Dela via

Översikt över migreringsverktyget för endpoint security-brandväggsregler

  • Artikel

Obs!

Migreringsverktyget för endpoint Security-brandväggsregler är för närvarande inte tillgängligt.

När du använder Microsoft Intune kan du använda migreringsverktyget för endpoint security-brandväggsregler, som är ett PowerShell-skript, för att hjälpa dig att flytta ett stort antal befintliga grupprinciper för Windows-brandväggsregler till Intunes slutpunktssäkerhetsprinciper. Slutpunktssäkerhet i Microsoft Intune erbjuder omfattande hanteringsupplevelser av konfiguration av Windows-brandväggen och detaljerad hantering av brandväggsregler.

När du kör migreringsverktyget för endpoint security-brandväggsregler på en Windows 10/11-referensklient som har brandväggsregler baserade på tillämpad grupprincip kan verktyget automatiskt skapa endpoint security-brandväggsregler i Intune. När slutpunktssäkerhetsreglerna har skapats kan administratörer rikta reglerna till Microsoft Entra-grupper för att konfigurera MDM- och samhanterade klienter.

Verktygsanvändning

Tips

Verktygets PowerShell-skript letar efter slutpunktssäkerhetsprinciper som är avsedda för MDM. När det inte finns några principer som är avsedda för MDM kan skriptet loopa och misslyckas med att avsluta. Om du vill kringgå det här villkoret lägger du antingen till en princip som riktar sig mot MDM innan du kör skriptet eller redigerar rad 46 i skriptet till följande: while(($profileNameExist) -and ($profiles.Count -gt 0))

Kör verktyget på en referensdator för att migrera datorns aktuella regelkonfiguration för Windows-brandväggen. Vid körning exporterar verktyget alla aktiverade brandväggsregler som finns på enheten och skapar automatiskt nya Intune-principer med de insamlade reglerna.

  1. Logga in på referensdatorn med lokal administratörsbehörighet.

  2. Ladda ned nödvändiga PowerShell-moduler från GitHub

    Zip-filen ska extraheras till en rotmapp där du placerar skriptet i nästa steg.

  3. Ladda ned och packa upp filen Export-FirewallRules.zip.

    Zip-filen innehåller skriptfilen Export-FirewallRules.ps1. Extrahera skriptet till rotmappen från föregående steg, där du nu bör ha undermappen Export-FirewallRules.ps1 och "Intune-PowerShell-Management-master"

  4. Starta PowerShell med följande växel – "PowerShell.exe -Executionpolicy Bypass"

  5. Kör skriptet Export-FirewallRules.ps1 på datorn.

    Skriptet laddar ned alla krav som krävs för att köras. Ange lämpliga autentiseringsuppgifter för Intune-administratören när du uppmanas till det. Mer information om nödvändiga behörigheter finns i Nödvändiga behörigheter.

    Obs!

    Som standard körs inte fjärrsammansättningar i .NET Framework 4 och senare. Om du vill köra en fjärrsammansättning måste du antingen köra den som fullständigt betrodd eller skapa en sandbox-appdomän där den ska köras. Information om hur du utför den här konfigurationsändringen finns i loadFromRemoteSources-elementet i Microsoft .NET Framework-dokumentationen. Om du kör "[System.Runtime.InteropServices.RuntimeEnvironment]::SystemConfigurationFile" från ett PowerShell-fönster får du sökvägen till konfigurationsfilen. Kom ihåg att återställa .NET Framework-säkerhetsändringen när du har importerat brandväggsreglerna.

  6. Ange ett principnamn när du uppmanas att göra det. Principnamnet måste vara unikt för klientorganisationen.

    När fler än 150 brandväggsregler hittas skapas flera principer.

    Principer som skapats av verktyget visas i administrationscentret för Microsoft Intune i fönstretBrandvägg för slutpunktssäkerhet>.

    Obs!

    Som standard migreras endast aktiverade brandväggsregler och endast brandväggsregler som skapas av grupprincipobjektet migreras. Verktyget stöder växlar som du kan använda för att ändra dessa standardvärden.

    Hur mycket tid det tar att köra verktyget beror på antalet brandväggsregler som hittas.

  7. När verktyget har körts matas antalet brandväggsregler ut som inte kunde migreras automatiskt. Mer information finns i Konfiguration som inte stöds.

Växlar

Använd följande växlar (parametrar) för att ändra verktygets standardbeteende.

  • IncludeLocalRules – Använd den här växeln om du vill inkludera alla lokalt skapade/standardregler för Windows-brandväggen i exporten. Användning av den här växeln kan resultera i ett stort antal inkluderade regler.

  • IncludedDisabledRules – Den här växeln för att inkludera alla aktiverade och inaktiverade Windows-brandväggsregler i exporten. Användning av den här växeln kan resultera i ett stort antal inkluderade regler.

Konfiguration som inte stöds

Följande registerbaserade inställningar stöds inte på grund av bristande MDM-stöd i Windows. Även om de här inställningarna är ovanliga bör du överväga att logga det här behovet via dina vanliga supportkanaler om du behöver de här inställningarna.

GPO-fält Förnuft
TYPE-VALUE =/ "Security=" IFSECURE-VAL IPSec-relaterad inställning som inte stöds av Windows MDM
TYPE-VALUE =/ "Security2_9=" IFSECURE2-9-VAL IPSec-relaterad inställning som inte stöds av Windows MDM
TYPE-VALUE =/ "Security2=" IFSECURE2-10-VAL IPSec-relaterad inställning som inte stöds av Windows MDM
TYPE-VALUE =/ "IF=" IF-VAL Gränssnittsidentifierare (LUID) är inte hanterbar
TYPE-VALUE =/ "Defer=" DEFER-VAL Inkommande NAT-blädderingsrelaterad som inte exponeras via grupprincip eller Windows MDM
TYPE-VALUE =/ "LSM=" BOOL-VAL Löst källmappning exponeras inte via grupprincip eller Windows MDM
TYPE-VALUE =/ "Platform=" PLATFORM-VAL Os-versionshantering exponeras inte via grupprincip eller Windows MDM
TYPE-VALUE =/ "RMauth=" STR-VAL IPSec-relaterad inställning som inte stöds av Windows MDM
TYPE-VALUE =/ "RUAuth=" STR-VAL IPSec-relaterad inställning som inte stöds av Windows MDM
TYPE-VALUE =/ "AuthByPassOut=" BOOL-VAL IPSec-relaterad inställning som inte stöds av Windows MDM
TYPE-VALUE =/ "LOM=" BOOL-VAL Endast lokal mappning exponeras inte via grupprincip eller Windows MDM
TYPE-VALUE =/ "Platform2=" PLATFORM-OP-VAL Redundant inställning exponeras inte via grupprincip eller Windows MDM
TYPE-VALUE =/ "PCross=" BOOL-VAL Tillåt att profilkorsning inte exponeras via grupprincip eller Windows MDM
TYPE-VALUE =/ "LUOwn=" STR-VAL Lokalt användarägar-SID gäller inte i MDM
TYPE-VALUE =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL Matcha trafik med nyckelordet trust tuple som inte exponeras via grupprincip eller Windows MDM
TYPE-VALUE =/ "TTK2_22=" TRUST-TUPLE-KEYWORD-VAL2-22 Matcha trafik med nyckelordet trust tuple som inte exponeras via grupprincip eller Windows MDM
TYPE-VALUE =/ "TTK2_27=" TRUST-TUPLE-KEYWORD-VAL2-27 Matcha trafik med nyckelordet trust tuple som inte exponeras via grupprincip eller Windows MDM
TYPE-VALUE =/ "TTK2_28=" TRUST-TUPLE-KEYWORD-VAL2-28 Matcha trafik med nyckelordet trust tuple som inte exponeras via grupprincip eller Windows MDM
TYPE-VALUE =/ "NNm=" STR-ENC-VAL IPSec-relaterad inställning som inte stöds av Windows MDM
TYPE-VALUE =/ "SecurityRealmId=" STR-VAL IPSec-relaterad inställning som inte stöds av Windows MDM

Inställningsvärden som inte stöds

Följande inställningsvärden stöds inte för migrering:

Portar:

  • PlayToDiscovery stöds inte som ett lokalt eller fjärranslutet portintervall.

Adressintervall:

  • LocalSubnet6 stöds inte som ett lokalt adressintervall eller fjärradressintervall.
  • LocalSubnet4 stöds inte som ett lokalt adressintervall eller fjärradressintervall.
  • PlatToDevice stöds inte som ett lokalt adressintervall eller fjärradressintervall.

När verktyget har slutförts genererar det en rapport med regler som inte har migrerats. Du kan visa dessa regler genom att visa RulesError.csv i C:\<folder>.

Nödvändiga behörigheter

Användare som tilldelats Intune-rollerna för Endpoint Security Manager, Intune-tjänstadministratör eller Global administratör kan migrera Windows-brandväggsregler till Endpoint Security-principer. Du kan också tilldela användaren en anpassad roll där behörigheter för säkerhetsbaslinjer har angetts med bidragen Ta bort, Läsa, Tilldela, Skapa och Uppdatera . Mer information finns i Bevilja administratörsbehörigheter till Intune.

Nästa steg

När du har skapat slutpunktssäkerhetsprinciper för brandväggsregler tilldelar du dessa principer till Microsoft Entra-grupper för att konfigurera både mdm-klienter och samhanterade klienter. Mer information finns i Lägga till grupper för att organisera användare och enheter.