端點安全性防火牆規則移轉工具概觀
當您使用 Microsoft Intune 時,您可以使用端點安全性防火牆規則移轉工具,這是 PowerShell 腳本,可協助您將大量的 Windows 防火牆規則現有組策略移至 Intune 端點安全策略。 Microsoft Intune 中的端點安全性提供 Windows 防火牆設定和細微防火牆規則管理的豐富管理體驗。
當您在參考 Windows 10/11 用戶端上執行端點安全性防火牆規則移轉工具時,該工具會根據 群組原則 套用的防火牆規則,在 Intune 中自動建立端點安全性防火牆規則原則。 建立端點安全性規則之後,系統管理員可以將規則設為目標,以 Microsoft Entra 群組來設定 MDM 和共同管理的用戶端。
下載 端點安全性防火牆規則移轉工具:
工具使用方式
提示
工具的 PowerShell 腳本會尋找以 MDM 為目標的端點安全策略。 當沒有任何以 MDM 為目標的原則時,腳本可能會迴圈,而且無法結束。 若要解決此情況,請在執行腳本之前新增以 MDM 為目標的原則,或將腳本的第 46 行編輯為下列內容: while(($profileNameExist) -and ($profiles.Count -gt 0))
在參照計算機上執行工具,以移轉該機器目前的 Windows 防火牆規則設定。 執行時,此工具會匯出裝置上所有已啟用的防火牆規則,並使用收集的規則自動建立新的 Intune 原則。
使用本機系統管理員許可權登入參照計算機。
從 GitHub 下載必要條件 PowerShell 模組 ()
zip 檔案應該解壓縮到您在下一個步驟中放置腳本的根資料夾中。
下載並解壓縮檔案
Export-FirewallRules.zip。zip 檔案包含文稿檔案
Export-FirewallRules.ps1。 從上一個步驟將腳本解壓縮到根資料夾,您現在應該擁有Export-FirewallRules.ps1和 子資料夾 “Intune-PowerShell-Management-master”使用下列參數啟動 PowerShell - “PowerShell.exe -Executionpolicy Bypass”
在
Export-FirewallRules.ps1電腦上執行腳本。腳本會下載執行所需的所有必要條件。 出現提示時,請提供適當的 Intune 系統管理員認證。 如需必要許可權的詳細資訊,請參閱 必要許可權。
注意事項
根據預設,遠端元件不會在 .NET Framework 4 和更新版本中執行。 若要執行遠端元件,您必須以完全信任的身分執行它,或建立要在其中執行它的沙盒化 AppDomain。 如需如何進行此組態變更的資訊,請參閱 Microsoft .NET Framework 檔中的 loadFromRemoteSources 元素。 從 PowerShell 視窗執行 “[System.Runtime.InteropServices.RuntimeEnvironment]::SystemConfigurationFile” 會提供組態檔的路徑。 請記得在匯入防火牆規則時還原 .NET Framework 安全性變更。
出現提示時提供原則名稱。 租用戶的原則名稱必須是唯一的。
找到超過150個防火牆規則時,會建立多個原則。
工具所建立的原則會顯示在 [端點安全>性防火牆] 窗格 Microsoft Intune 系統管理中心內。
工具執行之後,它會輸出無法自動移轉的防火牆規則計數。 如需詳細資訊,請參閱 不支持的設定。
開關
使用下列參數 (參數) 來修改工具的預設行為。
IncludeLocalRules- 使用此參數在匯出中包含所有本機建立/預設的 Windows 防火牆規則。 使用此參數可能會導致大量包含的規則。IncludedDisabledRules- e 此參數可在匯出中包含所有已啟用和停用的 Windows 防火牆規則。 使用此參數可能會導致大量包含的規則。
不支持的設定
由於 Windows 中缺少 MDM 支援,因此不支援下列以登錄為基礎的設定。 雖然這些設定並不常見,但如果您需要這些設定,請考慮透過標準支援通道記錄這項需求。
| GPO 欄位 | 原因 |
|---|---|
| TYPE-VALUE =/ “Security=” IFSECURE-VAL | Windows MDM 不支援IPSec相關設定 |
| TYPE-VALUE =/ “Security2_9=” IFSECURE2-9-VAL | Windows MDM 不支援IPSec相關設定 |
| TYPE-VALUE =/ “Security2=” IFSECURE2-10-VAL | Windows MDM 不支援IPSec相關設定 |
| TYPE-VALUE =/ “IF=” IF-VAL | 介面識別碼 (無法管理 LUID) |
| TYPE-VALUE =/ “Defer=” DEFER-VAL | 未透過 群組原則 或 Windows MDM 公開的輸入 NAT 周遊 |
| TYPE-VALUE =/ “LSM=” BOOL-VAL | 鬆散來源對應未透過 群組原則 或 Windows MDM 公開 |
| TYPE-VALUE =/ “Platform=” PLATFORM-VAL | 未透過 群組原則 或 Windows MDM 公開 OS 版本控制 |
| TYPE-VALUE =/ “RMauth=” STR-VAL | Windows MDM 不支援IPSec相關設定 |
| TYPE-VALUE =/ “RUAuth=” STR-VAL | Windows MDM 不支援IPSec相關設定 |
| TYPE-VALUE =/ “AuthByPassOut=” BOOL-VAL | Windows MDM 不支援IPSec相關設定 |
| TYPE-VALUE =/ “LOM=” BOOL-VAL | 本機僅對應未透過 群組原則 或 Windows MDM 公開 |
| TYPE-VALUE =/ “Platform2=” PLATFORM-OP-VAL | 未透過 群組原則 或 Windows MDM 公開的備援設定 |
| TYPE-VALUE =/ “PCross=” BOOL-VAL | 允許未透過 群組原則 或 Windows MDM 公開的配置檔交叉 |
| TYPE-VALUE =/ “LUOwn=” STR-VAL | 本機用戶擁有者 SID 不適用於 MDM |
| TYPE-VALUE =/ “TTK=” TRUST-TUPLE-KEYWORD-VAL | 使用未透過 群組原則 或 Windows MDM 公開的信任 Tuple 關鍵詞來比對流量 |
| TYPE-VALUE =/ “TTK2_22=” TRUST-TUPLE-KEYWORD-VAL2-22 | 使用未透過 群組原則 或 Windows MDM 公開的信任 Tuple 關鍵詞來比對流量 |
| TYPE-VALUE =/ “TTK2_27=” TRUST-TUPLE-KEYWORD-VAL2-27 | 使用未透過 群組原則 或 Windows MDM 公開的信任 Tuple 關鍵詞來比對流量 |
| TYPE-VALUE =/ “TTK2_28=” TRUST-TUPLE-KEYWORD-VAL2-28 | 使用未透過 群組原則 或 Windows MDM 公開的信任 Tuple 關鍵詞來比對流量 |
| TYPE-VALUE =/ “NNm=” STR-ENC-VAL | Windows MDM 不支援IPSec相關設定 |
| TYPE-VALUE =/ “SecurityRealmId=” STR-VAL | Windows MDM 不支援IPSec相關設定 |
不支持的設定值
下列設定值不支援移轉:
埠:
PlayToDiscovery不支援作為本機或遠端埠範圍。
位址範圍:
LocalSubnet6不支援作為本機或遠端位址範圍。LocalSubnet4不支援作為本機或遠端位址範圍。PlatToDevice不支援作為本機或遠端位址範圍。
工具完成之後,它會產生具有未成功移轉之規則的報表。 您可以檢視 中C:\<folder>找到的 ,以檢視RulesError.csv這些規則。
必要權限
為端點安全性管理員、Intune 服務 管理員 或全域 管理員 指派 Intune 角色的使用者可以將 Windows 防火牆規則移轉至端點安全策略。 或者,您可以為使用者指派自定義角色,其中會套用 [ 刪除]、[ 讀取]、[ 指派]、[ 建立] 和 [ 更新 ] 授與來設定安全性基準許可權。 如需詳細資訊,請參閱 將系統管理員許可權授與 Intune。
後續步驟
建立防火牆規則的端點安全策略之後,請將這些原則指派給 Microsoft Entra 群組,以設定 MDM 和共同管理的用戶端。 如需詳細資訊,請 參閱新增群組以組織用戶和裝置。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: