Zasady zapory na potrzeby zabezpieczeń punktu końcowego w usłudze IntuneFirewall policy for endpoint security in Intune

Zasady zapory w ramach zabezpieczeń punktu końcowego w usłudze Intune umożliwiają skonfigurowanie zapory wbudowanej w urządzeniach z systemem macOS i Windows 10.Use the endpoint security Firewall policy in Intune to configure a devices built-in firewall for devices that run macOS and Windows 10.

Te same ustawienia zapory można co prawda skonfigurować za pomocą profilów konfiguracji urządzeń usługi Endpoint Protection, ale te profile konfiguracji urządzeń zawierają dodatkowe kategorie ustawień.While you can configure the same firewall settings by using Endpoint Protection profiles for device configuration, the device configuration profiles include additional categories of settings. Te dodatkowe ustawienia nie mają związku z zaporami i mogą komplikować zadanie konfigurowania tylko ustawień zapory w środowisku.These additional settings are unrelated to firewalls and can complicate the task of configuring only firewall settings for your environment.

Zasady zabezpieczeń punktu końcowego dla zapór znajdują się w obszarze Zarządzanie w węźle Zabezpieczenia punktu końcowego w centrum administracyjnym usługi Microsoft Endpoint Manager.Find the endpoint security policies for firewalls under Manage in the Endpoint security node of the Microsoft Endpoint Manager admin center.

Wyświetl ustawienia dla profilów zapory.View settings for Firewall profiles.

Wymagania wstępne dotyczące profilów zaporyPrerequisites for Firewall profiles

  • system Windows 10 lub nowszyWindows 10 or later
  • Dowolna obsługiwana wersja systemu macOSAny supported version of macOS

Profile zaporyFirewall profiles

Profile w systemie macOS:macOS profiles:

  • Zapora systemu macOS — umożliwia włączenie i skonfigurowanie ustawień wbudowanej zapory w systemie macOS.macOS firewall – Enable and configure settings for the built-in firewall on macOS.

Profile dla systemu Windows 10:Windows 10 profiles:

  • Zapora Microsoft Defender — umożliwia skonfigurowanie ustawień zapory programu Windows Defender z zabezpieczeniami zaawansowanymi.Microsoft Defender Firewall – Configure settings for Windows Defender Firewall with Advanced Security. Zapora Windows Defender zapewnia oparte na hoście dwukierunkowe filtrowanie ruchu sieciowego dla urządzenia i może blokować nieautoryzowany ruch sieciowy przepływający do lub z urządzenia lokalnego.Windows Defender Firewall provides host-based, two-way network traffic filtering for a device and can block unauthorized network traffic flowing into or out of the local device.

  • Reguły zapory Microsoft Defender (wersja zapoznawcza) — umożliwia definiowanie szczegółowych reguł zapory dotyczących m.in. określonych portów, protokołów, aplikacji i sieci, a także zezwalanie na ruch sieciowy lub jego blokowanie.Microsoft Defender Firewall rules (Preview) - Define granular Firewall rules, including specific ports, protocols, applications and networks, and to allow or block network traffic. Każde wystąpienie tego profilu obsługuje do 150 reguł niestandardowych.Each instance of this profile supports up to 150 custom rules.

Menedżery reguł zapory i konflikty zasadFirewall rule mergers and policy conflicts

Zaplanuj zasady zapory w taki sposób, aby do poszczególnych urządzeń były stosowane tylko jedne zasady.Plan for Firewall policies to be applied to a device using only one policy. Użycie jednego wystąpienia zasad i typu zasad pozwala uniknąć sytuacji, kiedy dwie różne zasady wymuszają zastosowanie różnych konfiguracji do jednego ustawienia, co powoduje konflikty.Use of a single policy instance and policy type helps avoid having two separate policies apply different configurations to the same setting, which creates conflicts. Gdy istnieje konflikt między dwoma wystąpieniami zasad lub typami zasad, które zarządzają tym samym ustawieniem z różnymi wartościami, takie ustawienie nie jest wysyłane do urządzenia.When a conflict exists between two policy instances or types of policy that manage the same setting with different values, the setting isn't sent to the device.

  • Ta forma konfliktu zasad występuje w przypadku profilu zapory programu Microsoft Defender mogącego powodować konflikt z innymi profilami zapory Microsoft Defender lub konfiguracją zapory, która jest dostarczana za pomocą innego typu zasad, na przykład konfiguracji urządzenia.That form of policy conflict applies to the Microsoft Defender Firewall profile, which can conflict with other Microsoft Defender Firewall profiles, or a firewall configuration that’s delivered by a different policy type, like device configuration.

    Profile zapory programu Microsoft Defender nie powodują konfliktu z profilami reguł zapory Microsoft Defender.Microsoft Defender Firewall profiles don't conflict with Microsoft Defender Firewall rules profiles.

Jeśli korzystasz z profilów reguł zapory Microsoft Defender, możesz zastosować wiele profilów reguł do tego samego urządzenia.When you use Microsoft Defender Firewall rules profiles, you can apply multiple rules profiles to the same device. Jeśli jednak istnieją różne reguły dla tego samego elementu z różnymi konfiguracjami, są one wysyłane do urządzenia i na tym urządzeniu powodują konflikt.However, when different rules exist for the same thing with different configurations, both are sent to the device and create a conflict, on that device.

  • Przykładowo jeśli jedna reguła blokuje aplikację Teams.exe przy użyciu zapory, a druga reguła zezwala na aplikację Teams.exe, obie reguły są dostarczane do klienta.For example, if one rule blocks Teams.exe through the firewall and a second rule allows Teams.exe, both rules are delivered to the client. Wynik różni się od konfliktów generowanych przez inne zasady dla ustawień zapory.This result is different from conflicts created through other policies for Firewall settings.

Jeśli reguły z profilów zawierających wiele reguł nie powodują między sobą konfliktów, urządzenia scalają reguły z poszczególnych profilów i tworzą połączoną konfigurację reguł zapory na urządzeniu.When rules from multiple rules profiles don't conflict with each other, devices merge the rules from each profile to create a combined firewall rule configuration on the device. To zachowanie umożliwia wdrożenie na urządzeniu ponad 150 reguł obsługiwanych przez poszczególne profile.This behavior enables you to deploy more than the 150 rules that each individual profile supports to a device.

  • Na przykład przyjmijmy, że istnieją dwa profile reguł zapory Microsoft Defender.For example, you have two Microsoft Defender Firewall rules profiles. Pierwszy profil zezwala na komunikację aplikacji Teams.exe przez zaporę.The first profile allows Teams.exe through the firewall. Drugi profil zezwala na komunikację programu Outlook.exe przez zaporę.The second profile allows Outlook.exe through the firewall. Gdy urządzenie odbierze oba profile, zostanie skonfigurowane w taki sposób, aby zezwalało na komunikację przez zaporę obu aplikacjom.When a device receives both profiles, the device is configured to allow both apps through the firewall.

Następne krokiNext steps

Konfigurowanie zasad zabezpieczeń punktu końcowegoConfigure Endpoint security policies