Поделиться через

Применение политик управления приложениями для бизнеса

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

Теперь у вас должна быть одна или несколько политик управления приложениями для бизнеса, развернутых в режиме аудита. Вы проанализировали события, собранные с устройств с помощью этих политик, и готовы к принудительному применению. Используйте эту процедуру для подготовки и развертывания политик управления приложениями в режиме принудительного применения.

Примечание.

Некоторые действия, описанные в этой статье, относятся только к Windows 10 версии 1903 и выше или Windows 11. При использовании этого раздела для планирования политик управления приложениями вашей организации следует учитывать, могут ли управляемые клиенты использовать все или некоторые из этих функций. Оцените влияние всех функций, которые могут быть недоступны на клиентах под управлением более ранних версий Windows 10 и Windows Server. Возможно, вам потребуется адаптировать это руководство в соответствии с потребностями конкретной организации.

Преобразование базовой политики элемента управления приложениями из аудита в принудительное

Как описано в общих сценариях развертывания управления приложениями для бизнеса, мы будем использовать пример Lamna Healthcare Company (Lamna), чтобы проиллюстрировать этот сценарий. Lamna пытается внедрить более строгие политики приложений, включая использование управления приложениями, чтобы предотвратить запуск нежелательных или несанкционированных приложений на управляемых устройствах.

Алиса Пена является руководителем ИТ-команды, ответственной за развертывание управления приложениями Lamna.

Ранее Алиса создала и развернула политику для полностью управляемых устройств организации. Они обновили политику на основе данных о событиях аудита, как описано в разделе Использование событий аудита для создания правил политики управления приложениями и повторного развертывания. Все остальные события аудита выполняются должным образом, и Алиса готова перейти в режим принудительного применения.

  1. Инициализация используемых переменных и создание принудительной политики путем копирования версии аудита.

    $EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced"
$AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml"
$EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml"
cp $AuditPolicyXML $EnforcedPolicyXML

  2. Используйте Set-CIPolicyIdInfo , чтобы присвоить новой политике уникальный идентификатор и описательное имя. Изменение идентификатора и имени позволяет развернуть примененную политику параллельно с политикой аудита. Выполните этот шаг, если вы планируете со временем усилить политику управления приложениями. Если вы предпочитаете заменить политику аудита на месте, этот шаг можно пропустить.

    $EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID
$EnforcedPolicyID = $EnforcedPolicyID.Substring(11)

  3. [Необязательно] Используйте Set-RuleOption , чтобы включить параметры правила 9 (меню "Дополнительные параметры загрузки") и 10 ("Аудит загрузки при сбое"). Вариант 9 позволяет пользователям отключить принудительное применение управления приложениями для одного сеанса загрузки в меню перед загрузкой. Вариант 10 предписывает Windows переключать политику с принудительного применения на аудит только в том случае, если загрузочный драйвер, критически важный для режима ядра, заблокирован. Мы настоятельно рекомендуем использовать эти параметры при развертывании новой принудительной политики в первом круге развертывания. Затем, если проблемы не найдены, можно удалить параметры и перезапустить развертывание.

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10

  4. Используйте Set-RuleOption, чтобы удалить параметр правила режима аудита, который изменяет политику на принудительное применение:

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -Delete

  5. Используйте ConvertFrom-CIPolicy для преобразования новой политики управления приложениями в двоичный файл:

    Примечание.

    Если вы не использовали -ResetPolicyID на шаге 2 выше, необходимо заменить $EnforcedPolicyID в следующей команде атрибутом PolicyID , найденным в базовом XML-коде политики.

    $EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip"
ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary

Создание копий всех необходимых дополнительных политик для использования с принудительной базовой политикой

Так как принудительной политике был присвоен уникальный Идентификатор политики в предыдущей процедуре, необходимо дублировать все необходимые дополнительные политики для использования с принудительной политикой. Дополнительные политики всегда наследуют режим аудита или принудительного применения от базовой политики, которые они изменяют. Если вы не сбросили policyID базовой политики принудительного применения, эту процедуру можно пропустить.

  1. Инициализируйте переменные, которые будут использоваться, и создайте копию текущей дополнительной политики. Также будут использоваться некоторые переменные и файлы из предыдущей процедуры.

    $SupplementalPolicyName = "Lamna_Supplemental1"
$CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml"
$EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"

  2. Используйте Set-CIPolicyIdInfo , чтобы присвоить новой дополнительной политике уникальный идентификатор и описательное имя, а также изменить базовую политику, которую следует дополнить.

    $SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID
$SupplementalPolicyID = $SupplementalPolicyID.Substring(11)

    Примечание.

    Если Set-CIPolicyIdInfo не выводит новое значение PolicyID в Windows 10 версии, необходимо получить значение PolicyId непосредственно из XML-кода.

  3. Используйте ConvertFrom-CIPolicy , чтобы преобразовать новую дополнительную политику элемента управления приложениями для бизнеса в двоичную:

    $EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml"
ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary

  4. Повторите описанные выше действия, если у вас есть другие дополнительные политики для обновления.

Развертывание принудительной политики и дополнительных политик

Теперь, когда базовая политика находится в принудительном режиме, ее можно развернуть в управляемых конечных точках. Сведения о развертывании политик см. в разделе Развертывание политик управления приложениями для бизнеса.