Udostępnij za pośrednictwem


Zarządzanie zatwierdzonymi aplikacjami dla urządzeń z systemem Windows przy użyciu zasad kontroli aplikacji dla firm i instalatorów zarządzanych dla Microsoft Intune

Ta funkcja jest dostępna w publicznej wersji zapoznawczej.

Każdego dnia nowe złośliwe pliki i aplikacje pojawiają się w środowisku naturalnym. W przypadku uruchamiania na urządzeniach w organizacji stwarzają one ryzyko, które może być trudne do zarządzania lub zapobiegania. Aby zapobiec uruchamianiu niepożądanych aplikacji na zarządzanych urządzeniach z systemem Windows, możesz użyć Microsoft Intune zasad kontroli aplikacji dla firm.

zasady kontroli aplikacji dla firm Intune są częścią zabezpieczeń punktu końcowego i używają dostawcy CSP Windows ApplicationControl do zarządzania dozwolonymi aplikacjami na urządzeniach z systemem Windows.

Dostępne również za pośrednictwem zasad kontroli aplikacji dla firm można użyć zasad instalatora zarządzanego, aby dodać rozszerzenie zarządzania Intune do dzierżawy jako instalator zarządzany. Dzięki temu rozszerzeniu jako instalatorowi zarządzane aplikacje wdrażane za pośrednictwem Intune są automatycznie oznaczane przez instalatora. Otagowane aplikacje mogą być identyfikowane przez zasady kontroli aplikacji dla firm jako bezpieczne aplikacje, które mogą być uruchamiane na urządzeniach.

Informacje zawarte w tym artykule mogą pomóc w następujących czynnościach:

Aby uzyskać powiązane informacje, zobacz Windows Defender Application Control (Kontrola aplikacji usługi Windows Defender) w dokumentacji Zabezpieczenia Windows.

Uwaga

Zasady kontroli aplikacji dla firm a profile kontroli aplikacji: Intune zasady kontroli aplikacji dla firm używają dostawcy CSP ApplicationControl. Zasady zmniejszania obszaru ataków Intune używają dostawcy CSP funkcji AppLocker dla swoich profilów kontroli aplikacji. System Windows wprowadził dostawca CSP ApplicationControl w celu zastąpienia dostawcy CSP funkcji AppLocker. System Windows nadal obsługuje dostawca CSP funkcji AppLocker, ale nie dodaje już do niego nowych funkcji. Zamiast tego programowanie jest kontynuowane za pośrednictwem dostawcy CSP ApplicationControl.

Dotyczy:

  • Windows 10
  • Windows 11

Wymagania wstępne

Urządzeń

Następujące urządzenia są obsługiwane w przypadku zasad kontroli aplikacji dla firm, gdy są zarejestrowane w Intune:

  • Windows Enterprise lub Education:

    • System Windows 10 w wersji 1903 lub nowszej
    • Windows 11 wersji 1903 lub nowszej
  • Windows Professional:

  • Windows 11 SE:

  • Azure Virtual Desktop (AVD):

    • Urządzenia AVD są obsługiwane do korzystania z zasad kontroli aplikacji dla firm
    • Aby kierować urządzenia z wieloma sesjami AVD, użyj węzła Kontrola aplikacji dla firm w usłudze Endpoint Security. Jednak kontrola aplikacji dla firm to tylko zakres urządzenia.
  • Urządzenia współzarządzane:

    • Aby obsługiwać kontrolę aplikacji dla zasad biznesowych na urządzeniach współzarządzanych, ustaw suwak suwaka programu Endpoint Protection na Intune.

Kontrola aplikacji usługi Windows Defender dla firm

Zobacz Wymagania dotyczące wersji systemu Windows i licencjonowania w temacieInformacje o kontroli aplikacji dla systemu Windows w dokumentacji Zabezpieczenia Windows.

Kontrola dostępu oparta na rolach

Aby zarządzać zasadami kontroli aplikacji dla firm, konto musi mieć przypisaną Intune rolę kontroli dostępu opartej na rolach (RBAC), która zawiera wystarczające uprawnienia i prawa do wykonania żądanego zadania.

Poniżej przedstawiono dostępne zadania z wymaganymi uprawnieniami i prawami.

  • Włączanie korzystania z zarządzanego instalatora — konto musi mieć przypisaną rolę administratora Intune. Włączenie instalatora jest zdarzeniem jednorazowym.

    Ważna

    Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Pomaga to zwiększyć bezpieczeństwo organizacji. Administrator Intune i podobne konta to wysoce uprzywilejowane role, które powinny być ograniczone do scenariuszy, które nie mogą korzystać z innej roli.

  • Zarządzanie zasadami kontroli aplikacji dla firm — konta muszą mieć uprawnienie Kontrola aplikacji dla firm , które obejmuje prawa do usuwania, odczytu, przypisywania, tworzenia, aktualizowania i wyświetlania raportów.

  • Wyświetlanie raportów dla zasad kontroli aplikacji dla firm — konta muszą mieć jedno z następujących uprawnień i uprawnień:

    • Uprawnienie Kontrola aplikacji dla firm z wyświetlenia raportów.
    • Uprawnienie Organizacji do odczytu.

Aby uzyskać wskazówki dotyczące przypisywania odpowiedniego poziomu uprawnień i praw do zarządzania zasadami Intune App Control for Business, zobacz Assign-role-based-access-controls-for-endpoint-security-policy (Przypisywanie zasad kontroli dostępu na podstawie ról dla punktu końcowego).

Pomoc techniczna dla instytucji rządowych w chmurze

Intune zabezpieczeń punktu końcowego Zasady kontroli aplikacji i konfigurowanie zarządzanego instalatora są obsługiwane w następujących środowiskach suwerennej chmury:

  • Chmury dla instytucji rządowych USA
  • 21Vianet

Wprowadzenie do instalatorów zarządzanych

Za pomocą funkcji kontroli aplikacji Intune zabezpieczeń punktu końcowego dla firm można użyć zasad, aby dodać rozszerzenie zarządzania Intune jako instalator zarządzany na zarządzanych urządzeniach z systemem Windows.

Po włączeniu instalatora zarządzanego wszystkie kolejne aplikacje wdrażane na urządzeniach z systemem Windows za pośrednictwem Intune są oznaczone tagiem instalatora zarządzanego. Tag określa, że aplikacja została zainstalowana przez znane źródło i może być zaufana. Tagowanie aplikacji przez instalatora zarządzanego jest następnie używane przez zasady app control dla firm do automatycznego identyfikowania aplikacji jako zatwierdzonych do uruchamiania na urządzeniach w środowisku.

Zasady kontroli aplikacji dla firm to implementacja usługi Windows Defender Application Control (WDAC). Aby dowiedzieć się więcej na temat tagowania aplikacji i WDAC, zobacz Informacje o kontroli aplikacji dla systemu Windows i przewodnik tagowania identyfikatora aplikacji WDAC (AppId) w dokumentacji kontroli aplikacji usługi Windows Defender.

Zagadnienia dotyczące korzystania z instalatora zarządzanego:

  • Ustawienie instalatora zarządzanego to konfiguracja dla całej dzierżawy, która ma zastosowanie do wszystkich zarządzanych urządzeń z systemem Windows.

  • Po włączeniu rozszerzenia Intune Management jako instalatora zarządzanego wszystkie aplikacje wdrażane na urządzeniach z systemem Windows za pośrednictwem Intune są oznaczone znakiem instalatora zarządzanego.

  • Sam ten tag nie ma wpływu na to, które aplikacje mogą być uruchamiane na urządzeniach. Tag jest używany tylko w przypadku przypisywania zasad WDAC, które określają, które aplikacje mogą być uruchamiane na zarządzanych urządzeniach.

  • Ponieważ nie ma tagowania wstecznego, wszystkie aplikacje na urządzeniach, które zostały wdrożone przed włączeniem instalatora zarządzanego, nie są oznaczane tagiem. Jeśli zastosujesz zasady WDAC, musisz uwzględnić jawne konfiguracje, aby umożliwić uruchamianie tych nieoznakowanych aplikacji.

  • Te zasady można wyłączyć, edytując zasady Instalatora zarządzanego. Wyłączenie zasad uniemożliwia tagowanie kolejnych aplikacji za pomocą zarządzanego instalatora. Aplikacje, które zostały wcześniej zainstalowane i oznaczone tagiem, pozostają oznakowane. Aby uzyskać informacje o ręcznym czyszczeniu instalatora zarządzanego po wyłączeniu zasad, zobacz Usuwanie rozszerzenia zarządzania Intune jako instalatora zarządzanego w dalszej części tego artykułu.

Dowiedz się więcej o tym, jak Intune ustawić instalatora zarządzanego w dokumentacji Zabezpieczenia Windows.

Ważna

Potencjalny wpływ na zdarzenia zbierane przez integracje usługi Log Analytics

Log Analytics to narzędzie w witrynie Azure Portal, którego klienci mogą używać do zbierania danych ze zdarzeń zasad funkcji AppLocker. W tej publicznej wersji zapoznawczej po zakończeniu akcji zgody zasady funkcji AppLocker zaczną wdrażać na odpowiednich urządzeniach w dzierżawie. W zależności od konfiguracji usługi Log Analytics, zwłaszcza jeśli zbierasz niektóre bardziej pełne dzienniki, spowoduje to wzrost zdarzeń generowanych przez zasady funkcji AppLocker. Jeśli Twoja organizacja korzysta z usługi Log Analytics, zalecamy zapoznanie się z konfiguracją usługi Log Analytics, aby umożliwić:

  • Zapoznaj się z konfiguracją usługi Log Analytics i upewnij się, że istnieje odpowiedni limit zbierania danych, aby uniknąć nieoczekiwanych kosztów rozliczeń.
  • Całkowicie wyłącz zbieranie zdarzeń funkcji AppLocker w usłudze Log Analytics (błąd, ostrzeżenie, informacje) z wyjątkiem dzienników msi i skryptów.

Dodawanie instalatora zarządzanego do dzierżawy

Poniższa procedura przeprowadzi Cię przez proces dodawania rozszerzenia zarządzania Intune jako instalatora zarządzanego dla dzierżawy. Intune obsługuje zasady jednego zarządzanego instalatora.

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Zabezpieczenia punktu końcowego (wersja zapoznawcza), wybierz kartę Instalator zarządzany, a następnie wybierz pozycję *Dodaj. Zostanie otwarte okienko Dodaj instalatora zarządzanego .

    Zrzut ekranu przedstawiający stronę Instalator zarządzany z okienkiem Dodaj instalatora zarządzanego po prawej stronie.

  2. Wybierz pozycję Dodaj, a następnie pozycję Tak, aby potwierdzić dodanie rozszerzenia zarządzania Intune jako instalatora zarządzanego.

  3. Po dodaniu instalatora zarządzanego w niektórych rzadkich przypadkach może być konieczne odczekanie do 10 minut, zanim nowe zasady zostaną dodane do dzierżawy. Wybierz pozycję Odśwież , aby okresowo aktualizować centrum administracyjne, dopóki nie będzie dostępne.

    Zasady są gotowe w usłudze, gdy Intune wyświetla zasady instalatora zarządzanego o nazwie Instalator zarządzany — Intune rozszerzenie zarządzania ze stanem Aktywny. Po stronie klienta może być konieczne odczekanie do godziny na rozpoczęcie dostarczania zasad.

    Zrzut ekranu przedstawiający okienko App Control for Business z obecnymi i aktywnymi zasadami instalatora zarządzanego.

  4. Teraz możesz wybrać zasady, aby edytować ich konfigurację. Tylko dwa następujące obszary zasad obsługują zmiany:

    • Ustawienia: Edytowanie ustawień zasad powoduje otwarcie okienka Rezygnacja dla instalatora zarządzanego , w którym można zmienić wartość ustawienia Ustaw instalatora zarządzanego między włączaniem i wyłączaniem. Po dodaniu instalatora ustawienie Ustaw instalator zarządzany jest domyślnie włączone. Przed zmianą konfiguracji zapoznaj się z zachowaniem opisanym w okienku Włączanie i wyłączanie.

    • Tagi zakresu: można dodawać i modyfikować tagi zakresu przypisane do tych zasad. Dzięki temu można określić, którzy administratorzy mogą wyświetlać szczegóły zasad.

Zanim zasady będą obowiązywać, należy utworzyć i wdrożyć zasady kontroli aplikacji dla firm, aby określić reguły, dla których aplikacje mogą być uruchamiane na urządzeniach z systemem Windows.

Aby uzyskać więcej informacji, zobacz Zezwalaj na aplikacje zainstalowane przez instalatora zarządzanego w dokumentacji Zabezpieczenia Windows.

Ważna

Ryzyko potencjalnego braku rozruchu z scalania zasad funkcji AppLocker

Podczas włączania instalatora zarządzanego za pośrednictwem Intune zasady funkcji AppLocker z fikcyjną regułą są wdrażane i scalane z istniejącymi zasadami funkcji AppLocker na urządzeniu docelowym. Jeśli istniejące zasady funkcji AppLocker zawierają właściwość RuleCollection zdefiniowaną jako NotConfigured z pustym zestawem reguł, zostaną scalone jako NotConfigured z regułą fikcyjną. Kolekcja reguł NotConfigured będzie domyślnie wymuszana, jeśli w kolekcji są zdefiniowane jakiekolwiek reguły. Gdy reguła fikcyjna jest jedyną skonfigurowaną regułą, oznacza to, że załadowanie lub wykonanie czegokolwiek innego zostanie zablokowane. Może to spowodować nieoczekiwane problemy, takie jak niepowodzenie uruchamiania aplikacji i niepowodzenie rozruchu lub zalogowanie się do systemu Windows. Aby uniknąć tego problemu, zalecamy usunięcie wszelkich elementów RuleCollection zdefiniowanych jako NotConfigured z pustym zestawem reguł z istniejących zasad funkcji AppLocker, jeśli są obecnie dostępne.

  • Instalator zarządzany może włączyć zatrzymane lub wyłączone zasady App-Locker (na komputerach docelowych) wymuszane z obiektu zasad grupy.

Usuwanie rozszerzenia zarządzania Intune jako instalatora zarządzanego

Jeśli to konieczne, możesz przestać konfigurować rozszerzenie zarządzania Intune jako instalator zarządzany dla dzierżawy. Wymaga to wyłączenia zasad instalatora zarządzanego. Po wyłączeniu zasad można użyć dodatkowych akcji oczyszczania.

Wyłącz zasady rozszerzenia zarządzania Intune (wymagane)

Poniższa konfiguracja jest wymagana, aby zatrzymać dodawanie rozszerzenia zarządzania Intune jako instalatora zarządzanego do urządzeń.

  1. W centrum administracyjnym przejdź do pozycji Zabezpieczenia punktu końcowego (wersja zapoznawcza), wybierz kartę Instalator zarządzany, a następnie wybierz pozycję Instalator zarządzany — Intune zasady rozszerzenia zarządzania.

  2. Edytuj zasady i zmień pozycję Ustaw instalator zarządzany na Wył., a następnie zapisz zasady.

Nowe urządzenia nie będą konfigurowane przy użyciu rozszerzenia zarządzania Intune jako instalatora zarządzanego. Nie powoduje to usunięcia rozszerzenia zarządzania Intune jako instalatora zarządzanego z urządzeń, które zostały już skonfigurowane do jego używania.

Usuń rozszerzenie zarządzania Intune jako instalator zarządzany na urządzeniach (opcjonalnie)

Opcjonalnie możesz uruchomić skrypt w celu usunięcia rozszerzenia zarządzania Intune jako instalatora zarządzanego na urządzeniach, które już je zainstalowały. Ten krok jest opcjonalny, ponieważ ta konfiguracja nie ma wpływu na urządzenia, chyba że używasz również zasad kontroli aplikacji dla firm, które odwołują się do zarządzanego instalatora.

  1. Pobierz skryptCatCleanIMEOnly.ps1 programu PowerShell. Ten skrypt jest dostępny w https://aka.ms/intune_WDAC/CatCleanIMEOnlydownload.microsoft.com.

  2. Uruchom ten skrypt na urządzeniach z rozszerzeniem zarządzania Intune ustawionym jako instalator zarządzany. Ten skrypt usuwa tylko rozszerzenie zarządzania Intune jako instalator zarządzany.

  3. Uruchom ponownie usługę rozszerzenia zarządzania Intune, aby powyższe zmiany zaczęły obowiązywać.

Aby uruchomić ten skrypt, możesz użyć Intune do uruchamiania skryptów programu PowerShell lub innych wybranych metod.

Usuń wszystkie zasady funkcji AppLocker z urządzenia (opcjonalnie)

Aby usunąć wszystkie zasady funkcji Windows AppLocker z urządzenia, możesz użyć skryptuCatCleanAll.ps1 programu PowerShell. Ten skrypt usuwa nie tylko rozszerzenie zarządzania Intune jako instalator zarządzany, ale wszystkie zasady oparte na funkcji Windows AppLocker z urządzenia. Przed użyciem tego skryptu upewnij się, że rozumiesz, że twoje organizacje używają zasad funkcji AppLocker.

  1. Pobierz skryptCatCleanAll.ps1 programu PowerShell. Ten skrypt jest dostępny w https://aka.ms/intune_WDAC/CatCleanAlldownload.microsoft.com.

  2. Uruchom ten skrypt na urządzeniach z rozszerzeniem zarządzania Intune ustawionym jako instalator zarządzany. Ten skrypt usuwa rozszerzenie zarządzania Intune jako zarządzanego instalatora i zasady funkcji AppLocker z urządzenia.

  3. Uruchom ponownie usługę rozszerzenia zarządzania Intune, aby powyższe zmiany zaczęły obowiązywać.

Aby uruchomić ten skrypt, możesz użyć Intune do uruchamiania skryptów programu PowerShell lub innych wybranych metod.

Wprowadzenie do zasad kontroli aplikacji dla firm

Dzięki zasadom kontroli aplikacji dla firm Intune zabezpieczeń punktu końcowego można zarządzać aplikacjami na zarządzanych urządzeniach z systemem Windows. Uruchamianie wszystkich aplikacji, które nie są jawnie dozwolone przez zasady, jest blokowane, chyba że skonfigurowano zasady do korzystania z trybu inspekcji. W trybie inspekcji zasady umożliwiają uruchamianie wszystkich aplikacji i rejestrowanie ich lokalnie na kliencie.

Aby zarządzać aplikacjami, które są dozwolone lub zablokowane, Intune używa dostawcy CSP Windows ApplicationControl na urządzeniach z systemem Windows.

Podczas tworzenia zasad kontroli aplikacji dla firm należy wybrać format ustawień konfiguracji do użycia:

  • Wprowadź dane XML — jeśli zdecydujesz się wprowadzić dane XML, musisz podać zasady z zestawem niestandardowych właściwości XML definiujących zasady kontroli aplikacji dla firm.

  • Wbudowane kontrolki — ta opcja jest najprostszą ścieżką do skonfigurowania, ale pozostaje zaawansowanym wyborem. Dzięki wbudowanym kontrolom można łatwo zatwierdzać wszystkie aplikacje instalowane przez instalatora zarządzanego oraz ufać składnikom systemu Windows i aplikacjom ze sklepu.

    Więcej szczegółów na temat tych opcji można znaleźć w interfejsie użytkownika podczas tworzenia zasad, a także szczegółowo w poniższej procedurze, która przeprowadzi Cię przez proces tworzenia zasad.

Po utworzeniu zasad kontroli aplikacji dla firm można rozszerzyć zakres tych zasad, tworząc zasady uzupełniające , które dodają więcej reguł w formacie XML do tych oryginalnych zasad. W przypadku korzystania z zasad uzupełniających pierwotne zasady są określane jako zasady podstawowe.

Uwaga

Jeśli dzierżawa jest dzierżawcą edukacyjnym, zobacz Zasady kontroli aplikacji dla firm dla dzierżaw edukacyjnych , aby dowiedzieć się więcej o dodatkowej obsłudze urządzeń i zasadach kontroli aplikacji dla firm dla tych urządzeń.

Tworzenie zasad kontroli aplikacji dla firm

Poniższa procedura ułatwia utworzenie pomyślnej kontroli aplikacji dla firm. Te zasady są traktowane jako zasady podstawowe , jeśli chcesz utworzyć zasady uzupełniające w celu rozszerzenia zakresu zaufania zdefiniowanego za pomocą tych zasad.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do obszaru Kontrola aplikacji zabezpieczeń> punktu końcowegodla firm (wersja zapoznawcza)> wybierz kartę >Kontrola aplikacji dla firm, a następnie wybierz pozycję Utwórz zasady. Zasady kontroli aplikacji dla firm są automatycznie przypisywane do typu platformy Windows 10 i nowszych.

    Zrzut ekranu przedstawiający ścieżkę w centrum administracyjnym w celu utworzenia nowych zasad kontroli aplikacji dla firm.

  2. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Profile nazw, dzięki czemu można je łatwo zidentyfikować później.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
  3. W obszarze Ustawienia konfiguracji wybierz format ustawień konfiguracji:

    Wprowadź dane XML — w tej opcji musisz podać niestandardowe właściwości XML, aby zdefiniować zasady kontroli aplikacji dla firm. Jeśli wybierzesz tę opcję, ale nie dodasz właściwości XLM do zasad, działa ona jako Nies skonfigurowano. Nieskonfigurowane zasady kontroli aplikacji dla firm skutkują zachowaniem domyślnym na urządzeniu bez dodatkowych opcji z dostawcy CSP ApplicationControl.

    Wbudowane kontrolki — ta opcja powoduje, że zasady nie używają niestandardowego kodu XML. Zamiast tego skonfiguruj następujące ustawienia:

    • Włącz zaufanie do składników systemu Windows i aplikacji sklepowych — gdy to ustawienie jest włączone (domyślnie), urządzenia zarządzane mogą uruchamiać składniki systemu Windows i aplikacje ze sklepu, a także inne aplikacje, które można skonfigurować jako zaufane. Aplikacje, które nie są zdefiniowane jako zaufane przez te zasady, nie mogą być uruchomione.

      To ustawienie obsługuje również tryb tylko inspekcji . W trybie inspekcji wszystkie zdarzenia są rejestrowane w lokalnych dziennikach klienta, ale uruchamianie aplikacji nie jest blokowane.

    • Wybierz dodatkowe opcje aplikacji ufających — dla tego ustawienia możesz wybrać jedną lub obie z następujących opcji:

      • Ufaj aplikacjom o dobrej reputacji — ta opcja umożliwia urządzeniom uruchamianie renomowanych aplikacji zgodnie z definicją programu Microsoft Intelligent Security Graph. Aby uzyskać informacje na temat korzystania z programu Intelligent Security Graph (ISG), zobacz Zezwalaj na renomowanych aplikacji za pomocą usługi Intelligent Security Graph (ISG) w dokumentacji Zabezpieczenia Windows.

      • Ufaj aplikacjom z zarządzanych instalatorów — ta opcja umożliwia urządzeniom uruchamianie aplikacji wdrożonych przez autoryzowane źródło, które jest instalatorem zarządzanym. Dotyczy to aplikacji wdrażanych za pośrednictwem Intune po skonfigurowaniu rozszerzenia zarządzania Intune jako instalatora zarządzanego.

        Zachowanie wszystkich innych aplikacji i plików, które nie są określone przez reguły w tych zasadach, zależy od konfiguracji opcji Włącz zaufanie składników systemu Windows i aplikacji ze sklepu:

        • Jeśli jest włączona, na urządzeniach nie można uruchamiać plików i aplikacji.
        • Jeśli ustawiono opcję Tylko inspekcja, pliki i aplikacje są poddawane inspekcji tylko w lokalnych dziennikach klienta.

    To przechwytywanie ekranu pokazuje domyślne opcje i ustawienia zasad kontroli aplikacji dla firm podczas korzystania z wbudowanych kontrolek.

  4. Na stronie Tagi zakresu wybierz odpowiednie tagi zakresu do zastosowania, a następnie wybierz pozycję Dalej.

  5. W polu Przypisania wybierz grupy, które odbierają zasady, ale należy wziąć pod uwagę, że zasady WDAC mają zastosowanie tylko do zakresu urządzenia. Aby kontynuować, wybierz pozycję Dalej.

    Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

  6. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście zasad.

Korzystanie z zasad uzupełniających

Co najmniej jedna zasada uzupełniająca może pomóc rozwinąć podstawowe zasady kontroli aplikacji dla firm, aby zwiększyć krąg zaufania do tych zasad. Zasady uzupełniające mogą rozszerzać tylko jedną zasadę podstawową, ale wiele dodatków może rozwinąć te same zasady podstawowe. Po dodaniu zasad uzupełniających aplikacje dozwolone przez zasady podstawowe i ich zasady uzupełniające mogą być uruchamiane na urządzeniach.

Zasady uzupełniające muszą mieć format XML i muszą odwoływać się do identyfikatora zasad zasad podstawowych.

Identyfikator zasad zasad podstawowych kontroli aplikacji dla firm zależy od konfiguracji zasad podstawowych:

  • Zasady podstawowe tworzone przy użyciu niestandardowego kodu XML mają unikatowy identyfikator PolicyID oparty na tej konfiguracji XML.

  • Zasady podstawowe, które są tworzone przy użyciu wbudowanych kontrolek dla kontroli aplikacji dla firm, mają jeden z czterech możliwych identyfikatorów PolicyID, które są określane przez możliwe kombinacje wbudowanych ustawień. W poniższej tabeli zidentyfikowano kombinacje i powiązany identyfikator PolicyID:

    PolicyID zasad podstawowych Opcje w zasadach WDAC (inspekcja lub wymuszanie)
    {A8012CFC-D8AE-493C-B2EA-510F035F1250} Włączanie zasad kontroli aplikacji w celu zaufania składnikom systemu Windows i aplikacjom ze Sklepu
    {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} Włącz zasady kontroli aplikacji, aby ufać składnikom systemu Windows i aplikacjom
    ze Sklepu i
    ufać aplikacjom z dobrą reputacją
    {63D1178A-816A-4AB6-8ECD-127F2DF0CE47} Włączanie zasad kontroli aplikacji w celu zaufania składnikom systemu Windows i aplikacjom
    ze sklepu oraz
    aplikacjom zaufania z zarządzanych instalatorów
    {2DA0F72D-1688-4097-847D-C42C39E631BC} Włącz zasady kontroli aplikacji, aby ufać składnikom systemu Windows i aplikacjom
    ze Sklepu I
    ufaj aplikacjom z dobrą reputacją
    I
    ufaj aplikacjom z zarządzanych instalatorów

Mimo że dwie zasady kontroli aplikacji dla firm korzystające z tej samej konfiguracji wbudowanych kontrolek mają ten sam identyfikator PolicyID, można zastosować różne zasady uzupełniające na podstawie przypisań dla zasad.

Rozważmy następujący scenariusz:

  • Tworzysz dwie zasady podstawowe, które korzystają z tej samej konfiguracji i dlatego mają ten sam identyfikator PolicyID. Jedna z nich jest wdrażana w zespole wykonawczym, a druga jest wdrażana w zespole pomocy technicznej.

  • Następnie utworzysz zasady uzupełniające, które umożliwiają uruchamianie innych aplikacji wymaganych przez zespół wykonawczy. Te zasady uzupełniające należy przypisać do tej samej grupy, zespołu wykonawczego.

  • Następnie utworzysz drugą zasadę uzupełniającą, która umożliwia uruchamianie różnych narzędzi wymaganych przez zespół pomocy technicznej. Te zasady są przypisywane do grupy Pomoc techniczna.

W wyniku tych wdrożeń obie zasady uzupełniające mogą modyfikować oba wystąpienia zasad podstawowych. Jednak z powodu odrębnych i oddzielnych przypisań pierwsza zasada uzupełniająca modyfikuje tylko dozwolone aplikacje przypisane do zespołu wykonawczego, a druga zasada modyfikuje tylko dozwolone aplikacje używane przez zespół pomocy technicznej.

Tworzenie zasad uzupełniających

  1. Użyj Kreatora kontroli aplikacji usługi Windows Defender lub poleceń cmdlet programu PowerShell, aby wygenerować zasady kontroli aplikacji dla firm w formacie XML.

    Aby dowiedzieć się więcej o Kreatorze, zobacz kreatora aka.ms/wdacWizard lub Microsoft WDAC.

    Podczas tworzenia zasad w formacie XML musi on odwoływać się do identyfikatora zasad zasad podstawowych.

  2. Po utworzeniu zasad uzupełniających kontroli aplikacji dla firm w formacie XML zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do obszaru Kontrola aplikacji zabezpieczeń> punktu końcowegodla firm (wersja zapoznawcza)> wybierz kartę Kontrola aplikacji dla firm, a następnie wybierz pozycję Utwórz zasady.

  3. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Profile nazw, dzięki czemu można je łatwo zidentyfikować później.

    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

  4. W obszarze Ustawienia konfiguracji w obszarze Format ustawień konfiguracji wybierz pozycję Wprowadź dane XML i przekaż plik XML.

  5. W obszarze Przypisania wybierz te same grupy przypisane do zasad podstawowych, do których mają zostać zastosowane zasady uzupełniające, a następnie wybierz pozycję Dalej.

  6. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście zasad.

App Control for Business policies for Education tenants (Kontrola aplikacji dla firm dla dzierżaw edukacyjnych)

Zasady kontroli aplikacji dla firm w dzierżawach organizacji edukacyjnych obsługują również Windows 11 SE oprócz obsługiwanych platform w wymaganiach wstępnych.

Windows 11 SE to pierwszy w chmurze system operacyjny zoptymalizowany pod kątem użycia w klasach. Podobnie jak Intune for Education, system Windows SE 11 priorytetyzuje produktywność, prywatność uczniów i uczenie się oraz obsługuje tylko funkcje i aplikacje, które są niezbędne dla edukacji.

Aby ułatwić tę optymalizację, zasady WDAC i rozszerzenie zarządzania Intune są konfigurowane automatycznie dla urządzeń Windows 11 SE:

  • Intune obsługa urządzeń Windows 11 SE ma zakres wdrażania wstępnie zdefiniowanych zasad WDAC z zestawem aplikacji w dzierżawach EDU. Te zasady są wdrażane automatycznie i nie można ich zmienić.

  • W przypadku Intune dzierżaw EDU rozszerzenie zarządzania Intune jest automatycznie ustawiane jako Instalator zarządzany. Ta konfiguracja jest automatyczna i nie można jej zmienić.

Usuwanie zasad kontroli aplikacji dla firm

Zgodnie z opisem w temacie Wdrażanie zasad WDAC przy użyciu usługi Mobile Zarządzanie urządzeniami (MDM) (Windows 10) — zabezpieczenia systemu Windows w dokumentacji Zabezpieczenia Windows, zasady usunięte z interfejsu użytkownika Intune są usuwane z systemu i urządzeń, ale pozostają w mocy do następnego ponownego uruchomienia maszyny.

Aby wyłączyć lub usunąć wymuszanie WDAC:

  1. Zastąp istniejące zasady nową wersją zasad, która będzie Allow /*wyglądać podobnie jak reguły w przykładowych zasadach znalezionych na urządzeniach z systemem Windows pod adresem %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

    Ta konfiguracja usuwa wszystkie bloki, które w przeciwnym razie mogłyby pozostać na urządzeniu po usunięciu zasad.

  2. Po wdrożeniu zaktualizowanych zasad można usunąć nowe zasady z portalu Intune.

Ta sekwencja uniemożliwia zablokowanie czegokolwiek i całkowicie usuwa zasady WDAC podczas następnego ponownego rozruchu.

Monitorowanie zasad kontroli aplikacji dla firm i instalatora zarządzanego

Po przypisaniu urządzeń do zasad kontroli aplikacji dla firm i instalatora zarządzanego można wyświetlić szczegóły zasad w centrum administracyjnym.

  • Aby wyświetlać raporty, twoje konto musi mieć uprawnienie do odczytu dla kategorii kontroli dostępu Intune opartej na rolach organizacji.

Aby wyświetlić raporty, zaloguj się do centrum administracyjnego Intune i przejdź do węzła Kontrola konta. (Zabezpieczenia> punktu końcowegoKontrola konta (wersja zapoznawcza)). W tym miejscu możesz wybrać kartę szczegółów zasad, które chcesz wyświetlić:

Instalator zarządzany

Na karcie Instalator zarządzany można wyświetlić stan, liczbę sukcesów i szczegóły błędów dla zasad programu Managed Installer — Intune Management Extension:

To przechwytywanie ekranu przedstawia widok strony Omówienie zasad instalatora zarządzanego.

Wybierz nazwę zasad, aby otworzyć stronę Przegląd, na której można wyświetlić następujące informacje:

  • Stan urządzenia, statyczna liczba powodzeń a błędy.

  • Trend stanu urządzenia, historyczny wykres przedstawiający oś czasu i liczbę urządzeń w każdej kategorii szczegółów.

Szczegóły raportu obejmują:

  • Powodzenie — urządzenia, które pomyślnie zastosowały zasady.

  • Błąd — urządzenia z błędami.

  • Nowe urządzenia — nowe urządzenia identyfikują urządzenia, które ostatnio zastosowały zasady.

    To przechwytywanie ekranu przedstawia omówienie instalatora zarządzanego.

Aktualizacja sekcji Stan urządzenia i Trend stanu urządzenia może potrwać do 24 godzin w sekcji Przegląd.

Podczas wyświetlania szczegółów zasad możesz wybrać pozycję Stan urządzenia (poniżej pozycji Monitor), aby otworzyć widok zasad oparty na urządzeniu. W widoku Stan urządzenia są wyświetlane następujące szczegóły, których można użyć do identyfikowania problemów w przypadku niepowodzenia pomyślnego zastosowania zasad przez urządzenie:

  • Nazwa urządzenia
  • Nazwa użytkownika
  • Wersja systemu operacyjnego
  • Stan instalatora zarządzanego (powodzenie lub błąd)

Aktualizacja widoku zasad opartego na urządzeniu może potrwać kilka minut po faktycznym odebraniu zasad przez urządzenie.

Kontrola aplikacji dla firm

Na karcie Kontrola aplikacji dla firm możesz wyświetlić listę zasad kontroli aplikacji dla firm oraz podstawowe informacje, w tym informacje o tym, czy zostały przypisane i kiedy zostały ostatnio zmodyfikowane.

Wybierz zasady, aby otworzyć widok zawierający więcej opcji raportu:

To przechwytywanie ekranu przedstawia widok stanu dla zasad i kafelki dla dwóch dodatkowych raportów.

Opcje raportu dla zasad obejmują:

  • Stan zaewidencjonowania urządzenia i użytkownika — prosty wykres przedstawiający liczbę urządzeń zgłaszających każdy dostępny stan dla tych zasad.

  • Wyświetl raport — spowoduje to otwarcie widoku z listą urządzeń, które otrzymały te zasady. W tym miejscu możesz wybrać urządzenia do przeglądania szczegółowego i wyświetlić ich format ustawień zasad kontroli aplikacji dla firm.

Widok zasad zawiera również następujące kafelki raportu:

  • Stan przypisania urządzenia — ten raport przedstawia wszystkie urządzenia objęte zasadami, w tym urządzenia w stanie oczekiwania na przypisanie zasad.

    W tym raporcie możesz wybrać wartości stanu przypisania , które chcesz wyświetlić, a następnie wybrać pozycję Generuj raport , aby odświeżyć widok raportu dla poszczególnych urządzeń, które otrzymały zasady, ich ostatniego aktywnego użytkownika i stanu przypisania.

    Możesz również wybrać urządzenia do przeglądania szczegółowego i wyświetlić ich format ustawień zasad kontroli aplikacji dla firm.

  • Stan ustawienia — w tym raporcie jest wyświetlana liczba urządzeń, które zgłaszają stan Powodzenie, Błąd lub Konflikt dla ustawień z tych zasad.

Często zadawane pytania

Kiedy należy ustawić rozszerzenie zarządzania Intune jako instalator zarządzany?

Zalecamy skonfigurowanie rozszerzenia zarządzania Intune jako instalatora zarządzanego przy następnej dostępnej okazji.

Po ustawieniu kolejne aplikacje wdrażane na urządzeniach są odpowiednio oznaczane w celu obsługi zasad WDAC, które ufają aplikacjom z zarządzanych instalatorów.

W środowiskach, w których aplikacje wdrożone przed skonfigurowaniem instalatora zarządzanego zalecamy wdrożenie nowych zasad WDAC w trybie inspekcji , aby można było zidentyfikować aplikacje, które zostały wdrożone, ale nie zostały oznaczone jako zaufane. Następnie możesz przejrzeć wyniki inspekcji i określić, które aplikacje powinny być zaufane. W przypadku aplikacji, którym będziesz ufać i zezwalać na uruchamianie, możesz utworzyć niestandardowe zasady WDAC, aby zezwolić na te aplikacje.

Pomocne może być zapoznanie się z zaawansowanym wyszukiwaniem zagrożeń, które jest funkcją w Ochrona punktu końcowego w usłudze Microsoft Defender, która ułatwia wykonywanie zapytań dotyczących zdarzeń inspekcji na wielu maszynach zarządzanych przez administratorów IT i ułatwia tworzenie zasad.

Co mam zrobić ze starymi zasadami kontroli aplikacji z moich zasad zmniejszania obszaru ataków

Możesz zauważyć wystąpienia zasad kontroli aplikacji w interfejsie użytkownika Intune w obszarzeZmniejszanie obszaru dołączaniaurządzenia do zabezpieczeń> punktu końcowego lub w obszarze Zarządzanie>urządzeniami>Konfiguracja. Zostaną one wycofane w przyszłej wersji.

Co zrobić, jeśli na tym samym urządzeniu mam wiele zasad podstawowych lub uzupełniających?

Przed Windows 10 1903 r. kontrola aplikacji dla firm obsługiwała tylko jedną aktywną zasadę w systemie w danym momencie. To zachowanie znacznie ogranicza klientów w sytuacjach, w których przydałoby się wiele zasad o różnych intencjach. Obecnie na tym samym urządzeniu jest obsługiwanych wiele zasad podstawowych i uzupełniających. Dowiedz się więcej o wdrażaniu wielu zasad kontroli aplikacji dla firm.

W powiązanej notatce nie ma już ograniczenia 32 zasad aktywnych na tym samym urządzeniu dla kontroli aplikacji dla firm. Ten problem został rozwiązany w przypadku urządzeń z systemem Windows 10 1903 lub nowszym z aktualizacją zabezpieczeń systemu Windows wydaną 12 marca 2024 r. lub później. Oczekuje się, że starsze wersje systemu Windows otrzymają tę poprawkę w przyszłych aktualizacjach zabezpieczeń systemu Windows.

Czy funkcja wyboru instalatora zarządzanego dla moich aplikacji zestawu dzierżaw zainstalowanego z Configuration Manager z odpowiednim tagiem?

L.p. Ta wersja koncentruje się na ustawianiu aplikacji zainstalowanych z Intune przy użyciu rozszerzenia zarządzania Intune jako instalatora zarządzanego. Nie można ustawić Configuration Manager jako instalatora zarządzanego.

Jeśli ustawienie Configuration Manager jako instalatora zarządzanego jest wymagane, można zezwolić na to zachowanie z poziomu Configuration Manager. Jeśli masz już Configuration Manager ustawiony jako Instalator zarządzany, oczekiwane zachowanie polega na tym, że nowe zasady funkcji AppLocker rozszerzenia zarządzania Intune scala się z istniejącymi zasadami Configuration Manager.

Jakie kwestie należy wziąć pod uwagę w przypadku urządzeń entra hybrid join (HAADJ) w mojej organizacji, które chcą korzystać z instalatora zarządzanego?

Urządzenia przyłączania hybrydowego Entra wymagają łączności z lokalnym kontrolerem domeny (DC), aby zastosować zasady grupy, w tym zasady instalatora zarządzanego (za pośrednictwem funkcji AppLocker). Bez łączności kontrolera domeny, zwłaszcza podczas aprowizacji rozwiązania Autopilot, zasady instalatora zarządzanego nie zostaną pomyślnie zastosowane. Rozważać:

  1. Zamiast tego użyj rozwiązania Autopilot z sprzężeniami Entra. Aby uzyskać więcej informacji, zobacz nasze zalecenie, dla której opcji dołączania entra wybrać.

  2. W przypadku przyłączania hybrydowego Entra wybierz jedną lub obie z następujących opcji:

    • Użyj metod aprowizacji urządzeń, które zapewniają łączność kontrolera domeny w momencie instalacji aplikacji, ponieważ rozwiązanie Autopilot może nie działać tutaj.
    • Wdróż aplikacje po zakończeniu aprowizacji rozwiązania Autopilot, aby nawiązać łączność kontrolera domeny w momencie instalacji aplikacji i zastosować zasady Instalatora zarządzanego.

Następne kroki

Konfigurowanie zasad zabezpieczeń punktu końcowego