Utiliser plusieurs stratégies App Control for Business
Remarque
Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.
À compter de Windows 10 version 1903 et Windows Server 2022, vous pouvez déployer plusieurs stratégies App Control for Business côte à côte sur un appareil. Pour autoriser plus de 32 stratégies actives, installez la mise à jour de sécurité Windows publiée le ou après le 9 avril 2024, puis redémarrez l’appareil. Avec ces mises à jour, il n’y a aucune limite pour le nombre de stratégies que vous pouvez déployer à la fois sur un appareil donné. Tant que vous n’installez pas la mise à jour de sécurité Windows publiée le 9 avril 2024 ou après, votre appareil est limité à 32 stratégies actives et vous ne devez pas dépasser ce nombre.
Remarque
La limite de stratégie n’a pas été supprimée le Windows 11 21H2 et restera limitée à 32 stratégies.
Voici quelques scénarios courants où plusieurs stratégies côte à côte sont utiles :
- Appliquer et auditer côte à côte
- Pour valider les modifications de stratégie avant le déploiement en mode d’application, les utilisateurs peuvent désormais déployer une stratégie de base en mode audit côte à côte avec une stratégie de base en mode d’application existante
- Stratégies de base multiples
- Les utilisateurs peuvent appliquer deux stratégies de base ou plus simultanément afin d’autoriser un ciblage de stratégie plus simple pour les stratégies avec une étendue/intention différente
- S’il existe deux stratégies de base sur un appareil, une application doit passer les deux stratégies pour qu’elle s’exécute
- Stratégies supplémentaires
- Les utilisateurs peuvent déployer une ou plusieurs stratégies supplémentaires pour développer une stratégie de base
- Une stratégie supplémentaire développe une stratégie de base unique, et plusieurs stratégies supplémentaires peuvent développer la même stratégie de base
- Pour les stratégies supplémentaires, les applications autorisées par la stratégie de base ou sa stratégie/stratégies supplémentaires s’exécutent
Remarque
Les systèmes antérieurs à la version 1903 ne prennent pas en charge l’utilisation de stratégies de contrôle d’application à plusieurs formats de stratégie.
Interaction de stratégie de base et supplémentaire
- Stratégies de base multiples : intersection
- Seules les applications autorisées par les deux stratégies s’exécutent sans générer d’événements de bloc
- Stratégie de base + supplémentaire : union
- Fichiers autorisés par la stratégie de base ou l’exécution de la stratégie supplémentaire
Création de stratégies de contrôle d’application dans plusieurs formats de stratégie
Pour permettre à plusieurs stratégies d’exister et de prendre effet sur un seul système, les stratégies doivent être créées à l’aide du nouveau format de stratégie multiple. Le commutateur « MultiplePolicyFormat » dans New-CIPolicy entraîne 1) la génération de valeurs uniques pour l’ID de stratégie et 2) le type de stratégie défini en tant que stratégie de base. L’exemple ci-dessous décrit le processus de création d’une stratégie dans le format de stratégie multiple.
New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash
Si vous le souhaitez, vous pouvez choisir d’autoriser la nouvelle stratégie de base pour les stratégies supplémentaires.
Set-RuleOption -FilePath ".\policy.xml" -Option 17
Pour que les stratégies de base signées autorisent les stratégies supplémentaires, assurez-vous que les signataires supplémentaires sont définis. Utilisez le commutateur Supplémentaire dans Add-SignerRule pour fournir des signataires supplémentaires.
Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]
Création de stratégies supplémentaires
Pour créer une stratégie supplémentaire, commencez par créer une stratégie au format de stratégie multiple, comme indiqué précédemment. À partir de là, utilisez Set-CIPolicyIdInfo pour la convertir en stratégie supplémentaire et spécifier la stratégie de base qu’elle développe. Vous pouvez utiliser SupplementsBasePolicyID ou BasePolicyToSupplementPath pour spécifier la stratégie de base.
- « SupplementsBasePolicyID » : GUID de la stratégie de base à laquelle la stratégie supplémentaire s’applique
- « BasePolicyToSupplementPath » : chemin d’accès au fichier de stratégie de base auquel la stratégie supplémentaire s’applique
Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>
Fusion de stratégies
Lorsque vous fusionnez des stratégies, le type de stratégie et l’ID de la stratégie la plus à gauche/première spécifiée sont utilisés. Si la stratégie la plus à gauche est une stratégie de base avec <l’ID>, quels que soient les GUID et les types pour les stratégies suivantes, la stratégie fusionnée est une stratégie de base avec l’ID<>.
Déploiement de plusieurs stratégies
Pour déployer plusieurs stratégies App Control for Business, vous devez les déployer localement en copiant les *.cip
fichiers de stratégie dans le dossier approprié ou en utilisant le fournisseur de services de configuration ApplicationControl.
Déploiement de plusieurs stratégies localement
Pour déployer des stratégies localement à l’aide du nouveau format de stratégie multiple, procédez comme suit :
- Vérifiez que les fichiers de stratégie binaires ont le format de nommage correct de
{PolicyGUID}.cip
.- Vérifiez que le nom du fichier de stratégie binaire est exactement le même que le GUID PolicyID dans la stratégie
- Par exemple, si le code XML de stratégie avait l’ID ,
<PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>
le nom correct du fichier de stratégie binaire serait{A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip
.
- Copiez les stratégies binaires dans
C:\Windows\System32\CodeIntegrity\CiPolicies\Active
. - Redémarrez le système.
Déploiement de plusieurs stratégies via le fournisseur de services de configuration ApplicationControl
Plusieurs stratégies App Control for Business peuvent être gérées à partir d’un serveur GPM par le biais du fournisseur de services de configuration (CSP) ApplicationControl. Le fournisseur csp prend également en charge le déploiement de stratégie sans redémarrage.
Toutefois, lorsque les stratégies sont annulées à partir d’un serveur GPM, le fournisseur de solutions cloud tente de supprimer toutes les stratégies qui ne sont pas activement déployées, et pas seulement les stratégies ajoutées par le fournisseur de solutions cloud. Ce comportement se produit parce que le système ne sait pas quelles méthodes de déploiement ont été utilisées pour appliquer des stratégies individuelles.
Pour plus d’informations sur le déploiement de plusieurs stratégies, éventuellement à l’aide de la fonctionnalité OMA-URI personnalisée de Microsoft Intune, consultez ApplicationControl CSP.
Remarque
Actuellement, WMI et GP ne prennent pas en charge plusieurs stratégies. Au lieu de cela, les clients qui ne peuvent pas accéder directement à la pile MDM doivent utiliser le fournisseur de solutions Cloud ApplicationControl via le fournisseur WMI mdm Bridge pour gérer les stratégies Contrôle d’application au format de stratégie multiple pour l’entreprise.