使用适用于企业的应用控制策略和适用于 Microsoft Intune 的托管安装程序管理 Windows 设备的已批准应用

此功能目前提供公共预览版。

每天都有新的恶意文件和应用在野外出现。 在组织中的设备上运行时,它们会带来一种风险,这可能难以管理或预防。 若要帮助防止不需要的应用在托管的 Windows 设备上运行,可以使用 Microsoft Intune企业应用控制策略

Intune的适用于企业的应用控制策略是终结点安全性的一部分,并使用 Windows ApplicationControl CSP 来管理 Windows 设备上允许的应用。

也可通过适用于企业的应用控制策略使用,使用托管安装程序策略将 Intune 管理扩展作为托管安装程序添加到租户。 将此扩展作为托管安装程序时,安装程序会自动标记通过 Intune 部署的应用。 企业应用控制策略可以将标记的应用标识为允许在设备上运行的安全应用。

  • Intune管理扩展是一项Intune服务,可补充Windows 10和Windows 11设备的Windows 10 MDM 功能。 它有助于在 托管设备上安装 Win32 应用和 PowerShell 脚本

  • 托管安装程序使用 AppLocker 规则将你安装的应用程序标记为组织信任的应用程序。有关详细信息,请参阅Windows 安全中心文档中的允许托管安装程序安装应用

    使用适用于企业的应用控制策略不需要使用托管安装程序。

本文中的信息可帮助你:

有关相关信息,请参阅Windows 安全中心文档中的 Windows Defender 应用程序控制

注意

适用于企业的应用控制策略与应用程序控制配置文件:Intune业务应用控制策略使用 ApplicationControl CSP。 Intune的攻击面减少策略将 AppLocker CSP 用于其应用程序控制配置文件。 Windows 引入了 ApplicationControl CSP 来替换 AppLocker CSP。 Windows 继续支持 AppLocker CSP,但不再为其添加新功能。 相反,开发将继续通过 ApplicationControl CSP 进行。

应用于:

  • Windows 10
  • Windows 11

先决条件

设备

向 Intune 注册时,以下设备支持应用控制 for Business 策略:

  • Windows 企业版或教育版

    • Windows 10 版本 1903 或更高版本
    • Windows 11版本 1903 或更高版本
  • Windows 专业版

  • Windows 11 SE

  • Azure 虚拟桌面 (AVD) :

    • AVD 设备支持使用适用于业务的应用控制策略
    • 若要面向 AVD 多会话设备,请使用 Endpoint Security 中的“业务应用控制”节点。 但是,适用于企业的应用控制仅适用于设备范围。
  • 共同管理的设备

    • 若要在共同管理的设备上支持业务策略的应用程序控制,请将 Endpoint Protection 滑块的滑块设置为Intune

适用于企业的 Windows Defender 应用控件

请参阅Windows 安全中心文档中关于 Windows 的应用程序控制中的 Windows版本和许可要求

基于角色的访问控制

若要管理适用于企业的应用控制策略,必须为帐户分配Intune基于角色的访问控制 (RBAC) 角色,该角色包含完成所需任务的足够权限和权限。

以下是具有所需权限和权限的可用任务。

  • 启用使用托管安装程序 - 必须为帐户分配Intune管理员角色。 启用安装程序是一次性事件。

    重要

    Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 Intune管理员和类似帐户是高特权角色,应仅限于无法使用其他角色的方案。

  • 管理企业应用控制策略 - 帐户必须具有 适用于企业的应用控制 权限,其中包括 “删除”、“ 读取”、“ 分配”、“ 创建”、“ 更新”和 “查看报表”的权限。

  • 查看适用于企业的应用控制策略的报表 - 帐户必须具有以下权限之一:

    • 具有“查看报表”的“企业应用控制”权限。
    • 具有 Read的组织权限。

有关分配适当级别的权限和权限来管理Intune企业应用控制策略的指导,请参阅 Assign-role-based-access-controls-for-endpoint-security-policy

政府云支持

以下主权云环境支持Intune终结点安全性 应用程序控制策略和配置托管安装程序:

  • 美国政府云
  • 世纪互联

托管安装程序入门

借助 Intune 的终结点安全性企业应用控制,可以使用策略将 Intune 管理扩展添加为托管的 Windows 设备上的托管安装程序

启用托管安装程序后,通过 Intune 部署到 Windows 设备的所有后续应用程序都标有托管安装程序标记。 标记标识应用是由已知源安装的,并且可以信任。 然后,企业应用控制策略使用应用的托管安装程序标记,自动将应用标识为已批准在环境中的设备上运行。

适用于企业的应用控制策略是 Windows Defender 应用程序控制 (WDAC) 的实现。 若要详细了解 WDAC 和应用标记,请参阅 Windows Defender 应用程序控制文档中的关于 WindowsWDAC 应用程序 ID 的应用程序控制 (AppId) 标记指南

使用托管安装程序的注意事项

  • 设置托管安装程序是适用于所有托管 Windows 设备的租户范围配置。

  • 将 Intune Management 扩展启用为托管安装程序后,通过Intune部署到 Windows 设备的所有应用都会使用托管安装程序的标记进行标记。

  • 此标记本身不会影响哪些应用可以在你的设备上运行。 仅当同时分配 WDAC 策略以确定允许哪些应用在托管设备上运行时,才会使用 标记。

  • 由于没有追溯性标记,因此不会标记设备上在启用托管安装程序之前部署的所有应用。 如果应用 WDAC 策略,则必须包括显式配置,以允许这些未标记的应用运行。

  • 可以通过编辑托管安装程序策略来关闭此策略。 关闭策略可防止使用托管安装程序标记后续应用。 以前安装并标记的应用将保持标记状态。 有关在关闭策略后手动清理托管安装程序的信息,请参阅本文后面的删除 Intune 管理扩展作为托管安装程序

在 Windows 安全中心 文档中详细了解如何Intune设置托管安装程序

重要

对任何 Log Analytics 集成收集的事件的潜在影响

Log Analytics 是 Azure 门户中的一种工具,客户可以使用该工具从 AppLocker 策略事件收集数据。 在此公共预览版中,如果完成选择加入操作,AppLocker 策略将开始部署到租户中的适用设备。 根据 Log Analytics 配置,尤其是在收集一些更详细的日志时, 这会导致 AppLocker 策略生成的事件增加。 如果你的组织使用 Log Analytics,我们建议查看 Log Analytics 设置,以便:

  • 了解 Log Analytics 设置,并确保有适当的数据收集上限,以避免意外的计费成本。
  • 在 Log Analytics 中完全关闭 AppLocker 事件的集合, (错误、警告、信息) MSI 和脚本日志除外。

将托管安装程序添加到租户

以下过程指导你将 Intune 管理扩展添加为租户的托管安装程序。 Intune支持单个托管安装程序策略。

  1. 在Microsoft Intune管理中心,转到“终结点安全性 (预览) ”,选择“托管安装程序”选项卡,然后选择“添加”。 此时会打开 “添加托管安装程序 ”窗格。

    “托管安装程序”页的屏幕截图,右侧是“添加托管安装程序”窗格。

  2. 选择“添加”,然后选择“”以确认将 Intune 管理扩展添加为托管安装程序。

  3. 添加托管安装程序后,在极少数情况下,可能需要等待长达 10 分钟才能将新策略添加到租户。 选择“ 刷新 ”以定期更新管理中心,直到可用。

    当Intune显示名为“托管安装程序 – Intune管理扩展”状态为“活动”的托管安装程序策略时,策略在服务中已准备就绪。 在客户端,可能需要等待长达一小时才能开始交付策略。

    “适用于企业的应用控制”窗格的屏幕截图,其中存在并处于活动状态的托管安装程序策略。

  4. 现在可以选择策略来编辑其配置。 只有以下两个策略区域支持编辑:

    • 设置:编辑策略设置将打开“选择退出托管安装程序”窗格,可在其中更改“在打开关闭之间设置托管安装程序”的值。 添加安装程序时, “设置托管安装程序 ”设置默认为 “开”。 在更改配置之前,请务必查看“ 打开 ”和“ 关闭”窗格上详述的行为。

    • 范围标记:可以添加和修改分配给此策略的范围标记。 这允许你指定哪些管理员可以查看策略详细信息。

在策略生效之前,必须创建并部署适用于企业的应用控制策略,以指定可在 Windows 设备上运行的应用的规则。

有关详细信息,请参阅Windows 安全中心文档中的允许托管安装程序安装应用

重要

AppLocker 策略合并的潜在未启动风险

通过 Intune 启用托管安装程序时,将部署具有虚拟规则的 AppLocker 策略,并将其与目标设备上的现有 AppLocker 策略合并。 如果现有 AppLocker 策略包含定义为 NotConfigured 且规则集为空的 RuleCollection,它将与虚拟规则合并为 NotConfigured 。 如果集合中定义了任何规则, 则 NotConfigured 规则集合将默认强制实施。 当虚拟规则是配置的唯一规则时,这意味着将阻止加载或执行任何其他内容。 这可能会导致意外问题,例如应用程序无法启动,以及无法启动或登录到 Windows。 若要避免此问题,我们建议从现有 AppLocker 策略中删除定义为 NotConfigured 且具有空规则集的任何 RuleCollection(如果当前已到位)。

  • 托管安装程序可以在目标电脑上启用已停止或禁用 App-Locker 策略 (,) 从 GPO 强制实施。

删除作为托管安装程序的 Intune 管理扩展

如果需要,可以停止将 Intune 管理扩展配置为租户的托管安装程序。 这要求关闭托管安装程序策略。 关闭策略后,可以选择使用其他清理操作。

关闭Intune管理扩展策略 (所需的)

需要以下配置才能停止将 Intune 管理扩展作为托管安装程序添加到设备。

  1. 在管理中心中,转到“终结点安全性 (预览版) ”,选择“托管安装程序”选项卡,然后选择“托管安装程序 - Intune管理扩展策略”。

  2. 编辑策略,将 “设置托管安装程序” 更改为 “关闭”,然后保存策略。

新设备不会使用 Intune 管理扩展作为托管安装程序进行配置。 这不会从已配置为使用它的设备中删除Intune管理扩展作为托管安装程序。

在设备上删除Intune管理扩展作为托管安装程序 (可选)

作为可选的清理步骤,可以运行脚本,在已安装Intune管理扩展的设备上将其作为托管安装程序删除。 此步骤是可选的,因为此配置对设备没有影响,除非你还使用引用托管安装程序的应用控制企业策略。

  1. 下载 CatCleanIMEOnly.ps1 PowerShell 脚本。 可从 download.microsoft.com 获取https://aka.ms/intune_WDAC/CatCleanIMEOnly此脚本。

  2. 在将 Intune 管理扩展设置为托管安装程序的设备上运行此脚本。 此脚本仅删除作为托管安装程序的 Intune 管理扩展。

  3. 重启 Intune 管理扩展服务,使上述更改生效。

若要运行此脚本,可以使用 Intune 来运行 PowerShell 脚本或所选的其他方法。

从设备中删除所有 AppLocker 策略 (可选)

若要从设备中删除 所有 Windows AppLocker 策略,可以使用 CatCleanAll.ps1 PowerShell 脚本。 此脚本不仅删除了作为托管安装程序的 Intune 管理扩展,还会从设备中删除基于 Windows AppLocker 的所有策略。 使用此脚本之前,请确保了解组织使用 AppLocker 策略。

  1. 下载 CatCleanAll.ps1 PowerShell 脚本。 可从 download.microsoft.com 获取https://aka.ms/intune_WDAC/CatCleanAll此脚本。

  2. 在将 Intune 管理扩展设置为托管安装程序的设备上运行此脚本。 此脚本从设备中删除Intune管理扩展作为托管安装程序和 AppLocker 策略。

  3. 重启 Intune 管理扩展服务,使上述更改生效。

若要运行此脚本,可以使用 Intune 来运行 PowerShell 脚本或所选的其他方法。

适用于企业的应用控制策略入门

使用 Intune 的终结点安全性企业应用控制策略,可以管理允许在托管 Windows 设备上运行哪些应用。 除非已将策略配置为使用审核模式,否则策略未明确允许运行的任何应用都将被阻止运行。 使用审核模式时,该策略允许所有应用运行,并在客户端本地记录有关它们的详细信息。

若要管理允许或阻止哪些应用,Intune在 Windows 设备上使用 Windows ApplicationControl CSP。

创建适用于企业的应用控制策略时,必须选择 要使用的配置设置格式

  • 输入 xml 数据 - 选择输入 xml 数据时,必须为策略提供一组自定义 XML 属性,用于定义企业应用控制策略。

  • 内置控件 – 此选项是最简单的配置路径,但仍是一个强大的选择。 借助内置控件,可以轻松批准由托管安装程序安装的所有应用,并允许信任 Windows 组件和应用商店应用。

    创建策略时,UI 中提供了有关这些选项的更多详细信息,并在以下引导你创建策略的过程中进行了详细介绍。

创建 适用于企业的应用控制策略后,可以通过创建 补充策略 来扩展该策略的范围,以 XML 格式向该原始策略添加更多规则。 使用补充策略时,原始策略称为基本策略。

注意

如果租户是教育租户,请参阅 适用于教育版租户的应用控制业务策略 ,了解这些设备的其他设备支持和适用于企业的应用控制策略。

创建适用于企业的应用控制策略

使用以下过程来帮助创建成功的适用于企业的应用控制策略。 如果继续创建补充策略以扩展使用此策略定义的信任范围,则此策略被视为基本策略。

  1. 登录到 Microsoft Intune 管理中心,转到 Endpoint security>App Control for Business (Preview) > 选择“适用于企业的应用控制”选项卡>,然后选择“创建策略”。 适用于企业的应用控制策略会自动分配给平台类型的Windows 10及更高版本

    显示管理中心中用于创建新的企业应用控制策略的路径的屏幕截图。

  2. “基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松识别它们。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议设置。
  3. “配置设置”上,选择 “配置设置”格式

    输入 xml 数据 - 使用此选项时,必须提供自定义 XML 属性来定义适用于企业的应用控制策略。 如果选择此选项,但未将 XLM 属性添加到策略,则它将充当 “未配置”。 未配置的业务应用控制策略会导致设备上出现默认行为,并且 ApplicationControl CSP 中未添加任何选项。

    内置控件 – 使用此选项时,策略不使用自定义 XML。 请改为配置以下设置:

    • 启用对 Windows 组件和应用商店应用的信任 – 当此设置为 “启用 ” (默认) 时,托管设备可以运行 Windows 组件和应用商店应用,以及可能配置为受信任的其他应用。 未定义为此策略信任的应用将阻止运行。

      此设置还支持 “仅审核” 模式。 使用审核模式时,所有事件都记录在本地客户端日志中,但不会阻止应用运行。

    • 选择用于信任应用的其他选项 – 对于此设置,可以选择以下一个或两个选项:

      • 信任信誉良好的应用 - 此选项允许设备运行 Microsoft Intelligent Security Graph 定义的信誉良好的应用。 有关使用 Intelligent Security Graph (ISG) 的信息,请参阅 Windows 安全中心 文档中的允许具有智能安全图 (ISG) 的信誉良好的应用

      • 信任托管安装程序中的应用 - 此选项允许设备运行由授权源(托管安装程序)部署的应用。 这适用于在将 Intune 管理扩展配置为托管安装程序后通过 Intune 部署的应用。

        此策略中未由规则指定的所有其他应用和文件的行为取决于 “启用 Windows 组件和应用商店应用信任”的配置:

        • 如果 已启用,则会阻止文件和应用在设备上运行。
        • 如果设置为“ 仅审核”,则仅在本地客户端日志中审核文件和应用。

    使用内置控件时,此屏幕截图显示适用于企业的应用控制策略的默认选项和设置。

  4. 在“范围标记”页上,选择要应用的任何所需范围标记,然后选择“下一步”。

  5. 对于 “分配”,请选择接收策略的组,但请考虑 WDAC 策略仅适用于设备范围。 若要继续,请选择“ 下一步”。

    有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

  6. 对于 “查看 + 创建”,请查看设置,然后选择“ 创建”。 选择“创建”时,将保存所做的更改并分配配置文件。 策略也会显示在策略列表中。

使用补充策略

一个或多个补充策略可帮助你扩展适用于业务的应用控制基础策略,以增加该策略的信任圈。 补充策略只能扩展一个基本策略,但多个补充策略可以扩展同一个基本策略。 添加补充策略时,允许基本策略及其补充策略允许的应用程序在设备上运行。

补充策略必须采用 XML 格式,并且必须引用基本策略的策略 ID。

适用于业务的应用控制策略的策略 ID 由基本策略的配置确定:

  • 使用 自定义 XML 创建的基础策略具有基于该 XML 配置的唯一 PolicyID。

  • 使用适用于企业的 App Control 的内置控件 创建的基础策略具有由内置设置的可能组合确定的四个可能的 PolicyID 之一。 下表标识了组合和相关 PolicyID:

    基本策略的 PolicyID WDAC 策略中的选项 (审核强制实施)
    {A8012CFC-D8AE-493C-B2EA-510F035F1250} 启用应用控制策略以信任 Windows 组件和应用商店应用
    {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} 启用应用控制策略以信任 Windows 组件和应用商店应用
    以及
    信任信誉良好的应用
    {63D1178A-816A-4AB6-8ECD-127F2DF0CE47} 启用应用控制策略以信任 Windows 组件和应用商店应用
    以及
    信任托管安装程序中的应用
    {2DA0F72D-1688-4097-847D-C42C39E631BC} 启用应用控制策略,以信任 Windows 组件和应用商店应用
    ,以及
    信任具有良好信誉
    的应用,并从
    托管安装程序信任应用

即使使用相同内置控件配置的两个企业应用控制策略具有相同的 PolicyID,你也可以根据策略 的分配 应用不同的补充策略。

请考虑以下方案

  • 创建两个基策略,这些策略使用相同的配置,因此它们具有相同的 PolicyID。 将其中一个策略部署到高管团队,第二个策略部署到技术支持团队。

  • 接下来,创建一个补充策略,允许其他应用运行执行团队所需的应用。 将此补充策略分配给同一组,即执行团队。

  • 然后创建第二个补充策略,允许运行技术支持团队所需的各种工具。 此策略分配给技术支持组。

由于这些部署,这两个补充策略都可以修改基本策略的两个实例。 但是,由于分配不同且单独,第一个补充策略仅修改分配给执行团队的允许应用,第二个策略仅修改技术支持团队使用的允许应用。

创建补充策略

  1. 使用 Windows Defender 应用程序控制向导或 PowerShell cmdlet 以 XML 格式生成适用于企业的应用控制策略。

    若要了解向导,请参阅 aka.ms/wdacWizardMicrosoft WDAC 向导

    创建 XML 格式的策略时,它必须引用基本 策略的策略 ID

  2. 以 XML 格式创建适用于企业的应用控制补充策略后,请登录到 Microsoft Intune 管理中心,转到“终结点安全性>”“企业应用控制 (预览版) > 选择”适用于企业的应用控制“选项卡,然后选择”创建策略”。

  3. “基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松识别它们。

    • 说明:输入配置文件的说明。 此设置是可选的,但建议设置。

  4. “配置设置”中,对于 “配置设置格式 ”,选择“ 输入 xml 数据 并上传 XML 文件”。

  5. 对于 “分配”,请选择分配给要应用补充策略的基本策略的相同组,然后选择“ 下一步”。

  6. 对于 “查看 + 创建”,请查看设置,然后选择“ 创建”。 选择“创建”时,将保存所做的更改并分配配置文件。 策略也会显示在策略列表中。

适用于教育租户的业务应用控制策略

除了先决条件中受支持的平台外,教育组织租户中的应用控制业务策略还支持Windows 11 SE

Windows 11 SE是一种云优先操作系统,经过优化,适合在教室中使用。 与适用于教育的 Intune 非常类似,Windows SE 11 优先考虑工作效率、学生隐私和学习,并且仅支持对教育至关重要的功能和应用。

为了帮助进行此优化,系统会自动为Windows 11 SE设备配置 WDAC 策略和Intune管理扩展:

  • Intune对Windows 11 SE设备的支持范围是使用 EDU 租户中的应用列表部署预定义的 WDAC 策略。 这些策略会自动部署,无法更改。

  • 对于Intune EDU 租户,Intune管理扩展会自动设置为托管安装程序。 此配置是自动的,无法更改。

删除适用于业务的应用控制策略

如 Windows 安全中心 文档中使用移动设备管理 (MDM) (Windows 10) - Windows 安全性部署 WDAC 策略中所述,从Intune UI 中删除的策略将从系统和设备中删除,但在下次重启计算机之前一直有效。

若要禁用或删除 WDAC 强制实施::

  1. 将现有策略替换为将 的新版本的策略 Allow /*,如在 Windows 设备上找到的示例策略中的规则 %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

    此配置会删除在删除策略后可能保留在设备上的任何块。

  2. 部署更新的策略后,可以从Intune门户删除新策略。

此序列可防止阻止任何内容,并在下次重新启动时完全删除 WDAC 策略。

监视适用于企业的应用控制策略和托管安装程序

为设备分配适用于企业的应用控制和托管安装程序策略后,可以在管理中心内查看策略详细信息。

  • 若要查看报表,你的帐户必须具有“组织”Intune基于角色的访问控制类别的“读取”权限。

若要查看报表,请登录到 Intune 管理中心,并导航到“帐户控制”节点。 (终结点安全>帐户控制 (预览版) ) 。 可在此处选择要查看的策略详细信息的选项卡:

托管安装程序

在“托管安装程序”选项卡上,可以查看托管安装程序的状态、成功计数和错误详细信息 - Intune管理扩展策略:

此屏幕截图显示托管安装程序策略“概述”页的视图。

选择策略名称以打开其“概述”页,可在其中查看以下信息:

  • 设备状态,成功与错误的静态计数。

  • 设备状态趋势,历史图表,显示每个详细信息类别中的设备时间线和计数。

报表详细信息包括:

  • 成功 - 成功应用策略的设备。

  • 错误 - 出现错误的设备。

  • 新设备 – 新设备标识最近应用了策略的设备。

    此屏幕截图显示托管安装程序概述。

“概述”中的 “设备状态 ”和“ 设备状态趋势 ”部分最多可能需要 24 小时才能更新。

查看策略详细信息时,可以选择“监视) ”下面的“设备状态” (打开基于设备的策略详细信息视图。 设备状态视图显示以下详细信息,在设备未能成功应用策略时,你可以使用这些详细信息来识别问题:

  • 设备名称
  • 用户名
  • OS 版本
  • 托管安装程序状态 (成功错误)

设备实际收到策略后,基于设备的策略详细信息视图可能需要几分钟时间才能更新。

适用于企业的应用控制

在“ 适用于企业的应用控制 ”选项卡上,可以查看适用于企业的 App Control 策略列表和基本详细信息,包括是否分配了策略以及上次修改时间。

选择策略以打开视图,其中包含更多报表选项:

此屏幕截图显示按策略状态视图,以及两个附加报表的磁贴。

策略的报告选项包括:

  • 设备和用户检查状态 - 一个简单图表,显示报告此策略的每个可用状态的设备计数。

  • 查看报告 - 这会打开一个视图,其中包含接收此策略的设备列表。 在这里,你可以选择要钻取的设备,并查看其适用于企业的 App Control 策略设置格式。

策略视图还包括以下报表磁贴:

  • 设备分配状态 - 此报表显示策略针对的所有设备,包括处于挂起策略分配状态的设备。

    使用此报表,可以选择要查看 的“分配状态 ”值,然后选择“ 生成报表 ”以刷新已收到策略的单个设备、其上一个活动用户和分配状态的报告视图。

    还可以选择要钻取的设备,并查看其适用于企业的应用控制策略设置格式。

  • 按设置状态 - 此报表显示针对此策略的设置报告状态为 “成功”、“ 错误”或“ 冲突 ”的设备计数。

常见问题解答

何时应将 Intune 管理扩展设置为托管安装程序?

建议在下一个可用机会时将 Intune 管理扩展配置为托管安装程序。

设置后,将相应地标记部署到设备的后续应用,以支持 信任托管安装程序中的应用的 WDAC 策略。

在配置托管安装程序之前部署的应用的环境中,建议在 审核模式下 部署新的 WDAC 策略,以便确定已部署但未标记为受信任的应用。 然后,可以查看审核结果并确定应信任哪些应用。 对于你信任并允许运行的应用,可以创建自定义 WDAC 策略以允许这些应用。

了解高级搜寻非常有用,这是Microsoft Defender for Endpoint中的一项功能,可以更轻松地跨 IT 管理员管理的多个计算机查询审核事件,并帮助他们制定策略。

使用攻击面减少策略中的旧应用程序控制策略做什么

你可能会注意到“终结点安全>附加 Surface 缩减”下的“Intune UI”或“设备管理设备>配置”>下的应用程序控制策略实例。 这些将在将来的版本中弃用。

如果我在同一设备上有多个基本策略或补充策略,该怎么办?

在 Windows 10 1903 之前,适用于企业的 App Control 在任何给定时间仅支持系统上的单个活动策略。 在具有不同意图的多个策略非常有用的情况下,这种行为会显著限制客户。 目前,同一设备上支持多个基础策略和补充策略。 详细了解如何 部署适用于企业的多个应用控制策略

在相关说明上,对于适用于企业的 App Control,同一设备上不再存在 32 个策略的限制。 对于运行 Windows 10 1903 或更高版本且在 2024 年 3 月 12 日或之后发布的 Windows 安全更新的设备,此问题已得到解决。 旧版 Windows 应在将来的 Windows 安全更新中收到此修补程序。

租户的托管安装程序选择加入功能是否使用相应的标记从 Configuration Manager安装应用?

不正确。 此版本侧重于使用 Intune 管理扩展作为托管安装程序设置从 Intune 安装的应用。 它无法将 Configuration Manager 设置为托管安装程序。

如果需要将Configuration Manager设置为托管安装程序,则可以在Configuration Manager内允许该行为。 如果已将Configuration Manager设置为托管安装程序,预期行为是新的 Intune 管理扩展 AppLocker 策略与现有Configuration Manager策略合并。

在组织中想要使用托管安装程序的设备 (HAADJ) 设备时,我应该考虑哪些事项?

Entra 混合加入设备需要连接到本地域控制器 (DC) 才能通过 AppLocker) 应用组策略(包括托管安装程序策略 ()。 如果没有 DC 连接,尤其是在 Autopilot 预配期间,托管安装程序策略将无法成功应用。 建议改为:

  1. 请改为将 Autopilot 与 Entra 联接配合使用。 有关详细信息,请参阅建议选择 哪个 Entra 联接选项

  2. 对于 Entra 混合联接,请选择以下一项或两项:

    • 使用在应用安装时提供 DC 连接的设备预配方法,因为 Autopilot 在此处可能不起作用。
    • 在 Autopilot 预配完成后部署应用,以便在安装应用时建立 DC 连接,并且可以应用托管安装程序策略。

后续步骤

配置终结点安全策略