Gerir Aplicações Em Pacote com o Controlo de Aplicações para Empresas
Observação
Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.
Este artigo para profissionais de TI descreve conceitos e listas de procedimentos para o ajudar a gerir aplicações em pacote com o Controlo de Aplicações para Empresas como parte da sua estratégia geral de Controlo de Aplicações.
Comparar aplicações clássicas do Windows e aplicações em pacote
O maior desafio na adoção do Controlo de Aplicações é a falta de uma identidade de aplicação forte para aplicações clássicas do Windows, também conhecidas como aplicações win32. Uma aplicação win32 típica consiste em vários componentes, incluindo o instalador utilizado para instalar a aplicação e um ou mais exes, dlls ou scripts. Uma aplicação pode consistir em centenas ou mesmo milhares de binários individuais que trabalham em conjunto para fornecer a funcionalidade que os seus utilizadores compreendem como a aplicação. Alguns desses códigos podem ser assinados pelo fabricante de software, alguns podem ser assinados por outras empresas e alguns deles podem não estar assinados. Grande parte do código pode ser escrito no disco por um conjunto comum de instaladores, mas alguns podem já estar instalados e alguns transferidos a pedido. Alguns dos binários têm metadados de cabeçalho de recursos comuns, como o nome do produto e a versão do produto, mas outros ficheiros não partilham essas informações. Por isso, embora queira poder expressar regras como "permitir a aplicação Foo", isso não é algo que o Windows compreenda inerentemente para aplicações clássicas do Windows. Em vez disso, poderá ter de criar muitas regras de Controlo de Aplicações para permitir todos os ficheiros que compõem a aplicação.
Por outro lado, as aplicações em pacote, também conhecidas como MSIX, garantem que todos os ficheiros que compõem uma aplicação partilham a mesma identidade e têm uma assinatura comum. Por conseguinte, com aplicações em pacote, é possível controlar toda a aplicação com uma única regra de Controlo de Aplicações.
Utilizar o Controlo de Aplicações para Gerir Aplicações Em Pacote
Importante
Ao controlar aplicações em pacote, tem de escolher entre regras de signatário ou regras de Nome da Família de Pacotes (PFN). Se for utilizada qualquer regra de Nome da Família de Pacotes (PFN) na política base do Controlo de Aplicações ou numa das políticas suplementares, todas as aplicações em pacote têm de ser controladas exclusivamente através de regras PFN. Não pode misturar e combinar regras PFN com regras baseadas em assinaturas dentro do âmbito de uma determinada política de base. Isto afetará muitas aplicações do sistema de caixa de entrada, como o menu Iniciar. Pode utilizar carateres universais em regras PFN no Windows 11 para simplificar a criação da regra.
Criar regras baseadas em assinaturas para Aplicações Em Pacote
Todos os ficheiros que compõem uma aplicação MSIX são assinados com uma assinatura de catálogo comum. Pode criar uma regra de signatário a partir do ficheiro do instalador da aplicação MSIX (.msix ou .msixbundle) ou do ficheiro AppxSignature.p7x encontrado na pasta de instalação da aplicação em %ProgramFiles%\WindowsApps\ com o cmdlet New-CIPolicyRule powerShell. Por exemplo:
Criar regra de signatário a partir do MSIX/MSIXBUNDLE
$FilePath = $env:USERPROFILE+'\Downloads\WDACWizard_2.1.0.1_x64_8wekyb3d8bbwe.MSIX'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher
Em seguida, utilize o cmdlet Merge-CIPolicy do PowerShell para intercalar a nova regra no XML da política de Controlo de Aplicações existente.
Criar regra de signatário a partir de AppxSignature.p7x
$FilePath = $env:ProgramFiles+'\WindowsApps\Microsoft.App Control.WDACWizard_2.1.0.1_x64__8wekyb3d8bbwe\AppxSignature.p7x'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher
Em seguida, utilize o cmdlet Merge-CIPolicy do PowerShell para intercalar a nova regra no XML da política de Controlo de Aplicações existente.
Creating PackageFamilyName rules for Packaged Apps
Criar regras PFN a partir do PowerShell
Pode criar regras PFN diretamente a partir de aplicações em pacote que estão atualmente instaladas com os cmdlets Get-AppXPackage e New-CIPolicyRule do PowerShell. Por exemplo:
# Query for the packaged apps. This example looks for all packages from Microsoft.
$Packages = Get-AppXPackage -Name Microsoft.*
foreach ($Package in $Packages)
{
$Rules += New-CIPolicyRule -Package $Package
}
Em seguida, utilize o cmdlet Merge-CIPolicy do PowerShell para intercalar as novas regras no XML da política de Controlo de Aplicações existente.
Criar regras PFN com o Assistente de Controlo de Aplicações
Criar uma regra PFN a partir de uma aplicação MSIX instalada
Utilize os seguintes passos para criar uma regra PFN de Controlo de Aplicações para uma aplicação instalada no sistema:
- Na página Regras de Assinatura de Políticas do Assistente de Controlo de Aplicações, selecione Adicionar Regra Personalizada.
- Verifique a Regra de Modelo de Utilizador como o Âmbito da Regra, se não estiver selecionada.
- Selecione Permitir ou Negar para a Ação de Regra.
- Selecione Aplicação Em Pacote para o Tipo de Regra.
- No campo Nome do Pacote , introduza um valor de cadeia para procurar. Pode utilizar
?
ou*
carateres universais na cadeia de pesquisa. Em seguida, selecione Procurar. - Na caixa de resultados, marcar uma ou mais aplicações para as quais pretende criar regras.
- Selecione Criar Regra.
- Crie as outras regras pretendidas e, em seguida, conclua o Assistente.
Criar uma regra PFN com uma cadeia personalizada
Utilize os seguintes passos para criar uma regra PFN com um valor de cadeia personalizado:
- Repita os passos 1 a 4 no exemplo anterior.
- Selecione a caixa com o nome Utilizar Família de Pacotes Personalizados. A etiqueta do botão Procurar muda para Criar.
- No campo Nome do Pacote , introduza um valor de cadeia para a regra PFN. Pode utilizar
?
ou*
carateres universais se tiver como destino Windows 11 dispositivos. Em seguida, selecione Criar - Na caixa de resultados, marcar uma ou mais aplicações para as quais pretende criar regras.
- Selecione Criar Regra.
- Crie as outras regras pretendidas e, em seguida, conclua o Assistente.