使用商務用應用程控管理已封裝的應用程式

• 適用於:

  ✅ Windows 11, ✅ Windows 10

注意

商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。

本文適用於 IT 專業人員，說明可協助您使用商務用應用程控來管理已封裝應用程式的概念和程式，作為整體應用程控策略的一部分。

比較傳統 Windows 應用程式和已封裝的應用程式

採用應用程控的最大挑戰是傳統 Windows 應用程式缺少強大的應用程式身分識別，也稱為 win32 應用程式。 典型的 win32 應用程式包含多個元件，包括用來安裝應用程式的安裝程式，以及一或多個 exes、dll 或腳本。 應用程式可以由數百或甚至數千個個別二進位檔組成，這些二進位檔會一起運作，以提供使用者瞭解的應用程式功能。 其中有些程式代碼可能由軟體發行者簽署，有些可能由其他公司簽署，而其中有些可能完全未簽署。 大部分的程式代碼可能由一組常見的安裝程式寫入磁碟，但有些可能已安裝，有些則會視需要下載。 某些二進位檔有常見的資源標頭元數據，例如產品名稱和產品版本，但其他檔案不會共用該資訊。 因此，雖然您想要能夠表達「允許應用程式 Foo」之類的規則，但這不是 Windows 原本就瞭解的傳統 Windows 應用程式。 相反地，您可能必須建立許多應用程控規則，以允許組成應用程式的所有檔案。

另一方面，封裝的應用程式也稱為 MSIX，可確保組成應用程式的所有檔案共用相同的身分識別，並具有通用簽章。 因此，使用已封裝的應用程式，可以使用單一應用程控規則來控制整個應用程式。

使用應用程控管理已封裝的應用程式

重要

控制已封裝的應用程式時，您必須選擇簽署者規則或套件系列名稱 (PFN) 規則。 如果您的應用程控基底原則或其中一個補充原則中使用任何套件系列名稱 (PFN) 規則，則所有已封裝的應用程式都必須使用 PFN 規則獨佔控制。 您無法在指定的基底原則範圍內混用和比對 PFN 規則與簽章型規則。 這會影響許多收件匣系統應用程式，例如 [開始] 功能表。 您可以在 Windows 11 上的 PFN 規則中使用通配符來簡化規則建立。

建立已封裝應用程式的簽章型規則

組成 MSIX 應用程式的所有檔案都會以通用目錄簽章簽署。 您可以使用 New-CIPolicyRule PowerShell Cmdlet，從 MSIX 應用程式的安裝程式檔案 (.msix 或 .msixbundle) 或從應用程式安裝資料夾中找到的 AppxSignature.p7x 檔案建立簽署者規則。 例如：

從 MSIX/MSIXBUNDLE 建立簽署者規則

$FilePath = $env:USERPROFILE+'\Downloads\WDACWizard_2.1.0.1_x64_8wekyb3d8bbwe.MSIX'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

然後使用 Merge-CIPolicy PowerShell Cmdlet 將新規則合併到現有的應用程控原則 XML。

從 AppxSignature.p7x 建立簽署者規則

$FilePath = $env:ProgramFiles+'\WindowsApps\Microsoft.App Control.WDACWizard_2.1.0.1_x64__8wekyb3d8bbwe\AppxSignature.p7x'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

然後使用 Merge-CIPolicy PowerShell Cmdlet 將新規則合併到現有的應用程控原則 XML。

建立已封裝應用程式的 PackageFamilyName 規則

從 PowerShell 建立 PFN 規則

您可以直接從目前使用 Get-AppXPackage 和 New-CIPolicyRule PowerShell Cmdlet 安裝的已封裝應用程式建立 PFN 規則。 例如：

# Query for the packaged apps. This example looks for all packages from Microsoft.
$Packages = Get-AppXPackage -Name Microsoft.*
foreach ($Package in $Packages)
{
   $Rules += New-CIPolicyRule -Package $Package
}

然後使用 Merge-CIPolicy PowerShell Cmdlet，將新規則 () 合併到現有的應用程控原則 XML。

使用應用程控精靈建立 PFN 規則

從已安裝的 MSIX 應用程式建立 PFN 規則

使用下列步驟，為安裝在系統上的應用程式建立應用程控 PFN 規則：

1. 從 [應用程控精靈] 的 [原則簽署規則] 頁面，選取 [新增自定義規則]。
2. 如果未核取，請將 [使用者模式規則] 檢查為 [規則範圍]。
3. 為您的規則動作選取 [ 允許 ] 或 [ 拒絕 ]。
4. 針對您的規則類型選取 [ 已封裝的應用程式 ]。
5. 在 [ 封裝名稱] 字 段中，輸入要搜尋的字串值。 您可以在搜尋字串中使用 ? 或 * 通配符。 然後選 取 [搜尋]。
6. 在結果方塊中，核取您要建立規則的一或多個應用程式。
7. 選 取 [建立規則]。
8. 建立所需的任何其他規則，然後完成精靈。

使用自訂字串建立 PFN 規則

使用下列步驟建立具有自訂字串值的 PFN 規則：

1. 重複上述範例中的步驟 1-4。
2. 核取標示為 [使用自定義套件系列] 的方塊。 [搜尋] 按鈕標籤會變更為 [建立]。
3. 在 [ 封裝名稱] 字 段中，輸入 PFN 規則的字串值。 如果以裝置為目標，您可以使用 ? 或 * 通配符 Windows 11。 然後選取 [建立]
4. 在結果方塊中，核取您要建立規則的一或多個應用程式。
5. 選 取 [建立規則]。
6. 建立所需的任何其他規則，然後完成精靈。