合併商務用應用程控原則

• 適用於:

  ✅ Windows 11, ✅ Windows 10

注意

商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。

本文說明如何將多個原則 XML 檔案合併在一起，以及如何將規則直接合併到原則中。 商務用應用程控部署通常包含一些基本原則，以及特定使用案例的選擇性補充原則。

注意

在 Windows 1903 版之前，包括 Windows Server 2019 和更早版本，系統上一次只能使用一個商務用應用程控原則。 如果您需要在執行這些舊版 Windows 的系統上使用應用程控，您必須在部署之前合併所有原則。

將多個應用程控原則 XML 檔案合併在一起

在許多情況下，您可能會想要將兩個或多個原則檔案合併在一起。 例如，如果您 使用稽核事件來建立商務用應用程控原則規則，您可以將這些規則與現有的應用程控基底原則合併。 若要合併該文章中參考的兩個應用程控原則，請在提升許可權的 Windows PowerShell 會話中完成下列步驟。

1. 初始化即將使用的變數：

   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
   $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
   $MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"
   

2. 使用 Merge-CIPolicy 合併兩個原則，並建立新的商務用應用程控原則：

   Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy
   

   注意

   您可以將其他原則與上述 Merge-CIPolicy 步驟合併，方法是將這些原則新增至以逗號分隔的 -PolicyPaths 參數。 -OutputFilePath 所指定的新原則檔案將具有清單中第一個原則的原則資訊。 例如，在上述範例中，$MergedPolicy會從$LamnaPolicy繼承原則類型、標識碼、名稱和版本資訊。 若要變更上述任何值，請使用 Set-CIPolicyIdInfo 和 Set-CIPolicyVersion。

將應用程控規則直接合併到原則 XML

除了合併多個原則 XML 檔案，您也可以將使用 New-CIPolicyRule Cmdlet 建立的規則直接合併到現有的應用程控原則 XML 檔案。 直接合併規則是更新原則的便利方式，而不需要建立額外的原則 XML 檔案。 例如，若要新增允許應用程控精靈和應用程控 RefreshPolicy.exe 工具的規則，請遵循下列步驟：

1. 安裝已封裝 MSIX 應用程式 的應用程控精靈 。

2. 下載處理器架構的 [重新整理原則] 工具 ，並將其儲存至桌面，RefreshPolicy.exe。

3. 從 PowerShell 工作階段中，執行下列命令來建立應用程式控制項精靈的已封裝應用程式允許規則：

   $PackageInfo = Get-AppxPackage -Name Microsoft.App Control.WDACWizard
   $Rules = New-CIPolicyRule -Package $PackageInfo
   

4. 新增 RefreshPolicy.exe 的 FilePublisher 規則：

   $Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher
   

5. 使用 Merge-CIPolicy 將新規則直接合併到在上一個程序的最後一個步驟中建立的 MergedPolicy 檔案：

   Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules
   

將合併的原則轉換並部署至受控端點

現在您已擁有新的合併原則，您可以將原則二進位檔轉換並部署到受控端點。

1. 使用 ConvertFrom-CIPolicy 將應用程控原則轉換成二進位格式：

   $AppControlPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin"
   ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $AppControlPolicyBin
   

   注意

   在上述範例命令中，針對以 Windows 10 1903+ 版或 Windows 11 版為目標的原則，將字串 “{InsertPolicyID}” 取代為實際的 PolicyID GUID (包括原則 XML 檔案中找到的大括號 { }) 。 針對 1903 之前的 Windows 10 版本，請使用名稱 SiPolicy.p7b 作為二進位檔名。

2. 將合併的原則 XML 和相關聯的二進位檔上傳至您用於商務用應用程控原則的原始檔控制解決方案。 例如 GitHub 或檔管理解決方案，例如 Office 365 SharePoint。

3. 使用您慣用的部署解決方案部署合併的原則。 請參閱 部署商務用應用程控原則