使用应用控件添加新应用
在环境中部署应用控件后,你和 Microsoft 托管桌面操作都将持续承担责任。 例如,你可能想要在环境中添加新应用程序,或添加(或删除)受信任的签名者。 为了提高安全性,所有应用在发布给用户之前,都应进行代码签名。 应用程序的发布者详细信息包括有关签名者的信息。
添加新应用
若要添加新应用,请执行以下操作:
- 将应用添加到 Microsoft Intune。
- 将应用部署到测试环中的任何设备。
- 根据标准业务流程测试应用。
- 检查 Application and Services Logs\Microsoft\Windows\AppLocker 下的时间查看器。 查找任何 8003 或 8006 事件。 这些事件表示应用将被阻止。 有关所有应用锁定程序事件及其含义的更多信息,请参阅将事件查看器与 AppLocker 一起使用。
- 如果发现任何此类事件,请使用 Microsoft 托管桌面操作打开签名者请求。
添加(或删除)受信任的签名者
打开签名者请求时,需要先提供一些重要的发布者详细信息。
若要添加(或删除)受信任的签名者,请执行以下操作:
- 收集发布者详细信息。
- 使用 Microsoft 托管桌面操作开具票证以请求签名者规则,并包括以下详细信息:
- 应用程序名称
- 应用程序版本
- 说明
- 更改类型(“添加”或“删除”)
- 发布者详细信息(例如:
O=<publisher name>,L=<location>,S=State,C=Country)
注意
若要删除对应用的信任,请执行相同的步骤,但将“更改类型”设置为“删除”。
操作将按照此计划逐步将策略部署到部署组:
| 部署组 | 策略类型 | Timing |
|---|---|---|
| 测试 | Audit | 第 0 天 |
| First | Enforced | 第 1 天 |
| 快速 | Enforced | 第 2 天 |
| 宽泛 | Enforced | 第 3 天 |
可以在部署期间随时暂停或回滚部署。 若要暂停或回滚,请使用 Microsoft 托管桌面操作打开另一个支持请求。
注意
如果暂停发布签名者规则,则必须回滚或完成该规则,然后才能开始另一个部署。
收集发布者详细信息
若要访问应用的发布者数据,请执行以下操作:
- 在应用了审核模式策略的测试环中查找 Microsoft 托管桌面设备。
- 尝试在设备上安装应用。
- 在该设备上打开事件查看器。
- 在事件查看器中,导航到 Application and Services Logs\Microsoft\Windows,然后选择 AppLocker。
- 查找任何 8003 或 8006 事件,然后从事件复制信息:
- 应用程序名称
- 应用程序版本
- 说明
- 发布者详细信息(例如:
O=<publisher name>, L=<location>, S=State, C=Country)