Déployer des stratégies App Control à l’aide de Mobile Gestion des appareils (MDM)

Remarque

Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.

Vous pouvez utiliser une solution mobile Gestion des appareils (MDM), comme Microsoft Intune, pour configurer App Control for Business sur les ordinateurs clients. Intune inclut la prise en charge native d’App Control, qui peut être un point de départ utile, mais les clients peuvent trouver les options de cercle de confiance disponibles trop limitées. Pour déployer une stratégie personnalisée via Intune et définir votre propre cercle d’approbation, vous pouvez configurer un profil à l’aide de l’OMA-URI personnalisé. Si votre organization utilise une autre solution GPM, case activée avec votre fournisseur de solutions pour les étapes de déploiement de stratégie App Control.

Important

En raison d’un problème connu, vous devez toujours activer les nouvelles stratégies de base de contrôle d’application signées avec un redémarrage sur les systèmes sur lesquels l’intégrité de la mémoire est activée. Au lieu de Mobile Gestion des appareils (MDM), déployez de nouvelles stratégies App Control Base signées par le biais d’un script et activez la stratégie avec un redémarrage du système.

Ce problème n’affecte pas les mises à jour des stratégies de base signées qui sont déjà actives sur le système, le déploiement de stratégies non signées ou le déploiement de stratégies supplémentaires (signées ou non signées). Cela n’affecte pas non plus les déploiements sur des systèmes qui n’exécutent pas l’intégrité de la mémoire.

Utiliser les stratégies intégrées de Intune

La prise en charge intégrée d’App Control for Business de Intune vous permet de configurer les ordinateurs clients Windows pour qu’ils s’exécutent uniquement :

  • Composants Windows
  • Pilotes de noyau matériel et logiciel tiers
  • Applications signées du Microsoft Store
  • [Facultatif] Applications réputées telles que définies par Intelligent Security Graph (ISG)

Remarque

Les stratégies intégrées de Intune utilisent la version antérieure à 1903 au format à stratégie unique de la stratégie DefaultWindows. Utilisez l’expérience améliorée Intune App Control, actuellement en préversion publique, pour créer et déployer des fichiers de format à plusieurs stratégies. Vous pouvez également utiliser la fonctionnalité OMA-URI personnalisée de Intune pour déployer vos propres stratégies de contrôle d’application à plusieurs stratégies et tirer parti des fonctionnalités disponibles sur Windows 10 1903+ ou Windows 11, comme décrit plus loin dans cette rubrique.

Remarque

Intune utilise actuellement le fournisseur de services de configuration AppLocker pour déployer ses stratégies intégrées. Le fournisseur de services de configuration AppLocker demande toujours le redémarrage d’un appareil lorsqu’il applique des stratégies de contrôle d’application. Utilisez l’expérience améliorée Intune App Control, actuellement en préversion publique, pour déployer vos propres stratégies App Control sans redémarrage. Vous pouvez également utiliser la fonctionnalité OMA-URI personnalisée de Intune avec le csp ApplicationControl.

Pour utiliser les stratégies App Control intégrées de Intune, configurez Endpoint Protection pour Windows 10 (et versions ultérieures).

Déployer des stratégies App Control avec OMA-URI personnalisé

Remarque

Les stratégies déployées via Intune OMA-URI personnalisé sont soumises à une limite de 350 000 octets. Les clients doivent créer des stratégies App Control for Business qui utilisent des règles basées sur des signatures, le graphe de sécurité intelligent et des programmes d’installation managés lorsque cela est possible. Les clients dont les appareils exécutent des builds 1903+ de Windows sont également encouragés à utiliser plusieurs stratégies qui permettent une stratégie plus granulaire.

Vous devez maintenant avoir une ou plusieurs stratégies De contrôle d’application converties en forme binaire. Si ce n’est pas le cas, suivez les étapes décrites dans Déploiement de stratégies App Control for Business.

Déployer des stratégies de contrôle d’application personnalisées sur Windows 10 1903 et versions ultérieures

À compter de Windows 10 1903, le déploiement de stratégie OMA-URI personnalisé peut utiliser le fournisseur de services de configuration ApplicationControl, qui prend en charge plusieurs stratégies et des stratégies sans redémarrage.

Remarque

Vous devez convertir votre code XML de stratégie personnalisé en forme binaire avant de procéder au déploiement avec OMA-URI.

Les étapes à suivre pour utiliser la fonctionnalité OMA-URI personnalisée de Intune sont les suivantes :

  1. Ouvrez le portail Microsoft Intune et créez un profil avec des paramètres personnalisés.

  2. Spécifiez un Nom et une Description et utilisez les valeurs suivantes pour les paramètres OMA-URI personnalisés restants :

    • OMA-URI : ./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
    • Type de données : Base64 (fichier)
    • Fichier de certificat : chargez votre fichier de stratégie de format binaire. Pour ce faire, remplacez votre fichier {GUID}.cip par {GUID}.bin. Vous n’avez pas besoin de charger un fichier Base64, car Intune convertit le fichier .bin chargé en Base64 en votre nom.

    Configurez le contrôle d’application personnalisé.

Remarque

Pour la valeur GUID de stratégie, n’incluez pas les accolades.

Supprimer les stratégies App Control sur Windows 10 1903 et versions ultérieures

Lors de la suppression, les stratégies déployées via Intune via le fournisseur de services de configuration ApplicationControl sont supprimées du système, mais restent en vigueur jusqu’au prochain redémarrage. Pour désactiver l’application app Control for Business, remplacez d’abord la stratégie existante par une nouvelle version de la stratégie qui va « Autoriser * », comme les règles de l’exemple de stratégie à %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml. Une fois la stratégie mise à jour déployée, vous pouvez la supprimer du portail Intune. Cette suppression empêchera tout blocage et supprimera complètement la stratégie de contrôle d’application lors du prochain redémarrage.

Pour les systèmes antérieurs à 1903

Déploiement de stratégies

Les étapes permettant d’utiliser la fonctionnalité OMA-URI personnalisée de Intune pour appliquer le fournisseur de services de configuration AppLocker et déployer une stratégie de contrôle d’application personnalisée sur les systèmes antérieurs à 1903 sont les suivantes :

  1. Convertissez le xml de stratégie au format binaire à l’aide de l’applet de commande ConvertFrom-CIPolicy afin d’être déployé. La stratégie binaire peut être signée ou non signée.

  2. Ouvrez le portail Microsoft Intune et créez un profil avec des paramètres personnalisés.

  3. Spécifiez un Nom et une Description et utilisez les valeurs suivantes pour les paramètres OMA-URI personnalisés restants :

    • OMA-URI : ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
    • Type de données : Base64 (fichier)
    • Fichier de certificat : chargez votre fichier de stratégie de format binaire

    Remarque

    Le déploiement de stratégies via le fournisseur de services de configuration AppLocker force un redémarrage pendant L’OOBE.

Suppression de stratégies

Les stratégies déployées via Intune via le fournisseur de services de configuration AppLocker ne peuvent pas être supprimées via la console Intune. Pour désactiver l’application de la stratégie App Control for Business, déployez une stratégie en mode audit ou utilisez un script pour supprimer la stratégie existante.