Freigeben über

Zusammenführen von App Control for Business-Richtlinien

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

In diesem Artikel wird gezeigt, wie Sie mehrere RICHTLINIEN-XML-Dateien zusammenführen und Regeln direkt in einer Richtlinie zusammenführen. App Control for Business-Bereitstellungen enthalten häufig einige Basisrichtlinien und optionale zusätzliche Richtlinien für bestimmte Anwendungsfälle.

Hinweis

Vor Windows Version 1903, einschließlich Windows Server 2019 und früher, kann nur eine App Control for Business-Richtlinie gleichzeitig auf einem System aktiv sein. Wenn Sie App Control auf Systemen verwenden müssen, auf denen diese früheren Versionen von Windows ausgeführt werden, müssen Sie vor der Bereitstellung alle Richtlinien zusammenführen.

Zusammenführen mehrerer XML-Dateien für App Control-Richtlinien

Es gibt viele Szenarien, in denen Sie möglicherweise zwei oder mehr Richtliniendateien zusammenführen möchten. Wenn Sie beispielsweise Überwachungsereignisse verwenden, um App Control for Business-Richtlinienregeln zu erstellen, können Sie diese Regeln mit Ihrer vorhandenen App Control-Basisrichtlinie zusammenführen. Um die beiden App Control-Richtlinien zusammenzuführen, auf die in diesem Artikel verwiesen wird, führen Sie die folgenden Schritte in einer Sitzung mit erhöhten Windows PowerShell aus.

  1. Initialisieren Sie die zu verwendenden Variablen:

    $PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
$EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
$MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"

  2. Verwenden Sie Merge-CIPolicy , um zwei Richtlinien zusammenzuführen und eine neue App Control for Business-Richtlinie zu erstellen:

    Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy

    Hinweis

    Sie können zusätzliche Richtlinien mit dem Merge-CIPolicy obigen Schritt zusammenführen, indem Sie sie dem Parameter -PolicyPaths durch Kommas getrennt hinzufügen. Die von -OutputFilePath angegebene neue Richtliniendatei enthält die Richtlinieninformationen aus der ersten Richtlinie in der Liste. Im obigen Beispiel erbt die $MergedPolicy beispielsweise den Richtlinientyp, die ID, den Namen und die Versionsinformationen von $LamnaPolicy. Um einen dieser Werte zu ändern, verwenden Sie Set-CIPolicyIdInfo und Set-CIPolicyVersion.

Direktes Zusammenführen von App Control-Regeln in einem Richtlinien-XML

Neben dem Zusammenführen mehrerer RICHTLINIEN-XML-Dateien können Sie regeln, die mit dem cmdlet New-CIPolicyRule erstellt wurden, auch direkt in einer vorhandenen XML-Datei der App Control-Richtlinie zusammenführen. Das direkte Zusammenführen von Regeln ist eine bequeme Möglichkeit, Ihre Richtlinie zu aktualisieren, ohne zusätzliche RICHTLINIEN-XML-Dateien zu erstellen. Führen Sie beispielsweise die folgenden Schritte aus, um Regeln hinzuzufügen, die den App-Steuerelement-Assistenten und das App-Steuerelement RefreshPolicy.exe-Tool zulassen:

  1. Installieren Sie die gepackte MSIX-App des Assistenten für die App-Steuerung .

  2. Laden Sie das Aktualisierungsrichtlinientool für Ihre Prozessorarchitektur herunter, und speichern Sie es auf Ihrem Desktop als RefreshPolicy.exe.

  3. Führen Sie in einer PowerShell-Sitzung die folgenden Befehle aus, um gepackte App-Zulassungsregeln für den App-Steuerelement-Assistenten zu erstellen:

    $PackageInfo = Get-AppxPackage -Name Microsoft.App Control.WDACWizard
$Rules = New-CIPolicyRule -Package $PackageInfo

  4. Fügen Sie FilePublisher-Regeln für die RefreshPolicy.exe hinzu:

    $Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher

  5. Verwenden Sie Merge-CIPolicy , um die neuen Regeln direkt in der MergedPolicy-Datei zusammenzuführen, die im letzten Schritt des vorherigen Verfahrens erstellt wurde:

    Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules

Konvertieren und Bereitstellen einer zusammengeführten Richtlinie für verwaltete Endpunkte

Nachdem Sie nun über Ihre neue, zusammengeführte Richtlinie verfügen, können Sie die Richtlinienbinärdatei konvertieren und für Ihre verwalteten Endpunkte bereitstellen.

  1. Verwenden Sie ConvertFrom-CIPolicy , um die App Control-Richtlinie in ein Binärformat zu konvertieren:

    $AppControlPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin"
ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $AppControlPolicyBin

    Hinweis

    Ersetzen Sie in den obigen Beispielbefehlen für Richtlinien für Windows 10 Version 1903 oder Windows 11 die Zeichenfolge "{InsertPolicyID}" durch die tatsächliche PolicyID-GUID (einschließlich geschweifter Klammern { }), die in Ihrer XML-Richtliniendatei enthalten sind. Verwenden Sie für Windows 10 Versionen vor 1903 den Namen SiPolicy.p7b für den Binärdateinamen.

  2. Laden Sie Die zusammengeführte Richtlinien-XML und die zugehörige Binärdatei in die Quellcodeverwaltungslösung hoch, die Sie für Ihre App Control for Business-Richtlinien verwenden. z. B. GitHub oder eine Dokumentverwaltungslösung wie Office 365 SharePoint.

  3. Stellen Sie die zusammengeführte Richtlinie mithilfe Ihrer bevorzugten Bereitstellungslösung bereit. Weitere Informationen finden Sie unter Bereitstellen von App Control for Business-Richtlinien.