不同案例中的商務用應用程控部署:裝置類型
注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
一般而言,商務用應用程控的部署最好是分階段進行,而不是您只是「開啟」的功能。階段的選擇和順序取決於組織中各種計算機和其他裝置的使用方式,以及IT管理這些裝置的程度。 下表可協助您開始開發在組織中部署應用程控的計劃。 組織通常會在每個描述的類別中都有裝置使用案例。
裝置類型
裝置類型 | 應用程控如何與這種類型的裝置產生關聯 |
---|---|
少量管理的裝置︰由公司所擁有,但使用者可以隨意安裝軟體。 需要有裝置,才能執行組織的防毒軟體解決方案和用戶端管理工具。 |
商務用應用程控可用來協助保護核心,以及監視 (問題應用程式的稽核) ,而不是限制可執行的應用程式。 |
完全受管理的裝置︰允許的軟體受限於 IT 部門。 使用者可以要求更多軟體,或從IT部門提供的應用程式清單進行安裝。 範例:鎖定的公司桌上型電腦和膝上型電腦。 |
您可以建立並強制執行商務用初始基準應用程控原則。 每當 IT 部門核准更多應用程式時,就會更新目錄) 未簽署 LOB 應用程式的應用程控原則和 (。 |
工作負載固定的裝置︰每日執行相同的工作。 核准的應用程式清單很少變更。 範例︰Kiosk、銷售點系統、客服中心電腦。 |
商務用應用程控可以完整部署,且部署和進行中的管理相當簡單。 部署商務用應用程控之後,只有核准的應用程式可以執行。 此規則是因為應用程控所提供的保護。 |
攜帶您自己的裝置︰允許員工攜帶他們自己的裝置,也可以在離開辦公室時使用這些裝置。 | 在大部分情況下,不適用商務用應用程控。 您應該改為使用以 MDM 為基礎的條件式存取解決方案 (例如 Microsoft Intune),來探索其他的強化與安全性功能。 不過,您可以選擇將稽核模式原則部署到這些裝置,或採用僅限封鎖清單原則,以防止組織認為惡意或易受攻擊的特定應用程式或二進位檔。 |
Lamna Healthcare 公司簡介
在下一組文章中,我們將使用名為 Lamna Healthcare Company 的虛構組織來探索上述每個案例。
Lamna Healthcare Company (Lamna) 是一家在 美國 中運作的大型醫療保健提供者。 Lamna 僱用數千人,從醫生和醫生到醫生、內部律師和IT技術人員。 他們的裝置使用案例各不相同,包括其專業人員的單一使用者工作站、醫生和醫生用來存取病患記錄的共用 Kiosk、MRI 掃描儀等專用醫療裝置,以及其他許多工作站。 此外,Lamna 為許多專業員工提供寬鬆的自備裝置原則。
Lamna 在混合模式中使用 Microsoft Intune 與 Configuration Manager 和 Intune。 雖然他們使用 Microsoft Intune 來部署許多應用程式,但 Lamna 一律有寬鬆的應用程式使用方式:個別小組和員工已能夠安裝和使用他們認為在自己的工作站上扮演角色所需的任何應用程式。 Lamna 最近也開始使用 適用於端點的 Microsoft Defender,以獲得更佳的端點偵測和回應。
最近,Lamna 發生勒索軟體事件,需要昂貴的復原程式,而且可能包含不明攻擊者的數據外洩。 攻擊的一部分包括安裝和執行惡意二進制檔,這些二進制檔避開了 Lamna 防病毒軟體解決方案的偵測,但會遭到應用程控原則封鎖。 為了回應,Lamna 的執行委員會已授權許多新的安全性 IT 回應,包括應用程式使用的原則和引進應用程控。