Overzicht van het migratieprogramma voor firewallregels voor eindpuntbeveiliging
Wanneer u Microsoft Intune gebruikt, kunt u het migratieprogramma voor firewallregels voor eindpuntbeveiliging, een PowerShell-script, gebruiken om grote aantallen bestaande groepsbeleidsregels voor Windows Firewall-regels te verplaatsen naar Intune-eindpuntbeveiligingsbeleid. Eindpuntbeveiliging in Microsoft Intune biedt uitgebreide beheerervaringen voor Windows Firewall-configuratie en gedetailleerd beheer van firewallregels.
Wanneer u het migratieprogramma voor firewallregels voor eindpuntbeveiliging uitvoert op een referentie-Windows 10/11-client waarop firewallregels zijn gebaseerd op groepsbeleid toegepast, kan het hulpprogramma automatisch firewallregelbeleid voor eindpuntbeveiliging maken in Intune. Nadat de beveiligingsregels voor eindpunten zijn gemaakt, kunnen beheerders de regels richten op Microsoft Entra groepen om MDM- en medebeheerde clients te configureren.
Download het migratieprogramma voor firewallregels voor eindpuntbeveiliging:
Hulpprogrammagebruik
Tip
Het PowerShell-script van het hulpprogramma zoekt naar eindpuntbeveiligingsbeleid dat is gericht op MDM. Wanneer er geen beleid is dat is gericht op MDM, kan het script worden herhaald en kan het niet worden afgesloten. Als u deze voorwaarde wilt omzeilen, voegt u een beleid toe dat is gericht op MDM voordat u het script uitvoert, of bewerkt u regel 46 van het script in het volgende: while(($profileNameExist) -and ($profiles.Count -gt 0))
Voer het hulpprogramma uit op een referentiecomputer om de huidige windows firewall-regelconfiguratie te migreren. Wanneer het hulpprogramma wordt uitgevoerd, exporteert het alle ingeschakelde firewallregels die aanwezig zijn op het apparaat en maakt het automatisch nieuw Intune-beleid met de verzamelde regels.
Meld u aan bij de referentiecomputer met lokale beheerdersbevoegdheden.
Download de vereiste PowerShell-module(s) van GitHub
Het zip-bestand moet worden geëxtraheerd naar een hoofdmap waarin u het script in de volgende stap plaatst.
Download en pak het bestand
Export-FirewallRules.zipuit.Het zip-bestand bevat het scriptbestand
Export-FirewallRules.ps1. Pak het script uit de vorige stap uit naar de hoofdmap, waar u nu deExport-FirewallRules.ps1submap Intune-PowerShell-Management-master moet hebben.Start PowerShell met de volgende schakeloptie : 'PowerShell.exe -Executionpolicy Bypass'
Voer het
Export-FirewallRules.ps1script uit op de computer.Het script downloadt alle vereisten die nodig zijn om uit te voeren. Geef de juiste Intune-beheerdersreferenties op wanneer u hierom wordt gevraagd. Zie Vereiste machtigingen voor meer informatie over vereiste machtigingen.
Opmerking
Externe assembly's worden standaard niet uitgevoerd in de .NET Framework 4 en hoger. Als u een externe assembly wilt uitvoeren, moet u deze uitvoeren als volledig vertrouwd of een sandboxed AppDomain maken waarin u deze wilt uitvoeren. Zie het element loadFromRemoteSources in de documentatie van Microsoft .NET Framework voor meer informatie over het uitvoeren van deze configuratiewijziging. Als u [System.Runtime.InteropServices.RuntimeEnvironment]::SystemConfigurationFile uitvoert vanuit een PowerShell-venster, krijgt u het pad naar uw configuratiebestand. Vergeet niet om de .NET Framework beveiligingswijziging terug te keren wanneer u uw firewallregels hebt geïmporteerd.
Geef een beleidsnaam op wanneer hierom wordt gevraagd. De beleidsnaam moet uniek zijn voor de tenant.
Wanneer er meer dan 150 firewallregels worden gevonden, worden meerdere beleidsregels gemaakt.
Beleidsregels die door het hulpprogramma zijn gemaakt, worden weergegeven in het Microsoft Intune-beheercentrum in het deelvenster Firewall voor eindpuntbeveiliging>.
Opmerking
Standaard worden alleen ingeschakelde firewallregels gemigreerd en worden alleen firewallregels gemigreerd die door GPO zijn gemaakt. Het hulpprogramma ondersteunt schakelopties die u kunt gebruiken om deze standaardinstellingen te wijzigen.
De tijd die nodig is om het hulpprogramma uit te voeren, is afhankelijk van het aantal gevonden firewallregels.
Nadat het hulpprogramma is uitgevoerd, wordt een aantal firewallregels uitgevoerd die niet automatisch kunnen worden gemigreerd. Zie Niet-ondersteunde configuratie voor meer informatie.
Switches
Gebruik de volgende schakelopties (parameters) om het standaardgedrag van het hulpprogramma te wijzigen.
IncludeLocalRules- Gebruik deze schakeloptie om alle lokaal gemaakte/standaard Windows Firewall-regels op te nemen in de export. Het gebruik van deze schakeloptie kan resulteren in een groot aantal opgenomen regels.IncludedDisabledRules- e deze schakeloptie om alle ingeschakelde en uitgeschakelde Windows Firewall-regels in de export op te nemen. Het gebruik van deze schakeloptie kan resulteren in een groot aantal opgenomen regels.
Niet-ondersteunde configuratie
De volgende registerinstellingen worden niet ondersteund vanwege een gebrek aan MDM-ondersteuning in Windows. Hoewel deze instellingen ongebruikelijk zijn, kunt u overwegen om deze behoefte te registreren via uw standaardondersteuningskanalen als u deze instellingen nodig hebt.
| GPO-veld | Reden |
|---|---|
| TYPE-VALUE =/ "Security=" IFSECURE-VAL | IpSec-gerelateerde instelling wordt niet ondersteund door Windows MDM |
| TYPE-VALUE =/ "Security2_9=" IFSECURE2-9-VAL | IpSec-gerelateerde instelling wordt niet ondersteund door Windows MDM |
| TYPE-VALUE =/ "Security2=" IFSECURE2-10-VAL | IpSec-gerelateerde instelling wordt niet ondersteund door Windows MDM |
| TYPE-VALUE =/ "IF=" IF-VAL | Interface-id (LUID) kan niet worden beheerd |
| TYPE-VALUE =/ "Defer=" DEFER-VAL | Binnenkomende NAT-traversal is niet beschikbaar via groepsbeleid of Windows MDM |
| TYPE-VALUE =/ "LSM=" BOOL-VAL | Losse brontoewijzing niet beschikbaar via groepsbeleid of Windows MDM |
| TYPE-VALUE =/ "Platform=" PLATFORM-VAL | Versiebeheer van besturingssysteem niet beschikbaar via groepsbeleid of Windows MDM |
| TYPE-VALUE =/ "RMauth=" STR-VAL | IpSec-gerelateerde instelling wordt niet ondersteund door Windows MDM |
| TYPE-VALUE =/ "RUAuth=" STR-VAL | IpSec-gerelateerde instelling wordt niet ondersteund door Windows MDM |
| TYPE-VALUE =/ "AuthByPassOut=" BOOL-VAL | IpSec-gerelateerde instelling wordt niet ondersteund door Windows MDM |
| TYPE-VALUE =/ "LOM=" BOOL-VAL | Alleen lokaal toegewezen niet beschikbaar via groepsbeleid of Windows MDM |
| TYPE-VALUE =/ "Platform2=" PLATFORM-OP-VAL | Redundante instelling niet beschikbaar via groepsbeleid of Windows MDM |
| TYPE-VALUE =/ "PCross=" BOOL-VAL | Profielovergang niet beschikbaar maken via groepsbeleid of Windows MDM |
| TYPE-VALUE =/ "LUOwn=" STR-VAL | SID van lokale gebruikerseigenaar is niet van toepassing in MDM |
| TYPE-VALUE =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL | Verkeer koppelen aan het trefwoord vertrouwens-tuple dat niet wordt weergegeven via groepsbeleid of Windows MDM |
| TYPE-VALUE =/ "TTK2_22=" TRUST-TUPLE-KEYWORD-VAL2-22 | Verkeer koppelen aan het trefwoord vertrouwens-tuple dat niet wordt weergegeven via groepsbeleid of Windows MDM |
| TYPE-VALUE =/ "TTK2_27=" TRUST-TUPLE-KEYWORD-VAL2-27 | Verkeer koppelen aan het trefwoord vertrouwens-tuple dat niet wordt weergegeven via groepsbeleid of Windows MDM |
| TYPE-VALUE =/ "TTK2_28=" TRUST-TUPLE-KEYWORD-VAL2-28 | Verkeer koppelen aan het trefwoord vertrouwens-tuple dat niet wordt weergegeven via groepsbeleid of Windows MDM |
| TYPE-VALUE =/ "NNm=" STR-ENC-VAL | IpSec-gerelateerde instelling wordt niet ondersteund door Windows MDM |
| TYPE-VALUE =/ "SecurityRealmId=" STR-VAL | IpSec-gerelateerde instelling wordt niet ondersteund door Windows MDM |
Niet-ondersteunde instellingswaarden
De volgende instellingswaarden worden niet ondersteund voor migratie:
Poorten:
PlayToDiscoverywordt niet ondersteund als een lokaal of extern poortbereik.
Adresbereiken:
LocalSubnet6wordt niet ondersteund als een lokaal of extern adresbereik.LocalSubnet4wordt niet ondersteund als een lokaal of extern adresbereik.PlatToDevicewordt niet ondersteund als een lokaal of extern adresbereik.
Nadat het hulpprogramma is voltooid, wordt er een rapport gegenereerd met regels die niet zijn gemigreerd. U kunt deze regels weergeven in RulesError.csvC:\<folder>.
Vereiste machtigingen
Gebruikers die de Intune-rollen voor Endpoint Security Manager, Intune Service Beheer of Global Beheer kunnen Windows Firewall-regels migreren naar eindpuntbeveiligingsbeleid. U kunt de gebruiker ook een aangepaste rol toewijzen waarbij machtigingen voor beveiligingsbasislijnen zijn ingesteld met de toekenningen Verwijderen, Lezen, Toewijzen, Maken en Bijwerken . Zie Beheerdersmachtigingen verlenen aan Intune voor meer informatie.
Volgende stappen
Nadat u eindpuntbeveiligingsbeleid voor firewallregels hebt gemaakt, wijst u deze beleidsregels toe aan Microsoft Entra groepen om zowel uw MDM- als medebeheerde clients te configureren. Zie Groepen toevoegen om gebruikers en apparaten te organiseren voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor