Intune中终结点安全的防火墙策略

使用 Intune 中的终结点安全防火墙策略为运行 macOS 和 Windows 设备的设备配置设备内置防火墙。

虽然可以通过将 Endpoint Protection 配置文件用于设备配置来配置相同的防火墙设置,但设备配置文件包括其他类别的设置。 这些附加设置与防火墙无关,可能会使仅为环境配置防火墙设置的任务复杂化。

Microsoft Intune管理中心的终结点安全节点的“管理”下找到防火墙的终结点安全策略。

防火墙配置文件的先决条件

  • Windows 10
  • Windows 11
  • 通过Microsoft Defender for Endpoint安全设置管理方案) Windows Server 2012 R2 或更高版本 (
  • 任何受支持的 macOS 版本

重要

Windows 更新了 Windows 防火墙配置服务提供程序 (CSP) 从防火墙规则的原子块强制实施规则的方式。 设备上的 Windows 防火墙 CSP 通过Intune终结点安全防火墙策略实现防火墙规则设置。 从以下版本的 Windows 开始,更新的 CSP 行为现在从每个原子规则块强制实施防火墙规则的全或全无应用程序:

  • Windows 11 21H2
  • Windows 11 22H2
  • Windows 10 21H2

在运行早期版本的 Windows 的设备上,CSP 在原子规则块中处理防火墙规则,一个规则一次 (或设置) 。 目的是应用该 Atomic 块中的所有规则,或者应用任何规则。 但是,如果 CSP 在应用块中的任何规则时遇到问题,CSP 将停止应用后续规则,但不会从已成功应用的块回滚规则。 此行为可能导致在设备上部分部署防火墙规则。

基于角色的访问控制(RBAC)

有关分配适当级别的权限和权限以管理Intune防火墙策略的指导,请参阅 Assign-role-based-access-controls-for-endpoint-security-policy

防火墙配置文件

由 Intune 管理的设备

平台:macOS

  • macOS 防火墙 - 在 macOS 上启用和配置内置防火墙的设置。

平台:Windows

有关在以下配置文件中配置设置的信息,请参阅 防火墙配置服务提供程序 (CSP)

注意

从 2022 年 4 月 5 日开始,Windows 10及更高版本的平台被Windows 10、Windows 11和 Windows Server 平台所取代,现在更简单地命名为 Windows

Windows 平台支持设备通过Microsoft Intune或Microsoft Defender for Endpoint进行通信。 这些配置文件还添加了对 Windows Server 平台的支持,而 windows Server 平台在本机Microsoft Intune不受支持。

此新平台的配置文件使用设置目录中的设置格式。 此新平台的每个新配置文件模板都包含与它替换的旧配置文件模板相同的设置。 通过此更改,你无法再创建旧配置文件的新版本。 旧配置文件的现有实例仍可供使用和编辑。

  • Windows 防火墙 - 配置具有高级安全性的 Windows 防火墙的设置。 Windows 防火墙为设备提供基于主机的双向网络流量筛选,并可以阻止未经授权的网络流量流入或流出本地设备。

  • Windows 防火墙规则 - 定义精细的防火墙规则,包括特定的端口、协议、应用程序和网络,以及允许或阻止网络流量。 此配置文件的每个实例最多支持 150 个自定义规则。

    提示

    使用 MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP 中所述的策略应用 ID 设置要求你的环境使用 Windows Defender 应用程序控制 (WDAC) 标记。 有关详细信息,请参阅以下 Windows Defender 文章:

  • Windows Hyper-V 防火墙规则Windows Hyper-V 防火墙规则模板允许你控制将应用于 Windows 上特定 Hyper-V 容器的防火墙规则,包括适用于 Linux 的 Windows 子系统 (WSL) 和适用于 Android 的 Windows 子系统 (WSA)

将可重用设置组添加到防火墙规则的配置文件

在公共预览版中,Windows 防火墙规则配置文件支持将 可重用设置组 用于以下平台:

  • Windows 10
  • Windows 11

以下防火墙规则配置文件设置在可重用设置组中可用:

  • 远程 IP 地址范围
  • FQDN 定义和自动解析

配置防火墙规则以添加一个或多个可重用设置组时,还将配置规则 Action 以定义如何使用这些组中的设置。

添加到配置文件的每个规则都可以包括可重用设置组和直接添加到规则的各个设置。 但是,请考虑对可重用设置组使用每个规则,或者管理直接添加到规则的设置。 这种分离有助于简化将来的配置或可能进行的更改。

注意

本机不支持入站 FQDN 规则。 但是,可以使用 预冻结 脚本为规则生成入站 IP 条目。 有关详细信息,请参阅 Windows 防火墙文档中的 Windows 防火墙 动态关键字

有关配置可重用组并将其添加到此配置文件的先决条件和指南,请参阅将可重用的设置组与Intune策略配合使用

由 Configuration Manager 管理的设备

防火墙

支持由 Configuration Manager 管理的设备以预览版提供。

使用租户附加时,管理Configuration Manager设备的防火墙策略设置

策略路径

  • 终结点安全 > 防火墙

配置文件

  • Windows 防火墙 (ConfigMgr)

所需的Configuration Manager版本

  • Configuration Manager当前分支版本 2006 或更高版本,使用控制台内更新Configuration Manager 2006 修补程序 (KB4578605)

支持Configuration Manager设备平台

  • Windows 11 及更高版本 (x86、x64、ARM64)
  • Windows 10 及更高版本(x86, x64, ARM64)

防火墙规则合并和策略冲突

计划仅使用一个策略将防火墙策略应用于设备。 使用单个策略实例和策略类型有助于避免两个单独的策略将不同的配置应用于同一设置,从而产生冲突。 如果两个策略实例或策略类型之间存在冲突,这些实例或策略类型管理具有不同值的相同设置,则不会将设置发送到设备。

  • 这种形式的策略冲突适用于 Windows 防火墙 配置文件,该配置文件可能与其他 Windows 防火墙配置文件冲突,或者由其他策略类型(如设备配置)提供的防火墙配置。

    Windows 防火墙配置文件Windows 防火墙规则 配置文件不冲突。

使用 Windows 防火墙规则 配置文件时,可以将多个规则配置文件应用于同一设备。 但是,如果对配置不同的同一个事物存在不同的规则,则这两者将发送到设备并在该设备上创建冲突。

  • 例如,如果一个规则阻止 Teams.exe 通过防火墙,另一个规则允许 Teams.exe,则这两个规则将传递到客户端。 此结果不同于通过防火墙设置的其他策略创建的冲突。

当多个规则配置文件中的规则彼此不冲突时,设备会合并每个配置文件中的规则,以在设备上创建组合的防火墙规则配置。 此行为使你能够将每个配置文件支持的 150 多个规则部署到设备。

  • 例如,你有两个 Windows 防火墙规则配置文件。 第一个配置文件允许 Teams.exe 通过防火墙。 第二个配置文件允许 Outlook.exe 通过防火墙。 当设备接收这两个配置文件时,设备配置为允许这两个应用通过防火墙。

防火墙策略报告

防火墙策略报表显示有关托管设备的防火墙状态的状态详细信息。 防火墙报告支持运行以下操作系统的托管设备。

  • Windows 10/11

摘要

打开防火墙节点时,“摘要”是默认视图。 打开Microsoft Intune管理中心,然后转到“终结点安全>防火墙>摘要”。

此视图提供:

  • 已关闭防火墙的设备的总计数。
  • 防火墙策略的列表,包括名称、类型、分配时间以及上次修改时间。

在关闭防火墙的情况下运行Windows 10或更高版本的 MDM 设备

此报表位于终结点安全节点中。 打开Microsoft Intune管理中心,然后转到“终结点安全>防火墙”“在关闭防火墙的情况下运行Windows 10或更高版本的”防火墙 MDM 设备”。>

数据通过 Windows DeviceStatus CSP 报告,并标识防火墙处于关闭状态的每个设备。 默认情况下,可见详细信息包括:

  • 设备名称
  • 防火墙状态
  • 用户主体名称
  • 目标 (设备管理方法)
  • 上次检查时间

查看防火墙关闭

Windows 10 及更高版本的 MDM 防火墙状态

Intune报表中还介绍了此组织报告

作为组织报表,此报表可从“ 报表” 节点获取。 打开Microsoft Intune管理中心,然后转到“报告>Windows 10及更高版本的防火墙> MDM 防火墙状态”。

选择防火墙报告

数据通过 Windows DeviceStatus CSP 报告,并报告受管理设备上的防火墙状态。 可以使用一个或多个状态详细信息类别筛选此报表的返回结果。

状态详细信息包括:

  • 已启用 - 防火墙打开,并成功地报告。
  • 已禁用 - 防火墙关闭。
  • 受限 - 防火墙不监视所有网络,或者某些规则已关闭。
  • 暂时禁用(默认)- 防火墙暂时不监视所有网络
  • 不适用 - 设备不支持防火墙报表。

可以使用一个或多个状态详细信息类别筛选此报表的返回结果。

查看防火墙状态报告

调查防火墙规则的问题

若要详细了解Intune中的防火墙规则以及如何排查常见问题,请参阅以下Intune客户成功博客:

其他常见防火墙规则问题:

事件查看器:RemotePortRanges 或 LocalPortRanges“参数不正确”

RemotePortRangesFailure

  • 验证配置的范围是否为升序 (示例:1-5 是否正确,5-1 将导致此错误)
  • 验证配置的范围是否在 0-65535 的总体端口范围内
  • 如果在规则中配置了远程端口范围或本地端口范围, 则协议还必须 配置 6 (TCP) 17 (UDP)

事件查看器:“...名称) ,结果: (参数) 不正确”

名称失败的屏幕截图

  • 如果在规则中启用了边缘遍历,则必须将 规则方向设置为 “此规则适用于入站流量”。

事件查看器:“...InterfaceTypes) ,结果: (参数) 不正确”

接口类型失败的屏幕截图

  • 如果在规则中启用了“所有”接口类型, 则不能 选择其他接口类型。

后续步骤

配置终结点安全策略

查看已弃用的 Windows 10 及更高版本的平台的已弃用防火墙配置文件中的设置的详细信息: