Información general sobre la herramienta de migración de reglas de firewall de seguridad de los puntos de conexión
Al usar Microsoft Intune, puede usar la herramienta de migración de reglas de firewall de seguridad de punto de conexión, que es un script de PowerShell, para ayudarle a mover un gran número de directivas de grupo existentes para las reglas de Firewall de Windows a las directivas de seguridad de los puntos de conexión de Intune. La seguridad de los puntos de conexión en Microsoft Intune ofrece experiencias de administración enriquecidas de la configuración de Firewall de Windows y la administración granular de reglas de firewall.
Al ejecutar la herramienta de migración de reglas de firewall de seguridad de punto de conexión en un cliente de referencia Windows 10/11 que tiene reglas de firewall basadas en directiva de grupo aplicadas, la herramienta puede crear automáticamente directivas de regla de firewall de seguridad de punto de conexión en Intune. Una vez creadas las reglas de seguridad del punto de conexión, los administradores pueden dirigir las reglas a Microsoft Entra grupos para configurar MDM y clientes administrados conjuntamente.
Descargue la herramienta de migración de reglas de firewall de seguridad de los puntos de conexión:
Uso de la herramienta
Sugerencia
El script de PowerShell de la herramienta busca directivas de seguridad de punto de conexión destinadas a MDM. Cuando no hay directivas destinadas a MDM, el script puede bucle y no puede salir. Para evitar esta condición, agregue una directiva destinada a MDM antes de ejecutar el script o edite la línea 46 del script a lo siguiente: while(($profileNameExist) -and ($profiles.Count -gt 0))
Ejecute la herramienta en una máquina de referencia para migrar la configuración actual de las reglas del firewall de Windows de esa máquina. Al ejecutar la herramienta, se exportarán todas las reglas del firewall habilitadas que haya en el dispositivo y se crearán automáticamente directivas nuevas de Intune con las reglas recopiladas.
Inicie sesión en la máquina de referencia con privilegios de administrador local.
Descarga de los módulos de PowerShell de requisitos previos desde GitHub
El archivo ZIP debe extraerse en una carpeta raíz donde coloque el script en el paso siguiente.
Descargue y el archivo
Export-FirewallRules.zipy descomprímalo.El archivo .zip contiene el archivo de script
Export-FirewallRules.ps1. Extraiga el script en la carpeta raíz del paso anterior, donde ahora debería tener laExport-FirewallRules.ps1subcarpeta y "Intune-PowerShell-Management-master"Inicie PowerShell con el siguiente modificador: "PowerShell.exe -Executionpolicy Bypass"
Ejecute el script
Export-FirewallRules.ps1en la máquina.El script descarga todos los requisitos previos que necesita para ejecutarse. Cuando se le solicite, proporcione las credenciales del Administrador de Intune adecuadas. Para obtener más información sobre los permisos necesarios, vea Permisos necesarios.
Nota:
De forma predeterminada, los ensamblados remotos no se ejecutan en .NET Framework 4 y versiones posteriores. Para ejecutar un ensamblado remoto, debe ejecutarlo como de plena confianza o crear un AppDomain de espacio aislado en el que ejecutarlo. Para obtener información sobre cómo realizar este cambio de configuración, consulte el elemento loadFromRemoteSources en la documentación de Microsoft .NET Framework. La ejecución de "[System.Runtime.InteropServices.RuntimeEnvironment]::SystemConfigurationFile" desde una ventana de PowerShell le proporcionará la ruta de acceso al archivo de configuración. Recuerde revertir el cambio de seguridad de .NET Framework cuando haya importado las reglas de firewall.
Proporcione el nombre de una directiva cuando se le solicite. El nombre de la directiva debe ser único para el inquilino.
Si se encuentran más de 150 reglas de firewall, se crearán varias directivas.
Las directivas creadas por la herramienta están visibles en el centro de administración de Microsoft Intune en el panelFirewall de seguridad> de puntos de conexión.
Nota:
De forma predeterminada, solo se migran las reglas de firewall habilitadas y solo se migran las reglas de firewall creadas por GPO. La herramienta admite modificadores que puede usar para modificar estos valores predeterminados.
El tiempo que tarda la herramienta en ejecutarse depende del número de reglas de firewall encontradas.
Una vez ejecutada la herramienta, genera un número de reglas de firewall que no pudo migrar automáticamente. Para obtener más información, vea, Configuración no admitida.
Modificadores
Utilice los modificadores siguientes (parámetros) para modificar el comportamiento predeterminado de la herramienta.
IncludeLocalRules- Use este modificador para incluir todas las reglas de Firewall de Windows creadas localmente o predeterminadas en la exportación. El uso de este modificador puede dar lugar a un gran número de reglas incluidas.IncludedDisabledRules- e este modificador para incluir todas las reglas de Firewall de Windows habilitadas y deshabilitadas en la exportación. El uso de este modificador puede dar lugar a un gran número de reglas incluidas.
Configuración no admitida
La configuración siguiente, basada en el registro, no se admite debido a la falta de compatibilidad con MDM en Windows. Aunque esta configuración no es habitual, si necesita esta configuración, considere la posibilidad de registrar esta necesidad mediante los canales de soporte técnico estándar.
| Campo de GPO | Reason |
|---|---|
| TYPE-VALUE =/ "Security=" IFSECURE-VAL | La configuración relacionada con IPSec no es compatible con MDM de Windows. |
| TYPE-VALUE =/ "Security2_9=" IFSECURE2-9-VAL | La configuración relacionada con IPSec no es compatible con MDM de Windows. |
| TYPE-VALUE =/ "Security2=" IFSECURE2-10-VAL | La configuración relacionada con IPSec no es compatible con MDM de Windows. |
| TYPE-VALUE =/ "IF=" IF-VAL | El identificador de interfaz (LUID) no es administrable. |
| TYPE-VALUE =/ "Defer=" DEFER-VAL | Tráfico NAT de entrada relacionado no expuesto a través de directiva de grupo o MDM de Windows |
| TYPE-VALUE =/ "LSM=" BOOL-VAL | Origen flexible asignado no expuesto a través de directiva de grupo o MDM de Windows |
| TYPE-VALUE =/ "Platform=" PLATFORM-VAL | El control de versiones del sistema operativo no se expone a través de la directiva de grupo o de MDM de Windows. |
| TYPE-VALUE =/ "RMauth=" STR-VAL | La configuración relacionada con IPSec no es compatible con MDM de Windows. |
| TYPE-VALUE =/ "RUAuth=" STR-VAL | La configuración relacionada con IPSec no es compatible con MDM de Windows. |
| TYPE-VALUE =/ "AuthByPassOut=" BOOL-VAL | La configuración relacionada con IPSec no es compatible con MDM de Windows. |
| TYPE-VALUE =/ "LOM=" BOOL-VAL | Asignado solo local no se expone a través de la directiva de grupo o de MDM de Windows. |
| TYPE-VALUE =/ "Platform2=" PLATFORM-OP-VAL | El valor redundante no se expone a través de la directiva de grupo o de MDM de Windows. |
| TYPE-VALUE =/ "PCross=" BOOL-VAL | Permitir el cruce de perfiles no expuesto a través de directiva de grupo o MDM de Windows |
| TYPE-VALUE =/ "LUOwn=" STR-VAL | SID de propietario de usuario local no es aplicable en MDM. |
| TYPE-VALUE =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL | Coincidencia del tráfico con la palabra clave de tupla de confianza no expuesta a través de directiva de grupo o MDM de Windows |
| TYPE-VALUE =/ “TTK2_22=” TRUST-TUPLE-KEYWORD-VAL2-22 | Coincidencia del tráfico con la palabra clave de tupla de confianza no expuesta a través de directiva de grupo o MDM de Windows |
| TYPE-VALUE =/ “TTK2_27=” TRUST-TUPLE-KEYWORD-VAL2-27 | Coincidencia del tráfico con la palabra clave de tupla de confianza no expuesta a través de directiva de grupo o MDM de Windows |
| TYPE-VALUE =/ “TTK2_28=” TRUST-TUPLE-KEYWORD-VAL2-28 | Coincidencia del tráfico con la palabra clave de tupla de confianza no expuesta a través de directiva de grupo o MDM de Windows |
| TYPE-VALUE =/ "NNm=" STR-ENC-VAL | La configuración relacionada con IPSec no es compatible con MDM de Windows. |
| TYPE-VALUE =/ "SecurityRealmId=" STR-VAL | La configuración relacionada con IPSec no es compatible con MDM de Windows. |
Valores de configuración no admitidos
Los valores de configuración siguientes no se admiten en la migración:
Puertos:
PlayToDiscoveryno se admite como un intervalo de puertos locales o remotos.
Intervalos de direcciones:
LocalSubnet6no se admite como un intervalo de direcciones locales o remotas.LocalSubnet4no se admite como un intervalo de direcciones locales o remotas.PlatToDeviceno se admite como un intervalo de direcciones locales o remotas.
Una vez completada la herramienta, genera un informe con reglas que no se migraron correctamente. Se puede ver cualquiera de estas reglas mediante el archivo RulesError.csv, disponible en C:\<folder>.
Permisos necesarios
Los usuarios asignados a los roles de Intune de administrador de seguridad de puntos de conexión, administrador de servicios de Intune o administrador global pueden migrar las reglas de firewall de Windows a las directivas de seguridad del punto de conexión. Como alternativa, puede asignar al usuario un rol personalizado en el que se establezcan los permisos de las líneas de base de seguridad con las concesiones Eliminar, Leer, Asignar, Crear y Actualizar aplicadas. Para obtener más información, vea Conceder permisos de administrador.
Siguientes pasos
Después de crear directivas de seguridad de punto de conexión para reglas de firewall, asigne esas directivas a Microsoft Entra grupos para configurar tanto la MDM como los clientes administrados conjuntamente. Para más información, consulte Agregar grupos para organizar usuarios y dispositivos.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de