Qiita Engineer Festa20242024年7月17日まで開催中！

NTTデータ先端技術

Intune ファイアウォール設定項目のマッピング

Last updated at 2024-09-12Posted at 2024-06-29

はじめに

Intune を使って、Windows クライアントへファイアウォールのルールを配布する際に、どの項目がどの設定に反映するのか死ぬほど解りづらくて躊躇することがあると思います。

それを少しでも軽減できればと思い、出来る限り PC 上の設定画面とマッピングしてみました。

以下も関連記事として参照ください。

おさらい

Windows Defender Firewall に関する設定は、大きく "Windows ファイアウォールプロファイル"（青枠）と "Windows ファイアウォール規則"（赤枠）の２種類に分けらます。

公開情報：Windows ファイアウォールの概要

学習教材：セキュリティが強化された Windows Defender ファイアウォールについて調べる

補足
ドメインプロファイルは、デバイスがドメインコントローラーと接続できる状態の場合に選択されます。

プライベートプロファイルは、プライベート IP アドレス配下で利用されている場合に適用されます（ドメインコントローラーとは繋がらない場合や、ドメイン参加していない場合など）

パブリックプロファイルは、それ以外のネットワークです。

それぞれのプロファイル（接続環境）ごとに、既定のルールを構成しておくことができます。
例えば、社内 LAN に接続されている時には、ファイアウォールを完全に無効化して、ネットカフェを介した接続の際には、ファイアウォールを有効にする・・・という事が実現できます。

そして、ファイアウォール規則で作成した規則を、各プロファイルで有効・無効を選択する事が可能です。
たとえば、PC が社内（ドメインプロファイル）にある時には、外部から RDP (3389) の通信を許可するが、PC が社外（パブリックプロファイル）にある時には、RDP (3389) は許可しない・・・という構成が実現できます。

Windows Defender Firewall 設定用の複数の手段

以下の記事を参照いただくと判りますが、PC 上の Windows ファイアウォールは、１つのサービスなのですが、さまざまなツールが用意されていると説明されています。

公開情報：Windows ファイアウォールツール

（上記の公開情報より抜粋）

Windows セキュリティ
コントロールパネル
上記２つはクライアント PC 上の UI で操作できます。
セキュリティが強化された Windows Defender ファイアウォール
クライアント PC 上の UI に加えて、ドメインコントローラーの　GPO でも制御できます。
構成サービスプロバイダー (CSP)
これが Intune の設定と関係しており、本記事で説明している内容です。
他社製 MDM 管理ツールと互換性を確保するために CSP が提供されています。
以下のような流れで設定が適用されていくと考えてください。
　"Intune" → "CSP" → "デバイス"
　"他社製 MDM 管理ツール" → "CSP" → "デバイス"
https://learn.microsoft.com/ja-jp/windows/client-management/mdm/firewall-csp
コマンドラインツール
netsh advfirewall というコマンドで制御を行います。
https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/networking/netsh-advfirewall-firewall-control-firewall-behavior

Intune を使った管理の考え方

さて、ようやく本題です。
Intune から構成を配布する際にも、前章で説明した２種類を分けて考える点は同じです。
この記事では、おおきく以下の２章に分けて説明していきます。
1. Windows ファイアウォールプロファイル
2. Windows ファイアウォール規則

Intune でも上記のように プロファイル と規則に分けて考える点は変わらないのですが、UI の表示順や項目名に差異があるので、目的の設定がどれなのかを把握する事がとても難しいです。

公開情報：Intune でのエンドポイントセキュリティのファイアウォールポリシー

Intune からポリシーを作成する画面までの遷移

Intune 管理センター (https://intune.microsoft.com) を開いて、
[エンドポイントセキュリティ] → [ファイアウォール] → [ポリシーの作成]

以下の画面が開いたあと、プラットフォームで Windows (赤下線部) を選択したあと、以下のいずれかを選びます。
・Windows ファイアウォールプロファイル の場合は、緑下線部
・Windows ファイアウォール規則 の場合は、青下線部

1. Windows ファイアウォールプロファイル

以下は、PC 上のセキュリティが強化された Windows Defender ファイアウォールの設定画面です。
この設定画面に関連する CSP のパスと Intune 構成プロファイルの画面を順に記載しています。

公開情報：Windows ファイアウォールプロファイル
https://learn.microsoft.com/ja-jp/mem/intune/protect/endpoint-security-firewall-profile-settings#windows-firewall-profile
　

Intune 設定画面への遷移

以下の通り選択して作成を押します。

　
基本情報 タブでは、任意のポリシー名を入力して次へを押します。

　
構成設定 タブで赤枠の箇所を押して ファィアウォール の項目を開きます。

　
以下の画面で、〇〇ネットワークのファイアウォールを有効にする を True にすると、追加の設定項目が表示されて、後述する設定が行えるようになります。

1-1. 状態

1-1-1. ファイアウォールの状態

（CSP のパス）
ドメインプロファイル：MdmStore/DomainProfile/EnableFirewall
（Intune 構成プロファイルの画面）

（CSP のパス）
プライベートプロファイル：MdmStore/PrivateProfile/EnableFirewall
（Intune 構成プロファイルの画面）

（CSP のパス）
パブリックプロファイル：MdmStore/PublicProfile/EnableFirewall
（Intune 構成プロファイルの画面）

次章以降は、(CSP のパス) と (Intune 構成プロファイルの画面) の表記は、見やすさを優先して割愛しています。

1-1-2. 受信接続

受信接続は、既定では "ブロック" になっています。
ブロックと言う事は、外部からデバイスへの通信はブロックする構成になっていて、個別に許可させたいルールをファイアウォール規則で許可していく "ホワイトリスト" 形式です。

この既定の動作を、逆（ブラックリスト）の形式にする場合に、既定の受信アクション で許可を設定します。この場合、全ての通信が許可されてしまうので、必要なブロック規則をすべて ファイアウォール規則 で記載する必要があります。

ドメインプロファイル：MdmStore/DomainProfile/DefaultInboundAction

上記を True にした時だけ、以下の設定項目が現れます（以降も同様）

プライベートプロファイル：MdmStore/PrivateProfile/DefaultInboundAction

パブリックプロファイル：MdmStore/PublicProfile/DefaultInboundAction

1-1-3. 送信接続

送信接続は、既定では "許可" になっています。
"許可" と言う事は、デバイスから外部への通信は許可する構成になっていて、個別に止めたいルールをファイアウォール規則でブロックしていく "ブラックリスト" 形式です。

この既定の動作を、逆（ホワイトリスト）の形式にする場合に、既定の発信アクション で ブロック を設定します。この場合、全ての通信が "ブロック" されてしまうので、必要なすべての許可規則を ファイアウォール規則 で記載する必要があります。

ドメインプロファイル：MdmStore/DomainProfile/DefaultOutboundAction

プライベートプロファイル：MdmStore/PrivateProfile/DefaultOutboundAction

パブリックプロファイル：MdmStore/PublicProfile/DefaultOutboundAction

1-1-4. 保護されているネットワーク接続

上記の設定に関連する CSP は見当たりませんでした。

1-2. 設定

1-2-1. 通知を表示する

ドメインプロファイル：MdmStore/DomainProfile/DisableInboundNotifications

プライベートプロファイル：MdmStore/PrivateProfile/DisableInboundNotifications

パブリックプロファイル：MdmStore/PublicProfile/DisableInboundNotifications

注意
"セキュリティが強化された Windows Defender ファイアウォール" のアプリ設定画面では、"通知を表示する" という項目名で、既定値が "はい" になっていますが、
Intune では、"着信通知を無効にする" という項目名で既定値が "False" になっている点に注意してください。

1-2-2. ユニキャスト応答

ドメインプロファイル：MdmStore/DomainProfile/DisableUnicastResponsesToMulticastBroadcast

プライベートプロファイル：MdmStore/PrivateProfile/DisableUnicastResponsesToMulticastBroadcast

パブリックプロファイル：MdmStore/PublicProfile/DisableUnicastResponsesToMulticastBroadcast

1-2-3. 規則のマージ

規則のマージについては、以下に説明があります。

公開情報：規則のマージ
https://learn.microsoft.com/ja-jp/windows/security/operating-system-security/network-security/windows-firewall/rules#local-policy-merge-and-application-rules

1-2-3-1. ローカルファイアウォールの規則を適用する

ドメインプロファイル：MdmStore/DomainProfile/AllowLocalPolicyMerge

プライベートプロファイル：MdmStore/PrivateProfile/AllowLocalPolicyMerge

パブリックプロファイル：MdmStore/PublicProfile/AllowLocalPolicyMerge

1-2-3-2. ローカル接続のセキュリティ規則を適用する

ドメインプロファイル：MdmStore/DomainProfile/AllowLocalIpsecPolicyMerge

プライベートプロファイル：MdmStore/PrivateProfile/AllowLocalIpsecPolicyMerge

パブリックプロファイル：MdmStore/PublicProfile/AllowLocalIpsecPolicyMerge

1-3. ログ設定

1-3-1. 名前

ドメインプロファイル：MdmStore/DomainProfile/LogFilePath

プライベートプロファイル：MdmStore/PrivateProfile/LogFilePath

パブリックプロファイル：MdmStore/PublicProfile/LogFilePath

パスの内容は以下の通りです
%systemroot%\system32\LogFiles\Firewall\pfirewall.log

1-3-2. サイズ制限

ドメインプロファイル：MdmStore/DomainProfile/LogMaxFileSize

プライベートプロファイル：MdmStore/PrivateProfile/LogMaxFileSize

パブリックプロファイル：MdmStore/PublicProfile/LogMaxFileSize

注意
"セキュリティが強化された Windows Defender ファイアウォール" のアプリ設定画面では、既定値が "4096" になっていますが、
Intune では、既定値が "1024" になっている点に注意してください。

1-3-3. 破棄されたパケットをログに記録する

ドメインプロファイル：MdmStore/DomainProfile/EnableLogDroppedPackets

プライベートプロファイル：MdmStore/PrivateProfile/EnableLogDroppedPackets

パブリックプロファイル：MdmStore/PublicProfile/EnableLogDroppedPackets

1-3-4. 正常な接続をログに記録する

ドメインプロファイル：MdmStore/DomainProfile/EnableLogSuccessConnections

プライベートプロファイル：MdmStore/PrivateProfile/EnableLogSuccessConnections

パブリックプロファイル：MdmStore/PublicProfile/EnableLogSuccessConnections

2. Windows ファイアウォール規則

下図のように "受信の規則" と "送信の規則" ごとに、詳細なファイアウォールの規則を構成できます。

公開情報：Windows ファイアウォールルール
https://learn.microsoft.com/ja-jp/mem/intune/protect/endpoint-security-firewall-profile-settings#windows-firewall-rules
　

Intune 設定画面への遷移

以下の通り選択して作成を押します。

　
基本情報 タブでは、任意のポリシー名を入力して次へを押します。

　
構成設定 タブで赤枠の箇所を押して ファィアウォール の項目を開き、追加ボタンを押します。

　
以下の画面で、任意のファイアウォール規則の名称を入力してから、アクション 欄で、許可規則を作るのか、ブロック 規則を作るのかを決めます。そのあと インスタンスの編集 を押して、規則に対する詳細な設定を構成できます。

2-1. 作成する１つの規則に対する設定

2-1-1. 受信の規則か送信の規則か？

これから作成する規則が、"受信の規則" なのか "送信の規則" なのかを指定します。

MdmStore/FirewallRules/{FirewallRuleName}/Direction

2-1-2. ルールが有効か無効か？

作成した規則が、"有効" なのか "無効" なのかを指定します。
規則の作成だけ行うが、まだ使わない場合には "無効" を使います。

MdmStore/FirewallRules/{FirewallRuleName}/Enabled

注意
この項目は、Web サイトの記載と Intune の設定画面に誤記があります。
検証してみて判明したのですが、この設定は 未構成 の場合は有効で動作します。
（Web サイトの記載）

（Intune 画面）

2-2. 規則内の詳細設定

作成する規則（受信 or 送信）に対しての具体的な設定項目です。
以下のウィザード画面では、４種類から選びますが、カスタムで全項目の設定が可能なため、カスタムを選択した場合のウィザード画面を次章以降で示してあります。

2-2-1. プログラム

2-2-1-1. すべてのプログラム

2-2-1. 章の構成をすべて未構成にすると、すべてのプログラム を選択したことになります。

2-2-1-2. このプログラムのパス

MdmStore/FirewallRules/{FirewallRuleName}/App/FilePath

2-2-1-3. サービス設定のカスタマイズ

2-2-1-3-1. このサービスに適用する

MdmStore/FirewallRules/{FirewallRuleName}/App/ServiceName

2-2-1-3-2. このサービスの短い名前が付いたサービスに適用する

MdmStore/FirewallRules/{FirewallRuleName}/App/PackageFamilyName

2-2-2. プロトコルおよびポート

2-2-2-1. プロトコルの種類

MdmStore/FirewallRules/{FirewallRuleName}/Protocol

TCP = 6 , UDP = 17

注意
ローカルポート／リモートポートを指定する際には、必ず プロトコルの種類 を指定する必要があります。しかも、TCP/UDP という文字列ではなく、数値で指定する必要があるので、ミスしやすいです。

2-2-2-2. ローカルポート

MdmStore/FirewallRules/{FirewallRuleName}/LocalPortRanges

2-2-2-3. リモートポート

MdmStore/FirewallRules/{FirewallRuleName}/RemotePortRanges

2-2-2-4. インターネット制御メッセージプロトコル (ICMP) の設定

この設定は、プロトコルの種類で ICMPv4 を選択した場合のみ、カスタマイズが可能です。

MdmStore/FirewallRules/{FirewallRuleName}/IcmpTypesAndCodes

注意
ICMP の種類とコード を指定する場合は、プロトコル ICMP(1) または ICMPv6(58) を同時に指定する必要があります。
Intune の設定画面では、プロトコルを指定し忘れても ICMP の種類とコード を設定する事が出来てしまいますが、ルールとして機能しません。