Distribuire i criteri di controllo delle app con Mobile Gestione dispositivi (MDM)
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
È possibile usare una soluzione MDM (Mobile Gestione dispositivi), ad esempio Microsoft Intune, per configurare Controllo app per le aziende nei computer client. Intune include il supporto nativo per Controllo app, che può essere un punto di partenza utile, ma i clienti potrebbero trovare le opzioni disponibili per il circle-of-trust troppo limitate. Per distribuire un criterio personalizzato tramite Intune e definire il proprio cerchio di attendibilità, è possibile configurare un profilo usando l'URI OMA personalizzato. Se l'organizzazione usa un'altra soluzione MDM, rivolgersi al provider di soluzioni per i passaggi di distribuzione dei criteri di controllo delle app.
Importante
A causa di un problema noto, è consigliabile attivare sempre i nuovi criteri di base del controllo app firmaticon un riavvio nei sistemi con l'integrità della memoria abilitata. Anziché Mobile Gestione dispositivi (MDM), distribuire nuovi criteri di base del controllo app firmati tramite script e attivare i criteri con un riavvio del sistema.
Questo problema non influisce sugli aggiornamenti dei criteri di base firmati già attivi nel sistema, sulla distribuzione di criteri non firmati o sulla distribuzione di criteri supplementari (firmati o non firmati). Inoltre, non influisce sulle distribuzioni in sistemi che non eseguono l'integrità della memoria.
Usare i criteri predefiniti di Intune
il supporto predefinito di Controllo app per le aziende di Intune consente di configurare i computer client Windows solo per l'esecuzione:
- Componenti Windows
- Driver del kernel hardware e software di terze parti
- App firmate in Microsoft Store
- [Facoltativo] App affidabili come definite da Intelligent Security Graph (ISG)
Nota
I criteri predefiniti di Intune usano la versione pre-1903 del formato a criteri singoli dei criteri DefaultWindows. Usare l'esperienza migliorata Intune Controllo app, attualmente in anteprima pubblica, per creare e distribuire file di formato con più criteri. In alternativa, è possibile usare la funzionalità URI OMA personalizzata di Intune per distribuire criteri di controllo delle app con formato multi-criterio e sfruttare le funzionalità disponibili in Windows 10 1903 o Windows 11, come descritto più avanti in questo argomento.
Nota
Intune usa attualmente il CSP AppLocker per distribuire i criteri predefiniti. Il provider di servizi di configurazione AppLocker richiede sempre un riavvio del dispositivo quando applica i criteri di Controllo app. Usare l'esperienza migliorata Intune Controllo app, attualmente in anteprima pubblica, per distribuire i criteri di Controllo app senza riavviare. In alternativa, è possibile usare la funzionalità URI OMA personalizzata di Intune con il CSP ApplicationControl.
Per usare i criteri predefiniti di Controllo app di Intune, configurare Endpoint Protection per Windows 10 (e versioni successive).
Distribuire criteri di Controllo app con URI OMA personalizzato
Nota
I criteri distribuiti tramite Intune URI OMA personalizzato sono soggetti a un limite di 350.000 byte. I clienti devono creare criteri di Controllo app per le aziende che usano regole basate su firma, Intelligent Security Graph e programmi di installazione gestiti, laddove pratico. I clienti i cui dispositivi eseguono oltre 1903 build di Windows sono invitati a usare più criteri che consentono criteri più granulari.
A questo punto è necessario convertire uno o più criteri di Controllo app in formato binario. In caso contrario, seguire i passaggi descritti in Distribuzione dei criteri di controllo delle app per le aziende.
Distribuire criteri di controllo app personalizzati in Windows 10 1903 e versioni successive
A partire da Windows 10 1903, la distribuzione di criteri URI OMA personalizzati può usare il CSP ApplicationControl, che supporta più criteri e criteri senza riavvio.
Nota
Prima di eseguire la distribuzione con l'URI OMA, è necessario convertire il codice XML dei criteri personalizzati in formato binario.
I passaggi per usare la funzionalità OMA-URI personalizzata di Intune sono:
Aprire il portale di Microsoft Intune e creare un profilo con impostazioni personalizzate.
Specificare un nome e una descrizione e usare i valori seguenti per le impostazioni OMA-URI personalizzate rimanenti:
-
URI OMA:
./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
- Tipo di dati: Base64 (file)
- File di certificato: caricare il file dei criteri di formato binario. A tale scopo, modificare il file {GUID}.cip in {GUID}.bin. Non è necessario caricare un file Base64, perché Intune converte il file .bin caricato in Base64 per conto dell'utente.
-
URI OMA:
Nota
Per il valore GUID dei criteri, non includere le parentesi graffe.
Rimuovere i criteri di controllo delle app in Windows 10 1903 e versioni successive
Dopo l'eliminazione, i criteri distribuiti tramite Intune tramite applicationcontrol CSP vengono rimossi dal sistema, ma rimangono attivi fino al riavvio successivo. Per disabilitare l'imposizione di Controllo app per le aziende, sostituire prima di tutto i criteri esistenti con una nuova versione del criterio "Consenti *", come le regole nei criteri di esempio in %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml. Dopo aver distribuito i criteri aggiornati, è possibile eliminare i criteri dal portale di Intune. Questa eliminazione impedirà il blocco di qualsiasi elemento e rimuoverà completamente i criteri di Controllo app al riavvio successivo.
Per i sistemi pre-1903
Distribuzione di criteri
I passaggi per usare la funzionalità OMA-URI personalizzata di Intune per applicare il CSP AppLocker e distribuire un criterio di controllo app personalizzato nei sistemi precedenti al 1903 sono:
Convertire il codice XML dei criteri in formato binario usando il cmdlet ConvertFrom-CIPolicy per la distribuzione. I criteri binari possono essere firmati o non firmati.
Aprire il portale di Microsoft Intune e creare un profilo con impostazioni personalizzate.
Specificare un nome e una descrizione e usare i valori seguenti per le impostazioni OMA-URI personalizzate rimanenti:
-
URI OMA:
./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
- Tipo di dati: Base64 (file)
- File di certificato: caricare il file dei criteri di formato binario
Nota
La distribuzione dei criteri tramite il CSP AppLocker forza il riavvio durante la Configurazione guidata.
-
URI OMA:
Rimozione di criteri
I criteri distribuiti tramite Intune tramite il CSP AppLocker non possono essere eliminati tramite la console di Intune. Per disabilitare l'imposizione dei criteri di Controllo app per le aziende, distribuire un criterio in modalità di controllo o usare uno script per eliminare i criteri esistenti.