Freigeben über


App-Steuerung

Hinweis

Die App-Steuerungsfunktion ist optional. Sie müssen eine Anforderung zum Aktivieren der App-Steuerung übermitteln.

Die App-Steuerung ist eine optionale Sicherheitsmethode in Microsoft Managed Desktop, die die Ausführung von Code auf Clientgeräten einschränkt.

Diese Kontrolle verringert das Risiko von Malware oder schädlichen Skripts. Die Kontrolle erfordert, dass nur Codes ausgeführt werden können, die von einer vom Kunden genehmigten Liste von Herausgebern signiert wurden. Diese Kontrolle bietet viele Sicherheitsvorteile, zielt aber in erster Linie darauf ab, Daten und Identität vor Client-basierten Exploits zu schützen.

Microsoft Managed Desktop vereinfacht die Verwaltung von Richtlinien zur App-Steuerung, indem eine Basisrichtlinie erstellt wird, die zentrale Produktivitätsszenarien ermöglicht. Sie können das Vertrauen auf andere Unterzeichner erweitern, die für die Apps und Skripts in Ihrer Umgebung spezifisch sind.

Jede Sicherheitstechnologie erfordert ein Gleichgewicht zwischen Benutzererfahrung, Sicherheit und Kosten. Die App-Steuerung reduziert die Bedrohung durch bösartige Software in Ihrer Umgebung, aber es gibt Konsequenzen für den Benutzer und weitere Aktionen für Ihren IT-Administrator.

Zusätzliche Sicherheit und Verantwortlichkeiten Beschreibung
Zusätzliche Sicherheit Apps oder Skripts, denen die App-Steuerungsrichtlinie nicht vertraut, werden für die Ausführung auf Geräten blockiert.
Ihre zusätzlichen Zuständigkeiten
  • Sie sind dafür verantwortlich, Ihre Apps zu testen, um festzustellen, ob sie durch die Anwendungssteuerungsrichtlinie blockiert würden.
  • Wenn eine App blockiert ist (oder blockiert werden würde), sind Sie dafür verantwortlich, die erforderlichen Unterzeichnerdetails zu identifizieren. Sie müssen eine Änderung über das Admin Center anfordern.
Verantwortlichkeiten von Microsoft Managed Desktop
  • Microsoft Managed Desktop verwaltet die Basisrichtlinie, die Microsoft-Kernprodukte wie Microsoft 365-Apps, Windows, Teams, OneDrive usw. aktiviert.
  • Microsoft Managed Desktop fügt Ihre vertrauenswürdigen Unterzeichner ein und stellt die aktualisierte Richtlinie auf Ihren Geräten bereit.

Verwalten der Vertrauensstellung in Anwendungen

Microsoft Managed Desktop kuratiert eine Basisrichtlinie, die den Kernkomponenten von Microsoft-Technologien vertraut. Anschließend fügen Sie Ihren eigenen Anwendungen und Skripts Vertrauen hinzu, indem Sie Microsoft Managed Desktop mitteilen, welchen Apps und Skripts Sie bereits vertrauen.

Basisrichtlinie

Microsoft Managed Desktop erstellt und verwaltet in Zusammenarbeit mit Cybersicherheitsexperten von Microsoft eine Standardrichtlinie. Diese Standardrichtlinie:

  • Aktiviert die meisten Apps, die über Microsoft Intune bereitgestellt werden.
  • Blockiert gefährliche Aktivitäten wie Codekompilierung oder Ausführung nicht vertrauenswürdiger Dateien.

Die Basisrichtlinie verfolgt den folgenden Ansatz, um die Softwareausführung einzuschränken:

  • Dateien, die von Administratoren ausgeführt werden, dürfen ausgeführt werden.
  • Dateien an Speicherorten, die sich nicht in vom Benutzer beschreibbaren Verzeichnissen befinden, dürfen ausgeführt werden.
  • Dateien werden von einem vertrauenswürdigen Unterzeichner signiert.
  • Die meisten von Microsoft signierten Dateien werden ausgeführt, einige werden jedoch blockiert, um Aktionen mit hohem Risiko wie die Codekompilierung zu verhindern.

Wenn ein Benutzer, bei dem es sich nicht um einen Administrator handelt, eine App oder ein Skript zu einem Gerät hätte hinzufügen können (d. h. es befindet sich in einem vom Benutzer beschreibbaren Verzeichnis), werden wir die Ausführung nicht zulassen. Wir erlauben die Ausführung, wenn die App oder das Skript bereits von einem Administrator zugelassen wurde.

Unsere Richtlinie stoppt die Ausführung von Apps in den folgenden Szenarien:

  • Wenn ein Benutzer dazu verleitet wird, Malware zu installieren.
  • Wenn eine Schwachstelle in einer App ausgeführt wird, versucht der Benutzer, Malware zu installieren.
  • Wenn ein Benutzer absichtlich versucht, eine nicht autorisierte App oder ein nicht autorisiertes Skript auszuführen.

Signiereranforderungen

Sie teilen uns mit, welche Apps von Softwareherausgebern bereitgestellt werden, denen Sie vertrauen, indem Sie eine Unterzeichneranfrage stellen. Auf diese Weise haben wir folgende Aufgaben:

  • Fügen Sie diese Vertrauensinformationen in die grundlegende Anwendungssteuerungsrichtlinie ein.
  • Lassen Sie zu, dass mit dem Zertifikat dieses Herausgebers signierte Software auf Ihren Geräten ausgeführt wird.

Audit- und erzwungene Richtlinien

Microsoft Managed Desktop verwendet Microsoft Intune-Richtlinien, um App-Steuerung bereitzustellen:

Überwachungsrichtlinie

Diese Richtlinie erstellt Protokolle, um aufzuzeichnen, ob eine App oder ein Skript durch die erzwungene Richtlinie blockiert würde.

Überwachungsrichtlinien erzwingen keine App-Steuerungsregeln. Sie sind zu Testzwecken gedacht, um festzustellen, ob für eine Anwendung eine Publisher-Ausnahme erforderlich ist. Es protokolliert Warnungen (8003- oder 8006-Ereignisse) in der Ereignisanzeige, anstatt die Ausführung oder Installation bestimmter Apps oder Skripts zu blockieren.

Erzwungene Richtlinie

Diese Richtlinie blockiert die Ausführung nicht vertrauenswürdiger Apps und Skripts und erstellt Protokolle, wenn eine App oder ein Skript blockiert wird. Durchgesetzte Richtlinien verhindern, dass Standardbenutzer Apps oder Skripts ausführen, die in vom Benutzer beschreibbaren Verzeichnissen gespeichert sind.

Auf Geräte in der Testgruppe wird eine Überwachungsrichtlinie angewendet, um zu überprüfen, ob Anwendungen Probleme verursachen. Alle anderen Gruppen (First, Fast und Broad) verwenden eine erzwungene Richtlinie. Benutzer in diesen Gruppen können keine nicht vertrauenswürdigen Apps oder Skripts ausführen.