Политики управления приложениями AppLocker в Microsoft TeamsAppLocker application control policies in Microsoft Teams

В этой статье объясняется, как включить клиентское приложение Teams для настольных систем с политиками управления приложениями AppLocker.This article explains how to enable the Teams desktop client app with AppLocker application control policies. Функция AppLocker разработана для ограничения выполнения программы и сценария пользователями, не являющимися администраторами.Use of AppLocker is designed to restrict program and script execution by non-administrative users. Дополнительные сведения и рекомендации по AppLocker можно найти в статье что такое AppLocker?.For more information and guidance on AppLocker, see What is AppLocker?.

Процесс включения команд с помощью AppLocker требует создания политик описания разрешения на основе AppLocker.The process for enabling Teams with AppLocker requires the creation of AppLocker-based allow listing policies. Политики создаются с помощью программного обеспечения управления групповыми политиками и/или с помощью командлетов Windows PowerShell для AppLocker (Дополнительные сведения можно найти в техническом справочнике по AppLocker ).Policies are created with Group Policy management software and/or the use of Windows PowerShell cmdlets for AppLocker (see the AppLocker technical reference for more information). Политика AppLocker сохраняется в формате XML и может быть изменена любым текстовым или XML-редактором.The AppLocker policy is saved in XML format and can be edited with any text or XML editor.

Список разрешенных команд с AppLockerTeams allow list with AppLocker

Правила AppLocker организованы в коллекции правил.AppLocker rules are organized into collections of rules. Правила AppLocker применяются к целевому приложению и представляют собой компоненты, составляющие политику AppLocker.AppLocker rules apply to the targeted app, and they are the components that make up the AppLocker policy.

Чтобы разрешить Teams, мы рекомендуем использовать правила условия издателя , так как все файлы приложения Teams снабжены цифровой подписью.To allow Teams, we recommend that you use the publisher condition rules since all Teams app files are digitally signed.

Мы не рекомендуем использовать правила путей, так как каталог установки Teams является доступным для записи пользователем.We don't recommend the use of path rules because the Teams installation directory is user-writable. Кроме того, мы не рекомендуем использовать правила для хеша, поскольку правила должны обновляться каждый раз при обновлении клиентского приложения Teams.We also don't recommend the use of hash rules because the rules would have to be updated each time the Teams client app is updated.

Так как на настольных компьютерах Teams с цифровой подписью, условие издателя определяет файл приложения на основе его цифровой подписи и атрибутов внедренной версии.Since Teams desktop executable files are digitally signed, the publisher condition identifies an app file based on its digital signature and embedded version attributes. Цифровая подпись включает сведения о компании, которая создала файл приложения (издатель).The digital signature contains information about the company that created the app file (the publisher). Сведения о версии, получаемые из двоичного ресурса, включают имя продукта, частью которого является файл, и номер версии файла приложения.The version information, which is obtained from the binary resource, includes the name of the product that the file is part of and the version number of the application file.

Пример правил условий в PublisherExample of publisher condition rules

В клиентском приложении Teams (все файлы, все версии) добавьте следующие правила для исполняемых правил & правила DLL:For the Teams client app (all files, all versions) add the following to the Executable Rules & DLL Rules:

Publisher: O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US
Product name: MICROSOFT TEAMS
Product name: MICROSOFT TEAMS UPDATE

Что такое AppLocker? Технический справочник по AppLockerWhat is AppLocker? AppLocker technical reference