共用方式為


Microsoft Intune 中租用戶連結裝置的防火牆原則設定

檢視您可以從 Intune 使用 Windows 防火牆 (ConfigMgr) 配置檔管理的Microsoft Windows 防火牆設定。 當您設定 Intune 防火牆原則,且原則部署到您在設定租使用者附加案例時使用 Configuration Manager 管理的裝置時,即可使用配置檔。

Windows 防火牆

  • 裝置) (證書吊銷清單驗證
    CSP: MdmStore/Global/CRLcheck

    指定如何強制執行 CRL) 驗證 (證書吊銷清單。

    • 未設定 (預設) - 使用用戶端預設值,也就是停用 CRL 驗證。
    • 嘗試
    • 需要
  • 停用具狀態 Ftp (裝置)
    CSP: MdmStore/Global/DisableStatefulFtp

    • 未設定 ()
    • True - 已停用具狀態 FTP
    • False - 防火牆會執行具狀態檔傳輸通訊協定 (FTP) 篩選以允許次要連線。
  • 啟用封包佇列 (裝置)
    CSP: MdmStore/Global/EnablePacketQueue

    從下列選項中選取,針對 IPsec 通道閘道的加密接收和純文字轉送,在接收端設定軟體的調整。 這可確保保留封包順序。 預設不會選取任何選項。

    • Disabled
    • 佇列輸入
    • 佇列輸出
  • 裝置) (IPsec 例外狀況
    CSP: MdmStore/Global/IPsecExempt

    從下列選項中選取以設定 IPsec 例外狀況。

    • 從 IPsec 豁免芳鄰探索 IPv6 ICMP 類型代碼
    • 從 IPsec 豁免 ICMP
    • 從 IPsec 豁免路由器探索 IPv6 ICMP 類型代碼
    • 從 IPsec 豁免 IPv4 和 IPv6 DHCP 流量
  • 對應每 KM (裝置)
    CSP: OpportunisticallyMatchAuthSetPerKM

    • 未設定 ()
    • True
    • False
  • 預先共用的金鑰編碼 (裝置)
    CSP: MdmStore/Global/PresharedKeyEncoding

    • 未設定 ()
    • UTF-8
  • 裝置) (安全性關聯空閒時間
    CSP: MdmStore/Global/SaIdleTime

    指定介於 300 到 3600 之間的秒數時間,以瞭解在看不到網路流量之後,安全性關聯的保留時間長度。 如果您未指定任何值,系統會在閑置 300 秒之後刪除安全性關聯。

網域配置檔

  • 啟用網域網路防火牆 (裝置)
    CSP: EnableFirewall

    • 未設定 (預設) - 用戶端會回到其預設值,也就是啟用防火牆。
    • True - 已開啟並強制執行網 網路類型的 Windows 防火牆。
    • False - 停用防火牆。

    當設定為 True 時,您可以接著為此防火牆設定檔類型設定下列設定:

    • 允許本機 Ipsec 原則合併 (裝置)
      CSP: AllowLocalIpsecPolicyMerge

      • 未設定 ()
      • True
      • False - 會忽略並不會強制執行來自本地存儲的連線安全性規則。
    • 允許本機原則合併 (裝置)
      CSP: AllowLocalPolicyMerge

      • 未設定 ()
      • True
      • False - 會忽略並不會強制執行來自本地存儲的防火牆規則。
    • 驗證應用程式允許使用者預先合併 (裝置)
      CSP: AuthAppsAllowUserPrefMerge

      • 未設定 ()
      • True
      • False
    • 裝置 (網域配置檔的預設輸入動作)
      CSP: DefaultInboundAction

      • 未設定 ()
      • Allow
      • 封鎖
    • 裝置) (預設輸出動作
      CSP: DefaultOutboundAction

      • Allow
      • 封鎖
    • 停用裝置 (的輸入通知)
      CSP: DisableInboundNotifications

      • 未設定 ()
      • True - 當應用程式遭到封鎖而無法接聽埠時,防火牆不會對用戶顯示通知。
      • False - 當應用程式遭到封鎖而無法接聽埠時,防火牆可能會對用戶顯示通知。
    • 停用裝置) (隱形模式
      CSP: DisableStealthMode

      • 未設定 ()
      • True
      • False - 伺服器以隱形模式運作。 用來強制執行隱形模式的防火牆規則是實作特定的。
    • 停用多播廣播 (裝置) 的單播回應
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • 未設定 ()
      • True - 封鎖多播廣播流量的單播回應。
      • False
    • 全域埠 允許用戶預先合併 (裝置)
      CSP: GlobalPortsAllowUserPrefMerge

      • 未設定 ()
      • True
      • False - 會忽略並不會強制執行本地存儲中的全域埠防火牆規則。
    • 受防護 (裝置)
      CSP: 受防護

      • 未設定 ()
      • True - 伺服器會封鎖所有連入流量,而不論其他原則設定為何。
      • False

私人配置檔

  • 啟用專用網防火牆 (裝置)
    CSP: EnableFirewall

    • 未設定 (預設) - 用戶端會回到其預設值,也就是啟用防火牆。
    • True - 已開啟並強制執行 私人 網路類型的 Windows 防火牆。
    • False - 停用防火牆。

    當設定為 True 時,您可以接著為此防火牆設定檔類型設定下列設定:

    • 允許本機 Ipsec 原則合併 (裝置)
      CSP: AllowLocalIpsecPolicyMerge

      • 未設定 ()
      • True
      • False - 會忽略並不會強制執行來自本地存儲的連線安全性規則。
    • 允許本機原則合併 (裝置)
      CSP: AllowLocalPolicyMerge

      • 未設定 ()
      • True
      • False - 會忽略並不會強制執行來自本地存儲的防火牆規則。
    • 驗證應用程式允許使用者預先合併 (裝置)
      CSP: AuthAppsAllowUserPrefMerge

      • 未設定 ()
      • True
      • False
    • 裝置 (私人配置檔的預設輸入動作)
      CSP: DefaultInboundAction

      • 未設定 ()
      • Allow
      • 封鎖
    • 裝置) (預設輸出動作
      CSP: DefaultOutboundAction

      • Allow
      • 封鎖
    • 停用裝置 (的輸入通知)
      CSP: DisableInboundNotifications

      • 未設定 ()
      • True - 當應用程式遭到封鎖而無法接聽埠時,防火牆不會對用戶顯示通知。
      • False - 當應用程式遭到封鎖而無法接聽埠時,防火牆可能會對用戶顯示通知。
    • 停用裝置) (隱形模式
      CSP: DisableStealthMode

      • 未設定 ()
      • True
      • False - 伺服器以隱形模式運作。 用來強制執行隱形模式的防火牆規則是實作特定的。
    • 停用多播廣播 (裝置) 的單播回應
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • 未設定 ()
      • True - 封鎖多播廣播流量的單播回應。
      • False
    • 全域埠 允許用戶預先合併 (裝置)
      CSP: GlobalPortsAllowUserPrefMerge

      • 未設定 ()
      • True
      • False - 會忽略並不會強制執行本地存儲中的全域埠防火牆規則。
    • 受防護 (裝置)
      CSP: 受防護

      • 未設定 ()
      • True - 伺服器會封鎖所有連入流量,而不論其他原則設定為何。
      • False

公用配置檔

  • 啟用公用網路防火牆 (裝置)
    CSP: EnableFirewall

    • 未設定 (預設) - 用戶端會回到其預設值,也就是啟用防火牆。
    • True - 已開啟並強制執行 用網路類型的 Windows 防火牆。
    • False - 停用防火牆。

    當設定為 True 時,您可以接著為此防火牆設定檔類型設定下列設定:

    • 允許本機 Ipsec 原則合併 (裝置)
      CSP: AllowLocalIpsecPolicyMerge

      • 未設定 ()
      • True
      • False - 會忽略並不會強制執行來自本地存儲的連線安全性規則。
    • 允許本機原則合併 (裝置)
      CSP: AllowLocalPolicyMerge

      • 未設定 ()
      • True
      • False - 會忽略並不會強制執行來自本地存儲的防火牆規則。
    • 驗證應用程式允許使用者預先合併 (裝置)
      CSP: AuthAppsAllowUserPrefMerge

      • 未設定 ()
      • True
      • False
    • 公用配置檔 (裝置) 的預設輸入動作
      CSP: DefaultInboundAction

      • 未設定 ()
      • Allow
      • 封鎖
    • 裝置) (預設輸出動作
      CSP: DefaultOutboundAction

      • Allow
      • 封鎖
    • 停用裝置 (的輸入通知)
      CSP: DisableInboundNotifications

      • 未設定 ()
      • True - 當應用程式遭到封鎖而無法接聽埠時,防火牆不會對用戶顯示通知。
      • False - 當應用程式遭到封鎖而無法接聽埠時,防火牆可能會對用戶顯示通知。
    • 停用裝置) (隱形模式
      CSP: DisableStealthMode

      • 未設定 ()
      • True
      • False - 伺服器以隱形模式運作。 用來強制執行隱形模式的防火牆規則是實作特定的。
    • 停用多播廣播 (裝置) 的單播回應
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • 未設定 ()
      • True - 封鎖多播廣播流量的單播回應。
      • False
    • 全域埠 允許用戶預先合併 (裝置)
      CSP: GlobalPortsAllowUserPrefMerge

      • 未設定 ()
      • True
      • False - 會忽略並不會強制執行本地存儲中的全域埠防火牆規則。
    • 受防護 (裝置)
      CSP: 受防護

      • 未設定 ()
      • True - 伺服器會封鎖所有連入流量,而不論其他原則設定為何。
      • False

後續步驟

防火牆的端點安全策略