Firewallrichtlinie für Endpunktsicherheit in Intune

Verwenden Sie die Richtlinie für die Endpunktsicherheitsfirewall in Intune, um eine integrierte Firewall für Geräte zu konfigurieren, auf denen macOS- und Windows-Geräte ausgeführt werden.

Sie können dieselben Firewalleinstellungen zwar mithilfe von Endpoint Protection-Profilen für die Gerätekonfiguration konfigurieren, die Gerätekonfigurationsprofile enthalten jedoch zusätzliche Kategorien von Einstellungen. Diese zusätzlichen Einstellungen beziehen sich nicht auf Firewalls und können die Konfiguration nur von Firewalleinstellungen für Ihre Umgebung erschweren.

Suchen Sie die Endpunktsicherheitsrichtlinien für Firewalls unter "Verwalten" im Endpunktsicherheitsknoten des Microsoft Endpoint Manager Admin Centers.

Voraussetzungen für Firewallprofile

  • Windows 10
  • Windows 11
  • Windows Server 2012 R2 oder höher
  • Jede unterstützte Version von macOS

Firewallprofile

Von Intune verwaltete Geräte

Plattform: macOS:

  • macOS-Firewall – Aktivieren und Konfigurieren von Einstellungen für die integrierte Firewall unter macOS.

Plattform: Windows 10, Windows 11 und Windows Server:

Informationen zum Konfigurieren von Einstellungen in den folgenden Profilen finden Sie im Firewall-Konfigurationsdienstanbieter (CSP).For information about configuring settings in the following profiles, see the Firewall configuration service provider (CSP).

  • Microsoft Defender Firewall – Konfigurieren von Einstellungen für Windows Defender Firewall mit erweiterter Sicherheit. Windows Defender Firewall bietet hostbasierte, bidirektionale Netzwerkdatenverkehrsfilterung für ein Gerät und kann nicht autorisierten Netzwerkdatenverkehr blockieren, der in das oder aus dem lokalen Gerät fließt.

  • Microsoft Defender Firewall Regeln – Definieren Sie präzise Firewallregeln, einschließlich bestimmter Ports, Protokolle, Anwendungen und Netzwerke, und um Netzwerkdatenverkehr zuzulassen oder zu blockieren. Jede Instanz dieses Profils unterstützt bis zu 150 benutzerdefinierte Regeln.

Hinweis

Ab dem 5. April 2022 wurde die Windows 10 und höher durch die Plattform Windows 10, Windows 11 und Windows Server ersetzt.

Die Plattform Windows 10, Windows 11 und Windows Server unterstützt Geräte, die über Microsoft Intune oder Microsoft Defender für Endpunkt mit Endpoint Manager kommunizieren. Diese Profile fügen auch Unterstützung für die Windows Server-Plattform hinzu, die nicht über Microsoft Intune nativ unterstützt wird.

Profile für diese neue Plattform verwenden das Einstellungsformat, wie es im Einstellungskatalog zu finden ist. Jede neue Profilvorlage für diese neue Plattform enthält die gleichen Einstellungen wie die ältere Profilvorlage, die ersetzt wird. Mit dieser Änderung können Sie keine neuen Versionen der alten Profile mehr erstellen. Ihre vorhandenen Instanzen des alten Profils bleiben zur Verwendung und Bearbeitung verfügbar.

Von Configuration Manager verwaltete Geräte

Firewall

Die Unterstützung für Geräte, die von Configuration Manager verwaltet werden, befindet sich in der Vorschau.

Verwalten Von Firewallrichtlinieneinstellungen für Configuration Manager-Geräte,wenn Sie Mandantenanfügung verwenden.

Richtlinienpfad:

  • Endpunktsicherheit > Firewall > Windows 10 und höher

Profile:

  • Microsoft Defender Firewall (ConfigMgr) (Vorschau)

Erforderliche Version von Configuration Manager:

  • Configuration Manager current branch version 2006 or later, with in-console update Configuration Manager 2006 Hotfix (KB4578605)

Unterstützte Configuration Manager-Geräteplattformen:

  • Windows 11 und höher (x86, x64, ARM64)
  • Windows 10 und höher (x86, x64, ARM64)

Firewallregelzusammenschlüsse und Richtlinienkonflikte

Planen Sie, dass Firewallrichtlinien mit nur einer Richtlinie auf ein Gerät angewendet werden. Die Verwendung einer einzelnen Richtlinieninstanz und eines einzelnen Richtlinientyps verhindert, dass zwei separate Richtlinien unterschiedliche Konfigurationen auf dieselbe Einstellung anwenden, wodurch Konflikte entstehen. Wenn ein Konflikt zwischen zwei Richtlinieninstanzen oder Richtlinientypen besteht, die dieselbe Einstellung mit unterschiedlichen Werten verwalten, wird die Einstellung nicht an das Gerät gesendet.

  • Diese Form des Richtlinienkonflikts gilt für das Microsoft Defender Firewall-Profil, das mit anderen Microsoft Defender Firewall-Profilen in Konflikt gerät, oder auf eine Firewallkonfiguration, die von einem anderen Richtlinientyp bereitgestellt wird, z. B. gerätekonfiguration.

    Microsoft Defender Firewall Profile verursachen keinen Konflikt mit Microsoft Defender Firewall Regelprofilen.

Wenn Sie Microsoft Defender Firewall Regelprofile verwenden, können Sie mehrere Regelprofile auf dasselbe Gerät anwenden. Wenn jedoch unterschiedliche Regeln für dieselbe Sache mit unterschiedlichen Konfigurationen vorhanden sind, werden beide an das Gerät gesendet und verursachen einen Konflikt auf diesem Gerät.

  • Wenn beispielsweise eine Regel Teams.exe durch die Firewall blockiert und eine zweite Regel Teams.exe zulässt, werden beide Regeln an den Client übermittelt. Dieses Ergebnis unterscheidet sich von Konflikten, die durch andere Richtlinien für Firewalleinstellungen erstellt wurden.

Wenn Regeln aus mehreren Regelprofilen nicht miteinander in Konflikt sind, führen Geräte die Regeln aus jedem Profil zusammen, um eine kombinierte Firewallregelkonfiguration auf dem Gerät zu erstellen. Mit diesem Verhalten können Sie mehr als die 150 Regeln bereitstellen, die jedes einzelne Profil auf einem Gerät unterstützt.

  • Sie verfügen beispielsweise über zwei Microsoft Defender Firewall Regelprofile. Das erste Profil ermöglicht Teams.exe durch die Firewall. Das zweite Profil ermöglicht Outlook.exe durch die Firewall. Wenn ein Gerät beide Profile empfängt, ist das Gerät so konfiguriert, dass beide Apps über die Firewall zugelassen werden.

Firewallrichtlinienberichte

Berichte für Firewallrichtlinien befinden sich in der öffentlichen Vorschau.

In den Berichten für die Firewallrichtlinie werden Statusdetails zum Firewallstatus für Ihre verwalteten Geräte angezeigt. Firewallberichte unterstützen verwaltete Geräte, auf denen die folgenden Betriebssysteme ausgeführt werden.

  • Windows 10/11

Zusammenfassung

Zusammenfassung ist die Standardansicht, wenn Sie den Firewallknoten öffnen. Öffnen Sie das Microsoft Endpoint Manager Admin Center, und wechseln Sie dann zur Zusammenfassung der Endpunktsicherheitsfirewall > > .

Diese Ansicht bietet Folgendes:

  • Eine aggregierte Anzahl von Geräten, auf denen die Firewall deaktiviert ist.
  • Eine Liste Ihrer Firewallrichtlinien, einschließlich Name, Typ, Zuweisung und Zeitpunkt der letzten Änderung.

MDM-Geräte, die Windows 10 oder höher mit deaktivierter Firewall ausgeführt werden

Dieser Bericht befindet sich im Endpunktsicherheitsknoten. Öffnen Sie das Microsoft Endpoint Manager Admin Center, und wechseln Sie dann zu MDM-Geräten der Endpunktsicherheitsfirewall > > ,die Windows 10 oder höher mit deaktivierter Firewall ausgeführt werden.

Daten werden über den Windows DeviceStatus-CSP gemeldet und identifizieren jedes Gerät, auf dem die Firewall deaktiviert ist. Standardmäßig sind folgende Details sichtbar:

  • Gerätename
  • Firewallstatus
  • Benutzerprinzipalname
  • Target (Die Methode der Geräteverwaltung)
  • Zeitpunkt der letzten Eincheckung

Anzeigen der Firewall deaktiviert

MDM-Firewallstatus für Windows 10 und höher

Dieser Organisationsbericht wird auch in Intune Berichten beschrieben.

Als Organisationsbericht ist dieser Bericht über den Knoten "Berichte" verfügbar. Öffnen Sie das Microsoft Endpoint Manager Admin Center, und wechseln Sie dann für Windows 10 und höher zum > > Status der MdM-Firewallberichtsfirewall.

Firewallberichte auswählen

Die Daten werden über den DeviceStatus-Konfigurationsdienstanbieter von Windows gemeldet und melden den Status der Firewall auf Ihren verwalteten Geräten. Sie können die Rückgaben für diesen Bericht mit einer oder mehreren der Statusdetailkategorien filtern.

Zu den Statusdetails zählen:

  • Aktiviert: Die Firewall ist aktiviert und die Berichterstattung erfolgreich.
  • Deaktiviert: Die Windows-Firewall ist deaktiviert.
  • Eingeschränkt: Die Firewall überwacht nicht alle Netzwerke, oder einige Regeln sind deaktiviert.
  • Temporär deaktiviert (Standard): Die Firewall überwacht vorübergehend nicht alle Netzwerke.
  • Nicht zutreffend: Das Gerät unterstützt keine Firewallberichterstattung.

Sie können die Rückgaben für diesen Bericht mit einer oder mehreren der Statusdetailkategorien filtern.

Anzeigen des Firewallstatusberichts

Untersuchen von Problemen mit Firewallregeln

Weitere Informationen zu Firewallregeln in Intune und zur Behandlung häufig auftretender Probleme finden Sie im folgenden Intune Blog zum Erfolg von Kunden:

Nächste Schritte

Konfigurieren von Sicherheitsrichtlinien für Endpunkte

Details zu den Einstellungen in den veralteten Firewallprofilen für die Windows 10 und höher anzeigen: