Поделиться через

Объединение политик управления приложениями для бизнеса

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

В этой статье показано, как объединить несколько XML-файлов политики и как объединить правила непосредственно в политику. Развертывания управления приложениями для бизнеса часто включают несколько базовых политик и дополнительных политик для конкретных вариантов использования.

Примечание.

До Windows версии 1903, включая Windows Server 2019 и более ранних версий, в системе одновременно может быть активна только одна политика управления приложениями для бизнеса. Если вам нужно использовать управление приложениями в системах под управлением этих более ранних версий Windows, перед развертыванием необходимо объединить все политики.

Объединение нескольких XML-файлов политики элемента управления приложениями

Существует множество сценариев, в которых может потребоваться объединить два или более файлов политики. Например, если вы используете события аудита для создания правил политики управления приложениями для бизнеса, их можно объединить с существующей базовой политикой элемента управления приложениями. Чтобы объединить две политики управления приложениями, указанные в этой статье, выполните следующие действия в сеансе с повышенными Windows PowerShell.

  1. Инициализируйте переменные, которые будут использоваться:

    $PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
$EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
$MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"

  2. Используйте merge-CIPolicy для слияния двух политик и создания новой политики управления приложениями для бизнеса:

    Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy

    Примечание.

    Дополнительные политики можно объединить с Merge-CIPolicy шаге выше, добавив их в параметр -PolicyPaths, разделенный запятыми. Новый файл политики, указанный параметром -OutputFilePath, будет содержать сведения о политике из первой политики в списке. Например, в приведенном выше примере $MergedPolicy наследует тип политики, идентификатор, имя и сведения о версии от $LamnaPolicy. Чтобы изменить любое из этих значений, используйте Set-CIPolicyIdInfo и Set-CIPolicyVersion.

Слияние правил управления приложениями непосредственно с XML-файлом политики

Помимо объединения нескольких XML-файлов политики, можно также объединить правила, созданные с помощью командлета New-CIPolicyRule, непосредственно в существующий XML-файл политики элемента управления приложениями. Прямое слияние правил — это удобный способ обновления политики без создания дополнительных XML-файлов политики. Например, чтобы добавить правила, разрешающие работу мастера управления приложениями и средства RefreshPolicy.exe "Элемент управления приложениями", выполните следующие действия.

  1. Установите упакованое приложение MSIX мастера управления приложениями .

  2. Скачайте средство "Политика обновления" для архитектуры процессора и сохраните его на рабочем столе как RefreshPolicy.exe.

  3. В сеансе PowerShell выполните следующие команды, чтобы создать правила разрешения упакованных приложений для мастера управления приложениями:

    $PackageInfo = Get-AppxPackage -Name Microsoft.App Control.WDACWizard
$Rules = New-CIPolicyRule -Package $PackageInfo

  4. Добавьте правила FilePublisher для RefreshPolicy.exe:

    $Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher

  5. Используйте Merge-CIPolicy , чтобы объединить новые правила непосредственно в файл MergedPolicy, созданный на последнем шаге предыдущей процедуры:

    Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules

Преобразование и развертывание объединенной политики в управляемых конечных точках

Теперь, когда у вас есть новая объединенная политика, вы можете преобразовать и развернуть двоичный файл политики в управляемых конечных точках.

  1. Используйте ConvertFrom-CIPolicy для преобразования политики управления приложениями в двоичный формат:

    $AppControlPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin"
ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $AppControlPolicyBin

    Примечание.

    В приведенных выше примерах команд для политик, предназначенных для Windows 10 версии 1903+ или Windows 11, замените строку "{InsertPolicyID}" фактическим идентификатором GUID PolicyID (включая фигурные скобки { }), который находится в XML-файле политики. Для Windows 10 версий до 1903 используйте имя SiPolicy.p7b для имени двоичного файла.

  2. Отправьте XML-код объединенной политики и связанный двоичный файл в решение системы управления версиями, используемое для политик управления приложениями для бизнеса. например, GitHub или решение для управления документами, например Office 365 SharePoint.

  3. Разверните объединенную политику с помощью предпочтительного решения для развертывания. См. статью Развертывание политик управления приложениями для бизнеса.