Implementar políticas do Controlo de Aplicações para Empresas com Política de Grupo
Observação
Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.
Importante
Devido a um problema conhecido, deve ativar sempre as novas políticas da Base de Controlo de Aplicações assinadascom um reinício nos sistemas com a integridade da memória ativada. Em vez de Política de Grupo, implemente novas políticas da Base de Controlo de Aplicações assinadas através de script e ative a política com um reinício do sistema.
Este problema não afeta as atualizações às políticas de Base assinadas que já estejam ativas no sistema, na implementação de políticas não assinadas ou na implementação de políticas suplementares (assinadas ou não assinadas). Também não afeta as implementações em sistemas que não estão a executar a integridade da memória.
O formato de política única Controlo de Aplicações para Políticas empresariais (esquema de política anterior a 1903) pode ser facilmente implementado e gerido com Política de Grupo.
Importante
Política de Grupo implementação baseada em políticas do Controlo de Aplicações para Empresas só suporta políticas de Controlo de Aplicações de formato de política única. Para utilizar o Controlo de Aplicações em dispositivos com Windows 10 1903 e superior, ou Windows 11, recomendamos que utilize um método alternativo para a implementação de políticas.
Agora, deverá ter uma política de Controlo de Aplicações convertida em formato binário. Caso contrário, siga os passos descritos em Implementar políticas do Controlo de Aplicações para Empresas.
O procedimento seguinte explica como implementar uma política de Controlo de Aplicações denominada SiPolicy.p7b numa UO de teste denominada PCs Ativados pelo Controlo de Aplicações através de um GPO chamado Teste GPO da Contoso.
Para implementar e gerir uma política de Controlo de Aplicações para Empresas com Política de Grupo:
Num computador cliente no qual o RSAT está instalado, abra o GPMC ao executar GPMC.MSC
Crie um novo GPO: clique com o botão direito do rato numa UO e, em seguida, selecione Criar um GPO neste domínio e Ligue-o aqui.
Observação
Pode utilizar qualquer nome de UO. Além disso, a filtragem de grupos de segurança é uma opção quando considera diferentes formas de combinar políticas de Controlo de Aplicações (ou mantê-las separadas), conforme discutido em Planear a gestão de políticas de ciclo de vida do Controlo de Aplicações para Empresas.
Nomeie o novo GPO. Você pode escolher qualquer nome.
Abra o Editor gestão de Política de Grupo: clique com o botão direito do rato no novo GPO e, em seguida, selecione Editar.
No GPO selecionado, navegue para Configuração do Computador\Modelos Administrativos\Sistema\Device Guard. Clique com o botão direito do rato em Implementar Controlo de Aplicações para Empresas e, em seguida, selecione Editar.
Na caixa de diálogo Implementar Controlo de Aplicações para Empresas , selecione a opção Ativado e, em seguida, especifique o caminho de implementação da política de Controlo de Aplicações.
Nesta definição de política, especifique o caminho local onde a política existirá em cada computador cliente ou um caminho UNC (Universal Naming Convention) que os computadores cliente procurarão para obter a versão mais recente da política. Por exemplo, o caminho para SiPolicy.p7b através dos passos descritos em Implementar políticas de Controlo de Aplicações para Empresas seria %USERPROFILE%\Desktop\SiPolicy.p7b.
Observação
Este ficheiro de política não precisa de ser copiado para todos os computadores. Em vez disso, pode copiar as políticas de Controlo de Aplicações para uma partilha de ficheiros à qual todas as contas de computador têm acesso. Todas as políticas selecionadas aqui são convertidas em SIPolicy.p7b quando ele é implantado em computadores cliente individuais.
Observação
Poderá ter reparado que a definição de GPO faz referência a um ficheiro .p7b, mas a extensão de ficheiro e o nome do binário da política não importam. Independentemente do nome do binário da política, todos eles são convertidos em SIPolicy.p7b quando aplicados aos computadores cliente que executam Windows 10. Se estiver a implementar diferentes políticas de Controlo de Aplicações em diferentes conjuntos de dispositivos, poderá querer dar um nome amigável a cada uma das suas políticas de Controlo de Aplicações e permitir que o sistema converta os nomes das políticas para garantir que as políticas são facilmente distinguidas quando vistas numa partilha ou noutro repositório central.
Feche o Editor de Gestão de Política de Grupo e, em seguida, reinicie o computador de teste do Windows. Reiniciar o computador atualiza a política de Controlo de Aplicações.