Intune でのエンドポイント セキュリティのファイアウォール ポリシー

Intune のエンドポイント セキュリティ ファイアウォール ポリシーを使用して、macOS デバイスと Windows デバイスを実行するデバイスのデバイス組み込みファイアウォールを構成します。

デバイス構成には Endpoint Protection プロファイルを使用して同じファイアウォール設定を構成できますが、デバイス構成プロファイルには設定の追加カテゴリが含まれます。 これらの追加設定はファイアウォールとは関係なく、環境のファイアウォール設定のみを構成するタスクを複雑にする可能性があります。

Microsoft Intune 管理センターの [エンドポイント セキュリティ] ノードの [管理] で、ファイアウォールのエンドポイント セキュリティ ポリシーを見つけます。

ファイアウォール プロファイルの前提条件

• Windows 10
• Windows 11
• Windows Server 2012 R2 以降 ( Microsoft Defender for Endpoint Security 設定管理 シナリオを使用)
• サポートされている macOS のバージョン

ロールベースのアクセス制御 (RBAC)

Intune ファイアウォール ポリシーを管理するための適切なレベルのアクセス許可と権限の割り当てに関するガイダンスについては、「 Assign-role-based-access-controls-for-endpoint-security-policy」を参照してください。

ファイアウォール プロファイル

Intune によって管理されるデバイス

プラットフォーム: macOS:

• macOS ファイアウォール – macOS 上の組み込みファイアウォールの設定を有効にして構成します。

プラットフォーム: Windows 10、Windows 11、および Windows Server:

次のプロファイルで設定を構成する方法については、 ファイアウォール構成サービス プロバイダー (CSP) を参照してください。

• Windows ファイアウォール – セキュリティが強化された Windows ファイアウォールの設定を構成します。 Windows ファイアウォールは、デバイスに対してホスト ベースの双方向ネットワーク トラフィック フィルタリングを提供し、ローカル デバイスとの間で送受信される未承認のネットワーク トラフィックをブロックできます。

• Windows ファイアウォール規則 - 特定のポート、プロトコル、アプリケーション、ネットワークを含む詳細なファイアウォール規則を定義し、ネットワーク トラフィックを許可またはブロックします。 このプロファイルの各インスタンスは、最大 150 個のカスタム 規則をサポートします。

  ヒント

  MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP で説明されているポリシー アプリ ID 設定を使用するには、環境で Windows Defender アプリケーション制御 (WDAC) のタグ付けを使用する必要があります。 詳細については、次の Windows Defender の記事を参照してください。

  • Windows のアプリケーション制御について
  • WDAC アプリケーション ID (AppId) タグ付けガイド

• Windows Hyper-V ファイアウォール規則 Windows Hyper-V ファイアウォール規則テンプレートを使用すると、Windows 上の特定の Hyper-V コンテナーに適用されるファイアウォール規則 (Windows Subsystem for Linux (WSL) や Windows Subsystem for Android (WSA) などのアプリケーションを制御できます。

ファイアウォール規則のプロファイルに再利用可能な設定グループを追加する

パブリック プレビューでは、Windows ファイアウォール規則プロファイルでは、次のプラットフォームで 再利用可能な設定グループ の使用がサポートされています。

• Windows 10 と Windows 11

再利用可能な設定グループでは、次のファイアウォール規則プロファイル設定を使用できます。

• リモート IP アドレス範囲
• FQDN 定義と自動解決

1 つ以上の再利用可能な設定グループを追加するようにファイアウォール規則を構成する場合は、それらのグループの設定の使用方法を定義するようにルールアクションも構成します。

プロファイルに追加する各ルールには、再利用可能な設定グループと、ルールに直接追加される個々の設定の両方を含めることができます。 ただし、再利用可能な設定グループに対して各ルールを使用するか、ルールに直接追加する設定を管理することを検討してください。 この分離は、今後行う可能性のある構成や変更を簡略化するのに役立ちます。

再利用可能なグループを構成し、このプロファイルに追加するための前提条件とガイダンスについては、「 Intune ポリシーで再利用可能な設定グループを使用する」を参照してください。

Configuration Manager によって管理されるデバイス

ファイアウォール

Configuration Manager によって管理されるデバイスのサポートはプレビュー段階です。

テナントアタッチを使用する場合は、 Configuration Manager デバイスのファイアウォール ポリシー設定を管理します。

ポリシー パス:

• エンドポイント セキュリティ > ファイアウォール > Windows 10 以降

プロファイル:

• Windows ファイアウォール (ConfigMgr)

Configuration Manager の必須バージョン:

• Configuration Manager の現在のブランチ バージョン 2006 以降、コンソール内更新プログラム Configuration Manager 2006 修正プログラム (KB4578605)

サポートされている Configuration Manager デバイス プラットフォーム:

• Windows 11 以降 (x86、x64、ARM64)
• Windows 10 以降 (x86、x64、ARM64)

ファイアウォール規則の合併とポリシーの競合

1 つのポリシーのみを使用して、デバイスに適用するファイアウォール ポリシーを計画します。 1 つのポリシー インスタンスとポリシーの種類を使用すると、2 つの異なるポリシーが同じ設定に異なる構成を適用し、競合が発生するのを回避できます。 異なる値で同じ設定を管理する 2 つのポリシー インスタンスまたはポリシーの種類の間に競合が存在する場合、設定はデバイスに送信されません。

• この形式のポリシーの競合は 、Windows ファイアウォール プロファイルに適用されます。このプロファイルは、他の Windows ファイアウォール プロファイルや、デバイス構成など、別のポリシーの種類によって配信されるファイアウォール構成と競合する可能性があります。

  Windows ファイアウォール プロファイル は、 Windows ファイアウォール規則 プロファイルと競合しません。

Windows ファイアウォール規則プロファイルを使用する場合は、同じデバイスに複数のルール プロファイルを適用できます。 ただし、構成が異なる同じルールに対して異なるルールが存在する場合、両方がデバイスに送信され、そのデバイスで競合が発生します。

• たとえば、1 つのルールがファイアウォール 経由でTeams.exe をブロックし、2 つ目のルール でTeams.exeが許可されている場合、両方のルールがクライアントに配信されます。 この結果は、ファイアウォール設定の他のポリシーによって作成された競合とは異なります。

複数のルール プロファイルのルールが互いに競合しない場合、デバイスは各プロファイルのルールをマージして、デバイスにファイアウォール規則の構成を組み合わせて作成します。 この動作により、個々のプロファイルでサポートされる 150 を超えるルールをデバイスに展開できます。

• たとえば、2 つの Windows ファイアウォール規則プロファイルがあるとします。 最初のプロファイルでは、ファイアウォール 経由でTeams.exe できます。 2 つ目のプロファイルでは、ファイアウォール 経由でOutlook.exe できます。 デバイスが両方のプロファイルを受信すると、デバイスはファイアウォールを介して両方のアプリを許可するように構成されます。

ファイアウォール ポリシー レポート

ファイアウォール ポリシーのレポートには、マネージド デバイスのファイアウォールの状態に関する状態の詳細が表示されます。 ファイアウォール レポートでは、次のオペレーティング システムを実行するマネージド デバイスがサポートされます。

• Windows 10 または 11

概要

[概要] は、ファイアウォール ノードを開くときの既定のビューです。 Microsoft Intune 管理センターを開き、エンドポイント セキュリティ>Firewall>Summary に移動します。

このビューには、次の情報が表示されます。

• ファイアウォールがオフになっているデバイスの集計数。
• 名前、種類、割り当てられている場合、最後に変更された日時など、ファイアウォール ポリシーの一覧。

ファイアウォールがオフになっている Windows 10 以降を実行している MDM デバイス

このレポートは、[エンドポイント セキュリティ] ノードにあります。 Microsoft Intune 管理センターを開き、ファイアウォールがオフになっている Windows 10 以降を実行しているエンドポイント セキュリティ>Firewall>MDM デバイスに移動します。

データは Windows DeviceStatus CSP を介して報告され、ファイアウォールがオフになっている各デバイスを識別します。 既定では、表示される詳細には次のものが含まれます。

• デバイス名
• ファイアウォールの状態
• ユーザー プリンシパル名
• ターゲット (デバイス管理の方法)
• 最終チェックイン時刻

Windows 10 以降の MDM ファイアウォールの状態

この組織レポートについては、「Intune レポート」も参照してください。

組織レポートとして、このレポートは [ レポート ] ノードから使用できます。 Microsoft Intune 管理センターを開き、Windows 10 以降のレポート>Firewall>MDM ファイアウォールの状態に移動します。

データは Windows DeviceStatus CSP を通じて報告され、マネージド デバイスのファイアウォールの状態が報告されます。 このレポートの戻り値は、1 つまたは複数の状態の詳細カテゴリを使用してフィルター処理できます。

次のような状態の詳細があります。

• [有効] – ファイアウォールはオンで、正常に報告されています。
• [無効] - ファイアウォールはオフになっています。
• [限定的] – ファイアウォールによってすべてのネットワークが監視されていないか、一部の規則がオフになっています。
• [Temporarily Disabled (default)]\(一時的に無効 (既定値)\) – ファイアウォールによって一時的にすべてのネットワークが監視されていません
• [適用できません] – デバイスでファイアウォールのレポートがサポートされていません。

このレポートの戻り値は、1 つまたは複数の状態の詳細カテゴリを使用してフィルター処理できます。

ファイアウォール規則の問題を調査する

Intune のファイアウォール規則と一般的な問題のトラブルシューティング方法の詳細については、次の Intune カスタマー サクセス ブログを参照してください。

• Intune エンドポイント セキュリティ ファイアウォール規則の作成プロセスをトレースしてトラブルシューティングする方法

ファイアウォール規則に関するその他の一般的な問題:

イベント ビューアー: RemotePortRanges または LocalPortRanges "パラメーターが正しくありません"

• 構成された範囲が昇順であることを確認します (例: 1 から 5 が正しく、5 から 1 でこのエラーが発生します)
• 構成された範囲が 0 から 65535 の全体的なポート範囲内であることを確認する
• リモート ポート範囲またはローカル ポート範囲が規則で構成されている場合は、プロトコルも 6 (TCP) または 17 (UDP) で構成する必要があります

イベント ビューアー: "...名前)、結果: (パラメーターが正しくありません)"

• ルールでエッジ トラバーサルが有効になっている場合、ルールの方向を "この規則は受信トラフィックに適用されます" に設定する 必要があります 。

イベント ビューアー: "...InterfaceTypes)、結果: (パラメーターが正しくありません)"

• ルールで "All" インターフェイスの種類が有効になっている場合は、他のインターフェイスの種類を選択 しないでください 。

次の手順

エンドポイント セキュリティ ポリシーを構成する

Windows 10 以降のプラットフォームの非推奨のファイアウォール プロファイルの設定の詳細を表示します。

• ファイアウォール プロファイルの設定。