Zásady brány firewall pro zabezpečení koncových bodů v Intune
Pomocí zásady brány firewall zabezpečení koncových bodů v Intune nakonfigurujte integrovanou bránu firewall zařízení pro zařízení se systémy macOS a Windows.
I když můžete nakonfigurovat stejná nastavení brány firewall pomocí profilů služby Endpoint Protection pro konfiguraci zařízení, konfigurační profily zařízení obsahují další kategorie nastavení. Tato další nastavení nesouvisí s bránami firewall a můžou komplikovat konfiguraci pouze nastavení brány firewall pro vaše prostředí.
Najděte zásady zabezpečení koncových bodů pro brány firewall v části Spravovat v uzlu Zabezpečení koncového boduv centru pro správu Microsoft Intune.
Požadavky pro profily brány firewall
- Windows 10
- Windows 11
- Windows Server 2012 R2 nebo novější (prostřednictvím scénáře správy nastavení zabezpečení Microsoft Defender for Endpoint)
- Libovolná podporovaná verze macOS
Důležité
Systém Windows aktualizoval způsob, jakým poskytovatel konfigurační služby brány Windows Firewall (CSP) vynucuje pravidla z atomických bloků pravidel brány firewall. CSP brány Windows Firewall na zařízení implementuje nastavení pravidla brány firewall ze zásad zabezpečení koncového bodu Intune. Počínaje následujícími verzemi Windows teď aktualizované chování CSP vynucuje použití pravidel brány firewall typu vše nebo nic z každého atomového bloku pravidel:
- Windows 11 21H2
- Windows 11 22H2
- Windows 10 21H2
Na zařízeních, která používají starší verzi Windows, zpracovává CSP pravidla brány firewall v atomických blokech pravidel, a to po jednotlivých pravidlech (nebo nastaveních). Záměrem je použít všechna pravidla v daném atomovém bloku nebo žádná z nich. Pokud však u poskytovatele CSP dojde k problému s použitím libovolného pravidla z bloku, přestane CSP používat následující pravidla, ale nevrátí zpět pravidlo z tohoto bloku, které se už úspěšně použilo. Toto chování může vést k částečnému nasazení pravidel brány firewall na zařízení.
Řízení přístupu na základě role (RBAC)
Pokyny k přiřazení správné úrovně oprávnění a práv ke správě zásad brány firewall Intune najdete v tématu Assign-role-based-access-controls-for-endpoint-security-policy.
Profily brány firewall
Zařízení spravovaná službou Intune
Platforma: macOS:
- Brána firewall macOS – Povolí a nakonfiguruje nastavení integrované brány firewall v systému macOS.
Platforma: Windows:
Informace o konfiguraci nastavení v následujících profilech najdete v tématu Poskytovatel konfigurační služby brány firewall (CSP).
Poznámka
Od 5. dubna 2022 byla platforma Windows 10 a novější nahrazena platformou Windows 10, Windows 11 a Windows Server, která je nyní pojmenována jednodušeji jako Windows.
Platforma Windows podporuje zařízení komunikující prostřednictvím Microsoft Intune nebo Microsoft Defender for Endpoint. Tyto profily také přidávají podporu pro platformu Windows Server, která není nativně podporována prostřednictvím Microsoft Intune.
Profily pro tuto novou platformu používají formát nastavení, který najdete v katalogu nastavení. Každá nová šablona profilu pro tuto novou platformu obsahuje stejná nastavení jako starší šablona profilu, která nahrazuje. S touto změnou už nebudete moct vytvářet nové verze starých profilů. Vaše stávající instance starého profilu zůstanou dostupné k použití a úpravám.
Brána Windows Firewall – Nakonfigurujte nastavení pro bránu Windows Firewall s pokročilým zabezpečením. Brána Windows Firewall poskytuje obousměrné filtrování síťového provozu na hostiteli pro zařízení a může blokovat neoprávněný síťový provoz směřující do nebo z místního zařízení.
Pravidla brány Windows Firewall – Definujte podrobná pravidla brány firewall, včetně konkrétních portů, protokolů, aplikací a sítí, a povolujte nebo blokujte síťový provoz. Každá instance tohoto profilu podporuje až 150 vlastních pravidel.
Tip
Použití nastavení ID aplikace zásad , které je popsáno v mdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP, vyžaduje, aby vaše prostředí používalo značky Řízení aplikací v programu Windows Defender (WDAC). Další informace najdete v následujících článcích o programu Windows Defender:
Pravidla brány firewall technologie Windows Hyper-V Šablona Pravidla brány firewall technologie Windows Hyper-V umožňuje řídit pravidla brány firewall, která se budou vztahovat na konkrétní kontejnery Hyper-V ve Windows, včetně aplikací, jako je Subsystém Windows pro Linux (WSL) a subsystém Windows pro Android (WSA).
Přidání opakovaně použitelných skupin nastavení do profilů pro pravidla brány firewall
Ve verzi Public Preview profily pravidel brány Windows Firewall podporují použití opakovaně použitelných skupin nastavení pro následující platformy:
- Windows 10
- Windows 11
Ve skupinách opakovaně použitelných nastavení nastavení jsou k dispozici následující nastavení profilu pravidla brány firewall:
- Rozsahy vzdálených IP adres
- Definice plně kvalifikovaného názvu domény a automatické rozlišení
Když nakonfigurujete pravidlo brány firewall pro přidání jedné nebo více opakovaně použitelných skupin nastavení, nakonfigurujete také pravidla Akce, která definuje, jak se nastavení v těchto skupinách používají.
Každé pravidlo, které přidáte do profilu, může obsahovat opakovaně použitelné skupiny nastavení i jednotlivá nastavení, která se přidají přímo do pravidla. Zvažte ale použití jednotlivých pravidel pro opakovaně použitelné skupiny nastavení nebo správu nastavení, která přidáte přímo do pravidla. Toto oddělení může zjednodušit budoucí konfigurace nebo změny, které můžete udělat.
Poznámka
Příchozí pravidla plně kvalifikovaného názvu domény se nativně nepodporují. K vygenerování příchozích položek IP pro pravidlo je ale možné použít skripty před hydratací . Další informace najdete v tématu Dynamická klíčová slova brány Windows Firewall v dokumentaci brány Windows Firewall.
Požadavky a pokyny ke konfiguraci opakovaně použitelných skupin a jejich následnému přidání do tohoto profilu najdete v tématu Použití opakovaně použitelných skupin nastavení se zásadami Intune.
Zařízení spravovaná službou Configuration Manager
Brána firewall
Podpora zařízení spravovaných službou Configuration Manager je ve verzi Preview.
Spravovat nastavení zásad brány firewall pro Configuration Manager zařízení, když používáte připojení tenanta.
Cesta k zásadám:
- Brána firewall zabezpečení > koncového bodu
Profily:
- Brána Windows Firewall (ConfigMgr)
Požadovaná verze Configuration Manager:
- Configuration Manager aktuální větev verze 2006 nebo novější s konzolovou aktualizací Configuration Manager 2006 Hotfix (KB4578605)
Podporované platformy Configuration Manager zařízení:
- Windows 11 a novější (x86, x64, ARM64)
- Windows 10 a novější (x86, x64, ARM64)
Fúze pravidel firewallu a konflikty zásad
Naplánujte, že se zásady brány firewall použijí na zařízení s použitím pouze jedné zásady. Použití jedné instance zásad a typu zásady pomáhá vyhnout se tomu, aby dvě samostatné zásady používaly různé konfigurace pro stejné nastavení, což vytváří konflikty. Pokud existuje konflikt mezi dvěma instancemi zásad nebo typy zásad, které spravují stejné nastavení s různými hodnotami, nastavení se do zařízení neodesílají.
Tato forma konfliktu zásad se vztahuje na profil brány Windows Firewall , který může být v konfliktu s jinými profily brány Windows Firewall, nebo konfiguraci brány firewall, která je poskytována jiným typem zásad, jako je konfigurace zařízení.
Profily brány Windows Firewall nejsou v konfliktu s profily pravidel brány Windows Firewall .
Pokud používáte profily pravidel brány Windows Firewall , můžete na stejné zařízení použít více profilů pravidel. Pokud však existují různá pravidla pro stejnou věc s různými konfiguracemi, obě se odešlou do zařízení a na tomto zařízení se vytvoří konflikt.
- Pokud například jedno pravidlo blokuje Teams.exe bránou firewall a druhé pravidlo umožňuje Teams.exe, doručí se klientovi obě pravidla. Tento výsledek se liší od konfliktů vytvořených prostřednictvím jiných zásad pro nastavení brány firewall.
Pokud pravidla z více profilů pravidel nejsou v konfliktu, zařízení pravidla z každého profilu sloučí a vytvoří na zařízení kombinovanou konfiguraci pravidel brány firewall. Toto chování umožňuje nasadit do zařízení více než 150 pravidel, která každý jednotlivý profil podporuje.
- Máte například dva profily pravidel brány Windows Firewall. První profil umožňuje Teams.exe přes bránu firewall. Druhý profil umožňuje Outlook.exe přes bránu firewall. Když zařízení obdrží oba profily, je nakonfigurované tak, aby umožňovalo oběma aplikacím průchod bránou firewall.
Sestavy zásad brány firewall
V sestavách zásad brány firewall se zobrazují podrobnosti o stavu brány firewall pro spravovaná zařízení. Sestavy brány firewall podporují spravovaná zařízení s následujícími operačními systémy.
- Windows 10/11
Souhrn
Při otevření uzlu brány firewall je výchozí zobrazení Souhrn. Otevřete Centrum pro správu Microsoft Intune a pak přejděte naSouhrnbrány firewall>zabezpečení> koncových bodů.
Toto zobrazení poskytuje:
- Agregovaný počet zařízení, která mají vypnutou bránu firewall.
- Seznam zásad brány firewall, včetně názvu, typu, jestli jsou přiřazené a kdy byly naposledy změněny.
Zařízení MDM se systémem Windows 10 nebo novějším s vypnutou bránou firewall
Tato sestava se nachází v uzlu Zabezpečení koncového bodu. Otevřete Centrum pro správu Microsoft Intune a pak přejděte do části Zařízení MDMbrány firewall>zabezpečení koncového> boduse systémem Windows 10 nebo novějším s vypnutou bránou firewall.
Data se hlásí prostřednictvím poskytovatele CSP Windows DeviceStatus a identifikuje každé zařízení, na kterém je brána firewall vypnutá. Mezi viditelné podrobnosti ve výchozím nastavení patří:
- Název zařízení
- Stav brány firewall
- Hlavní název uživatele
- Target (metoda správy zařízení)
- Čas posledního ohlášení
Stav brány firewall MDM pro Windows 10 a novější
Tato organizační sestava je také popsaná v tématu sestavy Intune.
Jako organizační sestava je tato sestava dostupná z uzlu Sestavy . Otevřete Centrum pro správu Microsoft Intune a pak přejděte do části Sestavy>stavu brány firewall MDM> Firewall pro Windows 10 a novější.
Data se hlásí prostřednictvím poskytovatele CSP Windows DeviceStatus a hlásí stav brány firewall na spravovaných zařízeních. Vracené položky pro tuto sestavu můžete filtrovat pomocí jedné nebo více kategorií podrobností o stavu.
Mezi podrobnosti o stavu patří:
- Povoleno – brána firewall je zapnutá a úspěšně se hlásí.
- Zakázáno – brána firewall je vypnutá.
- Omezené – brána firewall ne monitoruje všechny sítě nebo jsou některá pravidla vypnutá.
- Dočasně zakázáno (výchozí) – brána firewall dočasně ne monitoruje všechny sítě.
- Nelze použít – Zařízení nepodporuje vytváření sestav brány firewall.
Vracené položky pro tuto sestavu můžete filtrovat pomocí jedné nebo více kategorií podrobností o stavu.
Zkoumání problémů s pravidly brány firewall
Další informace o pravidlech brány firewall v Intune a o řešení běžných problémů najdete v následujícím blogu Intune o úspěchu zákazníků:
Další běžné problémy s pravidly brány firewall:
Prohlížeč událostí: RemotePortRanges nebo LocalPortRanges "Parametr je nesprávný"
- Ověřte, že nakonfigurované rozsahy jsou vzestupné (příklad: 1–5 je správné, 5–1 způsobí tuto chybu).
- Ověřte, že nakonfigurované rozsahy jsou v celkovém rozsahu portů 0–65535.
- Pokud jsou v pravidle nakonfigurované buď vzdálené rozsahy portů, nebo místní rozsahy portů, musí být protokol také nakonfigurovaný s 6 (TCP) nebo 17 (UDP).
Prohlížeč událostí: "... Název), Výsledek: (Parametr je nesprávný)"
- Pokud je v pravidle povolené procházení okrajů, musí být směr pravidla nastavený na "Toto pravidlo platí pro příchozí provoz".
Prohlížeč událostí: "... InterfaceTypes), Result: (Parametr je nesprávný)"
- Pokud je v pravidle povolený typ rozhraní All, nesmí být vybrány ostatní typy rozhraní.
Další kroky
Konfigurace zásad zabezpečení koncových bodů
Podívejte se na podrobnosti o nastavení v zastaralých profilech brány firewall pro zastaralou platformu Windows 10 a novější: