Controllo appApp control

Il controllo dell'app è una procedura di sicurezza facoltativa in Microsoft Managed Desktop che limita l'esecuzione del codice nei dispositivi client.App control is an optional security practice in Microsoft Managed Desktop that restricts the execution of code on client devices. Questo controllo riduce il rischio di malware o script dannosi richiedendo l'esecuzione solo del codice firmato da un elenco di editori approvato dal cliente.This control mitigates the risk of malware or malicious scripts by requiring that only code signed by a customer-approved list of publishers can run. Questo controllo offre numerosi vantaggi in termini di sicurezza, ma ha principalmente lo scopo di proteggere dati e identità da exploit basati su client.There are many security benefits from this control, but it primarily aims to protect data and identity from client-based exploits.

Microsoft Managed Desktop semplifica la gestione dei criteri di controllo delle app creando criteri di base che consentono scenari di produttività di base.Microsoft Managed Desktop simplifies the management of app control policies by creating a base policy that enables core productivity scenarios. Puoi estendere l'attendibilità ad altri firmatari specifici per le app e gli script nel tuo ambiente.You can extend trust to other signers that are specific to the apps and scripts in your environment.

Qualsiasi tecnologia di sicurezza richiede un equilibrio tra esperienza utente, sicurezza e costi.Any security technology requires a balance among user experience, security, and cost. Il controllo delle app riduce la minaccia di software dannoso nell'ambiente, ma esistono conseguenze per l'utente e ulteriori azioni per l'amministratore IT.App control reduces the threat of malicious software in your environment, but there are consequences to the user and further actions for your IT administrator.

Sicurezza aggiuntiva:Additional security:

L'esecuzione di app o script non considerati attendibili dal criterio di controllo dell'app viene bloccata nei dispositivi.Apps or scripts that are not trusted by the app control policy are blocked from running on devices.

Responsabilità aggiuntive:Your additional responsibilities:

  • Sei responsabile del testing delle app per identificare se verrebbero bloccate dal criterio di controllo delle applicazioni.You are responsible for testing your apps to identify whether they would be blocked by the application control policy.
  • Se un'app è (o sarebbe) bloccata, sei responsabile dell'identificazione dei dettagli del firmatario necessari e della richiesta di una modifica tramite il portale di amministrazione.If an app is (or would be) blocked, you are responsible for identifying the needed signer details and requesting a change through the Admin portal.

Microsoft Managed Desktop responsabilità:Microsoft Managed Desktop responsibilities:

  • Microsoft Managed Desktop mantiene i criteri di base che consentono prodotti Microsoft di base come app M365, Windows, Teams, OneDrive e così via.Microsoft Managed Desktop maintains the base policy that enables core Microsoft products like M365 Apps, Windows, Teams, OneDrive, and so on.
  • Microsoft Managed Desktop inserisce i firmatari attendibili e distribuisce i criteri aggiornati nei dispositivi.Microsoft Managed Desktop inserts your trusted signers and deploys the updated policy to your devices.

Gestione dell'attendibilità nelle applicazioniManaging trust in applications

Microsoft Managed Desktop cura un criterio di base che considera attendibili i componenti principali delle tecnologie Microsoft.Microsoft Managed Desktop curates a base policy that trusts the core components of Microsoft technologies. È quindi possibile aggiungere l'attendibilità per le proprie applicazioni e script informando Microsoft Managed Desktop quali di essi sono già attendibili.You then add trust for your own applications and scripts by informing Microsoft Managed Desktop which of them you already trust.

Criteri di baseBase policy

Microsoft Managed Desktop, in collaborazione con esperti di cybersecurity Microsoft, crea e mantiene un criterio standard che consente la maggior parte delle app distribuite tramite Microsoft Intune bloccando al contempo attività pericolose come la compilazione di codice o l'esecuzione di file non attendibili.Microsoft Managed Desktop, in collaboration with Microsoft cybersecurity experts, creates, and maintains a standard policy that enables most apps deployed through Microsoft Intune while blocking dangerous activities like code compilation or execution of untrusted files.

Il criterio di base adotta l'approccio seguente per limitare l'esecuzione del software:The base policy takes the following approach to restricting software execution:

  • L'esecuzione dei file eseguiti dagli amministratori sarà consentita.Files run by administrators will be allowed to run.
  • L'esecuzione dei file in percorsi non presenti in directory scrivibili dall'utente sarà consentita.Files in locations that are not in user-writable directories will be allowed to run.
  • I file sono firmati da un firmatario attendibile.Files are signed by a trusted signer.
  • La maggior parte dei file firmati da Microsoft verrà eseguita, ma alcuni sono bloccati per impedire azioni ad alto rischio come la compilazione del codice.Most files signed by Microsoft will run, however some are blocked to prevent high-risk actions like code compilation.

Se un utente diverso da un amministratore potrebbe aver aggiunto un'app o uno script a un dispositivo ,ovvero si trova in una directory scrivibile dall'utente, non l'esecuzione verrà consentita a meno che non sia già stata espressamente consentita da un amministratore.If a user other than an administrator could have added an app or script to a device (that is, it's in a user-writable directory), we won't allow it to execute unless it has already been specifically allowed by an administrator. Se un utente viene ingannato a tentare di installare malware, se una vulnerabilità in un'app viene eseguita tenta di installare malware o se un utente tenta intenzionalmente di eseguire un'app o uno script non autorizzato, l'esecuzione dei criteri verrà interrotta.If a user is tricked into trying to install malware, if a vulnerability in an app the user runs attempts to install malware, or if a user intentionally tries to run an unauthorized app or script, our policy will stop execution.

Richieste firmatarioSigner requests

L'utente ci informa delle app fornite dagli editori di software di cui si considera attendibile l'utente registrando una richiesta di firmatario.You inform us of which apps are provided by software publishers you trust by filing a signer request. In questo modo, aggiungiamo le informazioni sull'attendibilità nel criterio di controllo delle applicazioni di base e consentiamo l'esecuzione di qualsiasi software firmato con il certificato dell'autore nei dispositivi.By doing so, we add that trust information into the baseline application control policy and allow any software signed with that publisher's certificate to run on your devices.

Criteri di controllo e applicatiAudit and Enforced policies

Microsoft Managed Desktop due criteri di Microsoft Intune per fornire il controllo dell'app:Microsoft Managed Desktop uses two Microsoft Intune policies to provide app control:

Criteri di controlloAudit policy

Questo criterio crea log per registrare se un'app o uno script verrebbe bloccato dal criterio Enforced.This policy creates logs to record whether an app or script would be blocked by the Enforced policy. I criteri di controllo non applicano regole di controllo delle app e sono destinati a scopi di test per identificare se un'applicazione richiederà un'esenzione dell'autore.Audit policies don't enforce app control rules and are meant for testing purposes to identify whether an application will require a publisher exemption. Registra gli avvisi (eventi 8003 o 8006) nel Visualizzatore eventi anziché bloccare l'esecuzione o l'installazione di app o script specificati.It logs warnings (8003 or 8006 events) in Event Viewer instead of blocking the execution or installation of specified apps or script.

Criteri applicatiEnforced policy

Questo criterio blocca l'esecuzione di app e script non attendibili e crea log ogni volta che un'app o uno script viene bloccato.This policy blocks untrusted apps and scripts from running and creates logs whenever an app or script is blocked. I criteri applicati impediscono agli utenti standard di eseguire app o script archiviati in directory scrivibili dall'utente.Enforced policies prevent standard users from executing apps or scripts stored in user-writable directories.

Ai dispositivi nel gruppo Test è applicato un criterio di controllo in modo da poterli usare per verificare se eventuali applicazioni causeranno problemi.Devices in the Test group have an Audit policy applied so that you can use them to validate whether any applications will cause issues. Tutti gli altri gruppi (First, Fast e Broad) usano un criterio Applicato, quindi gli utenti di tali gruppi non saranno in grado di eseguire app o script non attendibili.All other groups (First, Fast, and Broad) use an Enforced policy, so users in those groups won't be able to run untrusted apps or scripts.