Implementación de directivas de App Control mediante mobile Administración de dispositivos (MDM)
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
Puede usar una solución mobile Administración de dispositivos (MDM), como Microsoft Intune, para configurar App Control for Business en máquinas cliente. Intune incluye compatibilidad nativa con App Control, que puede ser un punto de partida útil, pero los clientes pueden encontrar las opciones de círculo de confianza disponibles demasiado limitantes. Para implementar una directiva personalizada a través de Intune y definir su propio círculo de confianza, puede configurar un perfil mediante OMA-URI personalizado. Si su organización usa otra solución MDM, consulte con el proveedor de soluciones los pasos de implementación de directivas de App Control.
Importante
Debido a un problema conocido, siempre debe activar nuevas directivas firmadas de App Control Base con un reinicio en sistemas con integridad de memoria habilitada. En lugar de Mobile Administración de dispositivos (MDM), implemente nuevas directivas firmadas de App Control Base mediante script y active la directiva con un reinicio del sistema.
Este problema no afecta a las actualizaciones de las directivas base firmadas que ya están activas en el sistema, la implementación de directivas sin firmar o la implementación de directivas complementarias (firmadas o sin firmar). Tampoco afecta a las implementaciones en sistemas que no ejecutan integridad de memoria.
Uso de las directivas integradas de Intune
La compatibilidad integrada de App Control para empresas de Intune permite configurar los equipos cliente de Windows para que solo se ejecuten:
- Componentes de Windows
- Controladores de hardware y kernel de software de terceros
- Aplicaciones firmadas por Microsoft Store
- [Opcional] Aplicaciones de confianza definidas por Intelligent Security Graph (ISG)
Nota
las directivas integradas de Intune usan la versión de formato de directiva única anterior a 1903 de la directiva DefaultWindows. Use la experiencia mejorada Intune App Control, actualmente en versión preliminar pública, para crear e implementar archivos de formato de varias directivas. O bien, puede usar la característica personalizada OMA-URI de Intune para implementar sus propias directivas de App Control con formato de varias directivas y aprovechar las características disponibles en Windows 10 1903+ o Windows 11 como se describe más adelante en este tema.
Nota
Intune usa actualmente el CSP de AppLocker para implementar sus directivas integradas. El CSP de AppLocker siempre solicita un reinicio del dispositivo cuando aplica directivas de Control de aplicaciones. Use la experiencia mejorada Intune App Control, actualmente en versión preliminar pública, para implementar sus propias directivas de App Control sin reiniciar. O bien, puede usar la característica OMA-URI personalizada de Intune con el CSP de ApplicationControl.
Para usar las directivas integradas de App Control de Intune, configure Endpoint Protection para Windows 10 (y versiones posteriores).
Implementación de directivas de App Control con OMA-URI personalizado
Nota
Las directivas implementadas a través de Intune OMA-URI personalizado están sujetas a un límite de 350 000 bytes. Los clientes deben crear directivas de App Control para empresas que usen reglas basadas en firmas, Intelligent Security Graph e instaladores administrados donde sea práctico. También se recomienda a los clientes cuyos dispositivos ejecutan más de 1903 compilaciones de Windows que usen varias directivas que permitan directivas más pormenorizadas.
Ahora debe tener una o varias directivas de Control de aplicaciones convertidas en formato binario. Si no es así, siga los pasos descritos en Implementación de directivas de App Control para empresas.
Implementación de directivas personalizadas de App Control en Windows 10 1903+
A partir de Windows 10 1903, la implementación personalizada de directivas OMA-URI puede usar el CSP de ApplicationControl, que admite varias directivas y directivas sin reinicio.
Nota
Debe convertir el XML de la directiva personalizada en un formulario binario antes de implementarlo con OMA-URI.
Los pasos para usar la funcionalidad OMA-URI personalizada de Intune son:
Abra el portal de Microsoft Intune y cree un perfil con la configuración personalizada.
Especifique un nombre y una descripción y use los siguientes valores para la configuración OMA-URI personalizada restante:
-
OMA-URI:
./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
- Tipo de datos: Base64 (archivo)
- Archivo de certificado: cargue el archivo de directiva de formato binario. Para ello, cambie el archivo {GUID}.cip a {GUID}.bin. No es necesario cargar un archivo Base64, ya que Intune convierte el archivo .bin cargado en Base64 en su nombre.
-
OMA-URI:
Nota
Para el valor GUID de directiva , no incluya los corchetes.
Eliminación de directivas de App Control en Windows 10 1903+
Tras la eliminación, las directivas implementadas a través de Intune a través del CSP de ApplicationControl se quitan del sistema, pero permanecen en vigor hasta el siguiente reinicio. Para deshabilitar app control para la aplicación empresarial, reemplace primero la directiva existente por una nueva versión de la directiva que "Permitir *", como las reglas de la directiva de ejemplo en %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml. Una vez implementada la directiva actualizada, puede eliminarla del portal de Intune. Esta eliminación impedirá que cualquier cosa se bloquee y quite completamente la directiva de Control de aplicaciones en el siguiente reinicio.
Para sistemas anteriores a 1903
Implementación de directivas
Los pasos para usar la funcionalidad OMA-URI personalizada de Intune para aplicar el CSP de AppLocker e implementar una directiva de Control de aplicaciones personalizada en sistemas anteriores a 1903 son:
Convierta el XML de directiva en formato binario mediante el cmdlet ConvertFrom-CIPolicy para implementarlo. La directiva binaria puede estar firmada o sin firmar.
Abra el portal de Microsoft Intune y cree un perfil con la configuración personalizada.
Especifique un nombre y una descripción y use los siguientes valores para la configuración OMA-URI personalizada restante:
-
OMA-URI:
./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
- Tipo de datos: Base64 (archivo)
- Archivo de certificado: carga del archivo de directiva de formato binario
Nota
La implementación de directivas a través del CSP de AppLocker forzará un reinicio durante OOBE.
-
OMA-URI:
Eliminación de directivas
Las directivas implementadas a través de Intune a través del CSP de AppLocker no se pueden eliminar a través de la consola de Intune. Para deshabilitar la aplicación de directivas de App Control para empresas, implemente una directiva en modo de auditoría o use un script para eliminar la directiva existente.