使用 Microsoft Configuration Manager 部署应用控制策略
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
可以使用 Microsoft Configuration Manager 在客户端计算机上配置适用于企业的应用控制。
使用 Configuration Manager 的内置策略
Configuration Manager包括对应用控件的本机支持,它允许使用仅允许以下策略配置Windows 10和Windows 11客户端计算机:
- Windows 组件
- Microsoft Store 应用
- Configuration Manager (Configuration Manager自行配置为托管安装程序的应用)
- (智能安全图 (ISG) 定义的可选) 信誉良好应用
- (可选) 应用和可执行文件已安装在管理员可定义的文件夹位置,Configuration Manager允许在托管终结点上创建策略期间进行一次性扫描。
Configuration Manager部署后不会删除策略。 若要停止强制实施,应将策略切换到审核模式,这将产生相同的效果。 如果要完全禁用适用于企业的 App Control (包括审核模式) ,可以部署脚本以从磁盘中删除策略文件,并触发重新启动或等待下一次重新启动。
在 Configuration Manager 中创建应用控制策略
选择“资产和符合性终结点>保护>”“业务应用控制”“创建应用程序控制策略”>
输入策略>的名称“下一步”
启用 “强制重启设备”,以便对所有进程强制实施此策略
选择希望策略运行 (已启用强制/仅审核)
选择“ 下一步”
选择“ 添加” ,开始为受信任的软件创建规则
选择“文件”或“文件夹”以创建路径规则>“浏览”
选择路径规则>“确定”的可执行文件或文件夹
选择 “确定” ,将规则添加到受信任文件或文件夹的表中
选择“下一步”导航到摘要页>“关闭”
在 Configuration Manager 中部署应用控制策略
右键单击新创建的策略>“部署应用程序控制策略”
选择“浏览”
选择之前>创建的“确定”设备集合
更改计划 >确定
有关使用 Configuration Manager 的本机应用控制策略的详细信息,请参阅使用 Configuration Manager 进行企业应用控制管理。
下载Configuration Manager实验室论文中的整个应用控件。
使用包/程序或任务序列部署自定义应用控制策略
使用Configuration Manager的内置策略可能是一个有用的起点,但客户可能会发现信任圈选项在Configuration Manager过于限制。 若要定义自己的信任圈,可以使用 Configuration Manager 通过软件分发包和程序或操作系统部署任务序列使用基于脚本的部署来部署自定义应用控制策略。