Végpontbiztonsági tűzfalszabály migrálási eszközének áttekintése
A Microsoft Intune használatakor használhatja a Végpontbiztonsági tűzfalszabály-migrálási eszközt, amely egy PowerShell-szkript, amellyel nagy számú meglévő Windows tűzfalszabályzatot helyezhet át az Intune végpontbiztonsági szabályzataiba. A végpontbiztonság a Microsoft Intune-ben a Windows tűzfal konfigurációjának és részletes tűzfalszabály-kezelésének gazdag kezelési élményét kínálja.
Amikor a Végpontbiztonsági tűzfalszabály-migrálási eszközt olyan referencia-Windows 10/11-ügyfélen futtatja, amely Csoportházirend alapuló tűzfalszabályokat alkalmaz, az eszköz automatikusan létrehozhat végpontbiztonsági tűzfalszabály-szabályzatokat az Intune-ban. A végpontbiztonsági szabályok létrehozása után a rendszergazdák megcélozhatják a szabályokat, hogy Microsoft Entra csoportokat az MDM és a közösen felügyelt ügyfelek konfigurálásához.
Töltse le a Végpontbiztonsági tűzfalszabály migrálási eszközét:
Eszközhasználat
Tipp
Az eszköz PowerShell-szkriptje az MDM-et célzó végpontbiztonsági szabályzatokat keresi. Ha nincsenek az MDM-et célzó szabályzatok, a szkript hurkolhat, és nem léphet ki. A feltétel megkerüléséhez adjon hozzá egy MDM-et megcélzott szabályzatot a szkript futtatása előtt, vagy szerkessze a szkript 46. sorát a következőre: while(($profileNameExist) -and ($profiles.Count -gt 0))
Futtassa az eszközt egy referenciagépen a gépek aktuális Windows tűzfalszabály-konfigurációjának áttelepítéséhez. Futtatáskor az eszköz exportálja az eszközön található összes engedélyezett tűzfalszabályt, és automatikusan új Intune-szabályzatokat hoz létre az összegyűjtött szabályokkal.
Jelentkezzen be a referenciagépre helyi rendszergazdai jogosultságokkal.
Az előfeltételként szükséges PowerShell-modul(ok) letöltése a GitHubról
A zip-fájlt egy gyökérmappába kell kibontani, ahol a szkriptet a következő lépésben elhelyezi.
Töltse le és csomagolja ki a fájlt
Export-FirewallRules.zip.A zip-fájl tartalmazza a szkriptfájlt
Export-FirewallRules.ps1. Bontsa ki a szkriptet az előző lépés gyökérmappájába, ahol most azExport-FirewallRules.ps1és almappával kell rendelkeznie: "Intune-PowerShell-Management-master"Indítsa el a PowerShellt a következő kapcsolóval: "PowerShell.exe -Executionpolicy Bypass"
Futtassa a
Export-FirewallRules.ps1szkriptet a gépen.A szkript letölti a futtatáshoz szükséges összes előfeltételt. Amikor a rendszer kéri, adja meg a megfelelő Intune-rendszergazdai hitelesítő adatokat. A szükséges engedélyekkel kapcsolatos további információkért lásd: Szükséges engedélyek.
Megjegyzés:
A távoli szerelvények alapértelmezés szerint nem futnak a .NET-keretrendszer 4-.NET-keretrendszer és újabb verzióiban. Távoli szerelvény futtatásához vagy teljes mértékben megbízhatóként kell futtatnia, vagy létre kell hoznia egy védőfalas AppDomaint, amelyben futtatni szeretné. A konfiguráció módosításának módjáról a Microsoft .NET-keretrendszer dokumentációjának loadFromRemoteSources eleme című szakaszában olvashat. A "[System.Runtime.InteropServices.RuntimeEnvironment]::SystemConfigurationFile" PowerShell-ablakból való futtatása megadja a konfigurációs fájl elérési útját. Ne felejtse el visszaállítani a .NET-keretrendszer biztonsági módosítást, amikor importálta a tűzfalszabályokat.
Amikor a rendszer kéri, adja meg a szabályzat nevét. A szabályzat nevének egyedinek kell lennie a bérlőhöz.
Ha több mint 150 tűzfalszabály található, több szabályzat jön létre.
Az eszköz által létrehozott szabályzatok a Végpontbiztonsági>tűzfal panel Microsoft Intune Felügyeleti központban láthatók.
Megjegyzés:
Alapértelmezés szerint csak az engedélyezett tűzfalszabályok lesznek áttelepítve, és csak a csoportházirend-objektum által létrehozott tűzfalszabályok lesznek áttelepítve. Az eszköz támogatja az alapértelmezett beállítások módosításához használható kapcsolókat .
Az eszköz futtatásának időtartama a talált tűzfalszabályok számától függ.
Az eszköz futása után olyan tűzfalszabályokat ad ki, amelyeket nem tudott automatikusan migrálni. További információ: Nem támogatott konfiguráció.
Kapcsolók
Az eszköz alapértelmezett viselkedésének módosításához használja az alábbi kapcsolókat (paramétereket).
IncludeLocalRules– Ezzel a kapcsolóval a helyileg létrehozott/alapértelmezett Windows tűzfalszabályokat is belefoglalhatja az exportálásba. A kapcsoló használata nagy számú belefoglalt szabályt eredményezhet.IncludedDisabledRules– ez a kapcsoló az összes engedélyezett és letiltott Windows tűzfalszabályt belefoglalja az exportálásba. A kapcsoló használata nagy számú belefoglalt szabályt eredményezhet.
Nem támogatott konfiguráció
A következő beállításjegyzék-alapú beállítások nem támogatottak a Windows MDM-támogatásának hiánya miatt. Bár ezek a beállítások ritkán fordulnak elő, ha ezekre a beállításokra van szüksége, érdemes lehet a szokásos támogatási csatornákon keresztül naplóznia ezt az igényt.
| GPO mező | Ok |
|---|---|
| TYPE-VALUE =/ "Security=" IFSECURE-VAL | A Windows MDM nem támogatja az IPSec-hez kapcsolódó beállítást |
| TYPE-VALUE =/ "Security2_9=" IFSECURE2-9-VAL | A Windows MDM nem támogatja az IPSec-hez kapcsolódó beállítást |
| TYPE-VALUE =/ "Security2=" IFSECURE2-10-VAL | A Windows MDM nem támogatja az IPSec-hez kapcsolódó beállítást |
| TYPE-VALUE =/ "IF=" IF-VAL | Az illesztőazonosító (LUID) nem kezelhető |
| TYPE-VALUE =/ "Defer=" DEFER-VAL | A Csoportházirend vagy Windows MDM-en keresztül nem elérhető bejövő NAT-bejárással kapcsolatos információk |
| TYPE-VALUE =/ "LSM=" BOOL-VAL | A leképezett laza forrás nem érhető el Csoportházirend vagy Windows MDM-en keresztül |
| TYPE-VALUE =/ "Platform=" PLATFORM-VAL | Az operációs rendszer verziószámozása nem érhető el Csoportházirend vagy Windows MDM-en keresztül |
| TYPE-VALUE =/ "RMauth=" STR-VAL | A Windows MDM nem támogatja az IPSec-hez kapcsolódó beállítást |
| TYPE-VALUE =/ "RUAuth=" STR-VAL | A Windows MDM nem támogatja az IPSec-hez kapcsolódó beállítást |
| TYPE-VALUE =/ "AuthByPassOut=" BOOL-VAL | A Windows MDM nem támogatja az IPSec-hez kapcsolódó beállítást |
| TYPE-VALUE =/ "LOM=" BOOL-VAL | Csak helyi megfeleltetés nem érhető el Csoportházirend vagy Windows MDM-en keresztül |
| TYPE-VALUE =/ "Platform2=" PLATFORM-OP-VAL | Redundáns beállítás nem érhető el Csoportházirend vagy Windows MDM-en keresztül |
| TYPE-VALUE =/ "PCross=" BOOL-VAL | Profilátlépés engedélyezése Csoportházirend vagy Windows MDM-en keresztül |
| TYPE-VALUE =/ "LUOwn=" STR-VAL | A helyi felhasználó tulajdonosának biztonsági azonosítója nem alkalmazható az MDM-ben |
| TYPE-VALUE =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL | A forgalom egyeztetése a megbízhatósági rekord kulcsszóval, amely nem érhető el Csoportházirend vagy Windows MDM-en keresztül |
| TYPE-VALUE =/ "TTK2_22=" TRUST-TUPLE-KEYWORD-VAL2-22 | A forgalom egyeztetése a megbízhatósági rekord kulcsszóval, amely nem érhető el Csoportházirend vagy Windows MDM-en keresztül |
| TYPE-VALUE =/ "TTK2_27=" TRUST-TUPLE-KEYWORD-VAL2-27 | A forgalom egyeztetése a megbízhatósági rekord kulcsszóval, amely nem érhető el Csoportházirend vagy Windows MDM-en keresztül |
| TYPE-VALUE =/ "TTK2_28=" TRUST-TUPLE-KEYWORD-VAL2-28 | A forgalom egyeztetése a megbízhatósági rekord kulcsszóval, amely nem érhető el Csoportházirend vagy Windows MDM-en keresztül |
| TYPE-VALUE =/ "NNm=" STR-ENC-VAL | A Windows MDM nem támogatja az IPSec-hez kapcsolódó beállítást |
| TYPE-VALUE =/ "SecurityRealmId=" STR-VAL | A Windows MDM nem támogatja az IPSec-hez kapcsolódó beállítást |
Nem támogatott beállításértékek
A migrálás nem támogatja a következő beállításértékeket:
Portok:
PlayToDiscoverynem támogatott helyi vagy távoli porttartományként.
Címtartományok:
LocalSubnet6nem támogatott helyi vagy távoli címtartományként.LocalSubnet4nem támogatott helyi vagy távoli címtartományként.PlatToDevicenem támogatott helyi vagy távoli címtartományként.
Miután az eszköz befejeződött, létrehoz egy jelentést, amely nem sikerült migrálni a szabályokat. Ezeket a szabályokat a következő helyen C:\<folder>tekintheti megRulesError.csv: .
Szükséges engedélyek
Az Endpoint Security Manager, az Intune Service Rendszergazda vagy a globális Rendszergazda Intune-szerepköreihez hozzárendelt felhasználók áttelepíthetik a Windows tűzfalszabályokat a végpontbiztonsági szabályzatokba. Másik lehetőségként hozzárendelhet egy egyéni szerepkört a felhasználóhoz, ahol a biztonsági alapkonfigurációk engedélyeit a Rendszer törlési, olvasási, hozzárendelési, létrehozási és frissítési engedélyekkel állítja be. További információ: Rendszergazdai engedélyek megadása az Intune-hoz.
Következő lépések
A tűzfalszabályok végpontbiztonsági szabályzatainak létrehozása után rendelje hozzá ezeket a szabályzatokat Microsoft Entra csoportokhoz az MDM és a közösen felügyelt ügyfelek konfigurálásához. További információ: Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: