使用 群組原則 部署商務用應用程控原則
注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
重要
由於已知問題,您應該一律啟用新的已簽署應用程控基底原則,並在已啟用記憶體完整性的系統上重新啟動。 不要 群組原則,而是透過腳本部署新的已簽署應用程控基底原則,並在系統重新啟動時啟用原則。
此問題不會影響系統上已啟用之已簽署基底原則的更新、未簽署原則的部署,或 (已簽署或未簽署) 的補充原則部署。 它也不會影響未執行記憶體完整性的系統部署。
單一原則格式商務用應用程控原則 (1903 之前的原則架構) 可以使用 群組原則 輕鬆地部署和管理。
重要
群組原則 商務用應用程控原則的部署僅支援單一原則格式的應用程控原則。 若要在執行 Windows 10 1903 或更新版本或 Windows 11 的裝置上使用應用程控,建議您使用替代方法進行原則部署。
您現在應該已將應用程控原則轉換成二進位格式。 如果沒有,請遵循 部署商務用應用程控原則中所述的步驟。
下列程式會逐步引導您使用名為 Contoso GPO Test 的 GPO,將名為 SiPolicy.p7b 的應用程控原則部署至名為「已啟用應用程控計算機」的測試 OU。
若要使用下 群組原則 部署和管理商務用應用程控原則:
在安裝 RSAT 的用戶端電腦上,執行 GPMC.MSC 來開啟 GPMC
建立新的 GPO:以滑鼠右鍵按兩下 OU,然後選取 [ 在此網域中建立 GPO],然後將它連結到這裡。
注意
您可以使用任何 OU 名稱。 此外,當您考慮將應用程控原則結合 (或將它們分開) 的不同方式時,安全組篩選是一個選項,如 規劃商務用應用程控生命周期原則管理中所述。
命名新的 GPO。 您可以選擇任何名稱。
開啟 [群組原則 管理] 編輯器:以滑鼠右鍵按兩下新的 GPO,然後選取 [編輯]。
在選取的 GPO 中,流覽至 [計算機設定]\[系統管理範本]\[系統\Device Guard]。 以滑鼠右鍵按兩下 [部署商務用應用程控 ],然後選取 [ 編輯]。
在 [ 部署商務用應用程控 ] 對話框中,選取 [ 已啟用 ] 選項,然後指定 [應用程控] 原則部署路徑。
在此原則設定中,您可以指定原則將存在於每部用戶端電腦上的本機路徑,或指定通用命名約定 (UNC) 用戶端電腦將尋找以擷取最新版原則的路徑。 例如,使用 部署商務用應用程控 原則中所述步驟的 SiPolicy.p7b 路徑會是 %USERPROFILE%\Desktop\SiPolicy.p7b。
注意
此原則檔案不需要複製到每部計算機。 您可以改為將應用程控原則複製到所有電腦帳戶都可存取的檔案共用。 您在此處選取的任何原則在部署到個別的用戶端電腦時,都會轉換為 SIPolicy.p7b。
注意
您可能已經注意到 GPO 設定會參考 .p7b 檔案,但原則二進位檔的擴展名和名稱並不重要。 不論您將原則二進位檔命名為何種,它們都會在套用至執行 Windows 10的用戶端計算機時轉換成 SIPolicy.p7b。 如果您要將不同的應用程控原則部署到不同的裝置集合,您可能會想要為每個應用程控原則提供易記名稱,並允許系統為您轉換原則名稱,以確保在共用或其他任何中央存放庫中檢視原則時,可以輕鬆區分原則。
關閉 群組原則 管理 編輯器,然後重新啟動 Windows 測試電腦。 重新啟動電腦會更新應用程控原則。