엔드포인트 보안 방화벽 규칙 마이그레이션 도구 개요
Microsoft Intune 사용하는 경우 PowerShell 스크립트인 엔드포인트 보안 방화벽 규칙 마이그레이션 도구를 사용하여 Windows 방화벽 규칙에 대한 많은 수의 기존 그룹 정책을 Intune 엔드포인트 보안 정책으로 이동할 수 있습니다. Microsoft Intune 엔드포인트 보안은 Windows 방화벽 구성 및 세분화된 방화벽 규칙 관리의 풍부한 관리 환경을 제공합니다.
적용된 그룹 정책 따라 방화벽 규칙이 있는 참조 Windows 10/11 클라이언트에서 엔드포인트 보안 방화벽 규칙 마이그레이션 도구를 실행하면 이 도구는 Intune에서 엔드포인트 보안 방화벽 규칙 정책을 자동으로 만들 수 있습니다. 엔드포인트 보안 규칙을 만든 후 관리자는 그룹을 Microsoft Entra 규칙을 대상으로 지정하여 MDM 및 공동 관리형 클라이언트를 구성할 수 있습니다.
엔드포인트 보안 방화벽 규칙 마이그레이션 도구를 다운로드합니다.
도구 사용
팁
이 도구의 PowerShell 스크립트는 MDM을 대상으로 하는 엔드포인트 보안 정책을 찾습니다. MDM을 대상으로 하는 정책이 없으면 스크립트가 반복되고 종료되지 않을 수 있습니다. 이 조건을 해결하려면 스크립트를 실행하기 전에 MDM을 대상으로 하는 정책을 추가하거나 스크립트의 46줄을 다음으로 편집합니다. while(($profileNameExist) -and ($profiles.Count -gt 0))
참조 컴퓨터에서 도구를 실행하여 컴퓨터의 현재 Windows 방화벽 규칙 구성을 마이그레이션합니다. 도구를 실행하면 도구는 디바이스에 있는 모든 사용 설정된 방화벽 규칙을 내보내며, 수집된 규칙을 사용하여 자동으로 새 Intune 정책이 생성됩니다.
로컬 관리자 권한으로 참조 컴퓨터에 로그인합니다.
GitHub에서 필수 구성 요소 PowerShell 모듈 다운로드
zip 파일은 다음 단계에서 스크립트를 배치하는 루트 폴더로 추출되어야 합니다.
Export-FirewallRules.zip파일을 다운로드하고 압축을 풉니다.Zip 파일에는 스크립트 파일
Export-FirewallRules.ps1이 포함됩니다. 이전 단계에서 루트 폴더로 스크립트를 추출합니다. 여기서 이제Export-FirewallRules.ps1및 하위 폴더 "Intune-PowerShell-Management-master"가 있어야 합니다."PowerShell.exe -Executionpolicy Bypass" 스위치를 사용하여 PowerShell을 시작합니다.
머신에서
Export-FirewallRules.ps1스크립트를 실행합니다.스크립트는 실행에 필요한 모든 필수 구성 요소를 다운로드합니다. 메시지가 표시되면 적절한 Intune 관리자 자격 증명을 제공합니다. 필요한 권한에 관한 자세한 내용은 필요한 권한을 참조하세요.
참고
기본적으로 원격 어셈블리는 .NET Framework 4 이상에서 실행되지 않습니다. 원격 어셈블리를 실행하려면 완전히 신뢰할 수 있는 상태로 실행하거나 실행할 샌드박스 AppDomain을 만들어야 합니다. 이 구성 변경을 수행하는 방법에 대한 자세한 내용은 Microsoft .NET Framework 설명서의 loadFromRemoteSources 요소를 참조하세요. PowerShell 창에서 "[System.Runtime.InteropServices.RuntimeEnvironment]::SystemConfigurationFile"을 실행하면 구성 파일의 경로가 제공됩니다. 방화벽 규칙을 가져온 경우 .NET Framework 보안 변경을 되돌리기 합니다.
메시지가 표시되면 정책 이름을 제공합니다. 정책 이름은 테넌트에서 고유해야 합니다.
방화벽 규칙이 150개를 초과하는 경우 여러 정책이 생성됩니다.
도구에서 만든 정책은 엔드포인트 보안>방화벽 창의 Microsoft Intune 관리 센터에 표시됩니다.
참고
기본적으로, 사용 설정된 방화벽 규칙과 GPO에서 만든 방화벽 규칙만 마이그레이션됩니다. 도구는 이러한 기본값을 수정할 수 있는 스위치를 지원합니다.
도구 실행에 걸리는 시간은 발견한 방화벽 규칙의 수에 따라 달라집니다.
도구를 실행하면 도구에서 자동으로 마이그레이션할 수 없는 방화벽 규칙 수가 출력됩니다. 자세한 내용은 지원되지 않는 구성을 참조하세요.
스위치
다음 스위치(매개 변수)를 사용하여 도구의 기본 동작을 수정합니다.
IncludeLocalRules- 이 스위치를 사용하여 내보내기에서 로컬로 만든/기본 Windows 방화벽 규칙을 모두 포함합니다. 이 스위치를 사용하면 포함되는 규칙이 대량으로 발생할 수 있습니다.IncludedDisabledRules- 이 스위치는 내보내기에서 사용 및 비활성화된 모든 Windows 방화벽 규칙을 포함합니다. 이 스위치를 사용하면 포함되는 규칙이 대량으로 발생할 수 있습니다.
지원되지 않는 구성
Windows에서 MDM을 충분히 지원하지 않기 때문에 다음 레지스트리 기반 설정은 지원되지 않습니다. 이러한 설정은 자주 사용하지 않지만, 이러한 설정이 필요하다면 표준 지원 채널을 통해 이 요구 사항을 로깅하는 것이 좋습니다.
| GPO 필드 | 이유 |
|---|---|
| TYPE-VALUE =/ "Security=" IFSECURE-VAL | Windows MDM에서 지원하지 않는 IPSec 관련 설정 |
| TYPE-VALUE =/ "Security2_9=" IFSECURE2-9-VAL | Windows MDM에서 지원하지 않는 IPSec 관련 설정 |
| TYPE-VALUE =/ "Security2=" IFSECURE2-10-VAL | Windows MDM에서 지원하지 않는 IPSec 관련 설정 |
| TYPE-VALUE =/ "IF=" IF-VAL | 인터페이스 식별자(LUID)를 관리할 수 없음 |
| TYPE-VALUE =/ "Defer=" DEFER-VAL | 그룹 정책 또는 Windows MDM을 통해 노출되지 않는 인바운드 NAT 순회 |
| TYPE-VALUE =/ "LSM=" BOOL-VAL | 그룹 정책 또는 Windows MDM을 통해 노출되지 않는 느슨한 원본 매핑 |
| TYPE-VALUE =/ "Platform=" PLATFORM-VAL | 그룹 정책 또는 Windows MDM을 통해 공개되지 않는 OS 버전 관리 |
| TYPE-VALUE =/ "RMauth=" STR-VAL | Windows MDM에서 지원하지 않는 IPSec 관련 설정 |
| TYPE-VALUE =/ "RUAuth=" STR-VAL | Windows MDM에서 지원하지 않는 IPSec 관련 설정 |
| TYPE-VALUE =/ "AuthByPassOut=" BOOL-VAL | Windows MDM에서 지원하지 않는 IPSec 관련 설정 |
| TYPE-VALUE =/ "LOM=" BOOL-VAL | 그룹 정책 또는 Windows MDM을 통해 공개되지 않는 Local Only Mapped |
| TYPE-VALUE =/ "Platform2=" PLATFORM-OP-VAL | 그룹 정책 또는 Windows MDM을 통해 공개되지 않는 중복 설정 |
| TYPE-VALUE =/ "PCross=" BOOL-VAL | 그룹 정책 또는 Windows MDM을 통해 프로필 교차가 노출되지 않도록 허용 |
| TYPE-VALUE =/ "LUOwn=" STR-VAL | MDM에서 적용할 수 없는 로컬 사용자 소유자 SID |
| TYPE-VALUE =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL | 그룹 정책 또는 Windows MDM을 통해 노출되지 않는 트러스트 튜플 키워드(keyword) 트래픽 일치 |
| TYPE-VALUE =/ “TTK2_22=” TRUST-TUPLE-KEYWORD-VAL2-22 | 그룹 정책 또는 Windows MDM을 통해 노출되지 않는 트러스트 튜플 키워드(keyword) 트래픽 일치 |
| TYPE-VALUE =/ “TTK2_27=” TRUST-TUPLE-KEYWORD-VAL2-27 | 그룹 정책 또는 Windows MDM을 통해 노출되지 않는 트러스트 튜플 키워드(keyword) 트래픽 일치 |
| TYPE-VALUE =/ “TTK2_28=” TRUST-TUPLE-KEYWORD-VAL2-28 | 그룹 정책 또는 Windows MDM을 통해 노출되지 않는 트러스트 튜플 키워드(keyword) 트래픽 일치 |
| TYPE-VALUE =/ "NNm=" STR-ENC-VAL | Windows MDM에서 지원하지 않는 IPSec 관련 설정 |
| TYPE-VALUE =/ "SecurityRealmId=" STR-VAL | Windows MDM에서 지원하지 않는 IPSec 관련 설정 |
지원되지 않는 설정 값
다음 설정 값은 마이그레이션에서 지원되지 않습니다.
포트:
PlayToDiscovery는 로컬 또는 원격 포트 범위로 지원되지 않습니다.
주소 범위:
LocalSubnet6는 로컬 또는 원격 주소 범위로 지원되지 않습니다.LocalSubnet4는 로컬 또는 원격 주소 범위로 지원되지 않습니다.PlatToDevice는 로컬 또는 원격 주소 범위로 지원되지 않습니다.
도구가 마이그레이션을 완료한 후 성공적으로 마이그레이션되지 않은 규칙을 보여 주는 보고서가 생성됩니다. 이러한 규칙은 C:\<folder>의 RulesError.csv에서 확인할 수 있습니다.
필요한 사용 권한
사용자가 할당한 엔드포인트 보안 관리자용 Intune 역할, Intune 서비스 관리자 또는 전역 관리자 사용자는 Windows 방화벽 규칙을 엔드포인트 보안 정책으로 마이그레이션할 수 있습니다. 또는 삭제, 읽기, 할당, 만들기 및 업데이트 권한을 적용하여 보안 기준 권한을 설정하는 경우에는 사용자에게 지정 역할을 할당할 수 있습니다. 자세한 내용은 Intune에 관리자 권한 부여를 참조하세요.
다음 단계
방화벽 규칙에 대한 엔드포인트 보안 정책을 만든 후 해당 정책을 Microsoft Entra 그룹에 할당하여 MDM 및 공동 관리형 클라이언트를 모두 구성합니다. 자세한 내용은 그룹을 추가하여 사용자 및 디바이스 구성을 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기