Gestire le app in pacchetto con il controllo delle app per le aziende
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
Questo articolo per i professionisti IT descrive i concetti ed elenca le procedure che consentono di gestire le app in pacchetto con Controllo app per le aziende come parte della strategia complessiva di controllo delle app.
Confronto tra app di Windows classiche e app in pacchetto
La sfida più grande nell'adozione di Controllo app è la mancanza di un'identità di app avanzata per le app di Windows classiche, note anche come app win32. Una tipica app win32 è costituita da più componenti, tra cui il programma di installazione usato per installare l'app e uno o più exe, DLL o script. Un'app può essere costituita da centinaia o addirittura migliaia di singoli file binari che interagiscono per offrire le funzionalità che gli utenti comprendono come app. Parte di tale codice potrebbe essere firmato dall'editore del software, alcuni potrebbero essere firmati da altre società e alcuni di esso potrebbero non essere firmati affatto. Gran parte del codice può essere scritto su disco da un set comune di programmi di installazione, ma alcuni potrebbero essere già installati e alcuni scaricati su richiesta. Alcuni file binari hanno metadati comuni dell'intestazione delle risorse, ad esempio il nome del prodotto e la versione del prodotto, ma altri file non condivideranno tali informazioni. Quindi, anche se vuoi essere in grado di esprimere regole come "consenti app Foo", questo non è qualcosa che Windows comprende intrinsecamente per le app di Windows classiche. Potrebbe invece essere necessario creare molte regole di Controllo app per consentire tutti i file che costituiscono l'app.
Le app in pacchetto, d'altra parte, note anche come MSIX, assicurano che tutti i file che costituiscono un'app condividano la stessa identità e abbiano una firma comune. Pertanto, con le app in pacchetto, è possibile controllare l'intera app con una singola regola di controllo app.
Uso del controllo app per gestire le app in pacchetto
Importante
Quando si controllano le app in pacchetto, è necessario scegliere tra le regole del firmatario o le regole PFN (Package Family Name). Se viene usata una regola PFN (Package Family Name) nei criteri di base di Controllo app o in uno dei relativi criteri supplementari, tutte le app in pacchetto devono essere controllate esclusivamente usando le regole PFN. Non è possibile combinare regole PFN con regole basate su firma all'interno dell'ambito di un determinato criterio di base. Ciò influirà su molte app di sistema della posta in arrivo, ad esempio il menu Start. È possibile usare caratteri jolly nelle regole PFN in Windows 11 per semplificare la creazione della regola.
Creazione di regole basate su firma per le app in pacchetto
Tutti i file che costituiscono un'app MSIX sono firmati con una firma del catalogo comune. È possibile creare una regola del firmatario dal file del programma di installazione dell'app MSIX (con estensione msix o msixbundle) o dal file AppxSignature.p7x presente nella cartella di installazione dell'app in %ProgramFiles%\WindowsApps\ usando il cmdlet Di PowerShell New-CIPolicyRule . Ad esempio:
Creare una regola del firmatario da MSIX/MSIXBUNDLE
$FilePath = $env:USERPROFILE+'\Downloads\WDACWizard_2.1.0.1_x64_8wekyb3d8bbwe.MSIX'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher
Usare quindi il cmdlet Di PowerShell Merge-CIPolicy per unire la nuova regola nel codice XML dei criteri di Controllo app esistente.
Creare una regola del firmatario da AppxSignature.p7x
$FilePath = $env:ProgramFiles+'\WindowsApps\Microsoft.App Control.WDACWizard_2.1.0.1_x64__8wekyb3d8bbwe\AppxSignature.p7x'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher
Usare quindi il cmdlet Di PowerShell Merge-CIPolicy per unire la nuova regola nel codice XML dei criteri di Controllo app esistente.
Creazione di regole PackageFamilyName per le app in pacchetto
Creare regole PFN da PowerShell
È possibile creare regole PFN direttamente dalle app in pacchetto attualmente installate usando i cmdlet Di PowerShell Get-AppXPackage e New-CIPolicyRule . Ad esempio:
# Query for the packaged apps. This example looks for all packages from Microsoft.
$Packages = Get-AppXPackage -Name Microsoft.*
foreach ($Package in $Packages)
{
$Rules += New-CIPolicyRule -Package $Package
}
Usare quindi il cmdlet Di PowerShell Merge-CIPolicy per unire le nuove regole nel codice XML dei criteri di Controllo app esistente.
Creare regole PFN usando la Creazione guidata controllo app
Creare una regola PFN da un'app MSIX installata
Usare la procedura seguente per creare una regola PFN del controllo app per un'app installata nel sistema:
- Nella pagina Regole di firma dei criteri della Creazione guidata controllo app selezionare Aggiungi regola personalizzata.
- Se non è selezionata, selezionare Regola modalità utente come ambito della regola.
- Selezionare Consenti o Nega per l'azione della regola.
- Selezionare App in pacchetto per il tipo di regola.
- Nel campo Nome pacchetto immettere un valore stringa per la ricerca. È possibile usare
?
o*
caratteri jolly nella stringa di ricerca. Selezionare quindi Cerca. - Nella casella dei risultati selezionare una o più app per cui si vogliono creare regole.
- Selezionare Crea regola.
- Creare qualsiasi altra regola desiderata, quindi completare la procedura guidata.
Creare una regola PFN usando una stringa personalizzata
Per creare una regola PFN con un valore stringa personalizzato, seguire questa procedura:
- Ripetere i passaggi da 1 a 4 nell'esempio precedente.
- Selezionare la casella denominata Use Custom Package Family (Usa famiglia di pacchetti personalizzata). L'etichetta del pulsante Cerca viene modificata in Crea.
- Nel campo Nome pacchetto immettere un valore stringa per la regola PFN. È possibile usare
?
i caratteri jolly o*
se la destinazione è Windows 11 dispositivi. Quindi selezionare Crea - Nella casella dei risultati selezionare una o più app per cui si vogliono creare regole.
- Selezionare Crea regola.
- Creare qualsiasi altra regola desiderata, quindi completare la procedura guidata.