Dela via


Brandväggsprincip för slutpunktssäkerhet i Intune

Använd brandväggsprincipen för slutpunktssäkerhet i Intune för att konfigurera en inbyggd brandvägg för enheter som kör macOS- och Windows-enheter.

Du kan konfigurera samma brandväggsinställningar med hjälp av Endpoint Protection-profiler för enhetskonfiguration, men enhetskonfigurationsprofilerna innehåller ytterligare kategorier av inställningar. Dessa ytterligare inställningar är inte relaterade till brandväggar och kan komplicera uppgiften att konfigurera endast brandväggsinställningar för din miljö.

Hitta slutpunktssäkerhetsprinciperna för brandväggar under Hantera i noden Slutpunktssäkerhet i Microsoft Intune administrationscenter.

Krav för brandväggsprofiler

Viktigt

Windows har uppdaterat hur CSP (Configuration Service Provider) för Windows-brandväggen framtvingar regler från atomära block med brandväggsregler. CSP:n för Windows-brandväggen på en enhet implementerar brandväggsregelinställningarna från dina Intune brandväggsprinciper för slutpunktssäkerhet. Från och med följande versioner av Windows framtvingar det uppdaterade CSP-beteendet nu ett allt-eller-inget-program för brandväggsregler från varje atomisk regelblock:

  • Windows 11 21H2
  • Windows 11 22H2
  • Windows 10 21H2

På enheter som kör en tidigare version av Windows bearbetar CSP brandväggsregler i ett atomisk regelblock, en regel (eller inställning) i taget. Avsikten är att tillämpa alla regler i det atomära blocket, eller ingen av dem. Men om CSP:n stöter på ett problem med att tillämpa en regel från blocket slutar CSP att tillämpa efterföljande regler men återställer inte en regel från det blocket som redan har tillämpats korrekt. Det här beteendet kan resultera i en partiell distribution av brandväggsregler på en enhet.

Rollbaserad åtkomstkontroll (RBAC)

Information om hur du tilldelar rätt nivå av behörigheter och rättigheter för att hantera Intune brandväggsprincip finns i Tilldela rollbaserad åtkomstkontroll-för-slutpunktssäkerhetsprincip.

Brandväggsprofiler

Enheter som hanteras av Intune

Plattform: macOS:

  • macOS-brandvägg – Aktivera och konfigurera inställningar för den inbyggda brandväggen på macOS.

Plattform: Windows:

Information om hur du konfigurerar inställningar i följande profiler finns i Providern för brandväggskonfigurationstjänst (CSP).

Obs!

Från och med den 5 april 2022 ersattes plattformen Windows 10 och senare av plattformen Windows 10, Windows 11 och Windows Server som nu heter mer enkelt som Windows.

Windows-plattformen stöder enheter som kommunicerar via Microsoft Intune eller Microsoft Defender för Endpoint. Dessa profiler lägger också till stöd för Windows Server-plattformen som inte stöds via Microsoft Intune internt.

Profiler för den här nya plattformen använder inställningsformatet som finns i inställningskatalogen. Varje ny profilmall för den nya plattformen innehåller samma inställningar som den äldre profilmallen som den ersätter. Med den här ändringen kan du inte längre skapa nya versioner av de gamla profilerna. Dina befintliga instanser av den gamla profilen är fortfarande tillgängliga för användning och redigering.

  • Windows-brandvägg – Konfigurera inställningar för Windows-brandväggen med avancerad säkerhet. Windows-brandväggen tillhandahåller värdbaserad dubbelriktad filtrering av nätverkstrafik för en enhet och kan blockera obehörig nätverkstrafik som flödar till eller från den lokala enheten.

  • Windows-brandväggsregler – Definiera detaljerade brandväggsregler, inklusive specifika portar, protokoll, program och nätverk, och för att tillåta eller blockera nätverkstrafik. Varje instans av den här profilen stöder upp till 150 anpassade regler.

    Tips

    Användning av inställningen Principapp-ID , som beskrivs i CSP:n MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId , kräver att din miljö använder WDAC-taggning ( Windows Defender Application Control ). Mer information finns i följande Windows Defender-artiklar:

  • Windows Hyper-V-brandväggsregler Med mallen Windows Hyper-V-brandväggsregler kan du styra brandväggsregler som gäller för specifika Hyper-V-containrar i Windows, inklusive program som Windows-undersystem för Linux (WSL) och Windows-undersystem för Android (WSA)

Lägga till återanvändbara inställningsgrupper i profiler för brandväggsregler

I den offentliga förhandsversionen stöder Windows-brandväggsregelprofiler användning av återanvändbara inställningsgrupper för följande plattformar:

  • Windows 10
  • Windows 11

Följande profilinställningar för brandväggsregler är tillgängliga i grupper för återanvändbara inställningar:

  • Ip-adressintervall för fjärranslutning
  • FQDN-definitioner och automatisk upplösning

När du konfigurerar en brandväggsregel för att lägga till en eller flera återanvändbara inställningsgrupper konfigurerar du även regelåtgärden för att definiera hur inställningarna i dessa grupper används.

Varje regel som du lägger till i profilen kan innehålla både återanvändbara inställningsgrupper och enskilda inställningar som läggs till direkt i regeln. Överväg dock att använda varje regel för antingen återanvändbara inställningsgrupper eller för att hantera inställningar som du lägger till direkt i regeln. Den här separationen kan förenkla framtida konfigurationer eller ändringar som du kan göra.

Obs!

Inkommande FQDN-regler stöds inte internt. Det är dock möjligt att använda skript före hydrering för att generera inkommande IP-poster för regeln. Mer information finns i Dynamiska nyckelord för Windows-brandväggen i dokumentationen för Windows-brandväggen.

Krav och vägledning om hur du konfigurerar återanvändbara grupper och sedan lägger till dem i den här profilen finns i Använda återanvändbara grupper av inställningar med Intune principer.

Enheter som hanteras av Configuration Manager

Brandvägg

Stöd för enheter som hanteras av Configuration Manager finns i förhandsversionen.

Hantera inställningar för brandväggsprinciper för Configuration Manager enheter när du använder klientanslutning.

Principsökväg:

  • Brandvägg för slutpunktssäkerhet >

Profiler:

  • Windows-brandväggen (ConfigMgr)

Nödvändig version av Configuration Manager:

  • Configuration Manager aktuell grenversion 2006 eller senare, med uppdatering i konsolen Configuration Manager 2006 snabbkorrigering (KB4578605)

Configuration Manager enhetsplattformar som stöds:

  • Windows 11 och senare (x86, x64, ARM64)
  • Windows 10 och senare (x86, x64, ARM64)

Sammanslagningar av brandväggsregler och principkonflikter

Planera för brandväggsprinciper som ska tillämpas på en enhet med endast en princip. Användning av en enskild principinstans och principtyp hjälper till att undvika att två separata principer tillämpar olika konfigurationer på samma inställning, vilket skapar konflikter. När det finns en konflikt mellan två principinstanser eller principtyper som hanterar samma inställning med olika värden skickas inte inställningen till enheten.

  • Den typen av principkonflikt gäller profilen för Windows-brandväggen , som kan vara i konflikt med andra Profiler i Windows-brandväggen eller en brandväggskonfiguration som levereras av en annan principtyp, till exempel enhetskonfiguration.

    Windows-brandväggsprofiler är inte i konflikt med windows-brandväggsregler .

När du använder profiler för Windows-brandväggsregler kan du tillämpa flera regelprofiler på samma enhet. Men när det finns olika regler för samma sak med olika konfigurationer skickas båda till enheten och skapar en konflikt på den enheten.

  • Om en regel till exempel blockerar Teams.exe genom brandväggen och en andra regel tillåter Teams.exelevereras båda reglerna till klienten. Det här resultatet skiljer sig från konflikter som skapats via andra principer för brandväggsinställningar.

När regler från flera regelprofiler inte är i konflikt med varandra sammanfogar enheterna reglerna från varje profil för att skapa en kombinerad brandväggsregelkonfiguration på enheten. Med det här beteendet kan du distribuera fler än de 150 regler som varje enskild profil stöder till en enhet.

  • Du har till exempel två windows-brandväggsregler. Den första profilen tillåter Teams.exe genom brandväggen. Den andra profilen tillåter Outlook.exe genom brandväggen. När en enhet tar emot båda profilerna konfigureras enheten så att båda apparna tillåts via brandväggen.

Rapporter om brandväggsprinciper

Rapporterna för brandväggsprincipen visar statusinformation om brandväggsstatusen för dina hanterade enheter. Brandväggsrapporter stöder hanterade enheter som kör följande operativsystem.

  • Windows 10/11

Sammanfattning

Sammanfattning är standardvyn när du öppnar brandväggsnoden. Öppna Microsoft Intune administrationscenter och gå sedan tillSammanfattning avbrandväggen> för slutpunktssäkerhet>.

Den här vyn innehåller:

  • Ett aggregerat antal enheter som har brandväggen avstängd.
  • En lista över brandväggsprinciperna, inklusive namn, typ, om den har tilldelats och när den senast ändrades.

MDM-enheter som kör Windows 10 eller senare med brandväggen inaktiverad

Den här rapporten finns i noden Slutpunktssäkerhet. Öppna Microsoft Intune administrationscenter och gå sedan till Endpoint Security>Firewall>MDM-enheter som kör Windows 10 eller senare med brandväggen inaktiverad.

Data rapporteras via CSP:n Windows DeviceStatus och identifierar varje enhet där brandväggen är avstängd. Som standard omfattar synlig information:

  • Enhetsnamn
  • Brandväggsstatus
  • Användarens huvudnamn
  • Mål (metoden för enhetshantering)
  • Senaste incheckningstid

Visa brandväggen av

MDM-brandväggsstatus för Windows 10 och senare

Den här organisationsrapporten beskrivs också i Intune-rapporter.

Som en organisationsrapport är den här rapporten tillgänglig från noden Rapporter . Öppna administrationscentret för Microsoft Intune och gå sedan tillRapportbrandväggens>>MDM-brandväggsstatus för Windows 10 och senare.

Välj brandväggsrapporter

Data rapporteras via CSP:n Windows DeviceStatus och rapporterar om brandväggens status på dina hanterade enheter. Du kan filtrera returer för den här rapporten med hjälp av en eller flera av statusinformationskategorierna.

Statusinformationen omfattar:

  • Aktiverad – brandväggen aktiveras och rapporteras.
  • Inaktiverad – brandväggen är inaktiverad.
  • Begränsad – brandväggen övervakar inte alla nätverk, eller så är vissa regler inaktiverade.
  • Tillfälligt inaktiverad (standard) – Brandväggen övervakar tillfälligt inte alla nätverk
  • Ej tillämpligt – enheten stöder inte brandväggsrapportering.

Du kan filtrera returer för den här rapporten med hjälp av en eller flera av statusinformationskategorierna.

Visa rapporten Brandväggsstatus

Undersöka problem med brandväggsregler

Mer information om brandväggsregler i Intune och hur du felsöker vanliga problem finns i följande Intune blogg om kundframgång:

Ytterligare vanliga problem med brandväggsregler:

Loggboken: RemotePortRanges eller LocalPortRanges "Parametern är felaktig"

RemotePortRangesFailure

  • Kontrollera att de konfigurerade intervallen är stigande (exempel: 1–5 är korrekt, 5–1 orsakar det här felet)
  • Kontrollera att konfigurerade intervall ligger inom det övergripande portintervallet 0–65535
  • Om antingen fjärrportintervall eller lokala portintervall har konfigurerats i en regel måste protokollet också konfigureras med 6 (TCP) eller 17 (UDP)

Loggboken: "... Namn), Resultat: (Parametern är felaktig)"

Skärmdump av namnfelet

  • Om gränsbläddering är aktiverat i en regel måste regelriktningen anges till "Den här regeln gäller för inkommande trafik".

Loggboken: "... InterfaceTypes), Result: (Parametern är felaktig)"

Skärmdump av fel i gränssnittstyper

  • Om gränssnittstypen "Alla" är aktiverad i en regel får inte andra gränssnittstyper väljas.

Nästa steg

Konfigurera principer för slutpunktssäkerhet

Visa information om inställningarna i de inaktuella brandväggsprofilerna för den inaktuella Windows 10 och senare plattformen: