通过

排查 Windows SE 中的应用部署问题

下表列出了Windows 11 SE的常见应用部署问题以及解决这些问题的选项:

问题 潜在解决方案
尚未安装应用
  • 检查应用类型:
    • Win32 应用应该能够毫无问题地安装
    • 不支持 UWP LOB 应用
  • 应用可能正在尝试执行阻止的二进制文件。 检查事件查看器中的 AppLocker 和 CodeIntegrity 日志,并验证是否阻止了与应用相关的任何可执行文件。 如果是这样,则需要编写补充策略来支持应用
  • 检查Intune管理扩展日志,查看是否尝试安装应用
    		•
    应用在运行时出现问题 应用可能正在尝试执行阻止的二进制文件
    检查 事件查看器 中的 AppLockerCodeIntegrity 日志,查看是否阻止了与应用相关的任何可执行文件。 如果是这样,则需要编写补充策略来支持应用。
    我的补充策略尚未部署
  • XML 策略格式不正确。 双检查以查看是否已正确标记所有标记
  • 检查是否正确应用了策略
    		•

    AppLocker 策略验证

    若要查询 AppLocker 策略并验证它们是否已正确配置,请执行以下步骤:

    1. 打开 本地安全策略 mmc 控制台 (secpol.msc)
    2. 选择“安全设置”“应用程序控制策略”>
    3. 右键单击“ AppLocker ”,然后选择“ 导出策略...”从本地安全策略 mmc 控制台导出 AppLocker 策略的屏幕截图。
    4. 对于将 Intune 管理扩展设置为托管安装程序的策略, MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE 应嵌套在由 get-applockerpolicy PowerShell cmdlet 生成的 xml 文件的ManagedInstaller 类型屏幕截图的 RuleCollection 部分下。
    5. 对于为设置其他可执行文件而添加的任何策略,请查找在 ManagedInstaller 类型的 RuleCollection 节下定义的规则

    AppLocker 服务

    若要验证 AppLocker 服务是否正在运行,请执行以下步骤:

    1. 打开 Services mmc 控制台 (services.msc)
    2. 验证服务 应用程序标识 的状态是否为 “正在运行”

    AppLocker 事件日志验证

    1. 在目标设备上打开事件查看器
    2. 展开 Windows AppLocker > MSI 和脚本Microsoft >>应用程序和服务>
    3. 使用代码 8040 检查错误事件,并参考 Understanding Application Control 事件 ID

    Intune管理扩展