Intuneのエンドポイント セキュリティのファイアウォール ポリシー

Intuneのエンドポイント セキュリティ ファイアウォール ポリシーを使用して、macOS デバイスと Windows デバイスを実行するデバイスの組み込みファイアウォールを構成します。

デバイス構成には Endpoint Protection プロファイルを使用して同じファイアウォール設定を構成できますが、デバイス構成プロファイルには設定の追加カテゴリが含まれます。 これらの追加設定はファイアウォールとは関係なく、環境のファイアウォール設定のみを構成するタスクを複雑にする可能性があります。

Microsoft Intune管理センターの [エンドポイント セキュリティ] ノードの [管理] で、ファイアウォールのエンドポイント セキュリティ ポリシーを見つけます。

ファイアウォール プロファイルの前提条件

• Windows 10
• Windows 11
• Windows Server 2012 R2 以降 (Microsoft Defender for Endpoint セキュリティ設定管理シナリオを使用)
• サポートされている macOS のバージョン

重要

Windows では、Windows ファイアウォール構成サービス プロバイダー (CSP) がファイアウォール規則のアトミック ブロックからの規則を適用する方法が更新されました。 デバイス上の Windows ファイアウォール CSP は、Intune エンドポイント セキュリティ ファイアウォール ポリシーからのファイアウォール規則設定を実装します。 次のバージョンの Windows 以降では、更新された CSP 動作によって、各 Atomic 規則ブロックからファイアウォール規則のすべてまたは何もないアプリケーションが適用されるようになりました。

• Windows 11 21H2
• Windows 11 22H2
• Windows 10 21H2

以前のバージョンの Windows を実行するデバイスでは、CSP は一度に 1 つのルール (または設定) のアトミック ブロック内のファイアウォール規則を処理します。 意図は、その Atomic ブロック内のすべてのルールを適用することです。または、それらのルールを適用しません。 ただし、CSP がブロックからルールを適用する際に問題が発生した場合、CSP は後続のルールの適用を停止しますが、既に正常に適用されているそのブロックからルールをロールバックしません。 この動作により、デバイスにファイアウォール規則が部分的にデプロイされる可能性があります。

役割ベースのアクセス制御 (RBAC)

ファイアウォール ポリシーを管理するための適切なレベルのアクセス許可と権限Intune割り当てる方法については、「Assign-role-based-access-controls-for-endpoint-security-policy」を参照してください。

ファイアウォール プロファイル

Intuneによって管理されるデバイス

プラットフォーム: macOS:

• macOS ファイアウォール – macOS 上の組み込みファイアウォールの設定を有効にして構成します。

プラットフォーム: Windows:

次のプロファイルで設定を構成する方法については、 ファイアウォール構成サービス プロバイダー (CSP) を参照してください。

注:

2022 年 4 月 5 日以降、Windows 10以降のプラットフォームは、Windows 10、Windows 11、および Windows Server プラットフォームに置き換えられました。このプラットフォームは、より単純に Windows として名前が付けられます。

Windows プラットフォームは、Microsoft IntuneまたはMicrosoft Defender for Endpointを介して通信するデバイスをサポートします。 これらのプロファイルは、ネイティブにMicrosoft Intuneによってサポートされていない Windows Server プラットフォームのサポートも追加します。

この新しいプラットフォームのプロファイルでは、設定カタログにある設定形式が使用されます。 この新しいプラットフォームの新しいプロファイル テンプレートにはそれぞれ、置き換えられる古いプロファイル テンプレートと同じ設定が含まれています。 この変更により、古いプロファイルの新しいバージョンを作成できなくなります。 古いプロファイルの既存のインスタンスは、引き続き使用および編集できます。

• Windows ファイアウォール – セキュリティが強化された Windows ファイアウォールの設定を構成します。 Windows ファイアウォールは、デバイスに対してホスト ベースの双方向ネットワーク トラフィック フィルタリングを提供し、ローカル デバイスとの間で送受信される未承認のネットワーク トラフィックをブロックできます。

• Windows ファイアウォール規則 - 特定のポート、プロトコル、アプリケーション、ネットワークを含む詳細なファイアウォール規則を定義し、ネットワーク トラフィックを許可またはブロックします。 このプロファイルの各インスタンスは、最大 150 個のカスタム 規則をサポートします。

  ヒント

  MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP で説明されているポリシー アプリ ID 設定を使用するには、環境で Windows Defender アプリケーション制御 (WDAC) のタグ付けを使用する必要があります。 詳細については、次の Windows Defender の記事を参照してください。

  • Windows のアプリケーション制御について
  • WDAC アプリケーション ID (AppId) タグ付けガイド

• Windows Hyper-V ファイアウォール規則Windows Hyper-V ファイアウォール規則テンプレートを使用すると、Linux 用 Windows サブシステム (WSL) やAndroid 用 Windows サブシステム (WSA) などのアプリケーションなど、Windows 上の特定の Hyper-V コンテナーに適用されるファイアウォール規則を制御できます。

ファイアウォール規則のプロファイルに再利用可能な設定グループを追加する

パブリック プレビューでは、Windows ファイアウォール規則プロファイルでは、次のプラットフォームで 再利用可能な設定グループ の使用がサポートされています。

• Windows 10
• Windows 11

再利用可能な設定グループでは、次のファイアウォール規則プロファイル設定を使用できます。

• リモート IP アドレス範囲
• FQDN 定義と自動解決

1 つ以上の再利用可能な設定グループを追加するようにファイアウォール規則を構成する場合は、それらのグループの設定の使用方法を定義するようにルールアクションも構成します。

プロファイルに追加する各ルールには、再利用可能な設定グループと、ルールに直接追加される個々の設定の両方を含めることができます。 ただし、再利用可能な設定グループに対して各ルールを使用するか、ルールに直接追加する設定を管理することを検討してください。 この分離は、今後行う可能性のある構成や変更を簡略化するのに役立ちます。

注:

受信 FQDN 規則はネイティブにサポートされていません。 ただし、 事前ハイドレート スクリプトを使用して、ルールの受信 IP エントリを生成できます。 詳細については、 Windows ファイアウォールのドキュメントの「Windows ファイアウォール動的キーワード 」を参照してください。

再利用可能なグループを構成し、このプロファイルに追加するための前提条件とガイダンスについては、「Intune ポリシーで再利用可能な設定グループを使用する」を参照してください。

Configuration Managerによって管理されるデバイス

ファイアウォール

Configuration Managerによって管理されるデバイスのサポートはプレビュー段階です。

テナントアタッチを使用する場合は、Configuration Manager デバイスのファイアウォール ポリシー設定を管理します。

ポリシー パス:

• エンドポイント セキュリティ > ファイアウォール

プロファイル:

• Windows ファイアウォール (ConfigMgr)

必要なバージョンのConfiguration Manager:

• Configuration Manager現在のブランチ バージョン 2006 以降、コンソール内更新プログラム Configuration Manager 2006 修正プログラム (KB4578605)

サポートされているConfiguration Managerデバイス プラットフォーム:

• Windows 11 以降 (x86、x64、ARM64)
• Windows 10 以降 (x86、x64、ARM64)

ファイアウォール規則の合併とポリシーの競合

1 つのポリシーのみを使用して、デバイスに適用するファイアウォール ポリシーを計画します。 1 つのポリシー インスタンスとポリシーの種類を使用すると、2 つの異なるポリシーが同じ設定に異なる構成を適用し、競合が発生するのを回避できます。 異なる値で同じ設定を管理する 2 つのポリシー インスタンスまたはポリシーの種類の間に競合が存在する場合、設定はデバイスに送信されません。

• この形式のポリシーの競合は 、Windows ファイアウォール プロファイルに適用されます。このプロファイルは、他の Windows ファイアウォール プロファイルや、デバイス構成など、別のポリシーの種類によって配信されるファイアウォール構成と競合する可能性があります。

  Windows ファイアウォール プロファイル は、 Windows ファイアウォール規則 プロファイルと競合しません。

Windows ファイアウォール規則プロファイルを使用する場合は、同じデバイスに複数のルール プロファイルを適用できます。 ただし、構成が異なる同じルールに対して異なるルールが存在する場合、両方がデバイスに送信され、そのデバイスで競合が発生します。

• たとえば、1 つのルールがファイアウォール 経由でTeams.exe をブロックし、2 つ目のルール でTeams.exeが許可されている場合、両方のルールがクライアントに配信されます。 この結果は、ファイアウォール設定の他のポリシーによって作成された競合とは異なります。

複数のルール プロファイルのルールが互いに競合しない場合、デバイスは各プロファイルのルールをマージして、デバイスにファイアウォール規則の構成を組み合わせて作成します。 この動作により、個々のプロファイルでサポートされる 150 を超えるルールをデバイスに展開できます。

• たとえば、2 つの Windows ファイアウォール規則プロファイルがあるとします。 最初のプロファイルでは、ファイアウォール 経由でTeams.exe できます。 2 つ目のプロファイルでは、ファイアウォール 経由でOutlook.exe できます。 デバイスが両方のプロファイルを受信すると、デバイスはファイアウォールを介して両方のアプリを許可するように構成されます。

ファイアウォール ポリシー レポート

ファイアウォール ポリシーのレポートには、マネージド デバイスのファイアウォールの状態に関する状態の詳細が表示されます。 ファイアウォール レポートでは、次のオペレーティング システムを実行するマネージド デバイスがサポートされます。

• Windows 10 または 11

概要

[概要] は、ファイアウォール ノードを開くときの既定のビューです。 Microsoft Intune管理センターを開き、[エンドポイント セキュリティ>Firewall>Summary] に移動します。

このビューには、次の情報が表示されます。

• ファイアウォールがオフになっているデバイスの集計数。
• 名前、種類、割り当てられている場合、最後に変更された日時など、ファイアウォール ポリシーの一覧。

ファイアウォールがオフになっているWindows 10以降を実行している MDM デバイス

このレポートは、[エンドポイント セキュリティ] ノードにあります。 Microsoft Intune管理センターを開き、ファイアウォールをオフにしてWindows 10以降を実行しているエンドポイント セキュリティ>Firewall>MDM デバイスに移動します。

データは Windows DeviceStatus CSP を介して報告され、ファイアウォールがオフになっている各デバイスを識別します。 既定では、表示される詳細には次のものが含まれます。

• デバイス名
• ファイアウォールの状態
• ユーザー プリンシパル名
• ターゲット (デバイス管理の方法)
• 過去のチェック

Windows 10以降の MDM ファイアウォールの状態

この組織レポートについては、「Intune レポート」でも説明されています。

組織レポートとして、このレポートは [ レポート ] ノードから使用できます。 Microsoft Intune管理センターを開き、Windows 10以降のレポート>Firewall>MDM ファイアウォールの状態に移動します。

データは Windows DeviceStatus CSP を通じて報告され、マネージド デバイスのファイアウォールの状態が報告されます。 このレポートの戻り値は、1 つまたは複数の状態の詳細カテゴリを使用してフィルター処理できます。

次のような状態の詳細があります。

• [有効] – ファイアウォールはオンで、正常に報告されています。
• [無効] - ファイアウォールはオフになっています。
• [限定的] – ファイアウォールによってすべてのネットワークが監視されていないか、一部の規則がオフになっています。
• [Temporarily Disabled (default)]\(一時的に無効 (既定値)\) – ファイアウォールによって一時的にすべてのネットワークが監視されていません
• [適用できません] – デバイスでファイアウォールのレポートがサポートされていません。

このレポートの戻り値は、1 つまたは複数の状態の詳細カテゴリを使用してフィルター処理できます。

ファイアウォール規則の問題を調査する

Intuneのファイアウォール規則の詳細と一般的な問題のトラブルシューティング方法については、次のIntuneカスタマー サクセス ブログを参照してください。

• Intune エンドポイント セキュリティ ファイアウォール規則の作成プロセスをトレースしてトラブルシューティングする方法

ファイアウォール規則に関するその他の一般的な問題:

イベント ビューアー: RemotePortRanges または LocalPortRanges "パラメーターが正しくありません"

• 構成された範囲が昇順であることを確認します (例: 1 から 5 が正しく、5 から 1 でこのエラーが発生します)
• 構成された範囲が 0 から 65535 の全体的なポート範囲内であることを確認する
• リモート ポート範囲またはローカル ポート範囲が規則で構成されている場合は、プロトコルも 6 (TCP) または 17 (UDP) で構成する必要があります

イベント ビューアー: "...名前)、結果: (パラメーターが正しくありません)"

• ルールでエッジ トラバーサルが有効になっている場合、ルールの方向を "この規則は受信トラフィックに適用されます" に設定する 必要があります 。

イベント ビューアー: "...InterfaceTypes)、結果: (パラメーターが正しくありません)"

• ルールで "All" インターフェイスの種類が有効になっている場合は、他のインターフェイスの種類を選択 しないでください 。

次の手順

エンドポイント セキュリティ ポリシーを構成する

非推奨のWindows 10以降のプラットフォームの非推奨のファイアウォール プロファイルの設定の詳細を表示します。

• ファイアウォール プロファイルの設定。