Visão geral da ferramenta de migração de regras de firewall de segurança do ponto de extremidade
Quando você usa Microsoft Intune, você pode usar a ferramenta de migração de regra de firewall de segurança do Ponto de Extremidade, que é um script do PowerShell, para ajudá-lo a mover um grande número de políticas de grupo existentes para as políticas de segurança do Firewall do Windows para as políticas de segurança do ponto de extremidade do Intune. A segurança do ponto de extremidade no Microsoft Intune oferece experiências de gerenciamento avançadas da configuração do Firewall do Windows e do gerenciamento de regras de firewall granular.
Quando você executa a ferramenta de migração de regra de firewall de segurança do Ponto de Extremidade em um cliente de referência Windows 10/11 que tem regras de firewall com base em Política de Grupo aplicado, a ferramenta pode criar automaticamente políticas de regra de firewall de segurança do Ponto de Extremidade no Intune. Depois que as regras de segurança do ponto de extremidade forem criadas, os administradores poderão direcionar as regras para Microsoft Entra grupos para configurar o MDM e clientes cogerenciados.
Baixe a Ferramenta de migração de regras de firewall de segurança do ponto de extremidade:
Uso da ferramenta
Dica
O script do PowerShell da ferramenta procura políticas de segurança de ponto de extremidade direcionadas ao MDM. Quando não há políticas direcionadas ao MDM, o script pode fazer loop e falhar na saída. Para contornar essa condição, adicione uma política direcionada ao MDM antes de executar o script ou edite a linha 46 do script a seguir: while(($profileNameExist) -and ($profiles.Count -gt 0))
Execute a ferramenta em um computador de referência a fim de migrar a configuração atual de regras de firewall do Windows desse computador. Quando executada, a ferramenta exporta todas as regras de firewall habilitadas que estão presentes no dispositivo e cria automaticamente políticas do Intune com as regras coletadas.
Entre no computador de referência com privilégios de administrador local.
Baixe os módulos do PowerShell pré-requisitos no GitHub
O arquivo zip deve ser extraído em uma pasta raiz em que você coloca o script na próxima etapa.
Baixe e descompacte o arquivo
Export-FirewallRules.zip.O arquivo zip contém o arquivo de script
Export-FirewallRules.ps1. Extraia o script para a pasta raiz da etapa anterior, em que agora você deve ter aExport-FirewallRules.ps1subpasta "Intune-PowerShell-Management-master"Iniciar o PowerShell com a seguinte opção - "PowerShell.exe -Executionpolicy Bypass"
Execute o script
Export-FirewallRules.ps1no computador.O script baixa todos os pré-requisitos necessários para a execução. Quando solicitado, forneça as credenciais de administrador do Intune apropriadas. Para obter mais informações sobre as permissões necessárias, confira Permissões necessárias.
Observação
Por padrão, os assemblies remotos não são executados no .NET Framework 4 e posterior. Para executar um assembly remoto, você deve executá-lo como totalmente confiável ou criar um AppDomain sandboxed no qual executá-lo. Para obter informações sobre como realizar essa alteração de configuração, consulte loadFromRemoteSources Element na documentação do Microsoft .NET Framework. Executar "[System.Runtime.InteropServices.RuntimeEnvironment]:SystemConfigurationFile" de uma janela do PowerShell fornecerá o caminho para o arquivo de configuração. Lembre-se de reverter a .NET Framework alteração de segurança quando você tiver importado suas regras de firewall.
Forneça um nome de política quando solicitado. O nome da política deve ser exclusivo do locatário.
Se forem encontradas mais de 150 regras de firewall, várias políticas serão criadas.
As políticas criadas pela ferramenta estão visíveis no centro de administração Microsoft Intune no painelFirewall de segurança> do Ponto de Extremidade.
Observação
Por padrão, são migradas somente as regras de firewall habilitadas e criadas pelo GPO. A ferramenta dá suporte a opções que você pode usar para modificar esses padrões.
O tempo que a ferramenta leva para ser executada depende do número de regras de firewall encontradas.
Depois que a ferramenta é executada, ela gera uma contagem de regras de firewall que não puderam ser migradas automaticamente. Para obter mais informações, confira Configuração sem suporte.
Opções
Use as opções (parâmetros) a seguir para modificar o comportamento padrão da ferramenta.
IncludeLocalRules- Use essa opção para incluir todas as regras de Firewall do Windows criadas localmente/padrão na exportação. O uso dessa opção pode resultar em uma grande contagem de regras incluídas.IncludedDisabledRules- e essa opção para incluir todas as regras de Firewall do Windows habilitadas e desabilitadas na exportação. O uso dessa opção pode resultar em uma grande contagem de regras incluídas.
Configuração sem suporte
As configurações a seguir baseadas em Registro não são compatíveis devido à falta de suporte do MDM no Windows. Embora essas configurações sejam incomuns, caso você precise delas, considere a possibilidade de registrar essa necessidade em seus canais de suporte padrão.
| Campo GPO | Reason |
|---|---|
| TYPE-VALUE =/ "Security=" IFSECURE-VAL | Configuração relacionada ao IPSec sem suporte pelo MDM do Windows |
| TYPE-VALUE =/ "Security2_9=" IFSECURE2-9-VAL | Configuração relacionada ao IPSec sem suporte pelo MDM do Windows |
| TYPE-VALUE =/ "Security2=" IFSECURE2-10-VAL | Configuração relacionada ao IPSec sem suporte pelo MDM do Windows |
| TYPE-VALUE =/ "IF=" IF-VAL | O LUID (identificador de interface) não é gerenciável |
| TYPE-VALUE =/ "Defer=" DEFER-VAL | Nat Traversal de entrada relacionado não exposto por meio de Política de Grupo ou MDM do Windows |
| TYPE-VALUE =/ "LSM=" BOOL-VAL | Mapped de origem solta não exposto por meio de Política de Grupo ou MDM do Windows |
| TYPE-VALUE =/ "Platform=" PLATFORM-VAL | Controle de versão do SO não exposto via Política de Grupo ou MDM do Windows |
| TYPE-VALUE =/ "RMauth=" STR-VAL | Configuração relacionada ao IPSec sem suporte pelo MDM do Windows |
| TYPE-VALUE =/ "RUAuth=" STR-VAL | Configuração relacionada ao IPSec sem suporte pelo MDM do Windows |
| TYPE-VALUE =/ "AuthByPassOut=" BOOL-VAL | Configuração relacionada ao IPSec sem suporte pelo MDM do Windows |
| TYPE-VALUE =/ "LOM=" BOOL-VAL | Somente Local Mapeado não exposto por meio da Política de Grupo ou do MDM do Windows |
| TYPE-VALUE =/ "Platform2=" PLATFORM-OP-VAL | Configuração redundante não exposta via Política de Grupo ou MDM do Windows |
| TYPE-VALUE =/ "PCross=" BOOL-VAL | Permitir cruzamento de perfil não exposto por meio de Política de Grupo ou MDM do Windows |
| TYPE-VALUE =/ "LUOwn=" STR-VAL | SID do Proprietário do Usuário Local não aplicável no MDM |
| TYPE-VALUE =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL | Corresponder o tráfego com a tupla de confiança palavra-chave não exposta por meio de Política de Grupo ou MDM do Windows |
| TYPE-VALUE =/ “TTK2_22=” TRUST-TUPLE-KEYWORD-VAL2-22 | Corresponder o tráfego com a tupla de confiança palavra-chave não exposta por meio de Política de Grupo ou MDM do Windows |
| TYPE-VALUE =/ “TTK2_27=” TRUST-TUPLE-KEYWORD-VAL2-27 | Corresponder o tráfego com a tupla de confiança palavra-chave não exposta por meio de Política de Grupo ou MDM do Windows |
| TYPE-VALUE =/ “TTK2_28=” TRUST-TUPLE-KEYWORD-VAL2-28 | Corresponder o tráfego com a tupla de confiança palavra-chave não exposta por meio de Política de Grupo ou MDM do Windows |
| TYPE-VALUE =/ "NNm=" STR-ENC-VAL | Configuração relacionada ao IPSec sem suporte pelo MDM do Windows |
| TYPE-VALUE =/ "SecurityRealmId=" STR-VAL | Configuração relacionada ao IPSec sem suporte pelo MDM do Windows |
Valores de configuração sem suporte
Os seguintes valores de configuração não são compatíveis para a migração:
Portas:
PlayToDiscoverynão é compatível como um intervalo de portas locais ou remotas.
Intervalos de endereços:
LocalSubnet6não é compatível como um intervalo de endereços locais ou remotos.LocalSubnet4não é compatível como um intervalo de endereços locais ou remotos.PlatToDevicenão é compatível como um intervalo de endereços locais ou remotos.
Após a conclusão da ferramenta, ela gera um relatório com as regras que não foram migradas com sucesso. Você pode ver essas regras examinando RulesError.csv, encontrado em C:\<folder>.
Permissões obrigatórias
Usuários atribuídos com as funções do Intune (Gerenciador de Segurança do Ponto de Extremidade, Administrador de Serviço do Intune ou Administrador Global) podem migrar as regras de Firewall do Windows para as políticas de segurança do Ponto de Extremidade. Como alternativa, é possível atribuir ao usuário uma função personalizada em que as permissões de linhas de base de segurança são definidas com as concessões Excluir, Ler, Atribuir, Criar e Atualizar aplicadas. Para saber mais, confira Conceder permissões de administrador ao Intune.
Próximas etapas
Depois de criar políticas de segurança do Ponto de Extremidade para regras de Firewall, atribua essas políticas a grupos Microsoft Entra para configurar o MDM e os clientes cogerenciados. Para saber mais, confira Adicionar grupos para organizar usuários e dispositivos.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de