Firewall-Einrichtung für Intune AD Connector in Altsystemen

Ältere Firewalls können die Verwendung von Intune Connector für Active Directory erschweren. Dieser Leitfaden zeigt, wie Sie die Konnektivität in eingeschränkten Konfigurationen sicher verwalten können.

Mario

Modernes Endpunktmanagement mit Microsoft Intune ermöglicht IT-Teams die Automatisierung von Gerätebereitstellungs- und Verwaltungsprozessen, einschließlich Windows Autopilot-Szenarien und Hybrid Azure AD Join.

Doch nicht jede Organisation arbeitet auf der grünen Wiese.

Bestehende Infrastrukturen, häufig im Gesundheitswesen, im öffentlichen Sektor, im Bildungswesen oder in der Fertigung zu finden sind mit besonderen Herausforderungen verbunden:

Keine Anwendungskontrollfunktionen in Firewalls
Keine Host-basierte Regelsatz-Automatisierung
Keine Wildcard-Unterstützung für FQDN-basierte Regeln
Manuelle IP-Adresspflege ist erforderlich

Dieser Blogbeitrag beschreibt wie man eine sichere und betrieblich handhabbare Firewall-Konfiguration entwirft für den Intune Connector für Active Directory, auch in eingeschränkten und technisch überholten Umgebungen.

Die Herausforderung

Der Intune Connector für Active Directory benötigt ausgehende Kommunikation mit verschiedenen Microsoft Cloud-Diensten, um ordnungsgemäß zu funktionieren. In Legacy-Umgebungen kann dies jedoch einige Herausforderungen mit sich bringen:

Keine Wildcard-Unterstützung in der Firewall (keine *.microsoft.com)
Keine Application Control-Funktion verfügbar
Es können nur bestimmte IP-Adressen oder FQDNs konfiguriert werden.
Firewall-Regeln müssen manuell gepflegt werden

Empfohlener technischer Ansatz

Schritt 1: Identifizierung der erforderlichen Endpunkte

Microsoft bietet offizielle Dokumentation Auflistung aller erforderlichen URLs und IP-Adressbereiche für Microsoft 365-Dienste und Intune:

Schwerpunktkategorien für Intune Connector:

Microsoft 365 Allgemein & Office Online
Intune
Azure Active Directory

Optional für Automatisierung: Die Endpunkt-API von Microsoft bietet eine maschinenlesbare JSON-Datei für die automatische Verarbeitung (mehr hier).

Schritt 2: Entwurf des Firewall-Regelsatzes

Definieren Sie spezielle ausgehende Regeln für den Intune Connector-Server.

Anmerkung: Wenn die DNS-Auflösung eingeschränkt ist, müssen die IP-Adressen manuell aufgelöst und in der Firewall explizit konfiguriert werden.

Schritt 3: Operativer Prozess für die IP-Wartung

Da sich die Microsoft-Dienste ständig weiterentwickeln, ist es unerlässlich, einen zuverlässigen Prozess für die Pflege der Firewall-Regeln einzurichten.

Empfohlene Schritte:

Monatliche Überprüfung der offiziellen Microsoft-Dokumentation.
Optional: PowerShell-Skript, das die Microsoft Endpoint API nach Änderungen abfragt.
Generieren Sie eine automatische Benachrichtigung oder erstellen Sie ein Ticket für das Firewall-Team.
Halten Sie die Dokumentation mit den aktuellen IP-Bereichen und URLs auf dem neuesten Stand.

Schritt 4: Ablauf der Automatisierungspipeline

IP-Adressen aktualisieren: Das automatisierte PowerShell-Skript ruft die neuesten Microsoft Endpoint API-Daten ab.
DSC-Konfiguration aktualisieren: Die IP-Adressen werden dynamisch in die DSC-Konfigurationsvorlage eingefügt.
XOAP Deploy: XOAP ruft die neue Konfiguration ab und wendet sie auf die Ziel-Firewall-Server an.
Überprüfung der Einhaltung der Vorschriften: XOAP führt einen Konfigurations-Compliance-Scan durch, um die korrekte Bereitstellung zu überprüfen.

Lesen Sie mehr über automatische Firewall-Änderungen mit XOAP unten ↓

Bewährte Verfahren für die Firewall-Verwaltung in älteren Umgebungen

Langfristige Optimierungsmöglichkeiten

Unternehmen sollten mögliche Optimierungen im Laufe der Zeit bewerten:

Aufrüstung der Firewall-Systeme zur Unterstützung der Anwendungskontrollfunktionen.
Implementieren Sie transparente oder explizite Proxy-Lösungen.
Nutzen Sie die Microsoft Azure Service Tags für die dynamische IP-Verwaltung.
Erwägen Sie Azure Firewall oder moderne Firewalls der nächsten Generation für Cloud-zentrierte Umgebungen.

Anwendungsfälle der Automatisierung

Vollständig automatisierte Firewall-Änderungen mit Configuration Management von XOAP

XOAPs Configuration Management macht es einfach, Konfigurationseinstellungen zu definieren, zu versionieren und automatisch systemübergreifend einzusetzen, einschließlich Firewalls, Servern und anderen Infrastrukturkomponenten.

Durch die Verwendung von Config as Code-Prinzipien zusammen mit PowerShell Desired State Configuration (DSC) können Firewall-Regeln vollständig automatisiert, geprüft und in mehreren Umgebungen durchgesetzt werden.

Die XOAP-Integration bietet:

Verwandt: Automatisieren Sie Firewall-Änderungen mit XOAP

Abschließende Überlegungen

Der Einsatz von Intune Connector für Active Directory in Umgebungen mit strengen Firewall-Regeln ist möglich. Es bedarf nur der richtigen Einrichtung und Prozesse. Indem Sie klare Firewall-Regeln erstellen, IPs verwalten und eine gute Dokumentation führen, auch ältere Systeme können sich sicher mit Microsoft Cloud-Diensten verbinden.

Verwenden Sie XOAP für automatische Firewall-Änderungen

Mehr Blogbeiträge wie dieser

Anleitungen

How to migrate from VMware to Nutanix using XOAP

Migrate from VMware to Nutanix the easy way. XOAP keeps things simple so you don’t have to worry about complex setups or downtime.

September 18, 2025

Automating Amazon DCV deployment with XOAP

Anleitungen

Automatisierung der Amazon DCV-Bereitstellung mit XOAP

Richten Sie eine voll funktionsfähige Amazon DCV-Umgebung effizient ein. Reduzieren Sie die Einrichtungszeit, gewährleisten Sie Konsistenz und ermöglichen Sie eine schnelle Skalierung.

August 18, 2025

Unternehmen & Kultur

XOAP verändert die Welt, auch wenn Sie bereits Microsoft Autopilot verwenden

Selbst mit Microsoft Autopilot geht XOAP bei der Geräteverwaltung noch einen Schritt weiter, indem es eine vollständige Lebenszykluskontrolle, Sicherheit und Unterstützung für mehrere Mandanten bietet.

22. Juli 2025