终结点安全防火墙规则迁移工具概述
使用Microsoft Intune时,可以使用终结点安全防火墙规则迁移工具(PowerShell 脚本)来帮助将大量现有 Windows 防火墙规则组策略移动到 Intune 终结点安全策略。 Microsoft Intune 中的终结点安全性提供了丰富的 Windows 防火墙配置管理体验和精细防火墙规则管理。
在引用 Windows 10/11 客户端上运行终结点安全防火墙规则迁移工具(该客户端具有基于应用组策略的防火墙规则)时,该工具可以在 Intune 中自动创建终结点安全防火墙规则策略。 创建终结点安全规则后,管理员可以将规则定向到Microsoft Entra组来配置 MDM 和共同管理的客户端。
工具用法
提示
该工具的 PowerShell 脚本会查找面向 MDM 的终结点安全策略。 如果没有面向 MDM 的策略,脚本可能会循环,但无法退出。 若要解决此问题,请在运行脚本之前添加一个面向 MDM 的策略,或编辑脚本的第 46 行以以下内容: while(($profileNameExist) -and ($profiles.Count -gt 0))
在参考计算机上运行该工具,以迁移计算机当前的 Windows 防火墙规则配置。 运行时,该工具将导出设备上存在的所有启用的防火墙规则,并自动使用收集的规则创建新的 Intune 策略。
使用本地管理员权限登录到参考计算机。
从 GitHub 下载必备 PowerShell 模块 ()
应将 zip 文件提取到下一步中放置脚本的根文件夹中。
下载并解压文件
Export-FirewallRules.zip。该压缩文件包含脚本文件
Export-FirewallRules.ps1。 将脚本提取到上一步中的根文件夹,其中应具有Export-FirewallRules.ps1和 子文件夹“Intune-PowerShell-Management-master”使用以下开关启动 PowerShell - “PowerShell.exe -Executionpolicy 绕过”
在计算机上运行
Export-FirewallRules.ps1脚本。该脚本下载运行所需的所有先决条件。 出现提示时,请提供适当的 Intune 管理员凭据。 有关所需权限的详细信息,请参阅所需权限。
注意
默认情况下,远程程序集不会在 .NET Framework 4 及更高版本中运行。 若要运行远程程序集,必须以完全受信任的方式运行它,或者创建要在其中运行它的沙盒 AppDomain。 有关如何执行此配置更改的信息,请参阅 Microsoft .NET Framework 文档中的 loadFromRemoteSources 元素。 从 PowerShell 窗口运行“[System.Runtime.InteropServices.RuntimeEnvironment]::SystemConfigurationFile”将提供配置文件的路径。 请记住,在导入防火墙规则后还原.NET Framework安全更改。
出现提示时,请提供策略名称。 对于租户,策略的名称必须是唯一的。
找到超过 150 个防火墙规则时,会创建多个策略。
该工具创建的策略在“终结点安全>防火墙”窗格的Microsoft Intune管理中心可见。
该工具运行后,会输出无法自动迁移的防火墙规则计数。 有关详细信息,请参阅不支持的配置。
交换机
你可以使用以下交换机(参数)修改工具的默认行为。
IncludeLocalRules- 使用此开关可在导出中包含所有本地创建的/默认 Windows 防火墙规则。 使用此交换机可能会导致包含的规则计数很大。IncludedDisabledRules- 此开关用于在导出中包含所有已启用和禁用的 Windows 防火墙规则。 使用此交换机可能会导致包含的规则计数很大。
不支持的配置
由于 Windows 中缺少 MDM 支持,所以不支持以下基于注册表的设置。 虽然这些设置并不常见,但当你需要这些设置时,请考虑通过标准支持渠道记录此需求。
| GPO 字段 | Reason |
|---|---|
| TYPE-VALUE =/ "Security=" IFSECURE-VAL | Windows MDM 不支持与 IPSec 相关的设置 |
| TYPE-VALUE =/ "Security2_9=" IFSECURE2-9-VAL | Windows MDM 不支持与 IPSec 相关的设置 |
| TYPE-VALUE =/ "Security2=" IFSECURE2-10-VAL | Windows MDM 不支持与 IPSec 相关的设置 |
| TYPE-VALUE =/ "IF=" IF-VAL | 接口标识符 (LUID) 不可管理 |
| TYPE-VALUE =/ "Defer=" DEFER-VAL | 与入站 NAT 遍历相关,未通过组策略或 Windows MDM 公开 |
| TYPE-VALUE =/ "LSM=" BOOL-VAL | 未通过组策略或 Windows MDM 公开的松散源映射 |
| TYPE-VALUE =/ "Platform=" PLATFORM-VAL | 未通过组策略或 Windows MDM 公开 OS 版本控制 |
| TYPE-VALUE =/ "RMauth=" STR-VAL | Windows MDM 不支持与 IPSec 相关的设置 |
| TYPE-VALUE =/ "RUAuth=" STR-VAL | Windows MDM 不支持与 IPSec 相关的设置 |
| TYPE-VALUE =/ "AuthByPassOut=" BOOL-VAL | Windows MDM 不支持与 IPSec 相关的设置 |
| TYPE-VALUE =/ "LOM=" BOOL-VAL | 未通过组策略或 Windows MDM 公开“仅限本地映射” |
| TYPE-VALUE =/ "Platform2=" PLATFORM-OP-VAL | 未通过组策略或 Windows MDM 公开冗余设置 |
| TYPE-VALUE =/ "PCross=" BOOL-VAL | 允许不通过组策略或 Windows MDM 公开配置文件交叉 |
| TYPE-VALUE =/ "LUOwn=" STR-VAL | 本地用户所有者 SID 在 MDM 中不适用 |
| TYPE-VALUE =/ "TTK=" TRUST-TUPLE-KEYWORD-VAL | 将流量与信任元组匹配关键字 (keyword) 未通过组策略或 Windows MDM 公开 |
| TYPE-VALUE =/ “TTK2_22=” TRUST-TUPLE-KEYWORD-VAL2-22 | 将流量与信任元组匹配关键字 (keyword) 未通过组策略或 Windows MDM 公开 |
| TYPE-VALUE =/ “TTK2_27=” TRUST-TUPLE-KEYWORD-VAL2-27 | 将流量与信任元组匹配关键字 (keyword) 未通过组策略或 Windows MDM 公开 |
| TYPE-VALUE =/ “TTK2_28=” TRUST-TUPLE-KEYWORD-VAL2-28 | 将流量与信任元组匹配关键字 (keyword) 未通过组策略或 Windows MDM 公开 |
| TYPE-VALUE =/ "NNm=" STR-ENC-VAL | Windows MDM 不支持与 IPSec 相关的设置 |
| TYPE-VALUE =/ "SecurityRealmId=" STR-VAL | Windows MDM 不支持与 IPSec 相关的设置 |
不支持的设置值
迁移不支持以下设置值:
端口:
PlayToDiscovery不支持作为本地或远程端口范围。
地址范围:
LocalSubnet6不支持作为本地或远程地址范围。LocalSubnet4不支持作为本地或远程地址范围。PlatToDevice不支持作为本地或远程地址范围。
工具完成后,它会生成一个报表,其中具有未成功迁移的规则。 可以通过在 C:\<folder> 中找到的 RulesError.csv 来查看这些规则。
所需权限
被分配到 Intune 角色的终结点安全管理器、Intune 服务管理员或全局管理员用户可以将 Windows 防火墙规则迁移到终结点安全策略。 另外,还可以为用户分配自定义角色,其中使用“删除”、“读取”、“分配”、“创建”设置了安全基准权限,并应用了“更新”授权。 有关详细信息,请参阅向 Intune 授予管理员权限。
后续步骤
为防火墙规则创建终结点安全策略后,将这些策略分配给Microsoft Entra组,以配置 MDM 和共同管理的客户端。 有关详细信息,请参阅添加用于组织用户和设备的组。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈