使用行動裝置 裝置管理 (MDM) 部署應用程控原則

注意

商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性

您可以使用行動 裝置管理 (MDM) 解決方案,例如 Microsoft Intune,在用戶端電腦上設定商務用應用程控。 Intune 包含應用程控的原生支援,這可能是實用的起點,但客戶可能會發現可用的信任圈選項太受限制。 若要透過 Intune 部署自定義原則,並定義您自己的信任圈,您可以使用自定義 OMA-URI 來設定設定檔。 如果您的組織使用另一個 MDM 解決方案,請洽閱解決方案提供者以取得應用程控原則部署步驟。

重要

由於已知問題,您應該一律啟用新的已簽署應用程控基底原則,並在已啟用記憶體完整性的系統上重新啟動。 而不是行動 裝置管理 (MDM) ,而是透過腳本部署新的已簽署的應用程控基底原則,並透過系統重新啟動來啟用原則。

此問題不會影響系統上已啟用之已簽署基底原則的更新、未簽署原則的部署,或 (已簽署或未簽署) 的補充原則部署。 它也不會影響未執行記憶體完整性的系統部署。

使用 Intune 的內建原則

Intune 的內建商務應用程控支援可讓您將 Windows 用戶端電腦設定為只執行:

  • Windows 元件
  • 第三方硬體和軟體核心驅動程式
  • Microsoft市集簽署的應用程式
  • [選擇性]Intelligent Security Graph (ISG) 所定義的可靠應用程式

注意

Intune 的內建原則會使用DefaultWindows原則的1903之前單一原則格式版本。 使用改良的 Intune 應用程控體驗,目前為公開預覽版,以建立及部署多重原則格式檔案。 或者,您可以使用 Intune 的自定義 OMA-URI 功能來部署您自己的多原則格式應用程控原則,並利用 Windows 10 1903+ 或 Windows 11 上可用的功能,如本主題稍後所述。

注意

Intune 目前使用AppLocker CSP來部署其內建原則。 AppLocker CSP 一律會在套用應用程控原則時要求裝置重新啟動。 使用改良的 Intune 應用程控體驗,目前處於公開預覽狀態,可部署您自己的應用程控原則,而不需要重新啟動。 或者,您可以使用 Intune 的自定義 OMA-URI 功能搭配 ApplicationControl CSP。

若要使用 Intune 的內建應用程控原則,請設定 Windows 10 (和更新版本的 Endpoint Protection)

使用自定義 OMA-URI 部署應用程控原則

注意

透過 Intune 自定義 OMA-URI 部署的原則受限於 350,000 個字節限制。 客戶應該建立使用簽章型規則、Intelligent Security Graph 和受控安裝程式的商務用應用程控原則。在可行的情況下。 此外,也建議其裝置執行 1903 以上 Windows 組建的客戶使用 多個 原則,以允許更細微的原則。

您現在應該已將一或多個應用程控原則轉換成二進位形式。 如果沒有,請遵循 部署商務用應用程控原則中所述的步驟。

在 Windows 10 1903+ 上部署自定義應用程控原則

從 Windows 10 1903 開始,自定義 OMA-URI 原則部署可以使用 ApplicationControl CSP,其支援多個原則和重新啟動原則。

注意

您必須先將自定義原則 XML 轉換成二進位格式,才能使用 OMA-URI 進行部署。

使用 Intune 自定義 OMA-URI 功能的步驟如下:

  1. 開啟 Microsoft Intune 入口網站,並使用自定義設定建立配置檔

  2. 指定 [名稱 ] 和 [描述 ],並針對其餘的自定義 OMA-URI 設定使用下列值:

    • OMA-URI./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
    • 數據類型:Base64 (檔案)
    • 憑證檔案:上傳您的二進位格式原則檔案。 若要這樣做,請將您的 {GUID}.cip 檔案變更為 {GUID}.bin。 您不需要上傳Base64檔案,因為 Intune 代表您將上傳的.bin檔案轉換成Base64。

    設定自定義應用程控。

注意

針對 [ 原則 GUID] 值,請勿包含大括弧。

拿掉 Windows 10 1903+ 上的應用程控原則

刪除時,透過 applicationControl CSP 透過 Intune 部署的原則會從系統中移除,但在下次重新啟動之前會保持作用。 若要停用商務用應用程控強制執行,請先將現有的原則取代為將「允許」的新版本原則,如同 %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml 範例原則中的規則。 部署更新的原則之後,您就可以從 Intune 入口網站中刪除原則。 此刪除會防止封鎖任何專案,並在下次重新啟動時完全移除應用程控原則。

針對 1903 之前系統

部署原則

使用 Intune 的自定義 OMA-URI 功能來套用 AppLocker CSP 並將自定義應用程控原則部署到 1903 年之前系統的步驟如下:

  1. 使用 ConvertFrom-CIPolicy Cmdlet 將原則 XML 轉換成二進位格式,以進行部署。 二進位原則可能已簽署或未簽署。

  2. 開啟 Microsoft Intune 入口網站,並使用自定義設定建立配置檔

  3. 指定 [名稱 ] 和 [描述 ],並針對其餘的自定義 OMA-URI 設定使用下列值:

    • OMA-URI./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
    • 數據類型:Base64 (檔案)
    • 憑證檔案:上傳您的二進位格式原則檔案

    注意

    透過 AppLocker CSP 部署原則會在 OOBE 期間強制重新啟動。

拿掉原則

無法透過 Intune 主控台刪除透過 appLocker CSP Intune 部署的原則。 若要停用商務用應用程控原則強制執行,請部署稽核模式原則,或使用腳本來刪除現有原則。