Déployer des stratégies App Control for Business à l’aide de stratégie de groupe

Remarque

Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.

Important

En raison d’un problème connu, vous devez toujours activer les nouvelles stratégies de base de contrôle d’application signées avec un redémarrage sur les systèmes sur lesquels l’intégrité de la mémoire est activée. Au lieu de stratégie de groupe, déployez de nouvelles stratégies App Control Base signées via un script et activez la stratégie avec un redémarrage du système.

Ce problème n’affecte pas les mises à jour des stratégies de base signées qui sont déjà actives sur le système, le déploiement de stratégies non signées ou le déploiement de stratégies supplémentaires (signées ou non signées). Cela n’affecte pas non plus les déploiements sur des systèmes qui n’exécutent pas l’intégrité de la mémoire.

Les stratégies App Control for Business au format à stratégie unique (schéma de stratégie antérieur à 1903) peuvent être facilement déployées et gérées avec stratégie de groupe.

Important

le déploiement basé sur stratégie de groupe des stratégies App Control for Business prend uniquement en charge les stratégies De contrôle d’application au format de stratégie unique. Pour utiliser App Control sur les appareils exécutant Windows 10 1903 et versions ultérieures, ou Windows 11, nous vous recommandons d’utiliser une autre méthode pour le déploiement de stratégie.

Vous devez maintenant avoir une stratégie De contrôle d’application convertie en forme binaire. Si ce n’est pas le cas, suivez les étapes décrites dans Déploiement de stratégies App Control for Business.

La procédure suivante vous guide tout au long du déploiement d’une stratégie App Control appelée SiPolicy.p7b sur une unité d’organisation de test appelée App Control Enabled PC à l’aide d’un objet de stratégie de groupe appelé Contoso GPO Test.

Pour déployer et gérer une stratégie App Control for Business avec stratégie de groupe :

  1. Sur un ordinateur client sur lequel rsat est installé, ouvrez la console GPMC en exécutant GPMC.MSC

  2. Créer un nouvel objet de stratégie de groupe : cliquez avec le bouton droit sur une unité d’organisation, puis sélectionnez Créer un objet de stratégie de groupe dans ce domaine, puis liez-le ici.

    Remarque

    Vous pouvez utiliser n’importe quel nom d’unité d’organisation. En outre, le filtrage des groupes de sécurité est une option lorsque vous envisagez différentes façons de combiner des stratégies De contrôle d’application (ou de les séparer), comme indiqué dans Planifier la gestion des stratégies de cycle de vie d’App Control for Business.

    stratégie de groupe Management, créez un objet de stratégie de groupe.

  3. Nommez le nouvel objet GPO. Vous pouvez choisir n'importe quel nom.

  4. Ouvrez le Rédacteur gestion stratégie de groupe : cliquez avec le bouton droit sur le nouvel objet de stratégie de groupe, puis sélectionnez Modifier.

  5. Dans l’objet de stratégie de groupe sélectionné, accédez à Configuration ordinateur\Modèles d’administration\Système\Device Guard. Cliquez avec le bouton droit sur Déployer App Control for Business , puis sélectionnez Modifier.

    Modifiez le stratégie de groupe pour App Control for Business.

  6. Dans la boîte de dialogue Déployer App Control for Business , sélectionnez l’option Activé , puis spécifiez le chemin de déploiement de la stratégie App Control.

    Dans ce paramètre de stratégie, vous spécifiez le chemin d’accès local où la stratégie existera sur chaque ordinateur client ou un chemin d’accès UNC (Universal Naming Convention) que les ordinateurs clients rechercheront pour récupérer la dernière version de la stratégie. Par exemple, le chemin d’accès à SiPolicy.p7b suivant les étapes décrites dans Déploiement de stratégies App Control for Business serait %USERPROFILE%\Desktop\SiPolicy.p7b.

    Remarque

    Ce fichier de stratégie n’a pas besoin d’être copié sur tous les ordinateurs. Vous pouvez copier les stratégies de contrôle d’application dans un partage de fichiers auquel tous les comptes d’ordinateur ont accès. Toute stratégie sélectionnée ici est convertie et se voit affecter le nom « SIPolicy.p7b » lorsqu’elle est déployée sur les différents ordinateurs clients.

    stratégie de groupe appelé Deploy App Control for Business.

    Remarque

    Vous avez peut-être remarqué que le paramètre d’objet de stratégie de groupe fait référence à un fichier .p7b, mais que l’extension de fichier et le nom du fichier binaire de stratégie n’ont pas d’importance. Quel que soit le nom que vous nommez votre fichier binaire de stratégie, ils sont tous convertis en SIPolicy.p7b lorsqu’ils sont appliqués aux ordinateurs clients exécutant Windows 10. Si vous déployez différentes stratégies de contrôle d’application sur différents ensembles d’appareils, vous souhaiterez peut-être attribuer un nom convivial à chacune de vos stratégies de contrôle d’application et autoriser le système à convertir les noms de stratégie pour vous assurer que les stratégies sont facilement identifiables lorsqu’elles sont consultées dans un partage ou tout autre référentiel central.

  7. Fermez le Rédacteur stratégie de groupe Management, puis redémarrez l’ordinateur de test Windows. Le redémarrage de l’ordinateur met à jour la stratégie De contrôle d’application.