使用应用控件添加新应用

注意

应用控件功能是可选的。 必须 提交请求 才能打开应用控制。

在环境中部署应用控件后,你和 Microsoft 托管桌面操作都将持续承担责任。 例如,你可能想要在环境中添加新应用程序,或添加(或删除)受信任的签名者。 为了提高安全性,所有应用在发布给用户之前,都应进行代码签名。 应用程序的发布者详细信息包括有关签名者的信息。

添加新应用

若要添加新应用,请执行以下操作:

  1. 将应用添加到 Microsoft Intune
  2. 将应用部署到测试环中的任何设备。
  3. 根据标准业务流程测试应用。
  4. 检查 Application and Services Logs\Microsoft\Windows\AppLocker 下的时间查看器。 查找任何 80038006 事件。 这些事件表示应用将被阻止。 有关所有应用锁定程序事件及其含义的更多信息,请参阅将事件查看器与 AppLocker 一起使用
  5. 如果发现任何此类事件,请使用 Microsoft 托管桌面操作打开签名者请求。

添加(或删除)受信任的签名者

打开签名者请求时,需要先提供一些重要的发布者详细信息。

若要添加(或删除)受信任的签名者,请执行以下操作:

  1. 收集发布者详细信息
  2. 使用 Microsoft 托管桌面操作开具票证以请求签名者规则,并包括以下详细信息:
    • 应用程序名称
    • 应用程序版本
    • 说明
    • 更改类型(“添加”或“删除”)
    • 发布者详细信息(例如:O=<publisher name>,L=<location>,S=State,C=Country

注意

若要删除对应用的信任,请执行相同的步骤,但将“更改类型”设置为“删除”。

操作将按照此计划逐步将策略部署到部署组:

部署组 策略类型 Timing
测试 Audit 第 0 天
First Enforced 第 1 天
快速 Enforced 第 2 天
宽泛 Enforced 第 3 天

可以在部署期间随时暂停或回滚部署。 若要暂停或回滚,请使用 Microsoft 托管桌面操作打开另一个支持请求。

注意

如果暂停发布签名者规则,则必须回滚或完成该规则,然后才能开始另一个部署。

收集发布者详细信息

若要访问应用的发布者数据,请执行以下操作:

  1. 在应用了审核模式策略的测试环中查找 Microsoft 托管桌面设备。
  2. 尝试在设备上安装应用。
  3. 在该设备上打开事件查看器。
  4. 在事件查看器中,导航到 Application and Services Logs\Microsoft\Windows,然后选择 AppLocker
  5. 查找任何 80038006 事件,然后从事件复制信息:
    • 应用程序名称
    • 应用程序版本
    • 说明
    • 发布者详细信息(例如:O=<publisher name>, L=<location>, S=State, C=Country