Intune 中端點安全性的防火牆原則
使用 Intune 中的端點安全性防火牆原則,為執行macOS和 Windows 裝置的裝置設定內建防火牆。
雖然您可以使用裝置設定的 Endpoint Protection 配置檔來設定相同的防火牆設定,但裝置組態配置檔包含其他類別的設定。 這些額外的設定與防火牆無關,而且可能會使只為您的環境設定防火牆設定的工作變得複雜。
在 Microsoft Intune 系統管理中心的 [端點安全性] 節點中,尋找 [管理] 底下的防火牆端點安全策略。
防火牆配置檔的必要條件
- Windows 10
- Windows 11
- 透過 適用於端點的 Microsoft Defender 安全性設定管理案例 (Windows Server 2012 R2 或更新版本)
- 任何支援的macOS版本
重要事項
Windows 已更新 Windows 防火牆設定服務提供者 (CSP) 如何從防火牆規則的不可部分完成區塊強制執行規則。 裝置上的 Windows 防火牆 CSP 會從您的 Intune 端點安全性防火牆原則實作防火牆規則設定。 從下列版本的 Windows 開始,更新的 CSP 行為現在會從每個不可部分完成的規則區塊強制執行防火牆規則的全部或全無套用:
- Windows 11 21H2
- Windows 11 22H2
- Windows 10 21H2
在執行舊版 Windows 的裝置上,CSP 會在不可部分完成的規則區塊中處理防火牆規則,一次 (一個規則或設定) 。 其目的是要套用該不可部分完成區塊中的所有規則,或不套用任何規則。 不過,如果 CSP 遇到從 區塊套用任何規則的問題,CSP 會停止套用後續規則,但不會從已成功套用的區塊復原規則。 此行為可能會導致在裝置上部分部署防火牆規則。
角色型存取控制 (RBAC)
如需指派管理防火牆原則 Intune 許可權和許可權的正確層級指引,請參閱 Assign-role-based-access-controls-for-endpoint-security-policy。
防火牆配置檔
由 Intune 管理的裝置
平臺:macOS:
- macOS 防火牆 – 啟用和設定 macOS 上內建防火牆的設定。
平臺:Windows:
如需在下列配置檔中設定設定的資訊,請參閱 防火牆設定服務提供者 (CSP) 。
注意事項
從 2022 年 4 月 5 日開始,Windows 10 和更新版本平臺已由 Windows 10、Windows 11 和 Windows Server 平臺取代,現在更直接命名為 Windows。
Windows 平臺支援透過 Microsoft Intune 或 適用於端點的 Microsoft Defender 進行通訊的裝置。 這些配置檔也會新增 Windows Server 平台的支援,但原生 Microsoft Intune 不支援。
這個新平臺的配置檔會使用設定格式,如設定目錄中所示。 這個新平臺的每個新配置檔範本都包含與它所取代的舊版配置檔範本相同的設定。 透過這項變更,您就無法再建立舊配置檔的新版本。 舊配置檔的現有實例仍可供使用和編輯。
Windows 防火牆 – 設定具有進階安全性的 Windows 防火牆設定。 Windows 防火牆提供裝置的主機型雙向網路流量篩選,並可封鎖流入或流出本機裝置的未經授權網路流量。
Windows 防火牆規則 - 定義細微的防火牆規則,包括特定埠、通訊協定、應用程式和網路,以及允許或封鎖網路流量。 此配置檔的每個實例最多支援150個自定義規則。
提示
使用 MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP 中所述的原則應用程式識別符設定,需要您的環境使用 Windows Defender 應用程控 (WDAC) 標記。 如需詳細資訊,請參閱下列 Windows Defender 文章:
Windows Hyper-V 防火牆規則Windows Hyper-V 防火牆規則範本可讓您控制將套用至 Windows 上特定 Hyper-V 容器的防火牆規則,包括 Windows 子系統 Linux 版 (WSL) 和 Windows 子系統 Android 版 (WSA)
將可重複使用的設定群組新增至防火牆規則的配置檔
在公開預覽中,Windows 防火牆規則配置檔支援針對下列平臺使用 可重複使用的設定群組 :
- Windows 10
- Windows 11
下列防火牆規則設定檔設定可在可重複使用的設定群組中使用:
- 遠端 IP 位址範圍
- FQDN 定義和自動解析
當您設定防火牆規則以新增一或多個可重複使用的設定群組時,您也會設定規則 Action 來定義這些群組中的設定使用方式。
您新增至配置檔的每個規則都可以包含可重複使用的設定群組,以及直接新增至規則的個別設定。 不過,請考慮針對可重複使用的設定群組使用每個規則,或管理您直接新增至規則的設定。 此區隔有助於簡化未來的設定或您可能會所做的變更。
注意事項
原生不支持輸入 FQDN 規則。 不過,您可以使用 預先串行化 腳本來產生規則的輸入IP專案。 如需詳細資訊,請參閱 Windows 防火牆檔中的 Windows 防火牆動態關鍵詞 。
如需設定可重複使用群組,然後將其新增至此配置檔的必要條件和指引,請參閱搭配使用可重複使用的設定群組與 Intune 原則。
由 Configuration Manager 管理的裝置
防火牆
Configuration Manager 管理的裝置支援處於預覽狀態。
當您使用租使用者附加時,管理 Configuration Manager 裝置的防火牆原則設定。
原則路徑:
- 端點安全 > 性防火牆
設定檔:
- Windows 防火牆 (ConfigMgr)
Configuration Manager 的必要版本:
- Configuration Manager 最新分支 2006 版或更新版本,控制台內更新 Configuration Manager 2006 Hotfix (KB4578605)
支援的 Configuration Manager 裝置平臺:
- Windows 11 和更新版本 (x86、x64、ARM64)
- Windows 10 及更新版本 (x86、x64、ARM64)
防火牆規則合併和原則衝突
規劃只使用一個原則套用至裝置的防火牆原則。 使用單一原則實例和原則類型有助於避免讓兩個不同的原則將不同的設定套用至相同的設定,這會產生衝突。 當兩個原則實例或使用不同值管理相同設定的原則類型之間發生衝突時,不會將設定傳送至裝置。
該形式的原則衝突會套用至 Windows 防火牆 配置檔,這可能會與其他 Windows 防火牆配置檔衝突,或由不同原則類型所傳遞的防火牆設定,例如裝置設定。
Windows 防火牆配置檔 不會與 Windows 防火牆規則 配置檔衝突。
當您使用 Windows 防火牆規則 設定檔時,可以將多個規則配置檔套用至相同的裝置。 不過,當具有不同組態的相同專案有不同的規則存在時,兩者都會傳送至裝置,並在該裝置上建立衝突。
- 例如,如果一個規則封鎖 Teams.exe 通過防火牆,而第二個規則允許 Teams.exe,則這兩個規則都會傳遞至用戶端。 此結果不同於透過防火牆設定的其他原則所建立的衝突。
當多個規則配置檔的規則不會彼此衝突時,裝置會合併每個配置檔中的規則,以在裝置上建立合併的防火牆規則設定。 此行為可讓您將超過每個個別配置檔支援的150個規則部署到裝置。
- 例如,您有兩個 Windows 防火牆規則配置檔。 第一個配置檔允許 Teams.exe 通過防火牆。 第二個配置檔允許 Outlook.exe 通過防火牆。 當裝置收到這兩個配置檔時,裝置會設定為允許這兩個應用程式通過防火牆。
防火牆原則報告
防火牆原則的報告會顯示受控裝置防火牆狀態的狀態詳細數據。 防火牆報告支持執行下列操作系統的受控裝置。
- Windows 10/11
摘要
當您開啟防火牆節點時,[摘要] 是默認檢視。 開啟 Microsoft Intune 系統管理中心,然後移至 [端點安全>性防火牆>摘要]。
此檢視提供:
- 已關閉防火牆的裝置匯總計數。
- 防火牆原則的清單,包括名稱、類型、指派時,以及上次修改的時間。
執行 Windows 10 或更新版本且防火牆關閉的 MDM 裝置
此報告位於端點安全性節點中。 開啟 Microsoft Intune 系統管理中心,然後移至執行 Windows 10 或更新版本的端點安全>性防火牆>MDM裝置,並關閉防火牆。
數據會透過 Windows DeviceStatus CSP 報告,並識別防火牆關閉的每個裝置。 根據預設,可見的詳細資料包括:
- 裝置名稱
- 防火牆狀態
- 使用者主體名稱
- 目標 (裝置管理)
- 上次簽入時間
Windows 10 和更新版本的 MDM 防火牆狀態
Intune報表中也會說明此組織報告。
作為組織報告,此報告可從 [ 報 表] 節點取得。 開啟 Microsoft Intune 系統管理中心,然後移至 [報告>防火牆>MDM 防火牆狀態] 以取得 Windows 10 和更新版本。
數據會透過 Windows DeviceStatus CSP 報告,並報告受管理裝置上的防火牆狀態。 您可以使用一或多個狀態詳細資料類別來篩選此報表的傳回。
狀態詳細資料包括:
- 已啟用 – 防火牆已開啟並成功報告。
- 已停用 - 防火牆已關閉。
- 有限 – 防火牆不會監視所有網路,或某些規則已關閉。
- 暫時停用 (預設) – 防火牆暫時不會監視所有網路
- 不適用 – 裝置不支援防火牆報告。
您可以使用一或多個狀態詳細資料類別來篩選此報表的傳回。
調查防火牆規則的問題
若要深入瞭解 Intune 中的防火牆規則,以及如何針對常見問題進行疑難解答,請參閱下列 Intune 客戶成功部落格:
其他常見的防火牆規則問題:
事件檢視器:RemotePortRanges 或 LocalPortRanges「參數不正確」
- 確認設定的範圍為遞增 (範例:1-5 正確,5-1 會導致此錯誤)
- 確認設定的範圍在 0-65535 的整體埠範圍內
- 如果在規則中設定遠端埠範圍或本機埠範圍,則通訊協定也 必須 設定 6 (TCP) 或 17 (UDP)
事件檢視器: “...名稱) ,結果: (參數不正確) 」
- 如果在規則中啟用邊緣周遊,則規則方向 必須 設定為「此規則適用於輸入流量」。
事件檢視器: “...InterfaceTypes) ,結果: (參數不正確) 」
- 如果規則中已啟用 「全部」介面類型, 則不能 選取其他介面類型。
後續步驟
檢視已淘汰 Windows 10 和更新平臺之防火牆配置檔中設定的詳細數據: