Správa schválených aplikací pro zařízení s Windows pomocí zásad Řízení aplikací pro firmy a spravovaných instalačních programů pro Microsoft Intune

  • Článek

Tato funkce je ve verzi Public Preview.

Každý den se v divočině objevují nové škodlivé soubory a aplikace. Při spuštění na zařízeních ve vaší organizaci představují riziko, které může být obtížné spravovat nebo zabránit. Pokud chcete zabránit spuštění nežádoucích aplikací na spravovaných zařízeních s Windows, můžete použít zásady Microsoft Intune Řízení aplikací pro firmy.

zásady řízení aplikací Intune pro firmy jsou součástí zabezpečení koncových bodů a používají poskytovatele CSP Windows ApplicationControl ke správě povolených aplikací na zařízeních s Windows.

Zásady spravovaného instalačního programu, které jsou dostupné také prostřednictvím zásad řízení aplikací pro firmy, přidají do tenanta rozšíření Intune Management jako spravovaný instalační program. S tímto rozšířením jako spravovaným instalačním programem jsou aplikace, které nasadíte prostřednictvím Intune, automaticky označené instalačním programem. Označené aplikace můžete podle zásad Řízení aplikací pro firmy identifikovat jako bezpečné aplikace, které se můžou spouštět na vašich zařízeních.

Informace v tomto článku vám můžou pomoct nakonfigurovat rozšíření Intune Management jako spravovaný instalační program a také nakonfigurovat zásady řízení aplikací zabezpečení koncového bodu pro firmy. Společně usnadňují ovládání aplikací, které můžou běžet na zařízeních s Windows ve vašem prostředí.

Další informace najdete v tématu Windows Defender Řízení aplikací v dokumentaci k Zabezpečení Windows.

Poznámka

Řízení aplikací pro firmy a profily řízení aplikací: Intune zásady Řízení aplikací pro firmy používají CSP ApplicationControl. zásady omezení potenciální oblasti útoku Intune používají pro své profily řízení aplikací poskytovatele CSP AppLockeru. Systém Windows zavedl applicationControl CSP , aby nahradil poskytovatele CSP AppLockeru. Windows dál podporuje poskytovatele CSP appLockeru, ale už do něj nepřidá nové funkce. Místo toho vývoj pokračuje prostřednictvím poskytovatele CSP ApplicationControl.

Platí pro:

  • Windows 10
  • Windows 11

Požadavky

Zařízení

Při registraci s Intune se podporují následující zařízení:

  • Windows Enterprise nebo Education:

    • Windows 10 verze 1903 nebo novější,
    • Windows 11 verze 1903 nebo novější

  • Windows Professional:

  • Windows 11 SE:

  • Azure Virtual Desktop (AVD):

    • Zařízení AVD podporují používání zásad řízení aplikací pro firmy.

  • Spoluspravované zařízení:

    • Pokud chcete podporovat spoluspravované zařízení, nastavte posuvník pro posuvník Endpoint Protection na Intune.

Windows Defender Řízení aplikací pro firmy

Informace o edicích a licenčních požadavcích najdete v tématu Informace o řízení aplikací pro Windows v dokumentaci k Zabezpečení Windows.

Řízení přístupu na základě role

Pokud chcete spravovat zásady řízení aplikací pro firmy, musí mít účet dostatečná oprávnění řízení přístupu na základě role (RBAC) k dokončení požadované úlohy. Níže jsou uvedené dostupné úkoly s požadovanými oprávněními:

  • Povolit použití spravovaného instalačního programu – Účty musí mít přiřazenou roli globálního správce nebo správce služeb Intune.

  • Správa zásad Řízení aplikací pro firmy – Účty musí mít oprávnění standardních hodnot zabezpečení pro odstranění, čtení, přiřazení, Create a aktualizaci.

  • Zobrazení sestav pro zásady Řízení aplikací pro firmy – Účty musí mít oprávnění organizacečíst.

Další informace najdete v tématu Řízení přístupu na základě role pro Microsoft Intune.

Podpora cloudu pro státní správu

Intune zabezpečení koncových bodů Zásady řízení aplikací a konfigurace spravovaného instalačního programu se podporují v následujících prostředích suverénního cloudu:

  • Cloudy pro státní správu USA
  • 21Vianet

Začínáme se spravovanými instalačními programy

Pomocí Intune endpoint security App Control for Business můžete pomocí zásad přidat rozšíření Intune Management Jako spravovaný instalační program na spravovaná zařízení s Windows.

Po povolení spravovaného instalačního programu se všechny následné aplikace, které nasadíte do zařízení s Windows prostřednictvím Intune, označí značkou spravovaného instalačního programu. Značka identifikuje, že aplikace byla nainstalována známým zdrojem a může být důvěryhodná. Zásady Řízení aplikací pro firmy pak používají značky spravovaného instalačního programu k automatické identifikaci aplikací schválených pro spuštění na zařízeních ve vašem prostředí.

Zásady řízení aplikací pro firmy jsou implementací Windows Defender Application Control (WDAC). Další informace o WDAC a označování aplikací najdete v tématu Informace o řízení aplikací pro Windows a Průvodce označováním ID aplikace (AppId) WDAC v dokumentaci Windows Defender Application Control.

Důležité informace o používání spravovaného instalačního programu:

  • Nastavení spravovaného instalačního programu je konfigurace celého tenanta, která se vztahuje na všechna spravovaná zařízení s Windows.

  • Po povolení rozšíření Intune Management jako spravovaného instalačního programu se všechny aplikace, které nasadíte na zařízení s Windows prostřednictvím Intune, označí značkou spravovaného instalačního programu.

  • Tato značka sama o sobě nemá žádný vliv na to, které aplikace můžou běžet na vašich zařízeních. Značka se použije jenom v případech, kdy také přiřadíte zásady WDAC, které určují, které aplikace se můžou spouštět na spravovaných zařízeních.

  • Vzhledem k tomu, že neexistuje žádné zpětné označování, nejsou všechny aplikace na vašich zařízeních nasazené před povolením spravovaného instalačního programu označené. Pokud použijete zásady WDAC, musíte zahrnout explicitní konfigurace, které umožní spuštění těchto neoznačené aplikace.

  • Tuto zásadu můžete vypnout úpravou zásad spravovaného instalačního programu. Vypnutí zásad zabrání označení dalších aplikací spravovaným instalačním programem. Aplikace, které byly dříve nainstalované a označené, zůstanou označené. Informace o ručním vyčištění spravovaného instalačního programu po vypnutí zásad najdete v části Odebrání rozšíření správy Intune jako spravovaného instalačního programu dále v tomto článku.

Další informace o tom, jak Intune nastavit spravovaný instalační program, najdete v dokumentaci k Zabezpečení Windows.

Důležité

Potenciální dopad na události shromažďované všemi integracemi Log Analytics

Log Analytics je nástroj na webu Azure Portal, který můžou zákazníci používat ke shromažďování dat z událostí zásad AppLockeru. Pokud v této verzi Public Preview dokončíte akci výslovného souhlasu, začnou se zásady AppLockeru nasazovat na příslušná zařízení ve vašem tenantovi. V závislosti na konfiguraci Log Analytics, zejména pokud shromažďujete některé podrobné protokoly, to povede k nárůstu událostí generovaných zásadami AppLockeru. Pokud vaše organizace používá Log Analytics, doporučujeme zkontrolovat nastavení Log Analytics, abyste:

  • Seznamte se s nastavením Služby Log Analytics a ujistěte se, že existuje vhodný limit pro shromažďování dat, abyste se vyhnuli neočekávaným fakturačním nákladům.
  • Vypněte shromažďování událostí AppLockeru v Log Analytics (chyba, upozornění, informace) s výjimkou protokolů MSI a skriptů.

Přidání spravovaného instalačního programu do tenanta

Následující postup vás provede přidáním rozšíření Intune Management jako spravovaného instalačního programu pro vašeho tenanta. Intune podporuje jednu zásadu spravovaného instalačního programu.

  1. V Centru pro správu Microsoft Intune přejděte na Zabezpečení koncového bodu (Preview), vyberte kartu Spravovaný instalační program a pak vyberte *Přidat. Otevře se podokno Přidat spravovaný instalační program .

    Snímek obrazovky se stránkou Spravovaný instalační program s podoknem Přidat spravovaný instalační program na pravé straně

  2. Výběrem možnosti Přidat a potom ano potvrďte přidání rozšíření Intune Management Jako spravovaného instalačního programu.

  3. Po přidání spravovaného instalačního programu může být v některých výjimečných případech potřeba počkat až 10 minut, než se nová zásada přidá do vašeho tenanta. Výběrem možnosti Aktualizovat aktualizujte centrum pro správu pravidelně, dokud nebude dostupné.

    Zásada je připravená ve službě, když Intune zobrazí zásadu spravovaného instalačního programu s názvem Spravovaný instalační program – Intune Rozšíření pro správu se stavem Aktivní. Na straně klienta možná budete muset počkat až hodinu, než se zásady začnou doručovat.

    Snímek obrazovky s podoknem Řízení aplikací pro firmy s aktivními a aktivními zásadami spravovaného instalačního programu

  4. Teď můžete vybrat zásadu a upravit její konfiguraci. Úpravy podporují pouze následující dvě oblasti zásad:

    • Nastavení: Při úpravě nastavení zásad se otevře podokno Odhlásit se pro spravovaný instalační program , kde můžete změnit hodnotu nastavit spravovaný instalační program mezi Zapnuto a Vypnuto. Když přidáte instalační program, nastaví se výchozí nastavení Nastavit spravovaný instalační program na Zapnuto. Před změnou konfigurace nezapomeňte zkontrolovat chování popsané v podokně Zapnuto a Vypnuto.

    • Značky oboru: Můžete přidat a upravit značky oboru, které jsou přiřazené k této zásadě. To vám umožní určit, kteří správci můžou zobrazit podrobnosti o zásadách.

Než se zásada projeví, musíte vytvořit a nasadit zásadu Řízení aplikací pro firmy a určit pravidla, pro která se můžou aplikace spouštět na vašich zařízeních s Windows.

Další informace najdete v tématu Povolení aplikací nainstalovaných spravovaným instalačním programem v dokumentaci Zabezpečení Windows.

Důležité

Riziko potenciálního nespustí ze sloučení zásad AppLockeru

Když povolíte spravovaný instalační program prostřednictvím Intune, nasadí se zásada AppLockeru s fiktivním pravidlem a sloučí se s existujícími zásadami AppLockeru na cílovém zařízení. Pokud existující zásada AppLockeru obsahuje objekt RuleCollection definovaný jako Nenakonfigurovaný s prázdnou sadou pravidel, sloučí se s fiktivním pravidlem jako NotConfigured . Kolekce pravidel NotConfigured se ve výchozím nastavení vynucuje, pokud jsou v kolekci definovaná nějaká pravidla. Pokud je fiktivní pravidlo jediným nakonfigurovaným pravidlem, znamená to, že cokoli jiného bude blokováno před načtením nebo spuštěním. To může způsobit neočekávané problémy, jako je selhání spuštění aplikací a selhání spuštění nebo přihlášení k Windows. Pokud se chcete tomuto problému vyhnout, doporučujeme odebrat všechny objekty RuleCollection definované jako Nenakonfigurované s prázdnou sadou pravidel ze stávajících zásad AppLockeru, pokud jsou aktuálně nastavené.

Odebrání rozšíření Intune Management jako spravovaného instalačního programu

V případě potřeby můžete přestat konfigurovat rozšíření Intune Management jako spravovaný instalační program pro vašeho tenanta. To vyžaduje, abyste vypnuli zásady spravovaného instalačního programu. Po vypnutí zásad můžete použít další akce čištění.

Vypnutí zásad rozšíření Intune Management (povinné)

K zastavení přidávání rozšíření Intune Management jako spravovaného instalačního programu do vašich zařízení se vyžaduje následující konfigurace.

  1. V Centru pro správu přejděte na Zabezpečení koncových bodů (Preview), vyberte kartu Spravovaný instalační program a pak vyberte zásadu Spravovaný instalační program – Intune Rozšíření pro správu.

  2. Upravte zásadu, změňte nastavení spravovaného instalačního programu na Vypnuto a zásadu uložte.

Nová zařízení nebudou nakonfigurovaná s rozšířením Intune Management jako spravovaným instalačním programem. Tím se neodebere rozšíření Intune Management Extension jako spravovaného instalačního programu ze zařízení, která už jsou nakonfigurovaná tak, aby ho používala.

Odebrání rozšíření Intune Management jako spravovaného instalačního programu na zařízeních (volitelné)

Jako volitelný krok čištění můžete spustit skript pro odebrání rozšíření Intune Management Extension jako spravovaného instalačního programu na zařízeních, která ho už mají nainstalovanou. Tato možnost je volitelná, protože tato konfigurace nemá žádný vliv na zařízení, pokud nepoužíváte také zásady Řízení aplikací pro firmy, které odkazují na spravovaný instalační program.

  1. Stáhněte CatCleanIMEOnly.ps1 skript PowerShellu. Tento skript je k dispozici v https://aka.ms/intune_WDAC/CatCleanIMEOnlydownload.microsoft.com.

  2. Tento skript spusťte na zařízeních, která mají nastavené rozšíření Intune Management Jako spravovaný instalační program. Tento skript odebere jako spravovaný instalační program pouze rozšíření Intune Management.

  3. Restartujte službu rozšíření Intune Management, aby se výše uvedené změny projevily.

Pokud chcete tento skript spustit, můžete pomocí Intune spouštět skripty PowerShellu nebo jiné metody podle vašeho výběru.

Odebrání všech zásad AppLockeru ze zařízení (volitelné)

Pokud chcete ze zařízení odebrat všechny zásady Windows AppLockeru, můžete použít CatCleanAll.ps1 powershellový skript. Tento skript odebere ze zařízení nejen rozšíření Intune Management Jako spravovaný instalační program, ale také všechny spravované instalační programy a všechny zásady založené na Windows AppLockeru. Před použitím tohoto skriptu se ujistěte, že rozumíte zásadám AppLockeru ve vaší organizaci.

  1. Stáhněte CatCleanAll.ps1 skript PowerShellu. Tento skript je k dispozici v https://aka.ms/intune_WDAC/CatCleanAlldownload.microsoft.com.

  2. Tento skript spusťte na zařízeních, která mají nastavené rozšíření Intune Management Jako spravovaný instalační program. Tento skript odebere jako spravovaný instalační program pouze rozšíření Intune Management.

  3. Restartujte službu rozšíření Intune Management, aby se výše uvedené změny projevily.

Pokud chcete tento skript spustit, můžete pomocí Intune spouštět skripty PowerShellu nebo jiné metody podle vašeho výběru.

Začínáme se zásadami řízení aplikací pro firmy

Pomocí zásad řízení aplikací zabezpečení koncového bodu Intune pro firmy můžete spravovat, které aplikace na spravovaných zařízeních s Windows můžou běžet. Pokud jste nenakonfigurovali zásadu tak, aby používaly režim auditování, budou všechny aplikace, které nemají explicitně povolené spuštění zásadou, zablokované. V režimu auditu zásady umožňují spuštění všech aplikací a protokolují o nich podrobnosti místně v klientovi.

Ke správě povolených nebo blokovaných aplikací používá Intune na zařízeních s Windows poskytovatele CSP ApplicationControl.

Při vytváření zásad řízení aplikací pro firmy musíte zvolit formát nastavení konfigurace , který chcete použít:

  • Zadejte data XML – když se rozhodnete zadat data XML, musíte zásadě poskytnout sadu vlastních vlastností XML, které definují zásady řízení aplikací pro firmy.

  • Předdefinované ovládací prvky – tato možnost představuje nejjednodušší způsob konfigurace, ale zůstává efektivní volbou. Pomocí integrovaných ovládacích prvků můžete snadno schvalovat všechny aplikace nainstalované spravovaným instalačním programem a povolit důvěryhodnost komponent windows a aplikací pro Store.

    Další podrobnosti o těchto možnostech jsou k dispozici v uživatelském rozhraní při vytváření zásad a také podrobně popsané v následujícím postupu, který vás provede vytvořením zásady.

Po vytvoření zásady Řízení aplikací pro firmy můžete rozšířit rozsah těchto zásad vytvořením doplňkových zásad , které do původní zásady přidají další pravidla ve formátu XML. Při použití doplňkových zásad se původní zásada označuje jako základní zásada.

Poznámka

Pokud je vaším tenantem tenant pro vzdělávací organizace, přečtěte si téma Řízení aplikací pro firmy pro tenanty vzdělávání , kde najdete informace o další podpoře zařízení a zásadách řízení aplikací pro firmy pro tato zařízení.

Create zásady Řízení aplikací pro firmy

Následující postup vám pomůže vytvořit úspěšné zásady řízení aplikací pro firmy. Tato zásada se považuje za základní zásadu, pokud budete pokračovat vytvořením doplňkových zásad , abyste rozšířili rozsah důvěryhodnosti, který definujete pomocí této zásady.

  1. Přihlaste se do Centra pro správu Microsoft Intune a přejděte do části Řízení aplikací zabezpečení koncového bodu>pro firmy (Preview),> vyberte kartu >Řízení aplikací pro firmy a pak vyberte Create Zásady. Zásady Řízení aplikací pro firmy se automaticky přiřazují k typu platformy Windows 10 a novějším.

    Snímek obrazovky znázorňující cestu v Centru pro správu k vytvoření nové zásady Řízení aplikací pro firmy

  2. V části Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Profily názvů, abyste je později mohli snadno identifikovat.
    • Popis: Zadejte popis profilu. Toto nastavení je volitelné, ale doporučuje se.

  3. V části Nastavení konfigurace zvolte formát nastavení konfigurace:

    Zadejte data XML – Při použití této možnosti musíte zadat vlastní vlastnosti XML, abyste definovali zásady Řízení aplikací pro firmy. Pokud vyberete tuto možnost, ale nepřidáte do zásady vlastnosti XLM, bude fungovat jako Nenakonfigurováno. Zásada Řízení aplikací pro firmy, která není nakonfigurovaná, má za následek výchozí chování zařízení bez přidaných možností z poskytovatele CSP ApplicationControl.

    Předdefinované ovládací prvky – Při použití této možnosti zásady nepoužívají vlastní XML. Místo toho nakonfigurujte následující nastavení:

    • Povolit důvěryhodnost komponent systému Windows a aplikací pro Store – Pokud je toto nastavení povoleno (výchozí), můžou spravovaná zařízení spouštět součásti systému Windows a aplikace pro Store a další aplikace, které můžete nakonfigurovat jako důvěryhodné. Aplikace, které nejsou touto zásadou definované jako důvěryhodné, se zablokují ve spuštění.

      Toto nastavení také podporuje režim pouze auditování . V režimu auditování se všechny události protokolují do místních klientských protokolů, ale spuštění aplikací není zablokované.

    • Vyberte další možnosti pro důvěryhodné aplikace – pro toto nastavení můžete vybrat jednu nebo obě z následujících možností:

      • Důvěřovat aplikacím s dobrou pověstí – Tato možnost umožňuje zařízením spouštět renomované aplikace definované v Microsoft Intelligent Security Graphu. Informace o používání inteligentního bezpečnostního grafu (ISG) najdete v tématu Povolení důvěryhodných aplikací pomocí inteligentního security graphu (ISG) v dokumentaci Zabezpečení Windows.

      • Důvěřovat aplikacím ze spravovaných instalačních programů – Tato možnost umožňuje zařízením spouštět aplikace nasazené autorizovaným zdrojem, kterým je spravovaný instalační program. To platí pro aplikace, které nasadíte prostřednictvím Intune poté, co nakonfigurujete Intune Management Extension jako spravovaný instalační program.

        Chování všech ostatních aplikací a souborů, které nejsou určené pravidly v těchto zásadách, závisí na konfiguraci možnosti Povolit vztah důvěryhodnosti komponent systému Windows a aplikací pro Store:

        • Pokud je povoleno, soubory a aplikace se na zařízeních zablokují.
        • Pokud je nastavená možnost Jenom auditovat, soubory a aplikace se auditují jenom v protokolech místních klientů.

    Tento snímek obrazovky ukazuje výchozí možnosti a nastavení pro zásady Řízení aplikací pro firmy při použití předdefinovaných ovládacích prvků.

  4. Na stránce Značky oboru vyberte požadované značky oboru, které chcete použít, a pak vyberte Další.

  5. V části Přiřazení vyberte skupiny, které zásady obdrží, ale vezměte v úvahu, že zásady WDAC platí jenom pro obor zařízení. Pokud chcete pokračovat, vyberte Další.

    Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

  6. V části Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Create. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásady se také zobrazují v seznamu zásad.

Použití doplňkových zásad

Jedna nebo více doplňkových zásad vám může pomoct rozšířit základní zásady řízení aplikací pro firmy a zvýšit tak kruh důvěryhodnosti těchto zásad. Doplňkové zásady mohou rozbalit pouze jednu základní zásadu, ale několik doplňkových zásad může rozšířit stejnou základní zásadu. Když přidáte doplňkové zásady, aplikace povolené základní zásadou a jejich doplňkové zásady můžou běžet na zařízeních.

Doplňkové zásady musí být ve formátu XML a musí odkazovat na ID zásad základní zásady.

ID zásady základní zásady řízení aplikací pro firmy je určeno konfigurací základních zásad:

  • Základní zásady vytvořené pomocí vlastního XML mají jedinečné ID zásad, které je založené na této konfiguraci XML.

  • Základní zásady vytvořené pomocí předdefinovaných ovládacích prvků pro Řízení aplikací pro firmy mají jednu ze čtyř možných ID zásad, která jsou určená možnými kombinacemi předdefinovaných nastavení. Následující tabulka uvádí kombinace a související ID zásad:

    PolicyID základní zásady Možnosti v zásadách WDAC (audit nebo vynucení)
    {A8012CFC-D8AE-493C-B2EA-510F035F1250} Povolení zásad řízení aplikací, které důvěřují komponentám Windows a aplikacím pro Store
    {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} Povolte zásady řízení aplikací, které důvěřují komponentám windows a aplikacím
    pro Store a
    důvěřují aplikacím s dobrou pověstí.
    {63D1178A-816A-4AB6-8ECD-127F2DF0CE47} Povolte zásady řízení aplikací, které důvěřují komponentám windows a aplikacím
    pro Store a
    důvěřují aplikacím ze spravovaných instalačních programů.
    {2DA0F72D-1688-4097-847D-C42C39E631BC} Povolte zásady řízení aplikací tak, aby důvěřovaly komponentám windows a aplikacím
    pro Store a
    Důvěřovat aplikacím s dobrou pověstí
    a
    Důvěřovat aplikacím ze spravovaných instalačních programů

I když dvě zásady řízení aplikací pro firmy, které používají stejnou konfiguraci předdefinovaných ovládacích prvků, mají stejné ID zásad, můžete použít různé doplňkové zásady v závislosti na přiřazení zásad.

Představte si následující scénář:

  • Vytvoříte dvě základní zásady, které používají stejnou konfiguraci, a proto mají stejné ID zásady. Jednu z nich nasadíte do svého výkonného týmu a druhou zásadu nasadíte do vašeho týmu helpdesku.

  • Dále vytvoříte dodatečnou zásadu, která umožní spuštění dalších aplikací, které vyžaduje váš výkonný tým. Tuto dodatečnou zásadu přiřadíte stejné skupině, výkonnému týmu.

  • Pak vytvoříte druhou dodatečnou zásadu, která umožní spouštět různé nástroje vyžadované týmem helpdesku. Tato zásada je přiřazená ke skupině HelpDesk.

V důsledku těchto nasazení můžou obě doplňkové zásady upravit obě instance základní zásady. Kvůli jedinečným a samostatným přiřazením ale první dodatečná zásada upraví jenom povolené aplikace přiřazené výkonnému týmu a druhá zásada upraví jenom povolené aplikace používané týmem helpdesku.

Create doplňující zásady

  1. Pomocí průvodce Windows Defender řízení aplikací nebo rutin PowerShellu vygenerujte zásady Řízení aplikací pro firmy ve formátu XML.

    Další informace o průvodci najdete v tématu aka.ms/wdacWizard nebo Průvodce Microsoft WDAC.

    Když vytváříte zásadu ve formátu XML, musí odkazovat na ID zásady základní zásady.

  2. Po vytvoření doplňkových zásad Řízení aplikací pro firmy ve formátu XML se přihlaste do Centra pro správu Microsoft Intune a přejděte do části Řízení aplikací zabezpečení koncového bodu>pro firmy (Preview),> vyberte kartu Řízení aplikací pro firmy a pak vyberte zásady Create.

  3. V části Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Profily názvů, abyste je později mohli snadno identifikovat.

    • Popis: Zadejte popis profilu. Toto nastavení je volitelné, ale doporučuje se.

  4. V části Nastavení konfigurace v části Formát nastavení konfigurace vyberte Zadat data XML a nahrajte soubor XML.

  5. V části Přiřazení vyberte stejné skupiny jako přiřazené k základní zásadě, na kterou se mají doplňkové zásady vztahovat, a pak vyberte Další.

  6. V části Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Create. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásady se také zobrazují v seznamu zásad.

Zásady řízení aplikací pro firmy pro tenanty education

Zásady Řízení aplikací pro firmy v tenantech pro vzdělávací organizace také podporují Windows 11 SE kromě podporovaných platforem v požadavcích.

Windows 11 SE je operační systém založený na cloudu, který je optimalizovaný pro použití v učebnách. Podobně jako Intune pro vzdělávání i Windows SE 11 upřednostňuje produktivitu, ochranu osobních údajů studentů a učení a podporuje jenom funkce a aplikace, které jsou nezbytné pro vzdělávání.

Pro tuto optimalizaci se pro Windows 11 SE zařízení automaticky konfigurují zásady WDAC a rozšíření správy Intune:

  • Intune podpora Windows 11 SE zařízení je omezená na nasazení předdefinovaných zásad WDAC se seznamem aplikací v tenantech EDU. Tyto zásady se nasazují automaticky a nedají se změnit.

  • Pro Intune tenanty EDU se rozšíření Intune Management automaticky nastaví jako spravovaný instalační program. Tato konfigurace je automatická a nedá se změnit.

Odstranit zásady řízení aplikací pro firmy

Jak je podrobně popsáno v tématu Nasazení zásad WDAC pomocí mobilních Správa zařízení (MDM) (Windows 10) – zabezpečení Windows v dokumentaci k Zabezpečení Windows, zásady odstraněné z uživatelského rozhraní Intune se odeberou ze systému a ze zařízení, ale zůstanou v platnosti až do dalšího restartování počítače.

Zakázání nebo odstranění vynucování wdac:

  1. Nahraďte stávající zásadu novou verzí zásad, která bude Allow /*, podobně jako pravidla v příkladu zásad nalezených na zařízeních s Windows na adrese %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

    Tato konfigurace odebere všechny bloky, které by jinak mohly být po odebrání zásady na zařízení ponechány.

  2. Po nasazení aktualizované zásady můžete novou zásadu odstranit z portálu Intune.

Tato sekvence zabrání blokování čehokoli a při příštím restartování zcela odebere zásady WDAC.

Monitorování zásad řízení aplikací pro firmy a spravovaného instalačního programu

Po přiřazení zásad řízení aplikací pro firmy a spravovaného instalačního programu můžete zobrazit podrobnosti o zásadách v Centru pro správu.

  • Pokud chcete zobrazit sestavy, váš účet musí mít oprávnění ke čtení pro kategorii řízení přístupu na základě role Intune organizace.

Pokud chcete zobrazit sestavy, přihlaste se do Centra pro správu Intune a přejděte do uzlu Řízení účtů. (Zabezpečení >koncového boduŘízení účtů (Preview)). Tady můžete vybrat kartu s podrobnostmi o zásadách, které chcete zobrazit:

Spravovaný instalační program

Na kartě Spravovaný instalační program můžete zobrazit stav, počet úspěchů a podrobnosti o chybách pro zásady spravovaného instalačního programu – Intune Management Extension:

Tento snímek obrazovky ukazuje zobrazení stránky Přehled zásad spravovaného instalačního programu.

Výběrem názvu zásady otevřete její stránku Přehled, kde můžete zobrazit následující informace:

  • Stav zařízení, statický počet úspěšných vs. chyb.

  • Trend stavu zařízení– historický graf zobrazující časovou osu a počet zařízení v každé kategorii podrobností.

Mezi podrobnosti sestavy patří:

  • Úspěch – zařízení, která úspěšně použila zásadu.

  • Chyba – zařízení s chybami.

  • Nová zařízení – Nová zařízení identifikují zařízení, která nedávno použila zásadu.

    Tento snímek obrazovky ukazuje přehled spravovaného instalačního programu.

Aktualizace částí Stav zařízení a Trend stavu zařízení v přehledu může trvat až 24 hodin.

Při prohlížení podrobností o zásadách můžete vybrat Stav zařízení (pod monitorováním) a otevřít tak zobrazení podrobností o zásadách založené na zařízení. Zobrazení Stav zařízení zobrazuje následující podrobnosti, které můžete použít k identifikaci problémů v případě, že se na zařízení nepodaří zásadu úspěšně použít:

  • Název zařízení
  • Uživatelské jméno
  • Verze operačního systému
  • Stav spravovaného instalačního programu (Úspěch nebo Chyba)

Může trvat několik minut, než se zobrazení podrobností o zásadách na základě zařízení aktualizuje poté, co zařízení zásadu skutečně přijme.

Řízení aplikací pro firmy

Na kartě Řízení aplikací pro firmy si můžete prohlédnout seznam zásad řízení aplikací pro firmy a základní podrobnosti, včetně toho, jestli byly přiřazené a kdy byly naposledy změněny.

Výběrem zásady otevřete zobrazení s dalšími možnostmi sestavy:

Tento snímek obrazovky zobrazuje zobrazení stavu jednotlivých zásad a dlaždice pro další dvě sestavy.

Mezi možnosti sestav pro zásady patří:

  • Stav ohlášení zařízení a uživatelů – jednoduchý graf, který zobrazuje počet zařízení, která hlásí každý dostupný stav pro tuto zásadu.

  • Zobrazit sestavu – Otevře se zobrazení se seznamem zařízení, která tuto zásadu přijala. Tady můžete vybrat zařízení, abyste mohli přejít k podrobnostem a zobrazit formát nastavení zásad Řízení aplikací pro firmy.

Zobrazení zásad obsahuje také následující dlaždice sestav:

  • Stav přiřazení zařízení – Tato sestava zobrazuje všechna zařízení, na která zásady cílí, včetně zařízení ve stavu čekání na přiřazení zásad.

    Pomocí této sestavy můžete vybrat hodnoty stavu přiřazení , které chcete zobrazit, a pak výběrem možnosti Generovat sestavu aktualizovat zobrazení sestavy pro jednotlivá zařízení, která obdržela zásadu, jejich posledního aktivního uživatele a stav přiřazení.

    Můžete také vybrat zařízení, abyste mohli přejít k podrobnostem a zobrazit jejich formát nastavení zásad Řízení aplikací pro firmy.

  • Stav nastavení – Tato sestava zobrazí počet zařízení, která u nastavení z této zásady hlásí stav Úspěch, Chyba nebo Konflikt .

Nejčastější dotazy

Kdy mám nastavit Intune Management Extension jako spravovaný instalační program?

Při příští dostupné příležitosti doporučujeme nakonfigurovat rozšíření Intune Management jako spravovaný instalační program.

Po nastavení se následné aplikace, které nasadíte do zařízení, odpovídajícím způsobem označí, aby podporovaly zásady WDAC, které důvěřují aplikacím ze spravovaných instalačních programů.

V prostředích, ve kterých byly aplikace nasazené před konfigurací spravovaného instalačního programu, doporučujeme nasadit nové zásady WDAC v režimu auditování , abyste mohli identifikovat, které aplikace byly nasazené, ale nebyly označené jako důvěryhodné. Pak můžete zkontrolovat výsledky auditu a určit, které aplikace by měly být důvěryhodné. Pro aplikace, kterým důvěřujete a povolíte jejich spuštění, pak můžete vytvořit vlastní zásady WDAC, které tyto aplikace povolí.

Může být užitečné prozkoumat rozšířené proaktivní vyhledávání, což je funkce v Microsoft Defender for Endpoint, která usnadňuje dotazování událostí auditu na mnoha počítačích, které správci IT spravují, a pomáhá jim vytvářet zásady.

Co dělat se starými zásadami řízení aplikací ze zásad omezení potenciální oblasti útoku

Možná jste si všimli výskytů zásad řízení aplikací v uživatelském rozhraní Intune v části Endpoint Security>Attach Surface Reduction nebo v části Konfigurace zařízení>. Ty budou v budoucí verzi zastaralé.

Co když mám na stejném zařízení více základních nebo doplňkových zásad?

Před Windows 10 1903 podporovalo řízení aplikací pro firmy v daném okamžiku v systému jenom jednu aktivní zásadu. To výrazně omezuje zákazníky v situacích, kdy by bylo užitečné více zásad s různými záměry. V současnosti se na stejném zařízení podporuje několik základních a doplňkových zásad. Přečtěte si další informace o nasazení více zásad řízení aplikací pro firmy.

V souvislosti s tím už neplatí omezení 32 zásad aktivních na stejném zařízení pro Řízení aplikací pro firmy. Tento problém je vyřešený u zařízení, která používají Windows 10 1903 nebo novější s aktualizací zabezpečení Windows vydanou 12. března 2024 nebo později. Očekává se, že starší verze Windows obdrží tuto opravu v budoucích aktualizacích zabezpečení Windows.

Má možnost výslovného souhlasu se spravovaným instalačním programem pro klienta nastavit aplikace nainstalované z Configuration Manager s příslušnou značkou?

Ne. Tato verze se zaměřuje na nastavení aplikací nainstalovaných z Intune pomocí rozšíření pro správu Intune jako spravovaného instalačního programu. Nemůže nastavit Configuration Manager jako spravovaný instalační program.

Pokud chcete nastavit Configuration Manager jako spravovaný instalační program, můžete toto chování povolit z Configuration Manager. Pokud už máte Configuration Manager nastavený jako spravovaný instalační program, očekávané chování je, že se nová zásada applockeru rozšíření pro správu Intune sloučí s existujícími zásadami Configuration Manager.

Další kroky

Konfigurace zásad zabezpečení koncových bodů