Partager via

Fusionner les stratégies App Control for Business

Remarque

Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.

Cet article explique comment fusionner plusieurs fichiers XML de stratégie et comment fusionner des règles directement dans une stratégie. Les déploiements App Control for Business incluent souvent quelques stratégies de base et des stratégies supplémentaires facultatives pour des cas d’usage spécifiques.

Remarque

Avant Windows version 1903, y compris Windows Server 2019 et versions antérieures, une seule stratégie App Control for Business peut être active sur un système à la fois. Si vous devez utiliser App Control sur des systèmes exécutant ces versions antérieures de Windows, vous devez fusionner toutes les stratégies avant de déployer.

Fusionner plusieurs fichiers XML de stratégie App Control

Il existe de nombreux scénarios dans lesquels vous souhaiterez peut-être fusionner au moins deux fichiers de stratégie. Par exemple, si vous utilisez des événements d’audit pour créer des règles de stratégie App Control for Business, vous pouvez fusionner ces règles avec votre stratégie de base App Control existante. Pour fusionner les deux stratégies App Control référencées dans cet article, effectuez les étapes suivantes dans une session Windows PowerShell avec élévation de privilèges.

  1. Initialisez les variables qui seront utilisées :

    $PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
$EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
$MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"

  2. Utilisez Merge-CIPolicy pour fusionner deux stratégies et créer une stratégie App Control for Business :

    Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy

    Remarque

    Vous pouvez fusionner des stratégies supplémentaires avec l’étape Merge-CIPolicy ci-dessus en les ajoutant au paramètre -PolicyPaths séparés par des virgules. Le nouveau fichier de stratégie spécifié par -OutputFilePath contient les informations de stratégie de la première stratégie de la liste. Par exemple, dans l’exemple ci-dessus, le $MergedPolicy héritera des informations sur le type de stratégie, l’ID, le nom et la version de $LamnaPolicy. Pour modifier l’une de ces valeurs, utilisez Set-CIPolicyIdInfo et Set-CIPolicyVersion.

Fusionner des règles de contrôle d’application directement dans un xml de stratégie

Outre la fusion de plusieurs fichiers XML de stratégie, vous pouvez également fusionner des règles créées avec l’applet de commande New-CIPolicyRule directement dans un fichier XML de stratégie App Control existant. La fusion directe des règles est un moyen pratique de mettre à jour votre stratégie sans créer de fichiers XML de stratégie supplémentaires. Par exemple, pour ajouter des règles qui autorisent l’Assistant Contrôle d’application et l’outil App Control RefreshPolicy.exe, procédez comme suit :

  1. Installez l’application MSIX empaquetée de l’Assistant Contrôle d’application.

  2. Téléchargez l’outil Stratégie d’actualisation pour votre architecture de processeur et enregistrez-le sur votre bureau en tant que RefreshPolicy.exe.

  3. À partir d’une session PowerShell, exécutez les commandes suivantes pour créer des règles d’autorisation d’application empaquetées pour l’Assistant Contrôle d’application :

    $PackageInfo = Get-AppxPackage -Name Microsoft.App Control.WDACWizard
$Rules = New-CIPolicyRule -Package $PackageInfo

  4. Ajoutez des règles FilePublisher pour le RefreshPolicy.exe :

    $Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher

  5. Utilisez Merge-CIPolicy pour fusionner les nouvelles règles directement dans le fichier MergedPolicy créé à l’étape finale de la procédure précédente :

    Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules

Convertir et déployer une stratégie fusionnée en points de terminaison managés

Maintenant que vous disposez de votre nouvelle stratégie fusionnée, vous pouvez convertir et déployer le fichier binaire de stratégie sur vos points de terminaison managés.

  1. Utilisez ConvertFrom-CIPolicy pour convertir la stratégie App Control au format binaire :

    $AppControlPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin"
ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $AppControlPolicyBin

    Remarque

    Dans les exemples de commandes ci-dessus, pour les stratégies ciblant Windows 10 version 1903+ ou Windows 11, remplacez la chaîne « {InsertPolicyID} » par le GUID PolicyID réel (y compris les accolades { }) trouvé dans votre fichier XML de stratégie. Pour Windows 10 versions antérieures à 1903, utilisez le nom SiPolicy.p7b comme nom de fichier binaire.

  2. Chargez votre code XML de stratégie fusionné et le fichier binaire associé dans la solution de contrôle de code source que vous utilisez pour vos stratégies App Control for Business. comme GitHub ou une solution de gestion de documents telle que Office 365 SharePoint.

  3. Déployez la stratégie fusionnée à l’aide de votre solution de déploiement préférée. Consultez Déploiement de stratégies App Control for Business