Поделиться через


Общие сведения о решениях по проектированию политик управления приложениями для бизнеса

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

Эта статья предназначена для ИТ-специалистов. В ней перечислены вопросы по проектированию, возможные ответы и последствия для решений, принятых при планировании развертывания политик управления приложениями с помощью элемента управления приложениями для бизнеса в среде операционной системы Windows.

При запуске процесса проектирования и планирования следует учитывать последствия выбора проекта. Полученные в результате решения повлияют на схему развертывания политики и последующее обслуживание политики управления приложениями.

Вам следует рассмотреть возможность использования элемента управления приложениями для бизнеса в рамках политик управления приложениями вашей организации, если верно следующее:

  • Вы развернули или планируете развертывание поддерживаемых версий Windows в вашей организации.
  • Вам нужен улучшенный контроль над доступом к приложениям вашей организации и данным, к данным, к которые обращаются пользователи.
  • В вашей организации четко определен процесс управления приложениями и их развертывания.
  • У вас есть ресурсы для тестирования политик в соответствии с требованиями организации.
  • У вас есть ресурсы, чтобы привлечь службу поддержки или создать процесс самостоятельной помощи для проблем с доступом к приложениям конечных пользователей.
  • Требования группы к производительности, управляемости и безопасности можно контролировать с помощью ограничительных политик.

Определите, какие политики следует создать

Начиная с Windows 10 версии 1903, управление приложениями для бизнеса позволяет применять несколько одновременных политик к каждому устройству. Это параллельное приложение открывает множество новых вариантов использования для организаций, но управление политиками может легко стать громоздким без продуманного плана количества и типов создаваемых политик.

Сначала необходимо определить нужный "круг доверия" для политик управления приложениями. Под "кругом доверия" мы имеем в виду описание бизнес-намерения политики, выраженное на естественном языке. Это определение "круг доверия" поможет вам создать фактические правила политики для XML-кода политики.

Например, политика DefaultWindows, которую можно найти в разделе %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, устанавливает "круг доверия", который позволяет windows, сторонним драйверам аппаратного и программного обеспечения и приложениям из Microsoft Store.

Configuration Manager использует политику DefaultWindows в качестве основы для своей политики, но затем изменяет правила политики, чтобы разрешить Configuration Manager и его зависимости, задает правило политики управляемого установщика и дополнительно настраивает Configuration Manager в качестве управляемого установщика. Он также может при необходимости авторизовать приложения с положительной репутацией и выполнить однократное сканирование путей к папкам, заданных администратором Configuration Manager, что позволяет добавить правила для всех приложений, найденных по указанным путям в управляемой конечной точке. Этот процесс устанавливает "круг доверия" для интеграции Configuration Manager собственного элемента управления приложениями.

Следующие вопросы помогут вам спланировать развертывание управления приложениями для бизнеса и определить правильный круг доверия для политик. Они не являются приоритетными или последовательными и не предназначены для того, чтобы быть исчерпывающим набором рекомендаций по проектированию.

Рекомендации по проектированию элемента управления приложениями

Как приложения управляются и развертываются в вашей организации?

Организации с четко определенными централизованно управляемыми процессами управления приложениями и развертываниями могут создавать более строгие и более безопасные политики. Другие организации могут развернуть элемент управления приложениями для бизнеса с более строгими правилами или могут развернуть управление приложениями в режиме аудита, чтобы получить лучшую видимость приложений, используемых в их организации.

Возможные ответы Вопросы оформления
Все приложения централизованно управляются и развертываются с помощью средств управления конечными точками, таких как Microsoft Intune. Организации, которые централизованно управляют всеми приложениями, лучше всего подходят для управления приложениями. Параметры управления приложениями для бизнеса, такие как управляемый установщик , упрощают авторизацию приложений, развернутых решением по управлению распространением приложений в организации.
Некоторые приложения централизованно управляются и развертываются, но команды могут устанавливать другие приложения для своих участников. Дополнительные политики можно использовать для разрешения исключений, относящихся к группе, в основной политике управления приложениями для бизнеса в масштабах всей организации. Кроме того, команды могут использовать управляемые установщики для установки приложений для своей команды, или правила пути к файлам только для администратора могут использоваться для разрешения приложений, установленных пользователями администрирования.
Пользователи и команды могут бесплатно скачивать и устанавливать приложения, но организация хочет ограничить это право только распространенными и авторитетными приложениями. Управление приложениями для бизнеса может интегрироваться с Microsoft Intelligent Security Graph (тот же источник аналитики, который обеспечивает Microsoft Defender антивирусной программы и SmartScreen Защитника Windows), чтобы разрешить только приложения и двоичные файлы с положительной репутацией.
Пользователи и команды могут бесплатно скачивать и устанавливать приложения без ограничений. Политики управления приложениями для бизнеса можно развернуть в режиме аудита, чтобы получить представление о приложениях и двоичных файлах, работающих в вашей организации, не влияя на производительность пользователей и команд.

Являются ли внутренние бизнес-приложения и приложения, разработанные сторонними компаниями, цифровой подписью?

Традиционные приложения Win32 в Windows могут работать без цифровой подписи. Эта практика может подвергать устройства Windows вредоносным или незаконному коду и представляет уязвимость для безопасности для ваших устройств Windows. Применение подписывания кода в рамках практики разработки приложений в вашей организации или дополнение приложений с помощью подписанных файлов каталога в рамках приема и распространения приложения может значительно повысить целостность и безопасность используемых приложений.

Возможные ответы Вопросы оформления
Все приложения, используемые в вашей организации, должны быть подписаны. Организации, которые применяют назначение кода для всего исполняемого кода, лучше всего защитить свои компьютеры Windows от вредоносного выполнения кода. Правила управления приложениями для бизнеса можно создавать для авторизации приложений и двоичных файлов из внутренних команд разработчиков организации и доверенных независимых поставщиков программного обеспечения (ISV).
Приложения, используемые в вашей организации, не должны соответствовать каким-либо требованиям к коду. Организации могут использовать встроенные средства Windows для добавления подписей каталога приложений для организации в существующие приложения в рамках процесса развертывания приложения, который можно использовать для авторизации выполнения кода. Такие решения, как Microsoft Intune, предлагают несколько способов распространения подписанных каталогов приложений.

Существуют ли в вашей организации определенные группы, которым нужны настраиваемые политики управления приложениями?

Большинство бизнес-команд или отделов предъявляют определенные требования к безопасности, относящиеся к доступу к данным и приложениям, используемым для доступа к этим данным. Прежде чем развертывать политики управления приложениями для всей организации, рассмотрите область проекта для каждой группы и приоритеты группы. Управление политиками может привести к выбору между широкими политиками для всей организации и несколькими политиками, зависящими от команды.

Возможные ответы Вопросы оформления
Да Политики управления приложениями можно создавать уникальными для каждой команды, или дополнительные политики для конкретной команды можно использовать для расширения возможностей, разрешенных общей централизованно определенной базовой политикой.
Нет Политики управления приложениями можно применять глобально к приложениям, установленным на компьютерах под управлением Windows 10 и Windows 11. В зависимости от количества приложений, которые необходимо контролировать, управление всеми правилами и исключениями может оказаться сложной задачей.

Есть ли у ИТ-отдела ресурсы для анализа использования приложений, а также для разработки политик и управления ими?

Время и ресурсы, доступные для проведения исследований и анализа, могут повлиять на детали вашего плана и процессов для непрерывного управления политиками и обслуживания.

Возможные ответы Вопросы оформления
Да Положите время на анализ требований к управлению приложениями в вашей организации и планирование полного развертывания, в котором используются правила, созданные по возможности.
Нет Рассмотрите возможность целенаправленного и поэтапного развертывания для определенных групп с использованием нескольких правил. При применении элементов управления к приложениям в определенной группе изучите это развертывание, чтобы спланировать следующее развертывание. Кроме того, можно создать политику с широким профилем доверия, чтобы авторизовать как можно больше приложений.

Есть ли в вашей организации служба поддержки?

Запрет доступа пользователей к известным, развернутым или личным приложениям сначала приведет к увеличению поддержки конечных пользователей. Необходимо будет решить различные проблемы поддержки в организации, чтобы соблюдать политики безопасности и не препятствовать бизнес-рабочему процессу.

Возможные ответы Вопросы оформления
Да Обратитесь в службу поддержки на ранних этапах планирования, так как пользователям может быть непреднамеренно запрещено использовать свои приложения или они могут обратиться за исключениями для использования определенных приложений.
Нет Положите время на разработку онлайн-процессов поддержки и документации перед развертыванием.