gestellt.
TYPE-VALUE =/ "PCross=" BOOL-VAL	Keine Profilüberquerung über Gruppenrichtlinie oder Windows MDM zulassen
TYPE-VALUE =/ "LUOwn=" STR-VAL	Die Besitzer-SID des lokalen Benutzers gilt nicht für die mobile Geräteverwaltung.
TYPE-VALUE =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL	Abgleichen des Datenverkehrs mit dem Vertrauenstupel Schlüsselwort (keyword) nicht über Gruppenrichtlinie oder Windows MDM verfügbar gemacht
TYPE-VALUE =/ “TTK2_22=” TRUST-TUPLE-KEYWORD-VAL2-22	Abgleichen des Datenverkehrs mit dem Vertrauenstupel Schlüsselwort (keyword) nicht über Gruppenrichtlinie oder Windows MDM verfügbar gemacht
TYPE-VALUE =/ “TTK2_27=” TRUST-TUPLE-KEYWORD-VAL2-27	Abgleichen des Datenverkehrs mit dem Vertrauenstupel Schlüsselwort (keyword) nicht über Gruppenrichtlinie oder Windows MDM verfügbar gemacht
TYPE-VALUE =/ “TTK2_28=” TRUST-TUPLE-KEYWORD-VAL2-28	Abgleichen des Datenverkehrs mit dem Vertrauenstupel Schlüsselwort (keyword) nicht über Gruppenrichtlinie oder Windows MDM verfügbar gemacht
TYPE-VALUE =/ "NNm=" STR-ENC-VAL	Dies ist eine IPSec-bezogene Einstellung, die nicht von der mobilen Geräteverwaltung von Windows unterstützt wird.
TYPE-VALUE =/ "SecurityRealmId=" STR-VAL	Dies ist eine IPSec-bezogene Einstellung, die nicht von der mobilen Geräteverwaltung von Windows unterstützt wird.

Nicht unterstützte Einstellungswerte

Die folgenden Einstellungswerte werden nicht für die Migration unterstützt:

Ports:

• PlayToDiscovery wird nicht als lokaler oder Remoteportbereich unterstützt.

Adressbereiche:

• LocalSubnet6 wird nicht als lokaler oder Remoteadressbereich unterstützt.
• LocalSubnet4 wird nicht als lokaler oder Remoteadressbereich unterstützt.
• PlatToDevice wird nicht als lokaler oder Remoteadressbereich unterstützt.

Nach Abschluss des Tools wird ein Bericht mit Regeln generiert, die nicht erfolgreich migriert wurden. Sie finden diese Regeln in RulesError.csv im Ordner C:\<folder>.

Erforderliche Berechtigungen

Benutzer, denen die Intune-Rollen „Endpunktsicherheits-Manager“, „Intune-Dienstadministrator“ oder „Globaler Administrator“ zugewiesen sind, können Windows-Firewallregeln zu Endpunktsicherheitsrichtlinien migrieren. Alternativ können Sie einem Benutzer eine benutzerdefinierte Rolle mit Berechtigungen für Sicherheitsbaselines zum Löschen, Lesen, Zuweisen, Erstellen und Aktualisieren zuweisen. Weitere Informationen finden Sie unter Gewähren von Administratorberechtigungen für Intune.

Nächste Schritte

Nachdem Sie Endpunktsicherheitsrichtlinien für Firewallregeln erstellt haben, weisen Sie diese Richtlinien Microsoft Entra Gruppen zu, um sowohl Ihre MDM- als auch ihre gemeinsam verwalteten Clients zu konfigurieren. Weitere Informationen finden Sie unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten.