Share via

Jóváhagyott alkalmazások kezelése Windows-eszközökhöz az App Control for Business szabályzattal és a felügyelt telepítőkkel a Microsoft Intune

  • Cikk

Ez a funkció nyilvános előzetes verzióban érhető el.

Minden nap új kártevő fájlok és alkalmazások jelennek meg a vadonban. A szervezet eszközein való futtatás kockázattal jár, amelyet nehéz lehet kezelni vagy megelőzni. Ha meg szeretné akadályozni, hogy a nem kívánt alkalmazások fussanak a felügyelt Windows-eszközökön, használhatja Microsoft Intune Vállalati verzió alkalmazásvezérlési szabályzatait.

Intune App Control for Business szabályzatai a végpontbiztonság részét képezik, és a Windows ApplicationControl CSP használatával kezelik az engedélyezett alkalmazásokat a Windows-eszközökön.

Az Üzleti alkalmazásvezérlési szabályzaton keresztül is elérhető felügyelt telepítőszabályzat felügyelt telepítőként hozzáadja a Intune felügyeleti bővítményt a bérlőhöz. Ha ez a bővítmény felügyelt telepítő, a Intune keresztül telepített alkalmazásokat a telepítő automatikusan címkézi. A címkézett alkalmazásokat az Alkalmazásvezérlés vállalati verzió szabályzatai biztonságos alkalmazásokként azonosíthatják, amelyek futtathatók az eszközökön.

A cikkben található információk segítségével felügyelt telepítőként konfigurálhatja a Intune Felügyeleti bővítményt, valamint konfigurálhatja a végpontbiztonsági alkalmazásvezérlő vállalati szabályzatokat. Ezek együttesen megkönnyítik a környezetben lévő Windows-eszközökön futtatható alkalmazások szabályozását.

További információ: Windows Defender Alkalmazásvezérlés a Windows biztonság dokumentációjában.

Megjegyzés:

Alkalmazásvezérlés üzleti szabályzattal és alkalmazásvezérlési profilokkal: Intune Vállalati alkalmazásvezérlési szabályzatok az ApplicationControl CSP-t használják. Intune támadásifelület-csökkentési szabályzatai az AppLocker CSP-t használják az alkalmazásvezérlési profiljaikhoz. A Windows bevezette az ApplicationControl CSP-t az AppLocker CSP helyére. A Windows továbbra is támogatja az AppLocker CSP-t, de már nem ad hozzá új funkciókat. Ehelyett a fejlesztés az ApplicationControl CSP-vel folytatódik.

Érintett szolgáltatás:

  • Windows 10 rendszer esetén
  • Windows 11

Előfeltételek

Eszközök

A Intune regisztrálva a következő eszközök támogatottak:

  • Windows Enterprise vagy Education:

    • A Windows 10 1903-as vagy újabb verziója
    • Windows 11 1903-es vagy újabb verzió

  • Windows Professional:

  • Windows 11 SE:

  • Azure Virtual Desktop (AVD):

    • Az AVD-eszközök támogatják az Alkalmazásvezérlés vállalati verzióra vonatkozó szabályzatok használatát

  • Közösen felügyelt eszközök:

    • Ha támogatni szeretné az üzleti alkalmazásvezérlési szabályzatokat a közösen felügyelt eszközökön, állítsa az Endpoint Protection csúszkát Intune értékre.

Windows Defender App Control for Business

Tekintse meg a Windows kiadási és licencelési követelményeit a Windows biztonság dokumentációJának Tudnivalók a Windows alkalmazásvezérléséről című témakörében.

Szerepköralapú hozzáférés-vezérlés

Az üzleti alkalmazásvezérlési szabályzatok kezeléséhez a fióknak megfelelő szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel kell rendelkeznie a kívánt feladat elvégzéséhez. A következő feladatok érhetők el a szükséges engedélyekkel:

  • Felügyelt telepítő használatának engedélyezése – A fiókokat globális rendszergazda vagy Intune szolgáltatásadminisztrátor szerepkörrel kell ellátni.

  • Alkalmazásvezérlés kezelése üzleti szabályzathoz – A fiókoknak biztonsági alapkonfigurációs engedélyekkel kell rendelkezniük a törléshez, olvasáshoz, hozzárendeléshez, Létrehozás és frissítéshez.

  • Jelentések megtekintése az Üzleti alkalmazásvezérlési szabályzathoz – A fiókoknak Olvasásszervezeti engedéllyel kell rendelkezniük.

További információ: Szerepköralapú hozzáférés-vezérlés Microsoft Intune.

Kormányzati felhőtámogatás

Intune végpontbiztonság Az alkalmazásvezérlési szabályzatok és a felügyelt telepítő konfigurálása a következő szuverén felhőkörnyezetekkel támogatott:

  • US Government-felhők
  • 21Vianet

A felügyelt telepítők használatának első lépései

A Intune végpontbiztonsági App Control for Business szabályzatával hozzáadhatja a Intune felügyeleti bővítménytfelügyelt telepítőként a felügyelt Windows-eszközökön.

Miután engedélyezte a felügyelt telepítőt, a windowsos eszközökre Intune által telepített összes további alkalmazást a felügyelt telepítő címkével jelöli meg. A címke azonosítja, hogy az alkalmazást egy ismert forrás telepítette, és megbízható. Az alkalmazások felügyelt telepítői címkézését az Alkalmazásvezérlés vállalatoknak szabályzatai automatikusan azonosítják a környezet eszközein való futtatáshoz jóváhagyott alkalmazások azonosításához.

Az Üzleti alkalmazásvezérlési szabályzatok a Windows Defender Alkalmazásvezérlés (WDAC) implementációi. A WDAC-ről és az alkalmazáscímkézésről a Windows Defender Alkalmazásvezérlés dokumentációjának Tudnivalók a Windows alkalmazásvezérlőjéről és a WDAC-alkalmazásazonosító (AppId) címkézési útmutatójáról című témakörben olvashat.

Megfontolandó szempontok a felügyelt telepítők használatához:

  • A felügyelt telepítő beállítása egy bérlőszintű konfiguráció, amely az összes felügyelt Windows-eszközre vonatkozik.

  • Miután felügyelt telepítőként engedélyezte a Intune Management bővítményt, a windowsos eszközökre Intune keresztül telepített összes alkalmazás a felügyelt telepítő jelével lesz megjelölve.

  • Ez a címke önmagában nincs hatással arra, hogy mely alkalmazások futtathatók az eszközökön. A címke csak akkor használatos, ha olyan WDAC-szabályzatokat is hozzárendel, amelyek meghatározzák, hogy mely alkalmazások futtathatók a felügyelt eszközökön.

  • Mivel nincs visszamenőleges címkézés, a felügyelt telepítő engedélyezése előtt telepített eszközökön lévő összes alkalmazás nincs címkézve. Ha WDAC-szabályzatot alkalmaz, explicit konfigurációkat kell megadnia a címkézetlen alkalmazások futtatásának engedélyezéséhez.

  • Ezt a házirendet a Felügyelt telepítő házirend szerkesztésével kapcsolhatja ki. A szabályzat kikapcsolása megakadályozza, hogy a későbbi alkalmazások címkézve legyenek a felügyelt telepítővel. A korábban telepített és címkézett alkalmazások címkézve maradnak. A felügyelt telepítők házirend kikapcsolása utáni manuális eltávolításáról a jelen cikk későbbi, A Intune felügyeleti bővítmény eltávolítása felügyelt telepítőként című szakaszában olvashat.

A felügyelt telepítő beállításáról Intune a Windows biztonság dokumentációjában talál további információt.

Fontos

A Log Analytics-integrációk által gyűjtött eseményekre gyakorolt lehetséges hatás

A Log Analytics az Azure Portal egyik eszköze, amellyel az ügyfelek adatokat gyűjthetnek az AppLocker-szabályzateseményekből. Ezzel a nyilvános előzetes verzióval, ha befejezi a jóváhagyási műveletet, az AppLocker-szabályzat megkezdi az üzembe helyezést a bérlő megfelelő eszközein. A Log Analytics konfigurációjától függően , különösen ha a részletesebb naplók egy részét gyűjti, ez az AppLocker-szabályzat által generált események számának növekedéséhez vezet. Ha a szervezet a Log Analyticset használja, javasoljuk, hogy tekintse át a Log Analytics beállítását, hogy az alábbiak szerint:

  • Ismerje meg a Log Analytics beállítását, és győződjön meg arról, hogy megfelelő adatgyűjtési korlát van érvényben a váratlan számlázási költségek elkerülése érdekében.
  • Kapcsolja ki az AppLocker-események gyűjtését a Log Analyticsben (hiba, figyelmeztetés, információ) az MSI- és szkriptnaplók kivételével.

Felügyelt telepítő hozzáadása a bérlőhöz

Az alábbi eljárás végigvezeti a Intune felügyeleti bővítmény felügyelt telepítőként való hozzáadásán a bérlőhöz. Intune egyetlen felügyelt telepítőszabályzatot támogat.

  1. A Microsoft Intune Felügyeleti központban lépjen a Végpontbiztonság (előzetes verzió) területre, válassza a Felügyelt telepítő lapot, majd a *Hozzáadás lehetőséget. Megnyílik a Felügyelt telepítő hozzáadása panel.

    Képernyőkép a Felügyelt telepítő oldalról, a jobb oldalon a Felügyelt telepítő hozzáadása panellel.

  2. Válassza a Hozzáadás, majd az Igen lehetőséget a Intune felügyeleti bővítmény felügyelt telepítőként való hozzáadásának megerősítéséhez.

  3. A felügyelt telepítő hozzáadása után bizonyos ritka esetekben akár 10 percet is várnia kell, mielőtt az új szabályzatot hozzáadja a bérlőhöz. Válassza a Frissítés lehetőséget a felügyeleti központ rendszeres frissítéséhez, amíg el nem érhető.

    A szabályzat akkor áll készen a szolgáltatásban, ha Intune felügyelt telepítő házirendet jelenít meg Felügyelt telepítő – Intune Felügyeleti bővítményaktív állapottal. Előfordulhat, hogy az ügyféloldalon akár egy órát is várnia kell, amíg a szabályzat kézbesítése elkezdődik.

    Képernyőkép az Alkalmazásvezérlés vállalati verzió panelről, amelyen a felügyelt telepítőszabályzat látható és aktív.

  4. Most már kiválaszthatja a szabályzatot a konfiguráció szerkesztéséhez. A szerkesztést csak az alábbi két szabályzatterület támogatja:

    • Beállítások: A házirend-beállítások szerkesztésekor megnyílik a Felügyelt telepítő elutasítása panel, ahol módosíthatja a Felügyelt telepítő beállítása beállítást Be és Ki érték között. A telepítő hozzáadásakor a Felügyelt telepítő beállítása alapértelmezés szerint Be értékre van állítva. A konfiguráció módosítása előtt mindenképpen tekintse át a be- és kikapcsolási panelen részletezett viselkedést.

    • Hatókörcímkék: A szabályzathoz rendelt hatókörcímkéket hozzáadhatja és módosíthatja. Így megadhatja, hogy mely rendszergazdák tekinthetik meg a szabályzat részleteit.

Mielőtt a szabályzat érvénybe lép, létre kell hoznia és üzembe kell helyeznie egy Alkalmazásvezérlő vállalati verziós szabályzatot, amely meghatározza azokat a szabályokat, amelyekhez az alkalmazások a Windows-eszközökön futtathatók.

További információ: Felügyelt telepítő által telepített alkalmazások engedélyezése a Windows biztonság dokumentációjában.

Fontos

Az AppLocker-szabályzatok egyesítéséből eredő esetleges rendszerindítási problémák kockázata

Ha a felügyelt telepítőt Intune keresztül engedélyezi, a rendszer egy próbaszabályt tartalmazó AppLocker-házirendet helyez üzembe, és egyesíti a céleszközön meglévő AppLocker-szabályzattal. Ha a meglévő AppLocker-szabályzat tartalmaz egy NotConfigured és egy üres szabálykészlettel definiált RuleCollection parancsot, a rendszer a NotConfigured és a dummy szabály között egyesíti azt. A NotConfigured szabálygyűjtemény alapértelmezés szerint kényszerítve lesz, ha vannak szabályok definiálva a gyűjteményben. Ha a próbabábu szabály az egyetlen konfigurált szabály, az azt jelenti, hogy minden más nem lesz betöltve vagy végrehajtva. Ez váratlan problémákat okozhat, például az alkalmazások nem indulnak el, és nem indulnak el vagy nem jelentkeznek be a Windowsba. A probléma elkerülése érdekében javasoljuk, hogy távolítsa el a NotConfigured néven definiált , üres szabálykészlettel rendelkező RuleCollection parancsot a meglévő AppLocker-szabályzatból, ha az jelenleg érvényben van.

  • A felügyelt telepítő engedélyezheti a csoportházirend-objektumból kikényszerített leállított vagy letiltott App-Locker házirendeket (a célszámítógépeken).

A Intune felügyeleti bővítmény eltávolítása felügyelt telepítőként

Szükség esetén leállíthatja a Intune Felügyeleti bővítmény felügyelt telepítőként való konfigurálását a bérlőhöz. Ehhez ki kell kapcsolnia a felügyelt telepítő házirendet. A szabályzat kikapcsolása után további tisztítási műveleteket is használhat.

Kapcsolja ki a Intune Felügyeleti bővítmény házirendet (kötelező)

A Intune felügyeleti bővítmény felügyelt telepítőként való hozzáadásának leállításához a következő konfiguráció szükséges az eszközökhöz.

  1. A felügyeleti központban lépjen a Végpontbiztonság (előzetes verzió) területre, válassza a Felügyelt telepítő lapot, majd válassza a Felügyelt telepítő – Intune Felügyeleti bővítmény szabályzatot.

  2. Szerkessze a házirendet, és állítsa a Felügyelt telepítő beállításabeállítást Ki értékre, és mentse a szabályzatot.

Az új eszközök nem lesznek konfigurálva felügyelt telepítőként a Intune Felügyeleti bővítménnyel. Ez nem távolítja el a Intune felügyeleti bővítményt felügyelt telepítőként az olyan eszközökről, amelyek már konfigurálva vannak a használatára.

A Intune felügyeleti bővítmény eltávolítása felügyelt telepítőként az eszközökön (nem kötelező)

Választható tisztítási lépésként futtathat egy szkriptet a Intune Felügyeleti bővítmény felügyelt telepítőként való eltávolításához azokon az eszközökön, amelyek már telepítették. Ez nem kötelező, mivel ez a konfiguráció nincs hatással az eszközökre, kivéve, ha a felügyelt telepítőre hivatkozó Alkalmazásvezérlés vállalati verziós szabályzatokat is használ.

  1. Töltse le a CatCleanIMEOnly.ps1 PowerShell-szkriptet. Ez a szkript a következő címen https://aka.ms/intune_WDAC/CatCleanIMEOnly érhető el: download.microsoft.com.

  2. Futtassa ezt a szkriptet olyan eszközökön, amelyek felügyelt telepítőként beállították a Intune Felügyeleti bővítményt. Ez a szkript csak a Intune felügyeleti bővítményt távolítja el felügyelt telepítőként.

  3. A fenti módosítások érvénybe léptetéséhez indítsa újra a Intune Management Extension szolgáltatást.

A szkript futtatásához használhatja a Intune PowerShell-szkriptek vagy más, ön által választott módszerek futtatására.

Az összes AppLocker-szabályzat eltávolítása egy eszközről (nem kötelező)

Az összes Windows AppLocker-házirend eszközről való eltávolításához használhatja a CatCleanAll.ps1 PowerShell-szkriptet. Ez a szkript nemcsak a Intune felügyeleti bővítményt távolítja el felügyelt telepítőként, hanem az összes felügyelt telepítőt, valamint a Windows AppLockeren alapuló összes házirendet az eszközről. A szkript használata előtt győződjön meg arról, hogy tisztában van az AppLocker-szabályzatokat használó szervezetekkel.

  1. Töltse le a CatCleanAll.ps1 PowerShell-szkriptet. Ez a szkript a következő címen https://aka.ms/intune_WDAC/CatCleanAll érhető el: download.microsoft.com.

  2. Futtassa ezt a szkriptet olyan eszközökön, amelyek felügyelt telepítőként beállították a Intune Felügyeleti bővítményt. Ez a szkript csak a Intune felügyeleti bővítményt távolítja el felügyelt telepítőként.

  3. A fenti módosítások érvénybe léptetéséhez indítsa újra a Intune Management Extension szolgáltatást.

A szkript futtatásához használhatja a Intune PowerShell-szkriptek vagy más, ön által választott módszerek futtatására.

Ismerkedés az App Control for Business szabályzataival

A Intune végpontbiztonsági Alkalmazásvezérlés vállalatoknak szabályzataival kezelheti, hogy mely alkalmazások futhatnak a felügyelt Windows-eszközökön. A szabályzat által explicit módon nem futtatható alkalmazások csak akkor futnak, ha a szabályzatot naplózási mód használatára konfigurálta. Naplózási módban a szabályzat lehetővé teszi az összes alkalmazás futtatását, és helyileg naplózza azokról szóló adatokat az ügyfélen.

Az engedélyezett vagy letiltott alkalmazások kezeléséhez Intune a Windows ApplicationControl CSP-t használja Windows-eszközökön.

Az Üzleti alkalmazásvezérlő házirend létrehozásakor ki kell választania egy konfigurációs beállításokat használó formátumot :

  • XML-adatok megadása – Ha xml-adatokat ad meg, meg kell adnia a szabályzatnak azokat az egyéni XML-tulajdonságokat, amelyek meghatározzák az alkalmazásvezérlő vállalati szabályzatát.

  • Beépített vezérlők – Ez a beállítás a legegyszerűbb konfigurálási út, mégis hatékony választás marad. A beépített vezérlőkkel egyszerűen jóváhagyhatja a felügyelt telepítő által telepített összes alkalmazást, és engedélyezheti a Windows-összetevők megbízhatóságát és az alkalmazások tárolását.

    Ezekről a lehetőségekről a felhasználói felületen talál további információt a szabályzatok létrehozásakor, és az alábbi eljárás is részletesen ismerteti, amely végigvezeti a szabályzatok létrehozásának folyamatán.

Miután létrehozott egy Alkalmazásvezérlő vállalati verziós szabályzatot, kibővítheti a szabályzat hatókörét olyan kiegészítő szabályzatok létrehozásával, amelyek xml formátumban további szabályokat adnak hozzá az eredeti szabályzathoz. Kiegészítő szabályzatok használata esetén az eredeti szabályzatot alapházirendnek nevezzük.

Megjegyzés:

Ha a bérlő oktatási bérlő, tekintse meg az Oktatási bérlők alkalmazásvezérlési üzleti szabályzatai című témakört, amelyből megismerheti az eszközök további eszköztámogatási és alkalmazásvezérlési vállalati szabályzatait.

Alkalmazásvezérlés vállalati verzióra vonatkozó szabályzat Létrehozás

Az alábbi eljárással hozhat létre egy sikeres Alkalmazásvezérlés vállalati verziós szabályzatot. Ez a szabályzat alapházirendnek minősül, ha kiegészítő szabályzatokat hoz létre a szabályzattal definiált megbízhatósági hatókör kibővítéséhez.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen az Endpoint Security>App Control for Business (előzetes verzió)> területre, válassza az Alkalmazásvezérlés vállalati verzió lapot>, majd válassza Létrehozás Szabályzat lehetőséget. Az üzleti alkalmazásvezérlési szabályzatok automatikusan Windows 10 és újabb platformtípusokhoz vannak hozzárendelve.

    Képernyőkép a felügyeleti központ új Alkalmazásvezérlés vállalati verziós szabályzatának létrehozásához szükséges elérési útról.

  2. Az Alapok területen adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
    • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

  3. A Konfigurációs beállítások lapon válasszon konfigurációs beállításokat:

    XML-adatok megadása – Ezzel a beállítással egyéni XML-tulajdonságokat kell megadnia az alkalmazásvezérlő vállalati szabályzatának meghatározásához. Ha ezt a lehetőséget választja, de nem ad hozzá XLM-tulajdonságokat a szabályzathoz, az Nem konfiguráltként működik. A nem konfigurált alkalmazásvezérlési vállalati szabályzatok alapértelmezett viselkedést eredményeznek az eszközön, és az ApplicationControl CSP nem tartalmaz további beállításokat.

    Beépített vezérlők – Ezzel a beállítással a szabályzat nem használ egyéni XML-t. Ehelyett konfigurálja a következő beállításokat:

    • A Windows-összetevők és az áruházbeli alkalmazások megbízhatóságának engedélyezése – Ha ez a beállítás engedélyezve van (ez az alapértelmezett beállítás), a felügyelt eszközök windowsos összetevőket futtathatnak, alkalmazásokat tárolhatnak, valamint más, megbízhatóként konfigurálható alkalmazásokat is. A szabályzat által nem megbízhatóként definiált alkalmazások nem futnak.

      Ez a beállítás a csak naplózási módot is támogatja. Naplózási módban a rendszer minden eseményt naplóz a helyi ügyfélnaplókban, de az alkalmazások nem futnak.

    • További beállítások megadása az alkalmazások megbízhatóként való megadásához – Ehhez a beállításhoz az alábbi lehetőségek közül választhat:

      • Megbízható, jó hírű alkalmazások – Ezzel a beállítással az eszközök a Microsoft Intelligent Security Graph által meghatározott megbízható alkalmazásokat futtathatnak. Az Intelligens biztonsági gráf (ISG) használatáról a Windows biztonság dokumentációjának Megbízható alkalmazások engedélyezése intelligens biztonsági gráfokkal (ISG) című témakörében olvashat.

      • Felügyelt telepítőktől származó alkalmazások megbízhatósága – Ez a beállítás lehetővé teszi, hogy az eszközök futtatják azokat az alkalmazásokat, amelyeket egy engedélyezett forrás, azaz egy felügyelt telepítő helyezett üzembe. Ez a Intune keresztül üzembe helyezendő alkalmazásokra vonatkozik, miután felügyelt telepítőként konfigurálta a Intune felügyeleti bővítményt.

        A házirendben nem meghatározott egyéb alkalmazások és fájlok viselkedése a Windows-összetevők megbízhatóságának engedélyezése és az alkalmazások tárolása beállításától függ:

        • Ha engedélyezve van, a fájlok és alkalmazások nem futnak az eszközökön
        • Ha a Csak naplózás értékre van állítva, a fájlok és alkalmazások naplózása csak a helyi ügyfélnaplókban történik

    Ez a képernyőfelvétel a beépített vezérlők használatakor az Üzleti alkalmazásvezérlési szabályzat alapértelmezett beállításait és beállításait jeleníti meg.

  4. A Hatókörcímkék lapon válassza ki az alkalmazni kívánt hatókörcímkéket, majd válassza a Tovább gombot.

  5. A Hozzárendelések területen válassza ki azokat a csoportokat, amelyek megkapják a szabályzatot, de vegye figyelembe, hogy a WDAC-szabályzatok csak az eszköz hatókörére vonatkoznak. A folytatáshoz válassza a Tovább gombot.

    További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

  6. A Felülvizsgálat + létrehozás beállításnál tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Kiegészítő szabályzat használata

Egy vagy több kiegészítő szabályzat segíthet kiterjeszteni az alkalmazásvezérlés vállalati alapszabályzatát, hogy növelhesse a szabályzat megbízhatósági körét. A kiegészítő szabályzatok csak egy alapházirendet bővíthetnek, de több kiegészítő is kiterjesztheti ugyanazt az alapházirendet. Kiegészítő szabályzatok hozzáadásakor az alapszabályzat és annak kiegészítő szabályzatai által engedélyezett alkalmazások futtathatók az eszközökön.

A kiegészítő házirendnek XML formátumúnak kell lennie, és hivatkoznia kell az alapházirend házirend-azonosítójára.

Az üzleti alkalmazásvezérlő alapszabályzatának szabályzatazonosítóját az alapszabályzat konfigurációja határozza meg:

  • Az egyéni XML használatával létrehozott alapszabályzatok egyedi PolicyID azonosítóval rendelkeznek, amely ezen XML-konfiguráción alapul.

  • Az Alkalmazásvezérlés vállalati verzió beépített vezérlőivel létrehozott alapszabályzatok a négy lehetséges PolicyID egyikével rendelkeznek, amelyeket a beépített beállítások lehetséges kombinációi határoznak meg. Az alábbi táblázat a kombinációkat és a kapcsolódó PolicyID azonosítót azonosítja:

    Alapszabályzat PolicyID azonosítója A WDAC-szabályzat beállításai (naplózás vagy kényszerítés)
    {A8012CFC-D8AE-493C-B2EA-510F035F1250} Alkalmazásvezérlési szabályzat engedélyezése a Windows-összetevők és az Áruházbeli alkalmazások megbízhatóságának engedélyezéséhez
    {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} Az alkalmazásvezérlési szabályzat engedélyezése a Windows-összetevők és az Áruházbeli alkalmazások
    megbízhatónak nyilvánításához és
    a megbízható alkalmazások megbízhatónak nyilvánításához
    {63D1178A-816A-4AB6-8ECD-127F2DF0CE47} Az alkalmazásvezérlési szabályzat engedélyezése a Windows-összetevők és az Áruházbeli alkalmazások
    megbízhatóságának engedélyezéséhez és
    a felügyelt telepítőktől származó alkalmazások megbízhatóságának engedélyezése
    {2DA0F72D-1688-4097-847D-C42C39E631BC} Engedélyezze az alkalmazásvezérlési szabályzatot a Windows-összetevők és az Áruházbeli alkalmazások
    megbízhatónak nyilvánításához és
    a megbízható
    alkalmazások megbízhatónak nyilvánításához a
    felügyelt telepítőktől származó megbízható alkalmazásokban

Annak ellenére, hogy két, a beépített vezérlők azonos konfigurációját használó Alkalmazásvezérlő vállalati verziós szabályzat ugyanazzal a PolicyID azonosítóval rendelkezik, a szabályzatok hozzárendelései alapján különböző kiegészítő szabályzatokat alkalmazhat.

Vegye figyelembe a következő forgatókönyvet:

  • Két alapszabályzatot hoz létre, amelyek ugyanazt a konfigurációt használják, ezért ugyanazzal a PolicyID azonosítóval rendelkeznek. Az egyiket a vezetői csapatban, a második szabályzatot pedig az ügyfélszolgálati csapatban helyezi üzembe.

  • Ezután létrehoz egy kiegészítő szabályzatot, amely lehetővé teszi más alkalmazások futtatását, amelyekre a vezetői csapatnak szüksége van. Ezt a kiegészítő szabályzatot ugyanahhoz a csoporthoz, az ügyvezető csapathoz rendeli.

  • Ezután létrehoz egy második kiegészítő szabályzatot, amely lehetővé teszi az ügyfélszolgálati csapat által igényelt különböző eszközök futtatását. Ez a szabályzat az Ügyfélszolgálat csoporthoz van rendelve.

Ezeknek az üzemelő példányoknak köszönhetően mindkét kiegészítő szabályzat módosíthatja az alapházirend mindkét példányát. Az eltérő és különálló hozzárendelések miatt azonban az első kiegészítő szabályzat csak a vezetői csapathoz rendelt engedélyezett alkalmazásokat módosítja, a második szabályzat pedig csak az ügyfélszolgálati csapat által használt engedélyezett alkalmazásokat módosítja.

kiegészítő szabályzat Létrehozás

  1. Az Windows Defender Alkalmazásvezérlés varázslóval vagy PowerShell-parancsmagokkal XML formátumban hozhat létre alkalmazásvezérlő vállalati verziós szabályzatot.

    A varázslóról további információt a aka.ms/wdacWizard vagy a Microsoft WDAC varázslóban talál.

    Amikor XML formátumú szabályzatot hoz létre, annak hivatkoznia kell az alapházirend Házirend-azonosítójára .

  2. Miután létrehozta az Alkalmazásvezérlés vállalati verzióhoz kiegészítő szabályzatot XML formátumban, jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen az Endpoint Security>App Control for Business (előzetes verzió)> területre, válassza az App Control for Business lapot, majd válassza a Létrehozás Szabályzat lehetőséget.

  3. Az Alapok területen adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.

    • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

  4. A Konfigurációs beállításokformátuma beállításnál válassza az Xml-adatok megadása lehetőséget, és töltse fel az XML-fájlt.

  5. A Hozzárendelések beállításnál válassza ki azokat a csoportokat, amelyekhez hozzá szeretné rendelni azt az alapházirendet, amelyre a kiegészítő szabályzatot alkalmazni szeretné, majd válassza a Tovább gombot.

  6. A Felülvizsgálat + létrehozás beállításnál tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Alkalmazásvezérlés üzleti szabályzatok Oktatási bérlőkhöz

Az oktatási szervezetek bérlőinek alkalmazásvezérlési vállalati szabályzatai az előfeltételek támogatott platformjain kívül az Windows 11 SE is támogatják.

Windows 11 SE egy felhőalapú operációs rendszer, amely az osztálytermekben való használatra van optimalizálva. A Intune for Educationhez hasonlóan a Windows SE 11 is a hatékonyságot, a diákok adatvédelmét és a tanulást helyezi előtérbe, és csak az oktatáshoz nélkülözhetetlen funkciókat és alkalmazásokat támogatja.

Az optimalizálás elősegítése érdekében a WDAC-szabályzat és a Intune felügyeleti bővítmény automatikusan konfigurálva lesz Windows 11 SE eszközökhöz:

  • Intune Windows 11 SE eszközök támogatásának hatóköre előre definiált WDAC-szabályzatok üzembe helyezése az EDU-bérlőkben lévő alkalmazások egy készletlistával. Ezek a szabályzatok automatikusan üzembe lesznek helyezve, és nem módosíthatók.

  • Az EDU-bérlők Intune esetén a Intune felügyeleti bővítmény automatikusan felügyelt telepítőként van beállítva. Ez a konfiguráció automatikus, és nem módosítható.

Az Üzleti alkalmazásvezérlési szabályzat törlése

A WDAC-szabályzatok mobile Eszközkezelés (MDM) (Windows 10) használatával – A Windows biztonsága a Windows biztonság dokumentációjában leírtak szerint a Intune felhasználói felületről törölt szabályzatokat eltávolítja a rendszerből és az eszközökről, de a gép következő újraindításáig érvényben marad.

A WDAC-kényszerítés letiltása vagy törlése:

  1. Cserélje le a meglévő szabályzatot a szabályzat egy új verziójára, amely Allow /*a windowsos eszközökön található példaszabályzat szabályaihoz hasonlóan a következő helyen található: %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

    Ez a konfiguráció eltávolítja azokat a blokkokat, amelyek egyébként megmaradhatnak az eszközön a szabályzat eltávolítása után.

  2. A frissített szabályzat üzembe helyezése után törölheti az új szabályzatot a Intune portálról.

Ez a sorozat megakadályozza, hogy bármi le legyen tiltva, és a következő újraindításkor teljesen eltávolítsa a WDAC-szabályzatot.

Az Üzleti alkalmazásvezérlési szabályzatok és a felügyelt telepítő figyelése

Miután hozzárendelte az eszközöket az App Control for Business és a Managed Installer szabályzataihoz, a felügyeleti központban tekintheti meg a szabályzat részleteit.

  • A jelentések megtekintéséhez a fióknak Olvasás engedéllyel kell rendelkeznie a Szervezet Intune szerepköralapú hozzáférés-vezérlési kategóriájához.

A jelentések megtekintéséhez jelentkezzen be a Intune Felügyeleti központba, és lépjen a Fiókkezelés csomópontra. (Végpontbiztonság>Fiókkezelés (előzetes verzió)). Itt kiválaszthatja a megtekinteni kívánt szabályzat részleteinek lapfülét:

Felügyelt telepítő

A Felügyelt telepítő lapon megtekintheti a Felügyelt telepítő – Intune Felügyeleti bővítmény szabályzatának állapotát, sikerességének számát és hibaadatait:

Ez a képernyőfelvétel a felügyelt telepítő házirendjének Áttekintés lapját jeleníti meg.

Válassza ki a szabályzat nevét az Áttekintés lap megnyitásához, ahol a következő információkat tekintheti meg:

  • Az eszköz állapota, a sikeresség és a hibák statikus száma.

  • Az eszközállapot trendje, egy előzménydiagram, amely az egyes részletkategóriákban lévő eszközök idősorát és számát jeleníti meg.

A jelentés részletei a következők:

  • Succeeded – Azok az eszközök, amelyek sikeresen alkalmazták a szabályzatot.

  • Hiba – Hibákkal rendelkező eszközök.

  • Új eszközök – Az új eszközök azonosítják azokat az eszközöket, amelyek nemrég alkalmazták a szabályzatot.

    Ez a képernyőfelvétel a felügyelt telepítő áttekintését jeleníti meg.

Akár 24 órába is telhet, amíg az Eszköz állapota és az Eszközállapot trendje szakasz frissül az Áttekintésben.

A szabályzat részleteinek megtekintésekor az Eszköz állapota (a Monitor alatt) lehetőséget választva megnyithatja a szabályzat részleteinek eszközalapú nézetét. Az Eszközállapot nézet a következő adatokat jeleníti meg, amelyekkel azonosíthatja a problémákat, ha egy eszköz nem tudja sikeresen alkalmazni a szabályzatot:

  • Eszköz neve
  • Felhasználónév
  • Operációs rendszer verziója
  • Felügyelt telepítő állapota (Sikeres vagy Hiba)

Eltarthat néhány percig, amíg a szabályzat részleteinek eszközalapú nézete frissül, miután az eszköz ténylegesen megkapta a szabályzatot.

Alkalmazásvezérlés vállalati verzió

Az Alkalmazásvezérlés vállalati verzió lapon megtekintheti az Alkalmazásvezérlő vállalati verziós szabályzatainak listáját, valamint az alapvető részleteket, beleértve azt is, hogy ki van-e rendelve, és mikor módosították utoljára.

Válasszon ki egy szabályzatot a további jelentésbeállításokat tartalmazó nézet megnyitásához:

Ez a képernyőfelvétel szabályzatonkénti állapotnézetet, valamint két további jelentés csempéinek megjelenítését mutatja.

A szabályzat jelentési lehetőségei a következők:

  • Eszköz- és felhasználó-bejelentkezési állapot – Egy egyszerű diagram, amely megjeleníti azoknak az eszközöknek a számát, amelyek a szabályzat minden elérhető állapotát jelentik.

  • Jelentés megtekintése – Ekkor megnyílik egy nézet, amely tartalmazza a szabályzatot kapott eszközök listáját. Itt kiválaszthatja azokat az eszközöket, amelybe be szeretne fúrni, és megtekintheti az Alkalmazásvezérlés vállalati verzió szabályzatbeállításainak formátumát.

A szabályzatnézet a következő jelentéscsempéket is tartalmazza:

  • Eszköz-hozzárendelés állapota – Ez a jelentés a szabályzat által megcélzott összes eszközt megjeleníti, beleértve a függőben lévő szabályzat-hozzárendelési állapotú eszközöket is.

    Ezzel a jelentéssel kiválaszthatja a megtekinteni kívánt hozzárendelési állapotértékeket , majd a Jelentés létrehozása lehetőséget választva frissítheti a jelentésnézet azon eszközeit, amelyek megkapták a szabályzatot, az utolsó aktív felhasználót és a hozzárendelés állapotát.

    Kiválaszthatja azokat az eszközöket is, amelybe be szeretne fúrni, és megtekintheti az Alkalmazásvezérlés vállalati verzió szabályzatbeállításainak formátumát.

  • Beállításonkénti állapot – Ez a jelentés azoknak az eszközöknek a számát jeleníti meg, amelyek sikeres, hiba vagy ütközés állapotot jelentenek a házirend beállításaihoz.

Gyakori kérdések

Mikor állítsam be a Intune felügyeleti bővítményt felügyelt telepítőként?

Javasoljuk, hogy a következő elérhető lehetőségnél konfigurálja a Intune felügyeleti bővítményt felügyelt telepítőként.

A beállítás után az eszközökre telepítendő további alkalmazások megfelelően fel vannak címkézve, hogy támogassák azokat a WDAC-szabályzatokat, amelyek a felügyelt telepítőktől származó alkalmazásokat megbízhatónak minősítik.

Azokban a környezetekben, ahol a felügyelt telepítő konfigurálása előtt üzembe helyezett alkalmazások vannak telepítve, javasoljuk, hogy új WDAC-szabályzatokat telepítsen naplózási módban , hogy azonosítsa az üzembe helyezett alkalmazásokat, de ne címkézhesse őket megbízhatóként. Ezután áttekintheti a naplózási eredményeket, és meghatározhatja, hogy mely alkalmazások legyenek megbízhatók. A megbízható és futtatható alkalmazások esetében létrehozhat egyéni WDAC-szabályzatokat az alkalmazások engedélyezéséhez.

Hasznos lehet megismerkedni a speciális veszélyforrás-kereséssel, amely a Végponthoz készült Microsoft Defender egyik funkciója, amely megkönnyíti a naplózási események lekérdezését a rendszergazdák által kezelt számos gépen, és segít nekik szabályzatokat létrehozni.

Mit tegyek a régi alkalmazásvezérlési szabályzattal a támadásifelület-csökkentési szabályzatból?

Bizonyára észrevette, hogy az alkalmazásvezérlési szabályzat példányai a Intune felhasználói felületén, az Endpoint Security>Attach Surface Reduction vagy az Eszközök>konfigurálása területen. Ezek egy későbbi kiadásban elavultak lesznek.

Mi a teendő, ha több alap- vagy kiegészítő szabályzatom van ugyanazon az eszközön?

Az 1903-Windows 10 előtt az App Control for Business egy adott időpontban csak egyetlen aktív szabályzatot támogatott egy rendszeren. Ez jelentősen korlátozza az ügyfeleket olyan helyzetekben, amikor több különböző szándékú szabályzat hasznos lenne. Jelenleg több alap- és kiegészítő szabályzat is támogatott ugyanazon az eszközön. További információ a vállalati alkalmazásvezérlési szabályzatok üzembe helyezéséről.

Egy kapcsolódó megjegyzésben már nincs korlátozva, hogy 32 szabályzat legyen aktív ugyanazon az eszközön az App Control for Business esetében. Ez a probléma a 2024. március 12-én vagy azt követően kiadott Windows biztonsági frissítéssel Windows 10 1903-at vagy újabb verziót futtató eszközök esetében oldható meg. A Windows régebbi verziói várhatóan megkapják ezt a javítást a Windows jövőbeli biztonsági frissítéseiben.

A felügyelt telepítő képes a megfelelő címkével rendelkező, Configuration Manager-ból telepített alkalmazásokat beállítani a bérlői fiókomhoz?

Nem. Ez a kiadás az Intune-ból telepített alkalmazások felügyelt telepítőként való beállítására összpontosít a Intune Felügyeleti bővítmény használatával. A Configuration Manager nem állítható be felügyelt telepítőként.

Ha Configuration Manager a felügyelt telepítőként való beállítására van szükség, ezt a viselkedést Configuration Manager belülről engedélyezheti. Ha már beállította Configuration Manager felügyelt telepítőként, a várt viselkedés az, hogy az új Intune Felügyeleti bővítmény AppLocker-házirendje egyesül a meglévő Configuration Manager házirenddel.

Következő lépések

Végpontbiztonsági szabályzatok konfigurálása