エンドポイント セキュリティのファイアウォール規則移行ツールの概要
Microsoft Intuneを使用する場合は、PowerShell スクリプトであるエンドポイント セキュリティ ファイアウォール規則移行ツールを使用して、Windows ファイアウォール規則用の多数の既存のグループ ポリシーを Intune エンドポイント セキュリティ ポリシーに移動するのに役立ちます。 Microsoft Intuneのエンドポイント セキュリティは、Windows ファイアウォール構成と詳細なファイアウォール規則管理の豊富な管理エクスペリエンスを提供します。
グループ ポリシーに基づいてファイアウォール規則が適用されている参照Windows 10/11 クライアントでエンドポイント セキュリティ ファイアウォール規則移行ツールを実行すると、Intune でエンドポイント セキュリティ ファイアウォール規則ポリシーを自動的に作成できます。 エンドポイント セキュリティ 規則が作成された後、管理者は、MDM と共同管理クライアントを構成するために、グループをMicrosoft Entraするようにルールをターゲットにすることができます。
エンドポイント セキュリティのファイアウォール規則移行ツールをダウンロードしてください。
ツールの使用方法
ヒント
ツールの PowerShell スクリプトは、 MDM を対象とするエンドポイント セキュリティ ポリシーを探します。 MDM を対象とするポリシーがない場合、スクリプトはループして終了できません。 この条件を回避するには、スクリプトを実行する前に MDM を対象とするポリシーを追加するか、スクリプトの 46 行目を次のように編集します。 while(($profileNameExist) -and ($profiles.Count -gt 0))
参照マシン上でツールを実行し、そのマシンの現在の Windows ファイアウォール規則構成を移行します。 実行すると、デバイス上にあるすべての有効なファイアウォール規則がツールによってエクスポートされ、収集された規則を使用して新しい Intune ポリシーが自動的に作成されます。
ローカルの管理者特権を使用して、参照コンピューターにサインインします。
前提条件の PowerShell モジュールを GitHub からダウンロードする
zip ファイルは、次の手順でスクリプトを配置するルート フォルダーに抽出する必要があります。
ファイル
Export-FirewallRules.zipをダウンロードして解凍します。この zip ファイルには、スクリプト ファイル
Export-FirewallRules.ps1が含まれています。 前の手順からルート フォルダーにスクリプトを抽出します。ここで、 と サブフォルダー "Intune-PowerShell-Management-master" が必要ですExport-FirewallRules.ps1。次のスイッチを使用して PowerShell を起動する - "PowerShell.exe -Executionpolicy Bypass"
コンピューター上で
Export-FirewallRules.ps1スクリプトを実行します。スクリプトにより、実行に必要なすべての前提条件がダウンロードされます。 プロンプトが表示されたら、適切な Intune サービス管理者の資格情報を入力します。 必要なアクセス許可の詳細については、「必要なアクセス許可」を参照してください。
注:
既定では、リモート アセンブリは .NET Framework 4 以降では実行されません。 リモート アセンブリを実行するには、完全に信頼されたアセンブリとして実行するか、サンドボックス AppDomain を作成して実行する必要があります。 この構成変更を行う方法については、Microsoft .NET Framework ドキュメントの loadFromRemoteSources 要素に関するページを参照してください。 PowerShell ウィンドウから "System.Runtime.InteropServices.RuntimeEnvironment]::SystemConfigurationFile" を実行すると、構成ファイルへのパスが提供されます。 ファイアウォール規則をインポートした場合は、.NET Frameworkセキュリティの変更を元に戻してください。
プロンプトが表示されたら、ポリシー名を指定します。 ポリシー名は、テナントに対して一意である必要があります。
150 を超えるファイアウォール規則が見つかった場合、複数のポリシーが作成されます。
ツールによって作成されたポリシーは、[エンドポイント セキュリティ>ファイアウォール] ウィンドウのMicrosoft Intune管理センターに表示されます。
注:
既定では、有効なファイアウォール規則のみが移行され、GPO によって作成されたファイアウォール規則のみが移行されます。 このツールは、これらの既定値を変更できるスイッチをサポートしています。
ツールの実行にかかる時間は、検出されたファイアウォール規則の数によって変わります。
ツールの実行後、自動的に移行できなかったファイアウォール規則の数が出力されます。 詳細については、「サポートされていない構成」を参照してください。
スイッチ
次のスイッチ (パラメーター) を使用して、ツールの既定の動作を変更します。
IncludeLocalRules- このスイッチを使用して、ローカルで作成または既定のすべての Windows ファイアウォール規則をエクスポートに含めます。 このスイッチを使用すると、含まれる規則の数が多くなることがあります。IncludedDisabledRules- このスイッチを使用すると、すべての有効および無効になっている Windows ファイアウォール規則がエクスポートに含まれます。 このスイッチを使用すると、含まれる規則の数が多くなることがあります。
サポートされていない構成
Windows では MDM がサポートされていないため、次のレジストリベースの設定はサポートされていません。 このような設定は一般的ではありませんが、このような設定が必要な場合は、標準のサポート チャネルを介してこの必要性を記録することを検討してください。
| GPO フィールド | 理由 |
|---|---|
| TYPE-VALUE =/ "Security=" IFSECURE-VAL | Windows MDM でサポートされていない IPSec 関連の設定 |
| TYPE-VALUE =/ "Security2_9=" IFSECURE2-9-VAL | Windows MDM でサポートされていない IPSec 関連の設定 |
| TYPE-VALUE =/ "Security2=" IFSECURE2-10-VAL | Windows MDM でサポートされていない IPSec 関連の設定 |
| TYPE-VALUE =/ "IF=" IF-VAL | インターフェイス ID (LUID) は管理できません |
| TYPE-VALUE =/ "Defer=" DEFER-VAL | グループ ポリシーまたは Windows MDM 経由で公開されない受信 NAT トラバーサル関連 |
| TYPE-VALUE =/ "LSM=" BOOL-VAL | グループ ポリシーまたは Windows MDM を介して公開されていない Loose Source Mapped |
| TYPE-VALUE =/ "Platform=" PLATFORM-VAL | グループ ポリシーまたは Windows MDM を介して公開されない OS のバージョン管理 |
| TYPE-VALUE =/ "RMauth=" STR-VAL | Windows MDM でサポートされていない IPSec 関連の設定 |
| TYPE-VALUE =/ "RUAuth=" STR-VAL | Windows MDM でサポートされていない IPSec 関連の設定 |
| TYPE-VALUE =/ "AuthByPassOut=" BOOL-VAL | Windows MDM でサポートされていない IPSec 関連の設定 |
| TYPE-VALUE =/ "LOM=" BOOL-VAL | グループ ポリシーまたは Windows MDM を介して公開されない Local Only Mapped |
| TYPE-VALUE =/ "Platform2=" PLATFORM-OP-VAL | グループ ポリシーまたは Windows MDM を介して公開されない冗長設定 |
| TYPE-VALUE =/ "PCross=" BOOL-VAL | グループ ポリシーまたは Windows MDM 経由でプロファイルのクロスが公開されないようにする |
| TYPE-VALUE =/ "LUOwn=" STR-VAL | MDM で適用できないローカル ユーザーの所有者 SID |
| TYPE-VALUE =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL | グループ ポリシーまたは Windows MDM を介して公開されていない信頼タプルキーワード (keyword)とトラフィックを一致させる |
| TYPE-VALUE =/ “TTK2_22=” TRUST-TUPLE-KEYWORD-VAL2-22 | グループ ポリシーまたは Windows MDM を介して公開されていない信頼タプルキーワード (keyword)とトラフィックを一致させる |
| TYPE-VALUE =/ “TTK2_27=” TRUST-TUPLE-KEYWORD-VAL2-27 | グループ ポリシーまたは Windows MDM を介して公開されていない信頼タプルキーワード (keyword)とトラフィックを一致させる |
| TYPE-VALUE =/ “TTK2_28=” TRUST-TUPLE-KEYWORD-VAL2-28 | グループ ポリシーまたは Windows MDM を介して公開されていない信頼タプルキーワード (keyword)とトラフィックを一致させる |
| TYPE-VALUE =/ "NNm=" STR-ENC-VAL | Windows MDM でサポートされていない IPSec 関連の設定 |
| TYPE-VALUE =/ "SecurityRealmId=" STR-VAL | Windows MDM でサポートされていない IPSec 関連の設定 |
サポートされていない設定値
次の設定値は、移行ではサポートされていません。
ポート:
PlayToDiscoveryは、ローカルまたはリモート ポート範囲としてサポートされていません。
アドレス範囲:
LocalSubnet6は、ローカルまたはリモート アドレス範囲としてサポートされていません。LocalSubnet4は、ローカルまたはリモート アドレス範囲としてサポートされていません。PlatToDeviceは、ローカルまたはリモート アドレス範囲としてサポートされていません。
ツールが完了すると、正常に移行されなかった規則のレポートが生成されます。 これらの規則は、C:\<folder> で検出された RulesError.csv を表示することによって確認できます。
必要なアクセス許可
ユーザーが割り当てたエンドポイント セキュリティ マネージャー、Intune サービス管理者、またはグローバル管理者の Intune ロールは、Windows ファイアウォール規則をエンドポイント セキュリティ ポリシーに移行できます。 または、セキュリティ ベースラインのアクセス許可が、[削除]、[読み取り]、[割り当て]、[作成]、[更新] の付与が適用されるように設定されている場合、ユーザーにカスタム ロールを割り当てることができます。 詳細については、Intune に対する管理者アクセス許可の付与に関するページを参照してください。
次の手順
ファイアウォール規則のエンドポイント セキュリティ ポリシーを作成したら、これらのポリシーを Microsoft Entra グループに割り当てて、MDM クライアントと共同管理クライアントの両方を構成します。 詳細については、「ユーザーとデバイスを整理するためのグループを追加する」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示