Applicare i criteri di controllo delle app per le aziende
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
È ora necessario che uno o più criteri di controllo delle app per le aziende siano distribuiti su larga scala in modalità di controllo. Sono stati analizzati gli eventi raccolti dai dispositivi con tali criteri e si è pronti per l'applicazione. Usare questa procedura per preparare e distribuire i criteri di Controllo app in modalità di imposizione.
Nota
Alcuni dei passaggi descritti in questo articolo si applicano solo a Windows 10 versione 1903 e successive o Windows 11. Quando si usa questo argomento per pianificare i criteri di controllo delle app dell'organizzazione, valutare se i client gestiti possono usare tutte o alcune di queste funzionalità. Valutare l'impatto per tutte le funzionalità che potrebbero non essere disponibili nei client che eseguono versioni precedenti di Windows 10 e Windows Server. Potrebbe essere necessario adattare queste linee guida per soddisfare le esigenze specifiche dell'organizzazione.
Convertire i criteri di base di Controllo app dal controllo all'applicazione
Come descritto negli scenari di distribuzione comuni di Controllo app per le aziende, si userà l'esempio di Lamna Healthcare Company (Lamna) per illustrare questo scenario. Lamna sta tentando di adottare criteri di applicazione più avanzati, incluso l'uso di Controllo app per impedire l'esecuzione di applicazioni indesiderate o non autorizzate nei dispositivi gestiti.
Alice Pena è responsabile del team IT responsabile dell'implementazione di Controllo app di Lamna.
Alice ha creato e distribuito in precedenza un criterio per i dispositivi completamente gestiti dell'organizzazione. I criteri sono stati aggiornati in base ai dati degli eventi di controllo come descritto in Usare gli eventi di controllo per creare regole dei criteri di Controllo app e ridistribuirli. Tutti gli eventi di controllo rimanenti sono come previsto e Alice è pronta per passare alla modalità di imposizione.
Inizializzare le variabili che verranno usate e creare i criteri applicati copiando la versione di controllo.
$EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced" $AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml" $EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml" cp $AuditPolicyXML $EnforcedPolicyXMLUsare Set-CIPolicyIdInfo per assegnare al nuovo criterio un ID univoco e un nome descrittivo. La modifica dell'ID e del nome consente di distribuire i criteri applicati affiancati ai criteri di controllo. Eseguire questo passaggio se si prevede di rafforzare i criteri di controllo delle app nel tempo. Se si preferisce sostituire i criteri di controllo sul posto, è possibile ignorare questo passaggio.
$EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID $EnforcedPolicyID = $EnforcedPolicyID.Substring(11)[Facoltativamente] Usare Set-RuleOption per abilitare le opzioni della regola 9 ("Menu Opzioni di avvio avanzate") e 10 ("Controllo di avvio in caso di errore"). L'opzione 9 consente agli utenti di disabilitare l'imposizione del controllo app per una singola sessione di avvio da un menu di avvio preliminare. L'opzione 10 indica a Windows di passare dall'imposizione dei criteri al controllo solo se un driver in modalità kernel critico di avvio è bloccato. È consigliabile usare queste opzioni quando si distribuiscono nuovi criteri applicati al primo anello di distribuzione. Quindi, se non vengono rilevati problemi, è possibile rimuovere le opzioni e riavviare la distribuzione.
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9 Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10Usare Set-RuleOption per eliminare l'opzione della regola in modalità di controllo, che modifica i criteri in imposizione:
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -DeleteUsare ConvertFrom-CIPolicy per convertire i nuovi criteri di Controllo app in file binari:
Nota
Se non è stato usato -ResetPolicyID nel passaggio 2 precedente, è necessario sostituire $EnforcedPolicyID nel comando seguente con l'attributo PolicyID trovato nel codice XML dei criteri di base.
$EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip" ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary
Creare copie di tutti i criteri supplementari necessari da usare con i criteri di base applicati
Poiché ai criteri applicati è stato assegnato un PolicyID univoco nella procedura precedente, è necessario duplicare i criteri supplementari necessari da usare con i criteri applicati. I criteri supplementari ereditano sempre la modalità di controllo o imposizione dai criteri di base modificati. Se non è stato reimpostato l'ID criteri del criterio di base di imposizione, è possibile ignorare questa procedura.
Inizializzare le variabili che verranno usate e creare una copia dei criteri supplementari correnti. Verranno inoltre usati alcuni file e variabili della procedura precedente.
$SupplementalPolicyName = "Lamna_Supplemental1" $CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml" $EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"Usare Set-CIPolicyIdInfo per assegnare al nuovo criterio supplementare un ID univoco e un nome descrittivo e modificare i criteri di base da integrare.
$SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID $SupplementalPolicyID = $SupplementalPolicyID.Substring(11)Nota
Se Set-CIPolicyIdInfo non restituisce il nuovo valore PolicyID nella versione Windows 10, sarà necessario ottenere direttamente il valore PolicyId dal codice XML.
Usare ConvertFrom-CIPolicy per convertire il nuovo criterio supplementare Controllo app per le aziende in file binari:
$EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml" ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinaryRipetere i passaggi precedenti se sono disponibili altri criteri supplementari da aggiornare.
Distribuire i criteri applicati e i criteri supplementari
Ora che i criteri di base sono in modalità applicata, è possibile iniziare a distribuirli negli endpoint gestiti. Per informazioni sulla distribuzione dei criteri, vedere Distribuzione dei criteri di Controllo app per le aziende.