Condividi tramite


Distribuzione dei criteri di controllo delle app per le aziende

Nota

Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.

È ora necessario disporre di uno o più criteri di Controllo app per le aziende pronti per la distribuzione. Se i passaggi descritti nella Guida alla progettazione del controllo app non sono ancora stati completati, eseguire questa operazione prima di procedere.

Convertire il codice XML dei criteri di Controllo app in file binari

Prima di distribuire i criteri di Controllo app, è necessario convertire il codice XML nel formato binario. È possibile eseguire questa operazione usando l'esempio di PowerShell seguente. È necessario impostare la variabile $AppControlPolicyXMLFile in modo che punti al file XML dei criteri di Controllo app.

## Update the path to your App Control policy XML
$AppControlPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyAppControlPolicy.xml"
[xml]$AppControlPolicy = Get-Content -Path $AppControlPolicyXMLFile
if (($AppControlPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
{
    $PolicyID = $AppControlPolicy.SiPolicy.PolicyID
    $PolicyBinary = $PolicyID+".cip"
}
else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
{
    $PolicyBinary = "SiPolicy.p7b"
}

## Binary file will be written to your desktop
ConvertFrom-CIPolicy -XmlFilePath $AppControlPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

Pianificare la distribuzione

Come per qualsiasi modifica significativa all'ambiente, l'implementazione di Controllo app può avere conseguenze impreviste. Per garantire la migliore probabilità di successo, è necessario seguire le procedure di distribuzione sicure e pianificare la distribuzione con attenzione. Identificare i dispositivi che si gestiranno con Controllo app e suddividerli in circuiti di distribuzione. In questo modo, è possibile controllare la velocità e la scalabilità della distribuzione e rispondere se qualcosa va storto. Definire i criteri di esito positivo che determineranno quando è sicuro continuare da un anello all'altro.

Tutte le modifiche ai criteri di Controllo app per le aziende devono essere distribuite in modalità di controllo prima di procedere all'imposizione. Monitorare attentamente gli eventi dai dispositivi in cui sono stati distribuiti i criteri per assicurarsi che gli eventi di blocco osservati corrispondano alle aspettative prima di ampliare la distribuzione ad altri circuiti di distribuzione. Se l'organizzazione usa Microsoft Defender per endpoint, è possibile usare la funzionalità Ricerca avanzata per monitorare centralmente gli eventi correlati a Controllo app. In caso contrario, è consigliabile usare una soluzione di inoltro del log eventi per raccogliere gli eventi rilevanti dagli endpoint gestiti.

Scegliere come distribuire i criteri di controllo delle app

Importante

A causa di un problema noto, è consigliabile attivare sempre i nuovi criteri di base del controllo app firmati con un riavvio nei sistemi con l'integrità della memoria abilitata. In questo caso è consigliabile eseguire la distribuzione tramite script .

Questo problema non influisce sugli aggiornamenti dei criteri di base firmati già attivi nel sistema, sulla distribuzione di criteri non firmati o sulla distribuzione di criteri supplementari (firmati o non firmati). Inoltre, non influisce sulle distribuzioni in sistemi che non eseguono l'integrità della memoria.

Esistono diverse opzioni per distribuire i criteri di Controllo app per le aziende agli endpoint gestiti, tra cui: