Omówienie narzędzia do migracji reguł zapory zabezpieczeń punktu końcowego
Jeśli używasz Microsoft Intune, możesz użyć narzędzia do migracji reguł zapory zabezpieczeń punktu końcowego, które jest skryptem programu PowerShell, aby ułatwić przenoszenie dużej liczby istniejących zasad grupy dla reguł zapory systemu Windows do zasad zabezpieczeń punktu końcowego usługi Intune. Zabezpieczenia punktu końcowego w Microsoft Intune oferują zaawansowane środowiska zarządzania konfiguracją zapory systemu Windows i szczegółowym zarządzaniem regułami zapory.
Po uruchomieniu narzędzia do migracji reguł zapory zabezpieczeń punktu końcowego na kliencie referencyjnym Windows 10/11 z regułami zapory opartymi na zasady grupy stosowane narzędzie może automatycznie tworzyć zasady reguł zapory zabezpieczeń punktu końcowego w usłudze Intune. Po utworzeniu reguł zabezpieczeń punktu końcowego administratorzy mogą kierować reguły do Microsoft Entra grup w celu skonfigurowania zarządzania urządzeniami przenośnymi i klientami współzarządzanymi.
Pobierz narzędzie do migracji reguł zapory zabezpieczeń punktu końcowego:
Użycie narzędzia
Porada
Skrypt programu PowerShell narzędzia szuka zasad zabezpieczeń punktu końcowego, które są przeznaczone dla rozwiązania MDM. Jeśli nie ma żadnych zasad docelowych mdm, skrypt może pętli i nie można zakończyć. Aby obejść ten warunek, dodaj zasady przeznaczone dla rozwiązania MDM przed uruchomieniem skryptu lub zmodyfikuj wiersz 46 skryptu do następujących elementów: while(($profileNameExist) -and ($profiles.Count -gt 0))
Uruchom narzędzie na maszynie odniesienia, aby przeprowadzić migrację bieżącej konfiguracji reguły zapory systemu Windows. Po uruchomieniu narzędzie eksportuje wszystkie włączone reguły zapory obecne na urządzeniu i automatycznie tworzy nowe zasady usługi Intune z zebranymi regułami.
Zaloguj się do maszyny referencyjnej przy użyciu uprawnień administratora lokalnego.
Pobieranie wstępnie wymaganych modułów programu PowerShell z usługi GitHub
Plik zip powinien zostać wyodrębniony do folderu głównego, w którym umieścisz skrypt w następnym kroku.
Pobierz i rozpakuj plik
Export-FirewallRules.zip.Plik zip zawiera plik
Export-FirewallRules.ps1skryptu . Wyodrębnij skrypt do folderu głównego z poprzedniego kroku, w którym powinien byćExport-FirewallRules.ps1teraz dostępny podfolder i "Intune-PowerShell-Management-master"Uruchom program PowerShell z następującym przełącznikiem — "PowerShell.exe -Executionpolicy Bypass"
Export-FirewallRules.ps1Uruchom skrypt na maszynie.Skrypt pobiera wszystkie wymagania wstępne wymagane do uruchomienia. Po wyświetleniu monitu podaj odpowiednie poświadczenia administratora usługi Intune. Aby uzyskać więcej informacji na temat wymaganych uprawnień, zobacz Wymagane uprawnienia.
Uwaga
Domyślnie zestawy zdalne nie są uruchamiane w .NET Framework 4 lub nowszych. Aby uruchomić zestaw zdalny, należy uruchomić go jako w pełni zaufany lub utworzyć domenę AppDomain w trybie piaskownicy, w której ma zostać uruchomiony. Aby uzyskać informacje na temat sposobu przeprowadzenia tej zmiany konfiguracji, zobacz loadFromRemoteSources, element w dokumentacji .NET Framework firmy Microsoft. Uruchomienie polecenia "[System.Runtime.InteropServices.RuntimeEnvironment]::SystemConfigurationFile" w oknie programu PowerShell zapewni ścieżkę do pliku konfiguracji. Pamiętaj, aby przywrócić .NET Framework zmiany zabezpieczeń po zaimportowaniu reguł zapory.
Po wyświetleniu monitu podaj nazwę zasad. Nazwa zasad musi być unikatowa dla dzierżawy.
Po znalezieniu ponad 150 reguł zapory tworzonych jest wiele zasad.
Zasady utworzone przez narzędzie są widoczne w centrum administracyjnym Microsoft Intune w okienkuZaporazabezpieczeń> punktu końcowego.
Uwaga
Domyślnie migrowane są tylko włączone reguły zapory i migrowane są tylko reguły zapory utworzone przez obiekt zasad grupy. Narzędzie obsługuje przełączniki , których można użyć do modyfikowania tych wartości domyślnych.
Czas uruchomienia narzędzia zależy od liczby znalezionych reguł zapory.
Po uruchomieniu narzędzia zostanie wyświetlona liczba reguł zapory, których nie można było automatycznie migrować. Aby uzyskać więcej informacji, zobacz Nieobsługiwaną konfigurację.
Przełączniki
Użyj następujących przełączników (parametrów), aby zmodyfikować domyślne zachowanie narzędzia.
IncludeLocalRules— Użyj tego przełącznika, aby uwzględnić wszystkie lokalnie utworzone/domyślne reguły zapory systemu Windows w eksporcie. Użycie tego przełącznika może spowodować dużą liczbę dołączonych reguł.IncludedDisabledRules- e ten przełącznik, aby uwzględnić wszystkie włączone i wyłączone reguły zapory systemu Windows w eksporcie. Użycie tego przełącznika może spowodować dużą liczbę dołączonych reguł.
Nieobsługiwana konfiguracja
Następujące ustawienia oparte na rejestrze nie są obsługiwane z powodu braku obsługi zarządzania urządzeniami przenośnymi w systemie Windows. Chociaż te ustawienia są nietypowe, jeśli te ustawienia wymagają, rozważ rejestrowanie tej potrzeby za pośrednictwem standardowych kanałów pomocy technicznej.
| Pole obiektu zasad grupy | Powodu |
|---|---|
| TYPE-VALUE =/ "Security=" IFSECURE-VAL | Ustawienie związane z protokołem IPSec nie jest obsługiwane przez rozwiązanie MDM systemu Windows |
| TYPE-VALUE =/ "Security2_9=" IFSECURE2-9-VAL | Ustawienie związane z protokołem IPSec nie jest obsługiwane przez rozwiązanie MDM systemu Windows |
| TYPE-VALUE =/ "Security2=" IFSECURE2-10-VAL | Ustawienie związane z protokołem IPSec nie jest obsługiwane przez rozwiązanie MDM systemu Windows |
| TYPE-VALUE =/ "IF=" IF-VAL | Identyfikator interfejsu (LUID) nie jest możliwy do zarządzania |
| TYPE-VALUE =/ "Defer=" DEFER-VAL | Przechodzenie przychodzące translatora adresów sieciowych nie jest uwidocznione za pośrednictwem zasady grupy lub zarządzania urządzeniami przenośnymi systemu Windows |
| TYPE-VALUE =/ "LSM=" BOOL-VAL | Luźne zamapowane źródło nie jest uwidocznione za pośrednictwem zasady grupy lub windows MDM |
| TYPE-VALUE =/ "Platform=" PLATFORM-VAL | Przechowywanie wersji systemu operacyjnego nie jest uwidocznione za pośrednictwem zasady grupy lub windows MDM |
| TYPE-VALUE =/ "RMauth=" STR-VAL | Ustawienie związane z protokołem IPSec nie jest obsługiwane przez rozwiązanie MDM systemu Windows |
| TYPE-VALUE =/ "RUAuth=" STR-VAL | Ustawienie związane z protokołem IPSec nie jest obsługiwane przez rozwiązanie MDM systemu Windows |
| TYPE-VALUE =/ "AuthByPassOut=" BOOL-VAL | Ustawienie związane z protokołem IPSec nie jest obsługiwane przez rozwiązanie MDM systemu Windows |
| TYPE-VALUE =/ "LOM=" BOOL-VAL | Mapowane tylko lokalnie nie są uwidocznione za pośrednictwem zasady grupy lub zarządzania urządzeniami przenośnymi systemu Windows |
| TYPE-VALUE =/ "Platform2=" PLATFORM-OP-VAL | Ustawienie nadmiarowe nie jest uwidocznione za pośrednictwem zasady grupy lub zarządzania urządzeniami przenośnymi systemu Windows |
| TYPE-VALUE =/ "PCross=" BOOL-VAL | Zezwalaj na przekraczanie profilu nie jest uwidocznione za pośrednictwem zasady grupy lub windows MDM |
| TYPE-VALUE =/ "LUOwn=" STR-VAL | Identyfikator SID właściciela użytkownika lokalnego nie ma zastosowania w usłudze MDM |
| TYPE-VALUE =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL | Dopasuj ruch do słowa kluczowego krotki zaufania, które nie jest uwidocznione za pośrednictwem zasady grupy lub zarządzania urządzeniami przenośnymi systemu Windows |
| TYPE-VALUE =/ "TTK2_22=" TRUST-TUPLE-KEYWORD-VAL2-22 | Dopasuj ruch do słowa kluczowego krotki zaufania, które nie jest uwidocznione za pośrednictwem zasady grupy lub zarządzania urządzeniami przenośnymi systemu Windows |
| TYPE-VALUE =/ "TTK2_27=" TRUST-TUPLE-KEYWORD-VAL2-27 | Dopasuj ruch do słowa kluczowego krotki zaufania, które nie jest uwidocznione za pośrednictwem zasady grupy lub zarządzania urządzeniami przenośnymi systemu Windows |
| TYPE-VALUE =/ "TTK2_28=" TRUST-TUPLE-KEYWORD-VAL2-28 | Dopasuj ruch do słowa kluczowego krotki zaufania, które nie jest uwidocznione za pośrednictwem zasady grupy lub zarządzania urządzeniami przenośnymi systemu Windows |
| TYPE-VALUE =/ "NNm=" STR-ENC-VAL | Ustawienie związane z protokołem IPSec nie jest obsługiwane przez rozwiązanie MDM systemu Windows |
| TYPE-VALUE =/ "SecurityRealmId=" STR-VAL | Ustawienie związane z protokołem IPSec nie jest obsługiwane przez rozwiązanie MDM systemu Windows |
Nieobsługiwanych wartości ustawień
Następujące wartości ustawień nie są obsługiwane w przypadku migracji:
Porty:
PlayToDiscoverynie jest obsługiwane jako zakres portów lokalnych lub zdalnych.
Zakresy adresów:
LocalSubnet6nie jest obsługiwane jako zakres adresów lokalnych lub zdalnych.LocalSubnet4nie jest obsługiwane jako zakres adresów lokalnych lub zdalnych.PlatToDevicenie jest obsługiwane jako zakres adresów lokalnych lub zdalnych.
Po zakończeniu działania narzędzia generuje raport z regułami, które nie zostały pomyślnie zmigrowane. Te reguły można wyświetlić, wyświetlając plik RulesError.csv w pliku C:\<folder>.
Wymagane uprawnienia
Użytkownicy przypisani do ról usługi Intune dla programu Endpoint Security Manager, Administracja usługi Intune lub Administracja globalnej mogą migrować reguły zapory systemu Windows do zasad zabezpieczeń punktu końcowego. Alternatywnie możesz przypisać użytkownikowi rolę niestandardową, w której są ustawiane uprawnienia Punktów odniesienia zabezpieczeń z zastosowaniem dotacji Usuń, Odczyt, Przypisz, Utwórz i Aktualizuj . Aby uzyskać więcej informacji, zobacz Udzielanie uprawnień administratora do usługi Intune.
Następne kroki
Po utworzeniu zasad zabezpieczeń punktu końcowego dla reguł zapory przypisz te zasady do Microsoft Entra grup w celu skonfigurowania zarówno zarządzania urządzeniami przenośnymi, jak i klientów współzarządzanych. Aby uzyskać więcej informacji, zobacz Dodawanie grup w celu organizowania użytkowników i urządzeń.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla