使用移动设备管理 (MDM) 部署应用控制策略

注意

适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性

可以使用移动设备管理 (MDM) 解决方案(如Microsoft Intune)在客户端计算机上配置适用于企业的应用控制。 Intune包括对应用控件的本机支持,这可能是一个有用的起点,但客户可能会发现可用的信任圈选项太有限。 若要通过Intune部署自定义策略并定义自己的信任圈,可以使用自定义 OMA-URI 配置配置文件。 如果组织使用另一个 MDM 解决方案,检查解决方案提供商了解应用控制策略部署步骤。

重要提示

由于已知问题,应始终在启用了内存完整性的系统上重新启动后激活新签名的应用控制基础策略。 无需移动设备管理 (MDM) ,而是通过脚本部署新的已签名应用控制基础策略,并在系统重启时激活策略。

此问题不会影响对系统上已处于活动状态的已签名基本策略的更新、未签名策略的部署或 (已签名或未签名) 的补充策略的部署。 它还不会影响到未运行内存完整性的系统的部署。

使用Intune的内置策略

Intune的内置企业应用控制支持允许将 Windows 客户端计算机配置为仅运行:

  • Windows 组件
  • 第三方硬件和软件内核驱动程序
  • Microsoft应用商店签名的应用
  • [可选]智能安全图 (ISG) 定义的信誉良好的应用

注意

Intune的内置策略使用 1903 年之前的单策略格式版本的 DefaultWindows 策略。 使用改进的 Intune 应用控制体验(目前为公共预览版)创建和部署多策略格式化文件。 或者,可以使用 Intune 的自定义 OMA-URI 功能部署自己的多策略格式应用控制策略,并利用 Windows 10 1903+ 或 Windows 11 上提供的功能,如本主题后面部分所述。

注意

Intune当前使用 AppLocker CSP 部署其内置策略。 AppLocker CSP 在应用应用控制策略时始终请求设备重启。 使用改进的 Intune 应用控制体验(目前为公共预览版)部署自己的应用控制策略,而无需重启。 或者,可以将 Intune 的自定义 OMA-URI 功能与 ApplicationControl CSP 配合使用。

若要使用Intune的内置应用控制策略,请配置 Endpoint Protection for Windows 10 (及更高版本,)

使用自定义 OMA-URI 部署应用控制策略

注意

通过Intune自定义 OMA-URI 部署的策略受 350,000 字节的限制。 客户应创建适用于企业的应用控制策略,这些策略使用基于签名的规则、智能安全图和托管安装程序(如果可行)。 还鼓励设备运行 1903 多个 Windows 版本的客户使用 多个策略 ,以允许更精细的策略。

现在应将一个或多个应用控制策略转换为二进制形式。 如果没有,请按照 部署适用于企业的应用控制策略中所述的步骤进行操作。

在 Windows 10 1903+ 上部署自定义应用控制策略

从 Windows 10 1903 开始,自定义 OMA-URI 策略部署可以使用 ApplicationControl CSP,该 CSP 支持多个策略和无重启策略。

注意

在使用 OMA-URI 进行部署之前,必须将自定义策略 XML 转换为二进制格式。

使用Intune的自定义 OMA-URI 功能的步骤如下:

  1. 打开Microsoft Intune门户,并使用自定义设置创建配置文件

  2. 指定 “名称”“说明 ”,并将以下值用于剩余的自定义 OMA-URI 设置:

    • OMA-URI./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
    • 数据类型:Base64 (文件)
    • 证书文件:上传二进制格式策略文件。 为此,请将 {GUID}.cip 文件更改为 {GUID}.bin。 无需上传 Base64 文件,因为Intune代表你将上传的 .bin 文件转换为 Base64。

    配置自定义应用控件。

注意

对于 策略 GUID 值,请勿包含大括号。

删除 Windows 10 1903+ 上的应用控制策略

删除后,通过 applicationControl CSP 通过 Intune 部署的策略将从系统中删除,但在下次重新启动之前一直有效。 若要禁用适用于企业的应用控制强制实施,请先将现有策略替换为将“允许 *”的策略的新版本,如 %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml 的示例策略中的规则。 部署更新的策略后,可以从Intune门户删除策略。 此删除将防止阻止任何内容,并在下次重新启动时完全删除应用控制策略。

对于 1903 之前的系统

部署策略

使用 Intune 的自定义 OMA-URI 功能应用 AppLocker CSP 并将自定义应用控制策略部署到 1903 之前的系统的步骤如下:

  1. 使用 ConvertFrom-CIPolicy cmdlet 将策略 XML 转换为二进制格式,以便进行部署。 二进制策略可以是有符号的,也可以是无符号的。

  2. 打开Microsoft Intune门户,并使用自定义设置创建配置文件

  3. 指定 “名称”“说明 ”,并将以下值用于剩余的自定义 OMA-URI 设置:

    • OMA-URI./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
    • 数据类型:Base64 (文件)
    • 证书文件:上传二进制格式策略文件

    注意

    通过 AppLocker CSP 部署策略将在 OOBE 期间强制重启。

删除策略

无法通过 Intune 控制台删除通过 Intune 通过 AppLocker CSP 部署的策略。 若要禁用适用于企业的应用控制策略强制实施,请部署审核模式策略或使用脚本删除现有策略。