비즈니스용 앱 제어를 사용하여 패키지된 앱 관리

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

참고

비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.

IT 전문가를 위한 이 문서에서는 전체 App Control 전략의 일부로 비즈니스용 App Control을 사용하여 패키지된 앱을 관리하는 데 도움이 되는 개념 및 목록 절차를 설명합니다.

클래식 Windows 앱 및 패키지된 앱 비교

App Control 채택의 가장 큰 과제는 win32 앱이라고도 하는 클래식 Windows 앱에 대한 강력한 앱 ID가 없다는 것입니다. 일반적인 win32 앱은 앱을 설치하는 데 사용되는 설치 관리자와 하나 이상의 exes, dll 또는 스크립트를 포함하여 여러 구성 요소로 구성됩니다. 앱은 사용자가 앱으로 이해하는 기능을 제공하기 위해 함께 작동하는 수백 또는 수천 개의 개별 이진 파일로 구성됩니다. 해당 코드 중 일부는 소프트웨어 게시자에 의해 서명될 수 있고, 일부는 다른 회사에서 서명할 수 있으며, 그 중 일부는 전혀 서명되지 않을 수 있습니다. 코드의 대부분은 일반적인 설치 관리자 집합에 의해 디스크에 기록될 수 있지만 일부는 이미 설치되어 있고 일부는 요청 시 다운로드될 수 있습니다. 일부 이진 파일에는 제품 이름 및 제품 버전과 같은 일반적인 리소스 헤더 메타데이터가 있지만 다른 파일은 해당 정보를 공유하지 않습니다. 따라서 "앱 Foo 허용"와 같은 규칙을 표현할 수 있기를 원하지만 Windows가 클래식 Windows 앱에 대해 기본적으로 이해하는 것은 아닙니다. 대신 앱을 구성하는 모든 파일을 허용하기 위해 많은 App Control 규칙을 만들어야 할 수 있습니다.

반면에 MSIX라고도 하는 패키지된 앱은 앱을 구성하는 모든 파일이 동일한 ID를 공유하고 공통 서명을 가지고 있는지 확인합니다. 따라서 패키지된 앱을 사용하면 단일 App Control 규칙을 사용하여 전체 앱을 제어할 수 있습니다.

앱 컨트롤을 사용하여 패키지된 앱 관리

중요

패키지된 앱을 제어할 때 서명자 규칙 또는 PFN(패키지 패밀리 이름) 규칙 중에서 선택해야 합니다. 앱 제어 기본 정책 또는 추가 정책 중 하나에 PFN (패키지 패밀리 이름) 규칙을 사용하는 경우 모든 패키지된 앱은 PFN 규칙을 사용하여 독점적으로 제어되어야 합니다. 지정된 기본 정책의 scope 내에서 PFN 규칙을 서명 기반 규칙과 혼합하고 일치시킬 수 없습니다. 이는 시작 메뉴와 같은 많은 받은 편지함 시스템 앱에 영향을 줍니다. Windows 11 PFN 규칙의 와일드카드를 사용하여 규칙 만들기를 간소화할 수 있습니다.

패키지된 앱에 대한 서명 기반 규칙 만들기

MSIX 앱을 구성하는 모든 파일은 공통 카탈로그 서명으로 서명됩니다. New-CIPolicyRule PowerShell cmdlet을 사용하여 MSIX 앱의 설치 관리자 파일(.msix 또는 .msixbundle) 또는 앱 설치 폴더의 %ProgramFiles%\WindowsApps\에 있는 AppxSignature.p7x 파일에서 서명자 규칙을 만들 수 있습니다. 예시:

MSIX/MSIXBUNDLE에서 서명자 규칙 만들기

$FilePath = $env:USERPROFILE+'\Downloads\WDACWizard_2.1.0.1_x64_8wekyb3d8bbwe.MSIX'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

그런 다음 Merge-CIPolicy PowerShell cmdlet을 사용하여 새 규칙을 기존 App Control 정책 XML에 병합합니다.

AppxSignature.p7x에서 서명자 규칙 만들기

$FilePath = $env:ProgramFiles+'\WindowsApps\Microsoft.App Control.WDACWizard_2.1.0.1_x64__8wekyb3d8bbwe\AppxSignature.p7x'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

그런 다음 Merge-CIPolicy PowerShell cmdlet을 사용하여 새 규칙을 기존 App Control 정책 XML에 병합합니다.

패키지된 앱에 대한 PackageFamilyName 규칙 만들기

PowerShell에서 PFN 규칙 만들기

Get-AppXPackage 및 New-CIPolicyRule PowerShell cmdlet을 사용하여 현재 설치된 패키지된 앱에서 직접 PFN 규칙을 만들 수 있습니다. 예시:

# Query for the packaged apps. This example looks for all packages from Microsoft.
$Packages = Get-AppXPackage -Name Microsoft.*
foreach ($Package in $Packages)
{
   $Rules += New-CIPolicyRule -Package $Package
}

그런 다음 Merge-CIPolicy PowerShell cmdlet을 사용하여 새 규칙을 기존 App Control 정책 XML에 병합합니다.

앱 제어 마법사를 사용하여 PFN 규칙 만들기

설치된 MSIX 앱에서 PFN 규칙 만들기

다음 단계를 사용하여 시스템에 설치된 앱에 대한 App Control PFN 규칙을 만듭니다.

1. 앱 제어 마법사의 정책 서명 규칙 페이지에서 사용자 지정 규칙 추가를 선택합니다.
2. 선택하지 않은 경우 Usermode 규칙을 규칙 범위로 확인합니다.
3. 규칙 작업에 대해 허용 또는 거부 를 선택합니다.
4. 규칙 유형에 대해 패키지된 앱을 선택합니다.
5. 패키지 이름 필드에 검색할 문자열 값을 입력합니다. 검색 문자열에서 또는 * 와일드카드를 사용할 ? 수 있습니다. 그런 다음 검색을 선택합니다.
6. 결과 상자에서 규칙을 만들려는 하나 이상의 앱을 검사.
7. 규칙 만들기를 선택합니다.
8. 원하는 다른 규칙을 만든 다음 마법사를 완료합니다.

사용자 지정 문자열을 사용하여 PFN 규칙 만들기

다음 단계를 사용하여 사용자 지정 문자열 값이 있는 PFN 규칙을 만듭니다.

1. 이전 예제에서 1-4단계를 반복합니다.
2. 사용자 지정 패키지 패밀리 사용 확인란을 선택합니다. 검색 단추 레이블이 만들기로 변경되었습니다.
3. 패키지 이름 필드에 PFN 규칙에 대한 문자열 값을 입력합니다. Windows 11 디바이스를 대상으로 하는 경우 또는 * 와일드카드를 사용할 ? 수 있습니다. 그런 다음 만들기를 선택합니다.
4. 결과 상자에서 규칙을 만들려는 하나 이상의 앱을 검사.
5. 규칙 만들기를 선택합니다.
6. 원하는 다른 규칙을 만든 다음 마법사를 완료합니다.