Развертывание политик управления приложениями с помощью мобильных Управление устройствами (MDM)

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

Для настройки управления приложениями для бизнеса на клиентских компьютерах можно использовать решение mobile Управление устройствами (MDM), например Microsoft Intune. Intune включает встроенную поддержку элемента управления приложениями, которая может быть полезной отправной точкой, но клиенты могут найти доступные параметры круга доверия слишком ограничивающими. Чтобы развернуть настраиваемую политику с помощью Intune и определить собственный круг доверия, можно настроить профиль с помощью пользовательского OMA-URI. Если в вашей организации используется другое решение MDM, проверка с поставщиком решения шаги по развертыванию политики управления приложениями.

Важно.

Из-за известной проблемы следует всегда активировать новые подписанные базовые политики управления приложениями с перезагрузкой в системах с включенной целостностью памяти . Вместо мобильных Управление устройствами (MDM) разверните новые подписанные базовые политики управления приложениями с помощью скрипта и активируйте политику с перезапуском системы.

Эта проблема не влияет на обновления подписанных базовых политик, которые уже активны в системе, развертывание неподписанных политик или развертывание дополнительных политик (подписанных или неподписанных). Это также не влияет на развертывания в системах, в которых не выполняется целостность памяти.

Использование встроенных политик Intune

встроенная поддержка управления приложениями для бизнеса Intune позволяет настроить клиентские компьютеры Windows только для выполнения:

  • Компоненты Windows
  • Сторонние драйверы ядра оборудования и программного обеспечения
  • Приложения, подписанные Microsoft Store
  • [Необязательно] Уважаемые приложения, определенные в графе интеллектуальной безопасности (ISG)

Примечание.

Встроенные политики Intune используют версию политики DefaultWindows до 1903 года в формате одной политики. Используйте улучшенный интерфейс управления приложениями Intune, который в настоящее время находится в общедоступной предварительной версии, для создания и развертывания файлов в формате нескольких политик. Вы также можете использовать настраиваемую функцию OMA-URI Intune для развертывания собственных политик для управления приложениями в формате нескольких политик и использования функций, доступных в Windows 10 1903 и более поздних версий или Windows 11, как описано далее в этом разделе.

Примечание.

Intune сейчас использует поставщик служб CSP AppLocker для развертывания встроенных политик. Поставщик служб CSP AppLocker всегда запрашивает перезагрузку устройства при использовании политик управления приложениями. Используйте улучшенный интерфейс управления приложениями Intune, который в настоящее время находится в общедоступной предварительной версии, для развертывания собственных политик управления приложениями без перезапуска. Кроме того, можно использовать настраиваемую функцию OMA-URI Intune с поставщиком CSP ApplicationControl.

Чтобы использовать встроенные политики управления приложениями Intune, настройте Endpoint Protection для Windows 10 (и более поздних версий).

Развертывание политик управления приложениями с помощью пользовательского OMA-URI

Примечание.

На политики, развернутые с помощью Intune пользовательского OMA-URI, распространяется ограничение в 350 000 байт. Клиентам следует создавать политики управления приложениями для бизнеса, использующие правила на основе сигнатур, Граф интеллектуальной безопасности и управляемые установщики, где это возможно. Клиентам, на устройствах которых используется более 1903 сборок Windows, также рекомендуется использовать несколько политик , которые обеспечивают более детализированную политику.

Теперь у вас должна быть одна или несколько политик управления приложениями, преобразованных в двоичную форму. Если нет, выполните действия, описанные в разделе Развертывание политик управления приложениями для бизнеса.

Развертывание настраиваемых политик управления приложениями на Windows 10 1903 и более поздних версий

Начиная с Windows 10 1903, пользовательское развертывание политики OMA-URI может использовать поставщик служб CSP ApplicationControl, который поддерживает несколько политик и политик без перезагрузки.

Примечание.

Перед развертыванием с помощью OMA-URI необходимо преобразовать XML-код настраиваемой политики в двоичную форму.

Ниже приведены шаги по использованию пользовательских функций OMA-URI Intune.

  1. Откройте портал Microsoft Intune и создайте профиль с настраиваемыми параметрами.

  2. Укажите имя и описание и используйте следующие значения для оставшихся пользовательских ПАРАМЕТРОВ OMA-URI:

    • OMA-URI: ./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
    • Тип данных: Base64 (файл)
    • Файл сертификата. Отправьте файл политики двоичного формата. Для этого измените файл {GUID}.cip на {GUID}.bin. Вам не нужно отправлять файл Base64, так как Intune преобразует отправленный .bin файл в Base64 от вашего имени.

    Настройка пользовательского элемента управления приложениями.

Примечание.

Для значения GUID политики не включайте фигурные скобки.

Удаление политик управления приложениями в Windows 10 1903+

После удаления политики, развернутые через Intune через поставщик служб CSP ApplicationControl, удаляются из системы, но остаются в силе до следующей перезагрузки. Чтобы отключить принудительное применение управления приложениями для бизнеса, сначала замените существующую политику новой версией политики, которая будет "Разрешить *", как правила в примере политики в %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml. После развертывания обновленной политики ее можно удалить на портале Intune. Это удаление предотвратит блокировку и полностью удалит политику управления приложениями при следующей перезагрузке.

Для систем до 1903 года

Развертывание политик

Чтобы использовать пользовательский OMA-URI Intune для применения поставщика CSP AppLocker и развертывания настраиваемой политики управления приложениями в системах до 1903 года:

  1. Преобразуйте XML-код политики в двоичный формат с помощью командлета ConvertFrom-CIPolicy для развертывания. Двоичная политика может быть подписана или не подписана.

  2. Откройте портал Microsoft Intune и создайте профиль с настраиваемыми параметрами.

  3. Укажите имя и описание и используйте следующие значения для оставшихся пользовательских ПАРАМЕТРОВ OMA-URI:

    • OMA-URI: ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
    • Тип данных: Base64 (файл)
    • Файл сертификата: отправка файла политики двоичного формата

    Примечание.

    Развертывание политик с помощью поставщика служб CSP AppLocker приведет к принудительной перезагрузке во время запуска запуска.

Удаление политик

Политики, развернутые с помощью Intune через поставщик служб CSP AppLocker, не могут быть удалены через консоль Intune. Чтобы отключить принудительное применение политики управления приложениями для бизнеса, разверните политику режима аудита или используйте скрипт для удаления существующей политики.