Controle de aplicativoApp control

O controle de aplicativo é uma prática de segurança opcional Área de Trabalho Gerenciada da Microsoft que restringe a execução de código em dispositivos cliente.App control is an optional security practice in Microsoft Managed Desktop that restricts the execution of code on client devices. Esse controle reduz o risco de malware ou scripts mal-intencionados exigindo que somente o código assinado por uma lista de editores aprovado pelo cliente possa ser executado.This control mitigates the risk of malware or malicious scripts by requiring that only code signed by a customer-approved list of publishers can run. Há muitos benefícios de segurança desse controle, mas ele visa principalmente proteger dados e identidade contra explorações baseadas em cliente.There are many security benefits from this control, but it primarily aims to protect data and identity from client-based exploits.

Área de Trabalho Gerenciada da Microsoft simplifica o gerenciamento de políticas de controle de aplicativo criando uma política base que habilita os principais cenários de produtividade.Microsoft Managed Desktop simplifies the management of app control policies by creating a base policy that enables core productivity scenarios. Você pode estender a confiança a outros signatários específicos aos aplicativos e scripts em seu ambiente.You can extend trust to other signers that are specific to the apps and scripts in your environment.

Qualquer tecnologia de segurança exige um equilíbrio entre a experiência, a segurança e o custo do usuário.Any security technology requires a balance among user experience, security, and cost. O controle de aplicativo reduz a ameaça de software mal-intencionado em seu ambiente, mas há consequências para o usuário e outras ações para o administrador de IT.App control reduces the threat of malicious software in your environment, but there are consequences to the user and further actions for your IT administrator.

Segurança adicional:Additional security:

Aplicativos ou scripts que não são confiáveis pela política de controle do aplicativo são impedidos de ser executados em dispositivos.Apps or scripts that are not trusted by the app control policy are blocked from running on devices.

Suas responsabilidades adicionais:Your additional responsibilities:

  • Você é responsável por testar seus aplicativos para identificar se eles seriam bloqueados pela política de controle do aplicativo.You are responsible for testing your apps to identify whether they would be blocked by the application control policy.
  • Se um aplicativo for (ou seria) bloqueado, você será responsável por identificar os detalhes necessários do signante e solicitar uma alteração por meio do portal administrador.If an app is (or would be) blocked, you are responsible for identifying the needed signer details and requesting a change through the Admin portal.

Área de Trabalho Gerenciada da Microsoft responsabilidades:Microsoft Managed Desktop responsibilities:

  • Área de Trabalho Gerenciada da Microsoft mantém a política base que permite produtos principais da Microsoft, como aplicativos do M365, Windows, Teams, OneDrive e assim por diante.Microsoft Managed Desktop maintains the base policy that enables core Microsoft products like M365 Apps, Windows, Teams, OneDrive, and so on.
  • Área de Trabalho Gerenciada da Microsoft insere seus signatários confiáveis e implanta a política atualizada em seus dispositivos.Microsoft Managed Desktop inserts your trusted signers and deploys the updated policy to your devices.

Gerenciando a confiança em aplicativosManaging trust in applications

Área de Trabalho Gerenciada da Microsoft cura uma política base que confia nos principais componentes das tecnologias Microsoft.Microsoft Managed Desktop curates a base policy that trusts the core components of Microsoft technologies. Em seguida, adicione confiança para seus próprios aplicativos e scripts informando Área de Trabalho Gerenciada da Microsoft quais deles você já confia.You then add trust for your own applications and scripts by informing Microsoft Managed Desktop which of them you already trust.

Política baseBase policy

Área de Trabalho Gerenciada da Microsoft, em colaboração com especialistas em segurança cibernética da Microsoft, cria e mantém uma política padrão que habilita a maioria dos aplicativos implantados por meio do Microsoft Intune enquanto bloqueia atividades perigosas, como compilação de código ou execução de arquivos não-confidenciais.Microsoft Managed Desktop, in collaboration with Microsoft cybersecurity experts, creates, and maintains a standard policy that enables most apps deployed through Microsoft Intune while blocking dangerous activities like code compilation or execution of untrusted files.

A política base tem a seguinte abordagem para restringir a execução de software:The base policy takes the following approach to restricting software execution:

  • Os arquivos executados pelos administradores terão permissão para serem executados.Files run by administrators will be allowed to run.
  • Os arquivos em locais que não estão em diretórios que podem ser escritos pelo usuário terão permissão para serem executados.Files in locations that are not in user-writable directories will be allowed to run.
  • Os arquivos são assinados por um signante confiável.Files are signed by a trusted signer.
  • A maioria dos arquivos assinados pela Microsoft será executado, no entanto, alguns são bloqueados para evitar ações de alto risco, como a compilação de código.Most files signed by Microsoft will run, however some are blocked to prevent high-risk actions like code compilation.

Se um usuário diferente de um administrador poderia ter adicionado um aplicativo ou script a um dispositivo (ou seja, ele está em um diretório que pode ser escrito pelo usuário), não permitiremos que ele seja executado, a menos que ele já tenha sido especificamente permitido por um administrador.If a user other than an administrator could have added an app or script to a device (that is, it's in a user-writable directory), we won't allow it to execute unless it has already been specifically allowed by an administrator. Se um usuário for tentado instalar malware, se uma vulnerabilidade em um aplicativo que o usuário executa tentar instalar malware ou se um usuário tentar executar intencionalmente um aplicativo ou script não autorizado, nossa política interromperá a execução.If a user is tricked into trying to install malware, if a vulnerability in an app the user runs attempts to install malware, or if a user intentionally tries to run an unauthorized app or script, our policy will stop execution.

Solicitações de signatorSigner requests

Você nos informa quais aplicativos são fornecidos por editores de software em que você confia, arquivando uma solicitação de signatário.You inform us of which apps are provided by software publishers you trust by filing a signer request. Ao fazer isso, adicionamos essas informações de confiança à política de controle do aplicativo de linha de base e permitimos que qualquer software assinado com o certificado desse editor seja executado em seus dispositivos.By doing so, we add that trust information into the baseline application control policy and allow any software signed with that publisher's certificate to run on your devices.

Políticas auditadas e impostasAudit and Enforced policies

Área de Trabalho Gerenciada da Microsoft usa duas políticas Microsoft Intune para fornecer controle de aplicativo:Microsoft Managed Desktop uses two Microsoft Intune policies to provide app control:

Política de auditoriaAudit policy

Essa política cria logs para registrar se um aplicativo ou script seria bloqueado pela política imposta.This policy creates logs to record whether an app or script would be blocked by the Enforced policy. As políticas de auditoria não impõem regras de controle de aplicativos e são destinadas a fins de teste para identificar se um aplicativo exigirá uma isenção do publisher.Audit policies don't enforce app control rules and are meant for testing purposes to identify whether an application will require a publisher exemption. Ele registra avisos (eventos 8003 ou 8006) no Visualizador de Eventos em vez de bloquear a execução ou a instalação de aplicativos ou scripts especificados.It logs warnings (8003 or 8006 events) in Event Viewer instead of blocking the execution or installation of specified apps or script.

Política impostaEnforced policy

Essa política bloqueia a execução de aplicativos e scripts não-confianças e cria logs sempre que um aplicativo ou script é bloqueado.This policy blocks untrusted apps and scripts from running and creates logs whenever an app or script is blocked. As políticas impostas impedem que os usuários padrão executem aplicativos ou scripts armazenados em diretórios que podem ser gravados pelo usuário.Enforced policies prevent standard users from executing apps or scripts stored in user-writable directories.

Os dispositivos no grupo Teste têm uma política de Auditoria aplicada para que você possa usá-los para validar se algum aplicativo causará problemas.Devices in the Test group have an Audit policy applied so that you can use them to validate whether any applications will cause issues. Todos os outros grupos (First, Fast e Broad) usam uma política imposta, para que os usuários nesses grupos não sejam capazes de executar aplicativos ou scripts não-não-confianças.All other groups (First, Fast, and Broad) use an Enforced policy, so users in those groups won't be able to run untrusted apps or scripts.