查看你可以在 Intune 端點安全節點的防火牆政策設定檔中設定,作為端點安全政策的一部分。
適用於:
macOS
Windows
重要事項
2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。
注意事項
自 2022 年 4 月 5 日起,Windows 10 及以後平台的防火牆設定檔被 Windows 平台取代,並新增了相同的設定檔實例。 在該日期之後建立的個人檔案使用設定目錄中新設定格式。 此變更後,你無法再建立舊設定檔的新版本,且這些設定檔也不再被開發。 雖然你無法再建立舊帳號的新實例,但你可以繼續編輯並使用你之前建立的實例。
對於使用新設定格式的設定檔,Intune 不再依名稱維護每個設定的清單。 相反地,每個設定的名稱、設定選項,以及你在 Microsoft Intune 管理中心看到的說明文字,都是直接取自設定權威內容。 這些內容能提供更多關於設定在其適當情境下使用的資訊。 在查看設定資訊文本時,您可以使用其 「了解更多 」連結開啟該內容。
本文中 Windows 設定檔的設定細節適用於那些已棄用的設定檔。
支援平台與設定檔:
macOS:
- 設定檔: macOS 防火牆
Windows:
- 配置檔: Windows 防火牆
macOS 防火牆設定檔
防火牆
以下設定為 macOS 防火牆的端點安全政策
啟用防火牆
- 未設定 (預設)
- 是的 ——啟用防火牆。
當設定為 「是」時,你可以設定以下設定。
封鎖所有進入連線
- 未設定 (預設)
- 是的 ——封鎖所有進來連線,僅保留基本網際網路服務(如 DHCP、Bonjour 和 IPSec)所需的連線。 這會阻擋所有共享服務。
啟用隱形模式
- 未設定 (預設)
- 是的 ——阻止電腦回應探測請求。 電腦仍然會回應授權應用程式的請求。
防火牆應用程式 展開下拉選單,然後選擇 新增 ,然後指定該應用程式的應用程式和進入連線的規則。
允許連線進入
- 尚未設定
- 封鎖
- 允許
Bundle ID - ID 用來識別應用程式。 例如: com.apple.app
Windows 防火牆設定檔
Windows 防火牆
以下設定為 Windows 防火牆的端點安全政策。
有狀態檔案傳輸協定 (FTP)
CSP: MdmStore/Global/DisableStatefulFtp- 未設定 (預設)
- 允許 - 防火牆執行有狀態檔案傳輸協定 (FTP) 過濾,以允許次級連線。
- 停用 - 有狀態 FTP 已停用。
安全關聯在被刪除前可以閒置的秒數
CSP: MdmStore/Global/SaIdleTime指定一個秒數介於 300 到 3600 之間的時間,代表網路流量未被偵測到後安全關聯會維持多久。
如果你沒有指定任何值,系統會在一個安全關聯閒置 300 秒後刪除。
預共享金鑰編碼
CSP: MdmStore/Global/PresharedKeyEncoding如果你不需要 UTF-8,預先共享金鑰最初會用 UTF-8 編碼。 之後,裝置使用者可以選擇其他編碼方式。
- 未設定 (預設)
- 無
- UTF-8
防火牆 IP 安全沒有例外
未設定 (預設) - 未設定時,你可以單獨設定以下 IP 安全豁免設定。
是的 ——關閉所有防火牆的 IP 安全豁免。 以下設定無法設定。
防火牆 IP 安全豁免允許鄰居發現
CSP: MdmStore/Global/IPsecExempt- 未設定 (預設)
- 是的 ——防火牆 IP sec 豁免允許鄰居發現。
防火牆 IP 安全豁免允許 ICMP
CSP: MdmStore/Global/IPsecExempt- 未設定 (預設)
- 是的 ——防火牆 IPsec 豁免允許 ICMP。
防火牆 IP 安全豁免允許路由器偵測
CSP: MdmStore/Global/IPsecExempt- 未設定 (預設)
- 是的 ——防火牆的 IP 安全豁免允許路由器被發現。
防火牆 IP 安全豁免允許 DHCP
CSP: MdmStore/Global/IPsecExempt- 未設定 (預設)
- 是的 ——防火牆 IP 安全豁免允許使用 DHCP
憑證撤銷清單 (CRL) 驗證
CSP: MdmStore/Global/CRLcheck說明憑證撤銷清單 (CRL) 驗證的執行方式。
- 未設定 (預設) - 使用用戶端預設設定,也就是停用 CRL 驗證。
- 無
- 未遂
- 需要
要求密鑰模組只忽略他們不支援的認證套件
CSP: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM- 未設定 (預設)
- Disabled
- 啟用 - 鑰匙模組忽略不支援的認證套件。
封包排隊
CSP: MdmStore/Global/EnablePacketQueue請指定如何在接收端啟用加密接收端的軟體縮放,以及 IPsec 隧道閘道情境下的明文轉發。 這確保封包順序得以保留。
- 未設定 (預設) - 封包佇列會回到用戶端預設,而該預設是被停用的。
- Disabled
- 排隊進站
- 排隊出站
- 同時排隊
開啟 Windows 防火牆以支援網域網路
CSP: 啟用防火牆- 未設定 (預設) - 用戶端會回到預設狀態,也就是啟用防火牆。
- 是的 ——Windows 防火牆會開啟並強制啟用該 網路類型的網域 。 你還能使用這個網路的額外設定。
- 不行 ——關閉防火牆。
當此網路設定為 「是」時,其他設定:
封鎖潛行模式
CSP: DisableStealthMode預設情況下,裝置會啟用隱形模式。 它有助於防止惡意使用者發現有關網路裝置及其服務的資訊。 關閉隱形模式會讓裝置變得容易受到攻擊。
- 預設 (未設定)
- 是
- 否
啟用屏蔽模式
CSP: 被保護- 未設定 (預設) - 使用用戶端預設,也就是關閉屏蔽模式。
- 是的 ——機器會進入 屏蔽模式,這樣就能與網路隔離。 所有交通都被封鎖了。
- 否
阻擋多播廣播的單播回應 CSP: DisableUnicastResponsesToMulticastBroadcast
- 未設定 (預設) - 設定會回到用戶端預設,也就是允許單播回應。
- 是的 ——單播對多播廣播的回應被阻擋。
- 不 - 強制執行用戶端預設,也就是允許單播回應。
關閉入站通知
CSP DisableInboundNotifications- 未設定 (預設) - 設定會回到用戶端預設,也就是允許使用者通知。
- 是的 ——當應用程式被入站規則阻擋時,使用者通知會被抑制。
- 不 行——允許用戶通知。
區間出站連接
此設定適用於 Windows 1809 及以後版本。 CSP: DefaultOutboundAction
此規則在規則清單的最後被評估。
- 未設定 (預設) - 設定會回到用戶端預設,也就是允許連線。
- 是的 ——所有不符合出站規則的外接連線都會被封鎖。
- 不行 ——所有不符合出站規則的連線都被允許。
區塊入站連線
CSP: DefaultInboundAction此規則在規則清單的最後被評估。
- 未設定 (預設) - 設定會回到用戶端預設,也就是封鎖連線。
- 是的 ——所有不符合入站規則的入站連線都會被封鎖。
- 不行 ——所有不符合入站規則的連線都被允許。
忽略授權的應用程式防火牆規則
CSP: AuthAppsAllowUserPrefMerge- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地儲存庫中授權的應用程式防火牆規則會被忽略。
- 否 - 授權的應用程式防火牆規則會被尊重。
忽略全域埠防火牆規則
CSP: 全球港口允許用戶預先合併- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地商店裡的全域埠防火牆規則會被忽略。
- 不—— 全域埠防火牆規則會被遵守。
忽略所有本地防火牆規則
CSP: IPsecExempt- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地商店裡的所有防火牆規則都被忽略了。
- 不行 ——本地商店的防火牆規則是被遵守的。
忽略連線安全規則
CSP: 允許LocalIpsecPolicyMerge- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地儲存庫中的 IPsec 防火牆規則會被忽略。
- 沒有 ——本地儲存庫中的 IPsec 防火牆規則會被遵守。
開啟 Windows 防火牆用於私人網路
CSP: 啟用防火牆- 未設定 (預設) - 用戶端會回到預設狀態,也就是啟用防火牆。
- 是的 ——Windows 防火牆針對網路類型的 私密 設定是開啟並強制執行的。 你還能使用這個網路的額外設定。
- 不行 ——關閉防火牆。
當此網路設定為 「是」時,其他設定:
封鎖潛行模式
CSP: DisableStealthMode預設情況下,裝置會啟用隱形模式。 它有助於防止惡意使用者發現有關網路裝置及其服務的資訊。 關閉隱形模式會讓裝置變得容易受到攻擊。
- 預設 (未設定)
- 是
- 否
啟用屏蔽模式
CSP: 被保護- 未設定 (預設) - 使用用戶端預設,也就是關閉屏蔽模式。
- 是的 ——機器會進入 屏蔽模式,這樣就能與網路隔離。 所有交通都被封鎖了。
- 否
阻擋多播廣播的單播回應 CSP: DisableUnicastResponsesToMulticastBroadcast
- 未設定 (預設) - 設定會回到用戶端預設,也就是允許單播回應。
- 是的 ——單播對多播廣播的回應被阻擋。
- 不 - 強制執行用戶端預設,也就是允許單播回應。
關閉入站通知
CSP DisableInboundNotifications- 未設定 (預設) - 設定會回到用戶端預設,也就是允許使用者通知。
- 是的 ——當應用程式被入站規則阻擋時,使用者通知會被抑制。
- 不 行——允許用戶通知。
區間出站連接
此設定適用於 Windows 1809 及以後版本。 CSP: DefaultOutboundAction
此規則在規則清單的最後被評估。
- 未設定 (預設) - 設定會回到用戶端預設,也就是允許連線。
- 是的 ——所有不符合出站規則的外接連線都會被封鎖。
- 不行 ——所有不符合出站規則的連線都被允許。
區塊入站連線
CSP: DefaultInboundAction此規則在規則清單的最後被評估。
- 未設定 (預設) - 設定會回到用戶端預設,也就是封鎖連線。
- 是的 ——所有不符合入站規則的入站連線都會被封鎖。
- 不行 ——所有不符合入站規則的連線都被允許。
忽略授權的應用程式防火牆規則
CSP: AuthAppsAllowUserPrefMerge- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地儲存庫中授權的應用程式防火牆規則會被忽略。
- 否 - 授權的應用程式防火牆規則會被尊重。
忽略全域埠防火牆規則
CSP: 全球港口允許用戶預先合併- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地商店裡的全域埠防火牆規則會被忽略。
- 不—— 全域埠防火牆規則會被遵守。
忽略所有本地防火牆規則
CSP: IPsecExempt- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地商店裡的所有防火牆規則都被忽略了。
- 不行 ——本地商店的防火牆規則是被遵守的。
忽略連線安全規則
CSP: 允許LocalIpsecPolicyMerge- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地儲存庫中的 IPsec 防火牆規則會被忽略。
- 沒有 ——本地儲存庫中的 IPsec 防火牆規則會被遵守。
開啟 Windows 防火牆以支援公共網路
CSP: 啟用防火牆- 未設定 (預設) - 用戶端會回到預設狀態,也就是啟用防火牆。
- 是的 ——Windows 防火 牆的網路 類型公共是被開啟並強制執行的。 你還能使用這個網路的額外設定。
- 不行 ——關閉防火牆。
當此網路設定為 「是」時,其他設定:
封鎖潛行模式
CSP: DisableStealthMode預設情況下,裝置會啟用隱形模式。 它有助於防止惡意使用者發現有關網路裝置及其服務的資訊。 關閉隱形模式會讓裝置變得容易受到攻擊。
- 預設 (未設定)
- 是
- 否
啟用屏蔽模式
CSP: 被保護- 未設定 (預設) - 使用用戶端預設,也就是關閉屏蔽模式。
- 是的 ——機器會進入 屏蔽模式,這樣就能與網路隔離。 所有交通都被封鎖了。
- 否
阻擋多播廣播的單播回應 CSP: DisableUnicastResponsesToMulticastBroadcast
- 未設定 (預設) - 設定會回到用戶端預設,也就是允許單播回應。
- 是的 ——單播對多播廣播的回應被阻擋。
- 不 - 強制執行用戶端預設,也就是允許單播回應。
關閉入站通知
CSP DisableInboundNotifications- 未設定 (預設) - 設定會回到用戶端預設,也就是允許使用者通知。
- 是的 ——當應用程式被入站規則阻擋時,使用者通知會被抑制。
- 不 行——允許用戶通知。
區間出站連接
此設定適用於 Windows 1809 及以後版本。 CSP: DefaultOutboundAction
此規則在規則清單的最後被評估。
- 未設定 (預設) - 設定會回到用戶端預設,也就是允許連線。
- 是的 ——所有不符合出站規則的外接連線都會被封鎖。
- 不行 ——所有不符合出站規則的連線都被允許。
區塊入站連線
CSP: DefaultInboundAction此規則在規則清單的最後被評估。
- 未設定 (預設) - 設定會回到用戶端預設,也就是封鎖連線。
- 是的 ——所有不符合入站規則的入站連線都會被封鎖。
- 不行 ——所有不符合入站規則的連線都被允許。
忽略授權的應用程式防火牆規則
CSP: AuthAppsAllowUserPrefMerge- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地儲存庫中授權的應用程式防火牆規則會被忽略。
- 否 - 授權的應用程式防火牆規則會被尊重。
忽略全域埠防火牆規則
CSP: 全球港口允許用戶預先合併- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地商店裡的全域埠防火牆規則會被忽略。
- 不—— 全域埠防火牆規則會被遵守。
忽略所有本地防火牆規則
CSP: IPsecExempt- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地商店裡的所有防火牆規則都被忽略了。
- 不行 ——本地商店的防火牆規則是被遵守的。
忽略連線安全規則
CSP: 允許LocalIpsecPolicyMerge- 未設定 (預設) - 設定會回到用戶端預設,也就是要遵守本地規則。
- 是的 ——本地儲存庫中的 IPsec 防火牆規則會被忽略。
- 沒有 ——本地儲存庫中的 IPsec 防火牆規則會被遵守。
Windows 防火牆規則
此個人檔案目前為預覽。
以下設定為 Windows 防火牆的端點安全政策。
Windows 防火牆規則
名稱
請為你的規則指定一個友善的名稱。 這個名稱會出現在規則清單中,幫助你辨識它。描述
請提供規則的描述。方向
- 未設定 (預設) - 此規則預設為出站流量。
- 外出 - 此規則適用於外出貨運。
- 在 - 此規則適用於入站流量。
動作
- 未設定 (預設) - 規則預設允許流量。
- 阻塞 - 你設定的 方向 交通被阻擋。
- 允許 - 你設定的 方向 允許交通。
網路類型
請指定該規則所屬的網路類型。 您可以選擇以下一項或多項。 如果你沒有選擇某個選項,這條規則會適用於所有網路類型。- 網域
- Private
- Public
- 未設定
應用程式設定
適用此規則的應用:
套裝家族名稱
Get-AppxPackage套件族名稱可透過執行 PowerShell 的 Get-AppxPackage 指令取得。
檔案路徑
CSP: FirewallRules/FirewallRuleName/App/FilePath要指定應用程式的檔案路徑,請在用戶端裝置輸入該應用程式的位置。 例如:
C:\Windows\System\Notepad.exe服務名稱
FirewallRules/FirewallRuleName/App/ServiceName當服務而非應用程式在傳送或接收流量時,請使用Windows服務的簡稱。 服務簡短名稱可透過執行
Get-ServicePowerShell 指令取得。
埠與協定設定
請指定此規則適用的本地與遠端埠口:
Protocol (通訊協定)
CSP: 防火牆規則/防火牆規則名稱/協定請指定此埠規則的協定。
- 像 TCP (6) 和 UDP (17 這 類傳輸層協定) 允許你指定埠口或埠範圍。
- 對於自訂協定,輸入一個介於 0 到 255 之間的數字,代表 IP 協定。
- 當沒有指定時,規則預設為 任意。
介面類型
指定該規則所屬的介面類型。 您可以選擇以下一項或多項。 如果你沒有選擇某個選項,該規則適用於所有介面類型:- 遠端存取
- 無線
- 區域網路
- 未設定
- 行動寬頻 - 此選項取代了先前已棄用且不再支援的行動寬頻條目。
- [不支援] 行動寬頻 - 請勿使用此選項,這是原始的行動寬頻選項。 這個選項現在已經無法正常運作了。 請用較新的 行動寬頻取代此選項。
授權使用者
FirewallRules/FirewallRuleName/LocalUserAuthorizationList請指定此規則中授權的本地使用者名單。 如果此政策中的 服務名稱 設為 Windows 服務,則無法指定授權使用者清單。 若未指定授權使用者,預設為 所有使用者。
IP 位址設定
指定此規則適用的本地及遠端位址:
任何當地地址
未設定 (預設) - 請使用以下設定「 本地位址範圍*」來設定支援的位址範圍。- 是的 ——支援任何本地位址,且不要設定位址範圍。
本地位址範圍
CSP: 防火牆規則/防火牆規則名稱/LocalAddressRanges管理此規則的本地地址範圍。 您可以:
- 新增 一個或多個地址,作為逗號分隔的本地地址清單,這些地址受規則涵蓋。
- 使用「LocalAddressRanges」標頭匯入包含本地 IP 位址範圍清單的 .csv 檔案。
- 請匯出 您目前的本地地址範圍清單,作為 .csv 檔案。
有效的憑證 (條目) 包含以下選項:
- 星號 - 星號 (*) 表示任何當地地址。 若有,星號必須是唯一包含的符號。
- 子網 - 透過子網遮罩或網路前綴符號來指定子網。 若未指定子網路遮罩或網路前綴,則子網路遮罩預設為 255.255.255.255。
- 有效的 IPv6 位址
- IPv4 位址範圍 - IPv4 範圍必須為 起始位址 - 結束位址 格式,且不包含空格,且起始位址小於終點位址。
- IPv6 位址範圍 - IPv6 範圍必須為起 始位址 - 結束位址 格式,且不包含空格,且起始位址小於終點位址。
當沒有指定值時,此設定預設為 任意位址。
任何遠端位址
未設定 (預設) - 請使用以下設定「 遠端位址範圍*」來設定支援的位址範圍。- 是的 ——支援任何遠端位址,且不要設定位址範圍。
遠端位址範圍
CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges此規則可管理遠端位址範圍。 您可以:
- 將一個或多個地址作為逗號分隔的遠端地址清單,這些地址都被規則涵蓋。
- 透過「RemoteAddressRanges」標頭匯入包含遠端 IP 位址範圍清單的 .csv 檔案。
- 將你目前的遠端位址範圍清單匯出為 .csv 檔案。
有效的詞條 (標記) 包含以下內容,且不區分大小寫:
- 星號 - 星號 (*) 表示任何遠端地址。 若有,星號必須是唯一包含的符號。
- Defaultgateway
- DHCP
- DNS
- 勝利
- 內聯網 - 支援運行 Windows 1809 或更新版本的裝置。
- RmtIntranet - 支援於運行 Windows 1809 或更新版本的裝置。
- Ply2Renders - 支援運行 Windows 1809 或更新版本的裝置。
- LocalSubnet - 表示該子網中的任何本地位址。
- 子網 - 透過子網遮罩或網路前綴符號來指定子網。 若未指定子網路遮罩或網路前綴,子網路遮罩預設為 255.255.255.255。
- 有效的 IPv6 位址
- IPv4 位址範圍 - IPv4 範圍必須為 起始位址 - 結束位址 格式,且不包含空格,且起始位址小於終點位址。
- IPv6 位址範圍 - IPv6 範圍必須為起 始位址 - 結束位址 格式,且不包含空格,且起始位址小於終點位址。
當沒有指定值時,此設定預設為 任意位址。