Goedgekeurde apps voor Windows-apparaten beheren met beleid voor App-beheer voor Bedrijven en Beheerde installatieprogramma's voor Microsoft Intune
Deze functie is in openbare preview.
Elke dag verschijnen er nieuwe schadelijke bestanden en apps in het wild. Wanneer ze worden uitgevoerd op apparaten in uw organisatie, vormen ze een risico, dat moeilijk te beheren of te voorkomen kan zijn. Als u wilt voorkomen dat ongewenste apps worden uitgevoerd op uw beheerde Windows-apparaten, kunt u Microsoft Intune App Control for Business-beleid gebruiken.
Het beleid voor app-beheer voor bedrijven van Intune maakt deel uit van eindpuntbeveiliging en gebruikt de Windows ApplicationControl-CSP om toegestane apps op Windows-apparaten te beheren.
U kunt ook een beheerd installatiebeleid gebruiken om de extensie Intune-beheer toe te voegen aan uw tenant als een beheerd installatieprogramma. Met deze extensie als een beheerd installatieprogramma worden de apps die u implementeert via Intune automatisch getagd door het installatieprogramma. Getagde apps kunnen door uw beleid voor App-beheer voor Bedrijven worden geïdentificeerd als veilige apps die op uw apparaten kunnen worden uitgevoerd.
De Intune-beheeruitbreiding is een Intune-service die Windows 10 MDM-functies voor Windows 10- en Windows 11-apparaten aanvult. Het vereenvoudigt de installatie van Win32-apps en PowerShell-scripts op beheerde apparaten.
Een beheerd installatieprogramma gebruikt een AppLocker-regel om toepassingen die u installeert te taggen als vertrouwd door uw organisatie Voor meer informatie raadpleegt u Toestaan dat apps door een beheerd installatieprogramma worden geïnstalleerd in de documentatie over Windows-beveiliging.
Het gebruik van een beheerd installatieprogramma is niet vereist voor het gebruik van App Control for Business-beleid.
De informatie in dit artikel kan u helpen bij het volgende:
- Configureer de Intune Management Extension als een beheerd installatieprogramma.
- Beleid voor app-beheer voor bedrijven voor eindpuntbeveiliging configureren.
Zie Windows Defender Application Control in de documentatie voor Windows-beveiliging voor gerelateerde informatie.
Opmerking
App Control for Business-beleid versus toepassingsbeheerprofielen: Intune App Control for Business-beleid de ApplicationControl-CSP gebruiken. het beleid voor het verminderen van kwetsbaarheid voor aanvallen van Intune gebruikt de AppLocker-CSP voor hun toepassingsbeheerprofielen. Windows heeft de ApplicationControl-CSP geïntroduceerd ter vervanging van de AppLocker-CSP. Windows blijft de AppLocker-CSP ondersteunen, maar voegt er geen nieuwe functies meer aan toe. In plaats daarvan gaat de ontwikkeling verder via de ApplicationControl-CSP.
Van toepassing op:
- Windows 10
- Windows 11
Vereisten
Apparaten
De volgende apparaten worden ondersteund voor App Control for Business-beleid wanneer ze zijn ingeschreven bij Intune:
Windows Enterprise of Education:
- Windows 10 versie 1903 of hoger
- Windows 11 versie 1903 of hoger
Windows Professional:
Windows 11 SE:
- Windows 11 SE wordt alleen ondersteund voor educatieve tenants. Zie App Control for Business-beleid voor Education-tenants verderop in dit artikel voor meer informatie.
Azure Virtual Desktop (AVD):
- AVD-apparaten worden ondersteund voor het gebruik van App Control for Business-beleid
- Als u AVD-apparaten met meerdere sessies wilt targeten, gebruikt u het knooppunt App-beheer voor Bedrijven in Endpoint Security. App Control for Business is echter alleen apparaatbereik.
Co-beheerde apparaten:
- Stel de schuifregelaar voor Endpoint Protection in op Intune ter ondersteuning van beleid voor toepassingsbeheer voor bedrijven op co-beheerde apparaten.
Windows Defender App Control for Business
Zie Windows-editie- en licentievereisten in Over toepassingsbeheer voor Windows in de Windows-beveiliging-documentatie.
Op rollen gebaseerde toegangsbeheer
Voor het beheren van app-beheer voor Bedrijven-beleid moet aan een account een Intune rol op basis van op rollen gebaseerd toegangsbeheer (RBAC) worden toegewezen die voldoende machtigingen en rechten bevat om een gewenste taak te voltooien.
Hieronder vindt u de beschikbare taken met de vereiste machtigingen en rechten.
Het gebruik van een beheerd installatieprogramma inschakelen: aan accounts moet de rol van Intune beheerder worden toegewezen. Het inschakelen van het installatieprogramma is een eenmalige gebeurtenis.
Belangrijk
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt bij het verbeteren van de beveiliging voor uw organisatie. De Intune Administrator en vergelijkbare accounts zijn rollen met hoge bevoegdheden die moeten worden beperkt tot scenario's die geen andere rol kunnen gebruiken.
Beleid voor app-beheer voor bedrijven beheren : accounts moeten de machtiging App-beheer voor Bedrijven hebben, waaronder rechten voor verwijderen, lezen, toewijzen, maken, bijwerken en rapporten weergeven.
Rapporten weergeven voor beleid voor App-beheer voor Bedrijven : accounts moeten een van de volgende machtigingen en rechten hebben:
- De machtiging App-beheer voor Bedrijven met Rapporten weergeven.
- De machtiging Organisatie met Lezen.
Zie Assign-role-based-access-controls-for-endpoint-security-policy voor hulp bij het toewijzen van het juiste machtigingsniveau en de juiste rechten voor het beheren van Intune het beleid voor app-beheer voor bedrijven.
Cloudondersteuning voor de overheid
Intune eindpuntbeveiliging Toepassingsbeheerbeleid en het configureren van een beheerd installatieprogramma worden ondersteund met de volgende onafhankelijke cloudomgevingen:
- Clouds van de Amerikaanse overheid
- 21Vianet
Aan de slag met beheerde installatieprogramma's
Met app-beheer voor eindpuntbeveiliging van Intune voor bedrijven kunt u beleid gebruiken om de Intune Management Extension toe te voegen als een beheerd installatieprogramma op uw beheerde Windows-apparaten.
Nadat u een beheerd installatieprogramma hebt ingeschakeld, worden alle volgende toepassingen die u via Intune op Windows-apparaten implementeert, gemarkeerd met de tag beheerd installatieprogramma. De tag geeft aan dat de app is geïnstalleerd door een bekende bron en kan worden vertrouwd. Het beheerde installatieprogramma taggen van apps wordt vervolgens gebruikt door app-beheer voor Bedrijven-beleid om apps automatisch te identificeren als goedgekeurd voor uitvoering op apparaten in uw omgeving.
App Control for Business-beleid is een implementatie van Windows Defender Application Control (WDAC). Voor meer informatie over WDAC en app-taggen raadpleegt u De handleiding Toepassingsbeheer voor Windows en WDAC Application ID (AppId) Taggen in de documentatie voor Windows Defender Application Control.
Overwegingen voor het gebruik van een beheerd installatieprogramma:
Het instellen van een beheerd installatieprogramma is een tenantbrede configuratie die van toepassing is op al uw beheerde Windows-apparaten.
Nadat u de extensie Intune Management hebt ingeschakeld als een beheerd installatieprogramma, worden alle apps die u op Windows-apparaten implementeert via Intune getagd met het label van het beheerde installatieprogramma.
Deze tag heeft op zichzelf geen invloed op welke apps op uw apparaten kunnen worden uitgevoerd. De tag wordt alleen gebruikt wanneer u ook WDAC-beleid toewijst waarmee wordt bepaald welke apps mogen worden uitgevoerd op uw beheerde apparaten.
Omdat er geen taggen met terugwerkende kracht is, worden alle apps op uw apparaten die zijn geïmplementeerd voordat het beheerde installatieprogramma werd ingeschakeld, niet getagd. Als u een WDAC-beleid toepast, moet u expliciete configuraties opnemen om deze apps zonder vlag uit te voeren.
U kunt dit beleid uitschakelen door het beleid voor het beheerde installatieprogramma te bewerken. Als u het beleid uitschakelt, voorkomt u dat volgende apps worden getagd met het beheerde installatieprogramma. Apps die eerder zijn geïnstalleerd en getagd, blijven gelabeld. Zie De Intune Management-extensie verwijderen als een beheerd installatieprogramma verderop in dit artikel voor meer informatie over het handmatig opschonen van een beheerd installatieprogramma na het uitschakelen van het beleid.
Meer informatie over het instellen van het beheerde installatieprogramma Intune in de documentatie voor Windows-beveiliging.
Belangrijk
Mogelijke impact op gebeurtenissen die worden verzameld door Log Analytics-integraties
Log Analytics is een hulpprogramma in Azure Portal dat klanten mogelijk gebruiken om gegevens te verzamelen uit AppLocker-beleidsevenementen. Als u met deze openbare preview de aanmeldingsactie voltooit, wordt AppLocker-beleid geïmplementeerd op toepasselijke apparaten in uw tenant. Afhankelijk van uw Log Analytics-configuratie, met name als u enkele van de uitgebreidere logboeken verzamelt, resulteert dit in een toename van gebeurtenissen die worden gegenereerd door AppLocker-beleid. Als uw organisatie gebruikmaakt van Log Analytics, raden we u aan om uw Log Analytics-installatie te controleren, zodat u:
- Krijg inzicht in uw Log Analytics-installatie en zorg ervoor dat er een geschikte limiet voor gegevensverzameling is ingesteld om onverwachte factureringskosten te voorkomen.
- Schakel het verzamelen van AppLocker-gebeurtenissen helemaal uit in Log Analytics (fout, waarschuwing, informatie), met uitzondering van MSI- en scriptlogboeken.
Een beheerd installatieprogramma toevoegen aan uw tenant
De volgende procedure begeleidt u bij het toevoegen van de Intune Management Extension als een beheerd installatieprogramma voor uw tenant. Intune ondersteunt één beheerd installatieprogrammabeleid.
Ga in het Microsoft Intune-beheercentrum naar Eindpuntbeveiliging (preview), selecteer het tabblad Beheerd installatieprogramma en selecteer vervolgens *Toevoegen. Het deelvenster Beheerd installatieprogramma toevoegen wordt geopend.
Selecteer Toevoegen en vervolgens Ja om de toevoeging van de Intune Management Extension als een beheerd installatieprogramma te bevestigen.
Nadat u het beheerde installatieprogramma hebt toegevoegd, moet u in sommige zeldzame gevallen mogelijk tot 10 minuten wachten voordat het nieuwe beleid wordt toegevoegd aan uw tenant. Selecteer Vernieuwen om het beheercentrum periodiek bij te werken, totdat het beschikbaar is.
Het beleid is gereed in de service wanneer Intune een beheerd installatieprogrammabeleid weergeeft met de naam Beheerd installatieprogramma Intune Management Extension met de status Actief. Aan de clientzijde moet u mogelijk een uur wachten totdat het beleid wordt geleverd.
U kunt nu het beleid selecteren om de configuratie ervan te bewerken. Alleen de volgende twee beleidsgebieden ondersteunen bewerkingen:
Instellingen: als u de beleidsinstellingen bewerkt, wordt het deelvenster Afmelden voor beheerd installatieprogramma geopend, waar u de waarde voor Beheerd installatieprogramma instellen kunt wijzigen tussen Aan en Uit. Wanneer u het installatieprogramma toevoegt, wordt de instelling Beheerd installatieprogramma instellen standaard ingesteld op Aan. Voordat u de configuratie wijzigt, controleert u het gedrag dat in het deelvenster wordt beschreven op Aan en Uit.
Bereiktags: u kunt bereiktags toevoegen en wijzigen die aan dit beleid zijn toegewezen. Hiermee kunt u opgeven welke beheerders de beleidsdetails kunnen bekijken.
Voordat het beleid effect heeft, moet u een beleid voor App-beheer voor Bedrijven maken en implementeren om regels op te geven waarvoor apps kunnen worden uitgevoerd op uw Windows-apparaten.
Zie Apps toestaan die door een beheerd installatieprogramma worden geïnstalleerd in de documentatie voor Windows-beveiliging voor meer informatie.
Belangrijk
Het risico van mogelijke no-boot van AppLocker-beleidssamenvoeging
Wanneer u een beheerd installatieprogramma inschakelt via Intune, wordt een AppLocker-beleid met een dummyregel geïmplementeerd en samengevoegd met het bestaande AppLocker-beleid op het doelapparaat. Als het bestaande AppLocker-beleid een RuleCollection bevat die is gedefinieerd als NotConfigured met een lege regelset, wordt het samengevoegd als NotConfigured met de dummy-regel. Een niet-geconfigureerde regelverzameling wordt standaard afgedwongen als er regels zijn gedefinieerd in de verzameling. Wanneer de dummyregel de enige regel is die is geconfigureerd, betekent dit dat het laden of uitvoeren van andere items wordt geblokkeerd. Dit kan onverwachte problemen veroorzaken, zoals het starten van toepassingen en het niet opstarten of aanmelden bij Windows. Om dit probleem te voorkomen, raden we u aan rulecollection te verwijderen die is gedefinieerd als NotConfigured met een lege regelset uit uw bestaande AppLocker-beleid als dit momenteel aanwezig is.
- Beheerd installatieprogramma kan gestopte of uitgeschakelde App-Locker beleid (op doel-pc's) dat wordt afgedwongen vanuit GPO inschakelen.
De Intune Management Extension verwijderen als een beheerd installatieprogramma
Als dat nodig is, kunt u stoppen met het configureren van de Intune Management-extensie als een beheerd installatieprogramma voor uw tenant. Hiervoor moet u het beleid voor het beheerde installatieprogramma uitschakelen. Nadat het beleid is uitgeschakeld, kunt u ervoor kiezen om aanvullende opschoonacties te gebruiken.
Het Intune Management Extension-beleid uitschakelen (vereist)
De volgende configuratie is vereist om te stoppen met het toevoegen van de Intune Management Extension als een beheerd installatieprogramma aan uw apparaten.
Ga in het beheercentrum naar Eindpuntbeveiliging (preview), selecteer het tabblad Beheerd installatieprogramma en selecteer vervolgens het beleid Beheerd installatieprogramma – Intune Beheeruitbreiding.
Bewerk het beleid, wijzig Beheerd installatieprogramma instellen in Uit en sla het beleid op.
Nieuwe apparaten worden niet geconfigureerd met de Intune Management Extension als een beheerd installatieprogramma. Hiermee wordt de Intune-beheerextensie als beheerd installatieprogramma niet verwijderd van apparaten die al zijn geconfigureerd om deze te gebruiken.
De Intune Management Extension verwijderen als een beheerd installatieprogramma op apparaten (optioneel)
Als optionele opschoningsstap kunt u een script uitvoeren om de Intune Management Extension te verwijderen als een beheerd installatieprogramma op apparaten waarop deze al is geïnstalleerd. Deze stap is optioneel omdat deze configuratie geen effect heeft op apparaten, tenzij u ook App Control for Business-beleid gebruikt dat verwijst naar het beheerde installatieprogramma.
Download het CatCleanIMEOnly.ps1 PowerShell-script. Dit script is beschikbaar op https://aka.ms/intune_WDAC/CatCleanIMEOnly van download.microsoft.com.
Voer dit script uit op apparaten waarop de Intune Management Extension is ingesteld als een beheerd installatieprogramma. Met dit script verwijdert u alleen de Intune Management Extension als een beheerd installatieprogramma.
Start de Intune Management Extension-service opnieuw om de bovenstaande wijzigingen van kracht te laten worden.
Als u dit script wilt uitvoeren, kunt u Intune gebruiken om PowerShell-scripts of andere methoden van uw keuze uit te voeren.
Alle AppLocker-beleidsregels van een apparaat verwijderen (optioneel)
Als u alle Windows AppLocker-beleidsregels van een apparaat wilt verwijderen, kunt u het CatCleanAll.ps1 PowerShell-script gebruiken. Met dit script wordt niet alleen de Intune Management Extension verwijderd als een beheerd installatieprogramma, maar ook alle beleidsregels op basis van Windows AppLocker van een apparaat. Voordat u dit script gebruikt, moet u ervoor zorgen dat u begrijpt hoe uw organisatie appLocker-beleid gebruikt.
Download het CatCleanAll.ps1 PowerShell-script. Dit script is beschikbaar op https://aka.ms/intune_WDAC/CatCleanAll van download.microsoft.com.
Voer dit script uit op apparaten waarop de Intune Management Extension is ingesteld als een beheerd installatieprogramma. Met dit script verwijdert u de Intune Management Extension als een beheerd installatieprogramma en AppLocker-beleid van het apparaat.
Start de Intune Management Extension-service opnieuw om de bovenstaande wijzigingen van kracht te laten worden.
Als u dit script wilt uitvoeren, kunt u Intune gebruiken om PowerShell-scripts of andere methoden van uw keuze uit te voeren.
Aan de slag met App Control for Business-beleid
Met het beleid voor app-beheer voor bedrijven voor eindpuntbeveiliging van Intune kunt u beheren welke apps op uw beheerde Windows-apparaten mogen worden uitgevoerd. Apps die niet expliciet mogen worden uitgevoerd door een beleid, kunnen niet worden uitgevoerd, tenzij u het beleid hebt geconfigureerd voor het gebruik van een controlemodus. Met de controlemodus staat het beleid toe dat alle apps worden uitgevoerd en worden de details ervan lokaal op de client opgeslagen.
Als u wilt beheren welke apps zijn toegestaan of geblokkeerd, gebruikt Intune de Windows ApplicationControl-CSP op Windows-apparaten.
Wanneer u een beleid voor App-beheer voor Bedrijven maakt, moet u een indeling voor configuratie-instellingen kiezen die u wilt gebruiken:
XML-gegevens invoeren : wanneer u ervoor kiest om XML-gegevens in te voeren, moet u het beleid opgeven met een set aangepaste XML-eigenschappen waarmee uw beleid voor App-beheer voor Bedrijven wordt gedefinieerd.
Ingebouwde besturingselementen : deze optie is het eenvoudigste pad om te configureren, maar blijft een krachtige keuze. Met de ingebouwde besturingselementen kunt u eenvoudig alle apps goedkeuren die zijn geïnstalleerd door een beheerd installatieprogramma en het vertrouwen van Windows-onderdelen toestaan en apps opslaan.
Meer informatie over deze opties is beschikbaar in de gebruikersinterface bij het maken van een beleid en wordt ook beschreven in de volgende procedure die u begeleidt bij het maken van een beleid.
Nadat u een Beleid voor App-beheer voor Bedrijven hebt gemaakt, kunt u het bereik van dat beleid uitbreiden door aanvullende beleidsregels te maken waarmee meer regels in XML-indeling aan dat oorspronkelijke beleid worden toegevoegd. Wanneer u aanvullende beleidsregels gebruikt, wordt het oorspronkelijke beleid het basisbeleid genoemd.
Opmerking
Als uw tenant een educatieve tenant is, raadpleegt u App Control for Business-beleid voor education-tenants voor meer informatie over aanvullende apparaatondersteuning en app-beheer voor bedrijven-beleid voor deze apparaten.
Een app-besturingselement voor Bedrijven-beleid maken
Gebruik de volgende procedure om een succesvol beleid voor App-beheer voor Bedrijven te maken. Dit beleid wordt beschouwd als basisbeleid als u aanvullende beleidsregels maakt om het bereik van vertrouwen uit te breiden dat u met dit beleid definieert.
Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Eindpuntbeveiliging>App-beheer voor Bedrijven (preview)> selecteer het tabblad >App-beheer voor Bedrijven en selecteer vervolgens Beleid maken. App Control for Business-beleid wordt automatisch toegewezen aan een platformtype van Windows 10 en hoger.
Voer bij Basisinformatie de volgende eigenschappen in:
- Naam: een unieke beschrijvende naam voor het beleid. Geef profielen een naam, zodat u ze later eenvoudig kunt herkennen.
- Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
Kies bij Configuratie-instellingen een indeling voor configuratie-instellingen:
XML-gegevens invoeren : met deze optie moet u aangepaste XML-eigenschappen opgeven om uw beleid voor App-beheer voor Bedrijven te definiëren. Als u deze optie selecteert, maar geen XLM-eigenschappen aan het beleid toevoegt, wordt dit weergegeven als Niet geconfigureerd. Een beleid voor App Control for Business dat niet is geconfigureerd, resulteert in standaardgedrag op een apparaat, zonder toegevoegde opties van de ApplicationControl-CSP.
Ingebouwde besturingselementen : met deze optie maakt het beleid geen gebruik van aangepaste XML. Configureer in plaats daarvan de volgende instellingen:
Vertrouwen van Windows-onderdelen inschakelen en apps opslaan : wanneer deze instelling Is ingeschakeld (de standaardinstelling), kunnen beheerde apparaten Windows-onderdelen uitvoeren en apps opslaan, evenals andere apps die u als vertrouwd kunt configureren. Apps die niet zijn gedefinieerd als vertrouwd door dit beleid, kunnen niet worden uitgevoerd.
Deze instelling ondersteunt ook de modus Alleen controleren . Met de controlemodus worden alle gebeurtenissen vastgelegd in de lokale clientlogboeken, maar kunnen apps niet worden uitgevoerd.
Extra opties selecteren voor het vertrouwen van apps : voor deze instelling kunt u een of beide van de volgende opties selecteren:
Apps met een goede reputatie vertrouwen : met deze optie kunnen apparaten betrouwbare apps uitvoeren zoals gedefinieerd door Microsoft Intelligent Security Graph. Zie Betrouwbare apps met Intelligent Security Graph (ISG) toestaan in de Windows-beveiliging documentatie voor meer informatie over het gebruik van Intelligent Security Graph (ISG).
Apps van beheerde installatieprogramma's vertrouwen : met deze optie kunnen apparaten de apps uitvoeren die zijn geïmplementeerd door een geautoriseerde bron, een beheerd installatieprogramma. Dit geldt voor apps die u implementeert via Intune nadat u de Intune Management Extension hebt geconfigureerd als een beheerd installatieprogramma.
Het gedrag voor alle andere apps en bestanden die niet zijn opgegeven door regels in dit beleid, is afhankelijk van de configuratie van Vertrouwen van Windows-onderdelen inschakelen en apps opslaan:
- Als deze optie is ingeschakeld, kunnen bestanden en apps niet worden uitgevoerd op apparaten.
- Als deze optie is ingesteld op Alleen controleren, worden bestanden en apps alleen gecontroleerd in lokale clientlogboeken.
Selecteer op de pagina Bereiktags de gewenste bereiktags die u wilt toepassen en selecteer vervolgens Volgende.
Selecteer bij Toewijzingen de groepen die het beleid ontvangen, maar houd er rekening mee dat WDAC-beleid alleen van toepassing is op het apparaatbereik. Als u wilt doorgaan, selecteert u Volgende.
Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.
Controleer uw instellingen voor Beoordelen en maken en selecteer vervolgens Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de beleidslijst.
Aanvullend beleid gebruiken
Een of meer aanvullende beleidsregels kunnen u helpen een basisbeleid voor App Control for Business uit te breiden om de vertrouwenskring van dat beleid te vergroten. Een aanvullend beleid kan slechts één basisbeleid uitbreiden, maar meerdere aanvullende beleidsregels kunnen hetzelfde basisbeleid uitbreiden. Wanneer u aanvullende beleidsregels toevoegt, mogen de toepassingen die zijn toegestaan door het basisbeleid en het bijbehorende aanvullende beleid, worden uitgevoerd op apparaten.
Aanvullende beleidsregels moeten de XML-indeling hebben en moeten verwijzen naar de beleids-id van het basisbeleid.
De beleids-id van een basisbeleid voor App Control for Business wordt bepaald door de configuratie van het basisbeleid:
Basisbeleidsregels die zijn gemaakt met aangepaste XML hebben een unieke PolicyID die is gebaseerd op die XML-configuratie.
Basisbeleidsregels die zijn gemaakt met behulp van de ingebouwde besturingselementen voor App Control for Business, hebben een van de vier mogelijke PolicyID's die worden bepaald door de mogelijke combinaties van de ingebouwde instellingen. In de volgende tabel worden de combinaties en de gerelateerde PolicyID aangegeven:
PolicyID van een basisbeleid Opties in WDAC-beleid (controleren of afdwingen) {A8012CFC-D8AE-493C-B2EA-510F035F1250} App-beheerbeleid inschakelen om Windows-onderdelen en Store-apps te vertrouwen {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} Beleid voor app-beheer inschakelen om Windows-onderdelen en Store-apps
te vertrouwen en
apps met een goede reputatie te vertrouwen{63D1178A-816A-4AB6-8ECD-127F2DF0CE47} App-beheerbeleid inschakelen om Windows-onderdelen en Store-apps
te vertrouwen en
apps van beheerde installatieprogramma's te vertrouwen{2DA0F72D-1688-4097-847D-C42C39E631BC} Beleid voor app-beheer inschakelen om Windows-onderdelen en Store-apps
te vertrouwen en
apps met een goede reputatie
te vertrouwen en
apps van beheerde installatieprogramma's te vertrouwen
Hoewel twee App Control for Business-beleidsregels die gebruikmaken van dezelfde configuratie van ingebouwde besturingselementen dezelfde PolicyID hebben, kunt u verschillende aanvullende beleidsregels toepassen op basis van de toewijzingen voor uw beleid.
Bekijk het volgende scenario:
U maakt twee basisbeleidsregels die dezelfde configuratie gebruiken en daarom hebben ze dezelfde PolicyID. U implementeert een van deze in uw executive-team en het tweede beleid wordt geïmplementeerd voor uw helpdeskteam.
Vervolgens maakt u een aanvullend beleid waarmee andere apps kunnen worden uitgevoerd die uw managementteam nodig heeft. U wijst dit aanvullende beleid toe aan dezelfde groep, het executive-team.
Vervolgens maakt u een tweede aanvullend beleid waarmee verschillende hulpprogramma's kunnen worden uitgevoerd die vereist zijn door uw helpdeskteam. Dit beleid wordt toegewezen aan de groep Helpdesk.
Als gevolg van deze implementaties kunnen beide aanvullende beleidsregels beide exemplaren van het basisbeleid wijzigen. Vanwege de afzonderlijke en afzonderlijke toewijzingen wijzigt het eerste aanvullende beleid echter alleen de toegestane apps die zijn toegewezen aan het executive-team en het tweede beleid wijzigt alleen de toegestane apps die door het helpdeskteam worden gebruikt.
Een aanvullend beleid maken
Gebruik de wizard Windows Defender-toepassingsbeheer of PowerShell-cmdlets om een beleid voor App-beheer voor Bedrijven in XML-indeling te genereren.
Zie aka.ms/wdacWizard of Microsoft WDAC Wizard voor meer informatie over de wizard.
Wanneer u een beleid in XML-indeling maakt, moet dit verwijzen naar de beleids-id van het basisbeleid.
Nadat het aanvullende beleid voor App Control for Business is gemaakt in XML-indeling, meldt u zich aan bij het Microsoft Intune-beheercentrum en gaat u naar Eindpuntbeveiliging>App-beheer voor Bedrijven (preview)> selecteert u het tabblad App-beheer voor Bedrijven en selecteert u vervolgens Beleid maken.
Voer bij Basisinformatie de volgende eigenschappen in:
Naam: een unieke beschrijvende naam voor het beleid. Geef profielen een naam, zodat u ze later eenvoudig kunt herkennen.
Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
Selecteer in Configuratie-instellingen voor Indeling configuratie-instellingende optie XML-gegevens invoeren en upload uw XML-bestand.
Selecteer voor Toewijzingen dezelfde groepen die zijn toegewezen aan het basisbeleid waarop u het aanvullende beleid wilt toepassen en selecteer vervolgens Volgende.
Controleer uw instellingen voor Beoordelen en maken en selecteer vervolgens Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de beleidslijst.
App Control for Business-beleid voor education-tenants
App Control for Business-beleid in tenants voor onderwijsorganisaties ondersteunt naast de ondersteunde platforms in vereisten ookWindows 11 SE.
Windows 11 SE is een cloud-first besturingssysteem dat is geoptimaliseerd voor gebruik in klaslokalen. Net als Intune voor onderwijs, geeft Windows SE 11 prioriteit aan productiviteit, privacy van leerlingen en leren, en worden alleen functies en apps ondersteund die essentieel zijn voor het onderwijs.
Om deze optimalisatie te helpen, worden WDAC-beleid en de Intune-beheerextensie automatisch geconfigureerd voor Windows 11 SE-apparaten:
Intune ondersteuning voor Windows 11 SE apparaten is gericht op het implementeren van vooraf gedefinieerd WDAC-beleid met een ingestelde lijst met apps in EDU-tenants. Deze beleidsregels worden automatisch geïmplementeerd en kunnen niet worden gewijzigd.
Voor Intune EDU-tenants wordt de Intune Management-extensie automatisch ingesteld als een beheerd installatieprogramma. Deze configuratie is automatisch en kan niet worden gewijzigd.
Beleid voor App-beheer voor Bedrijven verwijderen
Zoals beschreven in WDAC-beleid implementeren met mobile Apparaatbeheer (MDM) (Windows 10) - Windows-beveiliging in de documentatie over Windows-beveiliging, worden beleidsregels die zijn verwijderd uit de gebruikersinterface van Intune verwijderd uit het systeem en van apparaten, maar blijven ze van kracht totdat de computer opnieuw wordt opgestart.
WDAC-afdwinging uitschakelen of verwijderen:
Vervang het bestaande beleid door een nieuwe versie van het beleid, zoals
Allow /*
de regels in het voorbeeldbeleid op Windows-apparaten op%windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml
Met deze configuratie worden eventuele blokken verwijderd die anders op een apparaat kunnen blijven staan nadat het beleid is verwijderd.
Nadat het bijgewerkte beleid is geïmplementeerd, kunt u het nieuwe beleid verwijderen uit de Intune-portal.
Deze reeks voorkomt dat iets wordt geblokkeerd en verwijdert het WDAC-beleid bij de volgende herstart volledig.
App Control for Business-beleid en het beheerde installatieprogramma bewaken
Nadat aan apparaten app-beheer voor bedrijven en beheerd installatieprogrammabeleid is toegewezen, kunt u beleidsdetails bekijken in het beheercentrum.
- Als u rapporten wilt weergeven, moet uw account de machtiging Lezen hebben voor de Intune categorie op basis van op rollen gebaseerd toegangsbeheer van Organisatie.
Als u rapporten wilt weergeven, meldt u zich aan bij het Intune-beheercentrum en navigeert u naar het knooppunt Accountbeheer. (Eindpuntbeveiliging>Accountbeheer (preview)). Hier kunt u het tabblad selecteren voor de beleidsdetails die u wilt weergeven:
Beheerd installatieprogramma
Op het tabblad Beheerd installatieprogramma kunt u de status, het aantal geslaagde en foutdetails bekijken voor het beheerde installatieprogramma - Intune Management Extension-beleid:
Selecteer de beleidsnaam om de pagina Overzicht te openen, waar u de volgende informatie kunt bekijken:
Apparaatstatus, een statisch aantal geslaagde versus fouten.
Trend van apparaatstatus, een historische grafiek met een tijdlijn en het aantal apparaten in elke detailcategorie.
Rapportdetails zijn onder andere:
Geslaagd: apparaten waarop het beleid is toegepast.
Fout: apparaten met fouten.
Nieuwe apparaten: nieuwe apparaten identificeert apparaten die het beleid onlangs hebben toegepast.
Het kan tot 24 uur duren voordat de secties Apparaatstatus en Trend van apparaatstatus zijn bijgewerkt in het Overzicht.
Terwijl u de beleidsdetails bekijkt, kunt u Apparaatstatus (onder Controleren) selecteren om een apparaatweergave van de beleidsdetails te openen. In de weergave Apparaatstatus worden de volgende details weergegeven die u kunt gebruiken om problemen te identificeren als een apparaat het beleid niet kan toepassen:
- Apparaatnaam
- Gebruikersnaam
- Versie van besturingssysteem
- Status van beheerd installatieprogramma (geslaagd of fout)
Het kan enkele minuten duren voordat de apparaatweergave van de beleidsdetails is bijgewerkt nadat het apparaat het beleid daadwerkelijk heeft ontvangen.
App-beheer voor Bedrijven
Op het tabblad App-beheer voor Bedrijven kunt u de lijst bekijken van uw Beleid voor App-beheer voor Bedrijven en basisgegevens, inclusief of de beleidsregels zijn toegewezen en wanneer deze voor het laatst zijn gewijzigd.
Selecteer een beleid om een weergave te openen met meer rapportopties:
Rapportopties voor het beleid zijn onder andere:
Incheckstatus van apparaat en gebruiker : een eenvoudige grafiek met het aantal apparaten dat elke beschikbare status voor dit beleid rapporteert.
Rapport weergeven : hiermee wordt een weergave geopend met een lijst van de apparaten die dit beleid hebben ontvangen. Hier kunt u apparaten selecteren om in te zoomen en de indeling van de beleidsinstellingen voor App-beheer voor Bedrijven weer te geven.
De beleidsweergave bevat ook de volgende rapporttegels:
Status van apparaattoewijzing : in dit rapport worden alle apparaten weergegeven waarop het beleid van toepassing is, met inbegrip van apparaten met een status voor beleidstoewijzing in behandeling.
Met dit rapport kunt u de waarden voor toewijzingsstatus selecteren die u wilt weergeven en vervolgens Rapport genereren selecteren om de rapportweergave van afzonderlijke apparaten die het beleid hebben ontvangen, hun laatste actieve gebruiker en de toewijzingsstatus te vernieuwen.
U kunt ook apparaten selecteren om in te zoomen en hun indeling voor app-beheer voor bedrijven-beleidsinstellingen weer te geven.
Status per instelling : in dit rapport wordt een aantal apparaten weergegeven dat de status Geslaagd, Fout of Conflict rapporteert voor de instellingen van dit beleid.
Veelgestelde vragen
Wanneer moet ik de Intune Management Extension instellen als het beheerde installatieprogramma?
U wordt aangeraden de Intune Management Extension te configureren als het beheerde installatieprogramma bij de volgende beschikbare verkoopkans.
Zodra deze zijn ingesteld, worden de volgende apps die u op apparaten implementeert, op de juiste manier getagd om WDAC-beleid te ondersteunen dat apps vertrouwt van beheerde installatieprogramma's.
In omgevingen waarin apps zijn geïmplementeerd voordat een beheerd installatieprogramma is geconfigureerd, raden we u aan nieuwe WDAC-beleidsregels te implementeren in de controlemodus , zodat u kunt identificeren dat de apps zijn geïmplementeerd, maar niet zijn getagd als vertrouwd. Vervolgens kunt u de controleresultaten bekijken en bepalen welke apps moeten worden vertrouwd. Voor apps die u vertrouwt en laat uitvoeren, kunt u vervolgens aangepast WDAC-beleid maken om deze apps toe te staan.
Het kan handig zijn om Geavanceerde opsporing te verkennen. Dit is een functie in Microsoft Defender voor Eindpunt waarmee u eenvoudiger query's kunt uitvoeren op controlegebeurtenissen op de vele machines die IT-beheerders beheren en waarmee ze beleidsregels kunnen maken.
Wat doe ik met het oude toepassingsbeheerbeleid van mijn beleid voor het verminderen van kwetsbaarheid voor aanvallen
Mogelijk ziet u exemplaren van het beleid toepassingsbeheer in de gebruikersinterface van de Intune onder Endpoint Security>Attach Surface Reduction of onder Apparaten>Apparaten beheren>Configuratie. Deze worden in een toekomstige release afgeschaft.
Wat moet ik doen als ik meerdere basis- of aanvullende beleidsregels op hetzelfde apparaat heb?
Vóór Windows 10 1903 ondersteunde App Control for Business slechts één actief beleid op een systeem op een bepaald moment. Dit gedrag beperkt klanten aanzienlijk in situaties waarin meerdere beleidsregels met verschillende intenties nuttig zijn. Tegenwoordig worden meerdere basis- en aanvullende beleidsregels ondersteund op hetzelfde apparaat. Meer informatie over het implementeren van meerdere Beleidsregels voor App Control for Business.
Er is geen beperking meer van 32 beleidsregels actief op hetzelfde apparaat voor App Control for Business. Dit probleem is opgelost voor apparaten met Windows 10 1903 of hoger met een Windows-beveiligingsupdate die is uitgebracht op of na 12 maart 2024. Oudere versies van Windows ontvangen deze oplossing naar verwachting in toekomstige Windows-beveiligingsupdates.
Stelt de opt-in-mogelijkheid voor beheerd installatieprogramma voor mijn tenant apps in die zijn geïnstalleerd vanuit Configuration Manager met de juiste tag?
Nee. Deze release is gericht op het instellen van apps die zijn geïnstalleerd vanuit Intune, met behulp van de Intune Management Extension, als het beheerde installatieprogramma. Het kan Configuration Manager niet instellen als het beheerde installatieprogramma.
Als u Configuration Manager wilt instellen als het beheerde installatieprogramma, kunt u dat gedrag toestaan vanuit Configuration Manager. Als u Configuration Manager al hebt ingesteld als het beheerde installatieprogramma, is het verwachte gedrag dat het nieuwe Intune AppLocker-beleid voor beheerextensie wordt samengevoegd met het bestaande Configuration Manager-beleid.
Welke overwegingen moet ik hebben voor HAADJ-apparaten (Entra Hybrid Join) binnen mijn organisatie die managed installer willen gebruiken?
Entra Hybrid Join-apparaten vereisen connectiviteit met een on-premises domeincontroller (DC) om groepsbeleid toe te passen, inclusief het beleid voor het beheerde installatieprogramma (via AppLocker). Zonder DC-connectiviteit, met name tijdens het inrichten van Autopilot, wordt het beleid voor het beheerde installatieprogramma niet toegepast. Overwegen:
Gebruik In plaats hiervan Autopilot met Entra Join. Zie onze aanbeveling voor welke Entra join-optie u kunt kiezen voor meer informatie.
Kies een of beide van de volgende opties voor Entra Hybrid Join:
- Gebruik apparaatinrichtingsmethoden die DC-connectiviteit bieden op het moment dat de app wordt geïnstalleerd, omdat Autopilot hier mogelijk niet werkt.
- Implementeer apps nadat de Autopilot-inrichting is voltooid, zodat dc-connectiviteit tot stand wordt gebracht op het moment van de installatie van de app en het beleid voor beheerd installatieprogramma kan worden toegepast.