Visão geral da ferramenta de migração da regra de barreira de segurança de endpoint
Muitas organizações estão a mover a sua configuração de segurança para Microsoft Endpoint Manager para fazer uso da gestão moderna baseada na nuvem. A segurança endpoint em Endpoint Manager oferece experiências de gestão ricas de configuração Windows Firewall e gestão de regras de firewall granular.
Como pode ser um desafio mover um grande número de políticas de grupo existentes para Windows regras de firewall para as políticas de segurança endpoint em Endpoint Manager, criámos a ferramenta de migração da regra de segurança Endpoint.
Quando executar a ferramenta de migração da regra de firewall de segurança Endpoint numa referência Windows 10 cliente que tenha regras de firewall baseadas na Política de Grupo aplicada, a ferramenta pode criar automaticamente políticas de regras de firewall de segurança Endpoint em Endpoint Manager. Após a criação das regras de segurança do ponto final, os administradores podem direcionar as regras para os grupos AD Azure para configurar o MDM e os clientes cogeridos.
Descarregue a ferramenta de migração da regra de firewall de segurança Endpoint:
Utilização da ferramenta
Executar a ferramenta numa máquina de referência para migrar que as máquinas de corrente Windows configuração da regra firewall. Quando executada, a ferramenta exporta todas as regras de firewall ativadas que estão presentes no dispositivo, e cria automaticamente novas políticas Intune com as regras recolhidas.
Inscreva-se na máquina de referência com privilégios de administrador local.
Faça o download e desaperte o
Export-FirewallRules.zipficheiro.O ficheiro zip contém o ficheiro do
Export-FirewallRules.ps1script.Executar o
Export-FirewallRules.ps1guião na máquina.O script descarrega todos os pré-requisitos necessários para ser executado. Quando solicitado, forneça credenciais adequadas ao administrador intune. Para obter mais informações sobre as permissões necessárias, consulte as permissões necessárias.
Forneça um nome de política quando solicitado. O nome da apólice deve ser único para o inquilino.
Quando mais de 150 regras de firewall são encontradas, são criadas múltiplas políticas.
As políticas criadas pela ferramenta são visíveis no Microsoft Endpoint Manager no painel de firewall de segurança Endpoint. >
Nota
Por padrão, apenas as regras de firewall ativadas são migradas e apenas as regras de firewall criadas pela GPO são migradas. A ferramenta suporta interruptores que pode utilizar para modificar estes predefinidos.
O tempo que a ferramenta demora a ser executado depende do número de regras de firewall encontradas.
Depois de a ferramenta funcionar, produz uma contagem de regras de firewall que não poderia migrar automaticamente. Para obter mais informações, consulte a configuração não suportada.
Comutadores
Utilize os seguintes interruptores (parâmetros) para modificar o comportamento predefinido da ferramenta.
IncludeLocalRules- Utilize este interruptor para incluir todas as regras de firewall criada Windows s localmente/predefinidos na exportação. A utilização deste interruptor pode resultar numa grande contagem de regras incluídas.IncludedDisabledRules- e este interruptor para incluir todas as regras de firewall ativadas e desativadas Windows na exportação. A utilização deste interruptor pode resultar numa grande contagem de regras incluídas.
Configuração não suportada
As seguintes definições baseadas no registo não são suportadas por falta de apoio ao MDM em Windows. Embora estas definições sejam incomuns, caso exija que estas definições considerem registar esta necessidade através dos seus canais de suporte padrão.
| Campo GPO | Razão |
|---|---|
| VALOR-TIPO =/ "Security=" IFSECURE-VAL | Definição relacionada com IPSec não suportada por Windows MDM |
| VALOR-TIPO =/ "Security2_9=" IFSECURE2-9-VAL | Definição relacionada com IPSec não suportada por Windows MDM |
| VALOR-TIPO =/ "Security2=" IFSECURE2-10-VAL | Definição relacionada com IPSec não suportada por Windows MDM |
| VALOR-TIPO =/ "IF=" IF-VAL | O identificador de interface (LUID) não é gerível |
| VALOR TIPO =/ "Diferimento=" DIFeriMENTO-VAL | Nat Traversal de entrada não exposto através da Política de Grupo ou Windows MDM |
| VALOR-TIPO =/ "LSM=" BOOL-VAL | Fonte Solta Mapeada não exposta através da Política de Grupo ou Windows MDM |
| VALOR-TIPO =/ "Plataforma=" PLATAFORMA-VAL | Versão do SO não exposta através da Política de Grupo ou Windows MDM |
| VALOR-TIPO =/ "RMauth=" STR-VAL | Definição relacionada com IPSec não suportada por Windows MDM |
| VALOR-TIPO =/ "RUAuth=" STR-VAL | Definição relacionada com IPSec não suportada por Windows MDM |
| VALOR TIPO =/ "AuthByPassOut=" BOOL-VAL | Definição relacionada com IPSec não suportada por Windows MDM |
| TIPO-VALOR =/ "LOM=" BOOL-VAL | Local Only Maped não exposto através da Política de Grupo ou Windows MDM |
| VALOR-TIPO =/ "Plataforma2=" PLATAFORMA-OP-VAL | Definição redundante não exposta através da Política de Grupo ou Windows MDM |
| VALOR-TIPO =/ "PCross=" BOOL-VAL | Permitir a passagem de perfis não exposta através da Política de Grupo ou Windows MDM |
| VALOR-TIPO =/ "LUOWN=" STR-VAL | Sid proprietário local não aplicável no MDM |
| VALOR-TIPO =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL | Combine o tráfego com a palavra-chave do tuple de confiança não exposta através da Política de Grupo ou Windows MDM |
| VALOR-TIPO =/ "TTK2_22=" TRUST-TUPLE-KEYWORD-VAL2-22 | Combine o tráfego com a palavra-chave do tuple de confiança não exposta através da Política de Grupo ou Windows MDM |
| VALOR-TIPO =/ "TTK2_27=" TRUST-TUPLE-KEYWORD-VAL2-27 | Combine o tráfego com a palavra-chave do tuple de confiança não exposta através da Política de Grupo ou Windows MDM |
| VALOR-TIPO =/ "TTK2_28=" TRUST-TUPLE-KEYWORD-VAL2-28 | Combine o tráfego com a palavra-chave do tuple de confiança não exposta através da Política de Grupo ou Windows MDM |
| VALOR-TIPO =/ "NNm=" STR-ENC-VAL | Definição relacionada com IPSec não suportada por Windows MDM |
| VALOR DO TIPO =/ "SecurityRealmId=" STR-VAL | Definição relacionada com IPSec não suportada por Windows MDM |
Valores de definição não suportados
Os seguintes valores de definição não são suportados para a migração:
Portos:
PlayToDiscoverynão é suportado como uma área portuária local ou remota.
Intervalos de endereços:
LocalSubnet6não é suportado como um alcance de endereço local ou remoto.LocalSubnet4não é suportado como um alcance de endereço local ou remoto.PlatToDevicenão é suportado como um alcance de endereço local ou remoto.
Após a conclusão da ferramenta, gera um relatório com regras que não foram migradas com sucesso. Pode ver estas regras visualizando RulesError.csv as encontradas em C:\<folder> .
Permissões obrigatórias
Os utilizadores atribuídos as funções Intune para Endpoint Security Manager, Intune Service Admin ou Global Admin podem migrar Windows regras de Firewall para as políticas de segurança endpoint. Em alternativa, pode atribuir ao utilizador uma função personalizada onde as permissões de linha de base de segurança são definidas com As licenças de Eliminação, Leitura, Atribuição, Criação e Atualização são aplicadas. Para mais informações, consulte as permissões de administração grant para a Intune.
Passos seguintes
Depois de criar políticas de segurança Endpoint para regras de Firewall, atribua essas políticas aos grupos AD Azure para configurar tanto o seu MDM como os clientes cogeridos. Para obter mais informações, consulte Adicionar grupos para organizar utilizadores e dispositivos.