Unire i criteri di controllo delle app per le aziende

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Nota

Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.

Questo articolo illustra come unire più file XML dei criteri e come unire le regole direttamente in un criterio. Le distribuzioni di Controllo app per le aziende includono spesso alcuni criteri di base e criteri supplementari facoltativi per casi d'uso specifici.

Nota

Prima di Windows versione 1903, incluso Windows Server 2019 e versioni precedenti, solo un criterio controllo app per le aziende può essere attivo in un sistema alla volta. Se è necessario usare Controllo app nei sistemi che eseguono queste versioni precedenti di Windows, è necessario unire tutti i criteri prima della distribuzione.

Unire più file XML dei criteri di Controllo app

Esistono molti scenari in cui è possibile unire due o più file di criteri. Ad esempio, se si usano eventi di controllo per creare regole dei criteri di Controllo app per le aziende, è possibile unire tali regole con i criteri di base di Controllo app esistenti. Per unire i due criteri di controllo delle app a cui si fa riferimento in tale articolo, completare i passaggi seguenti in una sessione di Windows PowerShell con privilegi elevati.

1. Inizializza le variabili che verranno usate:

   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
   $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
   $MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"
   

2. Usare Merge-CIPolicy per unire due criteri e creare un nuovo criterio controllo app per le aziende:

   Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy
   

   Nota

   È possibile unire criteri aggiuntivi con il passaggio Merge-CIPolicy precedente aggiungendoli al parametro -PolicyPaths separati da virgole. Il nuovo file di criteri specificato da -OutputFilePath conterrà le informazioni sui criteri del primo criterio nell'elenco. Nell'esempio precedente, ad esempio, il $MergedPolicy erediterà il tipo di criterio, l'ID, il nome e le informazioni sulla versione da $LamnaPolicy. Per modificare uno di questi valori, usare Set-CIPolicyIdInfo e Set-CIPolicyVersion.

Unire le regole di Controllo app direttamente in un codice XML dei criteri

Oltre a unire più file XML dei criteri, è anche possibile unire le regole create con il cmdlet New-CIPolicyRule direttamente in un file XML dei criteri di Controllo app esistente. L'unione diretta delle regole è un modo pratico per aggiornare i criteri senza creare file XML di criteri aggiuntivi. Ad esempio, per aggiungere regole che consentono la Creazione guidata controllo app e lo strumento controllo app RefreshPolicy.exe, seguire questa procedura:

1. Installare l'app MSIX in pacchetto della Creazione guidata controllo app.

2. Scaricare lo strumento Criteri di aggiornamento per l'architettura del processore e salvarlo sul desktop come RefreshPolicy.exe.

3. Da una sessione di PowerShell eseguire i comandi seguenti per creare le regole di autorizzazione dell'app in pacchetto per il controllo guidato dell'app:

   $PackageInfo = Get-AppxPackage -Name Microsoft.App Control.WDACWizard
   $Rules = New-CIPolicyRule -Package $PackageInfo
   

4. Aggiungere regole FilePublisher per il RefreshPolicy.exe:

   $Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher
   

5. Usare Merge-CIPolicy per unire le nuove regole direttamente nel file MergedPolicy creato nel passaggio finale della procedura precedente:

   Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules
   

Convertire e distribuire criteri uniti in endpoint gestiti

Dopo aver creato i nuovi criteri uniti, è possibile convertire e distribuire il file binario dei criteri negli endpoint gestiti.

1. Usare ConvertFrom-CIPolicy per convertire i criteri di Controllo app in un formato binario:

   $AppControlPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin"
   ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $AppControlPolicyBin
   

   Nota

   Nei comandi di esempio precedenti, per i criteri destinati Windows 10 versione 1903+ o Windows 11, sostituire la stringa "{InsertPolicyID}" con il GUID PolicyID effettivo (incluse le parentesi graffe { }) trovato nel file XML dei criteri. Per Windows 10 versioni precedenti alla 1903, usare il nome SiPolicy.p7b per il nome del file binario.

2. Caricare il codice XML dei criteri uniti e il file binario associato nella soluzione di controllo del codice sorgente in uso per i criteri di Controllo app per le aziende. ad esempio GitHub o una soluzione di gestione dei documenti, ad esempio Office 365 SharePoint.

3. Distribuire i criteri uniti usando la soluzione di distribuzione preferita. Vedere Distribuzione del controllo delle app per i criteri aziendali