分享方式:


使用商務用應用程控原則和適用於 Microsoft Intune 的受控安裝程式,管理 Windows 裝置的已核准應用程式

這項功能處於公開預覽狀態。

每天都會出現新的惡意檔案和應用程式。 在組織中的裝置上執行時,它們會帶來風險,難以管理或防止。 若要協助防止不想要的應用程式在受管理的 Windows 裝置上執行,您可以使用 Microsoft Intune 商務用應用程控原則

Intune 的商務用應用程控原則是端點安全性的一部分,並使用 Windows ApplicationControl CSP 來管理 Windows 裝置上允許的應用程式。

您也可以透過商務用應用程控原則,使用受管理的安裝程序原則,將 Intune 管理延伸模組以受控安裝程式的身分新增至租使用者。 使用此擴充功能作為受控安裝程式時,安裝程式會自動標記您透過 Intune 部署的應用程式。 已標記的應用程式可由商務用應用程控原則識別為可在裝置上執行的安全應用程式。

本文中的資訊可協助您:

如需相關信息,請參閱 Windows 安全性 檔中的 Windows Defender 應用程控

注意事項

商務用應用程控原則與應用程控配置檔:Intune 商務用應用程控原則使用ApplicationControl CSP。 Intune 的攻擊面縮小原則會使用AppLocker CSP作為其應用程控配置檔。 Windows 引進了 ApplicationControl CSP 來取代 AppLocker CSP。 Windows 會繼續支援 AppLocker CSP,但不再為其新增功能。 相反地,開發會透過ApplicationControl CSP繼續進行。

適用於:

  • Windows 10
  • Windows 11

必要條件

裝置

使用 Intune 註冊時,商務用應用程控原則支援下列裝置:

  • Windows 企業版或教育版

    • Windows 10 1903 版或更新版本
    • Windows 11 1903 版或更新版本
  • Windows Professional

    • Windows 10 與KB5019959
    • Windows 11:
      • 具有 KB5019980的 22H2
      • 具有 KB5019961 的 21H2
  • Windows 11 SE

  • Azure 虛擬桌面 (AVD) :

    • 支援使用商務用應用程控原則的 AVD 裝置
    • 若要以 AVD 多重工作階段裝置為目標,請使用端點安全性中的商務用應用程控節點。 不過,商務用應用程控僅限裝置範圍。
  • 共同管理的裝置

    • 若要在共同管理的裝置上支援商務用應用程控原則,請將 Endpoint Protection 滑桿的滑桿設定為 Intune

商務用 Windows Defender 應用程控

請參閱 Windows 安全性 檔中的關於 Windows 應用程控中的 Windows 版本和授權需求。

角色型訪問控制

若要管理商務用應用程控原則,帳戶必須獲指派 Intune 角色型訪問控制 (RBAC) 角色,其中包含足夠的許可權和許可權來完成所需的工作。

以下是具有必要許可權和許可權的可用工作。

  • 啟用受管理安裝程式的使用 - 帳戶必須獲指派 Intune 系統管理員的角色。 啟用安裝程式是一次性事件。

    重要事項

    Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 Intune 系統管理員和類似帳戶是高度特殊許可權的角色,應限於無法使用不同角色的案例。

  • 管理商務用應用程控原則 - 帳戶必須具有 商務用應用程控 許可權,其中包括 刪除取、 指派建立更新檢視報表的許可權。

  • 檢視商務用應用程控原則的報告 - 帳戶必須具有下列其中一個許可權和許可權:

    • 具有檢視報的商務用應用程控許可權。
    • 具有 [讀取] 的 [組織] 許可權

如需指派管理商務用應用程控原則 Intune 許可權等級的指引,請參閱 Assign-role-based-access-controls-for-endpoint-security-policy

政府雲端支援

下列主權雲端環境支援 Intune 端點安全性應用程控原則和設定受控安裝程式:

  • 美國政府雲端
  • 21Vianet

開始使用Managed安裝程式

透過 Intune 的商務用端點安全性應用程控,您可以使用原則將 Intune 管理延伸模組新增為受控 Windows 裝置上的受控安裝程式

啟用受管理的安裝程序之後,您透過 Intune 部署到 Windows 裝置的所有後續應用程式都會標示受控安裝程式標籤。 標籤會識別應用程式已由已知來源安裝,而且可以受到信任。 接著,商務用應用程控原則會使用應用程式的受控安裝程式標記,自動將應用程式識別為核准在您環境中的裝置上執行。

商務用應用程控原則是 Windows Defender 應用程控 (WDAC) 的實作。 若要深入瞭解 WDAC 和應用程式標記,請參閱 Windows Defender 應用 程控檔中的關於 WindowsWDAC 應用程式識別碼的應用程控 (AppId) 標記指南

使用受控安裝程式的考慮

  • 設定受管理的安裝程式是適用於所有受控 Windows 裝置的全租用戶設定。

  • 當您以受管理的安裝程式啟用 Intune 管理延伸模塊之後,您透過 Intune 部署到 Windows 裝置的所有應用程式都會加上受管理安裝程式的標記。

  • 此標籤本身不會影響哪些應用程式可以在您的裝置上執行。 只有當您也指派 WDAC 原則來決定哪些應用程式可在受管理的裝置上執行時,才會使用標記。

  • 因為沒有追溯標記,所以在啟用受管理的安裝程式之前,您裝置上部署的所有應用程式都未標記。 如果您套用 WDAC 原則,則必須包含明確的設定,才能讓這些未標記的應用程式執行。

  • 您可以編輯 Managed Installer 原則來關閉此原則。 關閉原則可防止後續應用程式被受管理的安裝程序標記。 先前安裝並標記的應用程式仍會保持標記。 如需關閉原則後手動清除受管理安裝程式的相關信息,請參閱本文稍後的移除 Intune 管理延伸模組作為受管理的安裝程式

在 Windows 安全性 檔中深入瞭解 Intune 如何設定受管理的安裝程式

重要事項

對任何 Log Analytics 整合所收集事件的潛在影響

Log Analytics 是 Azure 入口網站中的工具,客戶可能會使用此工具從 AppLocker 原則事件收集數據。 使用此公開預覽版時,如果您完成加入加入動作,AppLocker 原則將會開始部署到租用戶中適用的裝置。 視您的 Log Analytics 設定而定,特別是當您收集一些更詳細的記錄時, 這會導致 AppLocker 原則所產生的事件增加。 如果您的組織使用 Log Analytics,建議 您檢閱 Log Analytics 設定,以便您

  • 瞭解您的 Log Analytics 設定,並確保有適當的數據收集上限,以避免非預期的計費成本。
  • 在 Log Analytics 中完全關閉 AppLocker 事件的收集 (除了 MSI 和腳本記錄外,錯誤、警告、資訊) 。

將受控安裝程式新增至您的租使用者

下列程式會引導您將 Intune 管理延伸模組新增為租使用者的受控安裝程式。 Intune 支援單一受控安裝程序原則。

  1. 在 Microsoft Intune 系統管理中心,移至 [端點安全性 (預覽) ],選取 [Managed installer] 索引卷標,然後選取 [新增]。 [ 新增 Managed 安裝程式] 窗格隨即開啟。

    [Managed Installer] 頁面的螢幕快照,右側有 [新增 Managed 安裝程式] 窗格。

  2. 選取 [新增],然後選取 [] 以確認新增 Intune 管理延伸模組作為受控安裝程式。

  3. 新增受控安裝程序之後,在某些情況下,您可能需要等候 10 分鐘,才能將新的原則新增至您的租使用者。 選 取 [重新整理 ] 以定期更新系統管理中心,直到可用為止。

    當 Intune 顯示名為 Managed installer – Intune Management Extension 且狀態為 [作用中] 的受管理安裝程序原則時,此原則便已在服務中準備就緒。 從用戶端,您可能需要等候一小時,原則才能開始傳遞。

    [商務用應用程控] 窗格的螢幕快照,其中顯示受管理的安裝程序原則且作用中。

  4. 您現在可以選取原則來編輯其設定。 只有下列兩個原則區域支援編輯:

    • 設定:編輯原則設定會開啟 [退出宣告受管理的安裝程式] 窗格,您可以在其中變更 [在啟和關閉之間設定受管理的安裝程式] 值。 當您新增安裝程式時,[ 設定 Managed 安裝程式 ] 設定預設為 [ 開啟]。 變更設定之前,請務必檢閱 [開 啟] 和 [ 關閉] 窗格上詳述的行為。

    • 範圍標籤:您可以新增和修改指派給此原則的範圍標籤。 這可讓您指定哪些系統管理員可以檢視原則詳細數據。

在原則生效之前,您必須建立和部署商務用應用程控原則,以指定哪些應用程式可以在 Windows 裝置上執行的規則。

如需詳細資訊,請參閱 Windows 安全性 檔中的允許受控安裝程式安裝的應用程式

重要事項

AppLocker 原則合併可能無法開機的風險

透過 Intune 啟用受控安裝程式時,會部署具有虛擬規則的 AppLocker 原則,並與目標裝置上的現有 AppLocker 原則合併。 如果現有的 AppLocker 原則包含定義為 NotConfigured 且具有空白規則集的 RuleCollection,則會合併為 NotConfigured 與虛擬規則。 如果集合中定義了任何規則,則 NotConfigured 規則集合預設為強制執行。 當虛擬規則是唯一設定的規則時,這表示任何其他規則都會遭到封鎖而無法載入或執行。 這可能會導致非預期的問題,例如應用程式無法啟動,以及無法開機或登入 Windows。 若要避免這個問題,我們建議您在現有AppLocker原則中移除任何定義為 NotConfigured 且具有空白規則集的 RuleCollection,如果目前已就緒。

  • 受管理的安裝程式可以在目標計算機上啟用已停止或停用 App-Locker 原則 () 從 GPO 強制執行。

拿掉 Intune 管理延伸模組作為受控安裝程式

如有需要,您可以停止將 Intune 管理延伸模組設定為租使用者的受控安裝程式。 這需要您關閉受管理的安裝程序原則。 關閉原則之後,您可以選擇使用其他清除動作。

關閉 Intune 管理延伸模塊原則 (必要)

需要下列設定,才能停止將 Intune 管理延伸模組作為受控安裝程式新增至您的裝置。

  1. 在系統管理中心,移至 [端點安全性 (預覽) ],選取 [受管理的安裝程式] 索引卷標,然後選取 [受管理的安裝程式 – Intune 管理延伸模組] 原則。

  2. 編輯原則,並將 [設定受管理的安裝程式 ] 變更為 [關閉],然後儲存原則。

新的裝置將不會以 Intune 管理延伸模組設定為受管理的安裝程式。 這不會將 Intune 管理延伸模組從已設定為使用它的裝置移除為受管理的安裝程式。

將 Intune 管理延伸模組移除為裝置上的受控安裝程式, (選擇性)

作為選擇性的清除步驟,您可以執行腳本,將 Intune 管理延伸模組移除為已安裝它之裝置上的受管理安裝程式。 此步驟是選擇性的,因為除非您也使用參照受管理安裝程式的商務用應用程控原則,否則此設定不會影響裝置。

  1. 下載 CatCleanIMEOnly.ps1 PowerShell 腳本。 此腳本可 https://aka.ms/intune_WDAC/CatCleanIMEOnlydownload.microsoft.com 取得。

  2. 在 Intune 管理延伸模組設定為受管理安裝程式的裝置上執行此腳本。 此文稿只會移除 Intune 管理延伸模組作為受控安裝程式。

  3. 重新啟動 Intune 管理延伸模組服務,讓上述變更生效。

若要執行此腳本,您可以使用 Intune 來執行 PowerShell 文稿或您選擇的其他方法。

從裝置移除所有 AppLocker 原則 (選擇性)

若要從裝置移除 所有 Windows AppLocker 原則,您可以使用 CatCleanAll.ps1 PowerShell 腳本。 此腳本不僅會將 Intune 管理延伸模組移除為受管理的安裝程式,也會從裝置移除以 Windows AppLocker 為基礎的所有原則。 使用此腳本之前,請確定您了解貴組織使用AppLocker原則。

  1. 下載 CatCleanAll.ps1 PowerShell 腳本。 此腳本可 https://aka.ms/intune_WDAC/CatCleanAlldownload.microsoft.com 取得。

  2. 在 Intune 管理延伸模組設定為受管理安裝程式的裝置上執行此腳本。 此腳本會從裝置移除 Intune 管理延伸模組作為受管理的安裝程式和 AppLocker 原則。

  3. 重新啟動 Intune 管理延伸模組服務,讓上述變更生效。

若要執行此腳本,您可以使用 Intune 來執行 PowerShell 文稿或您選擇的其他方法。

開始使用商務用應用程控原則

使用 Intune 的端點安全性商務用應用程控原則,您可以管理受控 Windows 裝置上允許執行的應用程式。 除非您已將原則設定為使用稽核模式,否則任何未明確允許由原則執行的應用程式都會遭到封鎖而無法執行。 使用稽核模式時,原則可讓所有應用程式在用戶端本機上執行並記錄其相關詳細數據。

若要管理允許或封鎖哪些應用程式,Intune 在 Windows 裝置上使用 Windows ApplicationControl CSP。

當您建立商務用應用程式程式控制原則時,必須選擇要使用的組態 設定格式

  • 輸入 xml 資料 - 當您選擇輸入 xml 數據時,必須為原則提供一組自訂 XML 屬性,以定義您的商務用應用程控原則。

  • 內建控件 – 此選項是最簡單的設定路徑,但仍是強大的選擇。 使用內建控件,您可以輕鬆地核准受管理安裝程式所安裝的所有應用程式,並允許信任 Windows 元件和市集應用程式。

    這些選項的詳細數據可在建立原則時從UI取得,並會在下列程式中詳細說明,以逐步引導您建立原則。

建立 商務用應用程控原則之後,您可以建立 補充 原則,將更多 XML 格式的規則新增至該原始原則,藉此擴充該原則的範圍。 當您使用補充原則時,原始原則稱為基底原則。

注意事項

如果您的租使用者是教育租使用者,請參閱 教育版租用戶的商務用應用程控 原則,以了解這些裝置的其他裝置支援和商務用應用程控原則。

建立商務用應用程控原則

使用下列程式來協助您建立成功的商務用應用程控原則。 如果您繼續建立補充原則,以擴充您使用此原則定義的信任範圍,則此原則會被視為基本原則。

  1. 登入 Microsoft Intune 系統管理中心,移至商務用端點安全>性應用程控 (預覽) > 選取 [商務用應用程控] 索引卷標>,然後選取 [建立原則]。 商務用應用程控原則會自動指派給平臺類型的 Windows 10 和更新版本

    顯示系統管理中心內建立新商務用應用程控原則路徑的螢幕快照。

  2. 在 [ 基本] 上,輸入下列屬性:

    • 名稱:輸入設定檔的描述性名稱。 名稱配置檔,讓您稍後可以輕鬆地識別它們。
    • 描述:輸入設定檔的描述。 此設定是選擇性的,但建議使用。
  3. 在 [ 組態設定] 上,選擇 [組態 設定] 格式

    輸入 xml 資料 - 使用此選項時,您必須提供自訂 XML 屬性來定義商務用應用程控原則。 如果您選取此選項,但未將 XLM 屬性新增至原則,則會作為 [未設定]。 未設定的商務用應用程控原則會在裝置上產生默認行為,而不會從ApplicationControl CSP新增任何選項。

    內建控件 – 使用此選項時,原則不會使用自定義 XML。 請改為設定下列設定:

    • 啟用 Windows 元件和市集應用程式的信任 – 當此設定為 [ 啟用 ] (預設) 時,受控裝置可以執行 Windows 元件和市集應用程式,以及您可能設定為受信任的其他應用程式。 未定義為此原則信任的應用程式會遭到封鎖而無法執行。

      此設定也支援 僅稽核 模式。 使用稽核模式時,所有事件都會記錄在本機客戶端記錄中,但不會封鎖應用程式執行。

    • 選取信任應用程式的其他選項 – 針對此設定,您可以選取下列其中一個或兩個選項:

      • 信任信譽良好的應用程式 – 此選項可讓裝置執行如 Microsoft Intelligent Security Graph 所定義的有信譽的應用程式。 如需使用 Intelligent Security Graph (ISG) 的相關信息,請參閱 Windows 安全性 檔中的使用 Intelligent Security Graph (ISG) 允許有信譽的應用程式

      • 信任來自受管理安裝程式的應用程式 – 此選項可讓裝置執行授權來源所部署的應用程式,也就是受控安裝程式。 這適用於您在將 Intune 管理延伸模組設定為受控安裝程序之後,透過 Intune 部署的應用程式。

        此原則中規則未指定之所有其他應用程式和檔案的行為,取決於 啟用 Windows 元件和市集應用程式的信任設定:

        • 如果 已啟用,則會封鎖檔案和應用程式在裝置上執行。
        • 如果設定為 [僅稽核],則只會在本機客戶端記錄中稽核檔案和應用程式。

    此螢幕快照顯示當您使用內建控件時,商務用應用程控原則的預設選項和設定。

  4. 在 [ 範圍卷標] 頁面上,選取要套用的任何所需範圍卷標,然後選取 [ 下一步]

  5. 針對 [指派],選取接收原則的群組,但請考慮 WDAC 原則只適用於裝置範圍。 若要繼續,請選取 [下一步]

    如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

  6. 針對 [檢閱 + 建立],檢閱您的設定,然後選取 [ 建立]。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在原則清單中。

使用補充原則

一或多個補充原則可協助您擴充商務用應用程控基底原則,以提高該原則的信任圈。 補充原則只能擴充一個基底原則,但多個補充可以擴充相同的基底原則。 當您新增補充原則時,允許在裝置上執行基底原則及其補充原則所允許的應用程式。

補充原則必須是 XML 格式,而且必須參考基底原則的原則標識碼。

商務用應用程控基底原則的原則標識碼取決於基本原則的設定:

  • 使用 自定義 XML 建立的基底原則具有以該 XML 組態為基礎的唯一 PolicyID。

  • 使用商務用應用程控 內建控 件建立的基底原則,具有四個可能的 PolicyID 之一,這些原則是由內建設定的可能組合所決定。 下表識別組合和相關的 PolicyID:

    基底原則的 PolicyID WDAC 原則中的選項 ( 核或 強制執行)
    {A8012CFC-D8AE-493C-B2EA-510F035F1250} 啟用應用程控原則以信任 Windows 元件和市集應用程式
    {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} 啟用應用程控原則來信任 Windows 元件和市集應用程式
    ,並
    信任信譽良好的應用程式
    {63D1178A-816A-4AB6-8ECD-127F2DF0CE47} 啟用應用程控原則以信任來自受管理安裝程式的 Windows 元件和市集應用程式

    信任應用程式
    {2DA0F72D-1688-4097-847D-C42C39E631BC} 啟用應用程控原則以信任 Windows 元件和市集應用程式
    ,並
    信任信譽良好的
    應用程式,以及
    信任來自受管理安裝程式的應用程式

即使使用相同內建控件組態的兩個商務用應用程控原則具有相同的 PolicyID,您還是可以根據原則 的指派 來套用不同的補充原則。

請考慮下列案例

  • 您會建立兩個使用相同設定的基底原則,因此它們具有相同的 PolicyID。 您將其中一個部署到您的執行小組,而第二個原則會部署到技術支援中心小組。

  • 接下來,您會建立補充原則,讓其他應用程式能夠執行您的執行小組所需的應用程式。 您會將此補充原則指派給同一個群組,也即執行小組。

  • 然後建立第二個補充原則,以允許執行技術支援中心小組所需的各種工具。 此原則會指派給技術支援中心群組。

由於這些部署,這兩個補充原則都可以修改基底原則的兩個實例。 不過,由於不同的指派,第一個補充原則只會修改指派給執行小組的允許應用程式,而第二個原則只會修改技術支援中心小組所使用的允許應用程式。

建立補充原則

  1. 使用 Windows Defender 應用程控精靈或 PowerShell Cmdlet,以 XML 格式產生商務用應用程控原則。

    若要瞭解精靈,請參閱 aka.ms/wdacWizardMicrosoft WDAC 精靈。

    當您以 XML 格式建立原則時,它必須參考基底原則的原則 標識 碼。

  2. 以 XML 格式建立商務用應用程控補充原則之後,登入 Microsoft Intune 系統管理中心,移至商務用端點安全>性應用程控 (預覽) > 選取 [商務用應用程控] 索引卷標,然後選取 [建立原則]

  3. 在 [ 基本] 上,輸入下列屬性:

    • 名稱:輸入設定檔的描述性名稱。 名稱配置檔,讓您稍後可以輕鬆地識別它們。

    • 描述:輸入設定檔的描述。 此設定是選擇性的,但建議使用。

  4. 在 [ 組態設定] 上,針對 [ 組態設定格式]取 [輸入 xml 數據 並上傳您的 XML 檔案]。

  5. 針對 [指派],選取指派給您要套用補充原則之基底原則的相同群組,然後選取 [ 下一步]

  6. 針對 [檢閱 + 建立],檢閱您的設定,然後選取 [ 建立]。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在原則清單中。

教育版租用戶的商務用應用程控原則

除了必要條件中支援的平臺之外,教育組織租使用者中的商務用應用程控原則也支援 Windows 11 SE

Windows 11 SE 是一種雲端優先操作系統,已優化以供教室使用。 與 Intune 教育版非常類似,Windows SE 11 會優先處理生產力、學生隱私權和學習,而且只支援教育不可或缺的功能和應用程式。

為了協助這項優化,系統會自動為 Windows 11 SE 裝置設定 WDAC 原則和 Intune 管理延伸模組:

  • Intune 支援 Windows 11 SE 裝置的範圍是部署具有EDU租使用者中應用程式集合清單的預先定義WDAC原則。 這些原則會自動部署,而且無法變更。

  • 針對 Intune EDU 租使用者,Intune 管理延伸模組會自動設定為受控安裝程式。 此設定是自動的,無法變更。

刪除商務用應用程控原則

使用行動裝置 裝置管理 (MDM) (Windows 10) 部署 WDAC 原則 - Windows 安全性 檔中的 Windows 安全性中所述,從 Intune UI 中刪除的原則會從系統和裝置中移除,但會持續生效,直到下次重新啟動電腦為止。

若要停用或刪除強制執行 WDAC

  1. 將現有的原則取代為新 Allow /*版的原則,如同在 Windows 裝置上找到的範例原則中的規則, %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

    此設定會移除在移除原則之後,可能保留在裝置上的任何區塊。

  2. 部署更新的原則之後,您就可以從 Intune 入口網站中刪除新的原則。

此順序可防止任何專案遭到封鎖,並在下次重新啟動時完全移除 WDAC 原則。

監視商務用應用程控原則和Managed安裝程式

指派商務用應用程控和受控安裝程序原則之後,您可以在系統管理中心內檢視原則詳細數據。

  • 若要檢視報表,您的帳戶必須具有組織 Intune 角色型訪問控制類別的讀取權

若要檢視報表,請登入 Intune 系統管理中心,並流覽至 [帳戶控制] 節點。 (端點安全>性帳戶控制 (預覽) ) 。 您可以在這裡選取您要檢視之原則詳細資料的索引標籤:

Managed 安裝程式

在 [受管理的安裝程式] 索引標籤上,您可以檢視受管理安裝程序的狀態、成功計數和錯誤詳細數據 – Intune 管理延伸模塊原則:

此螢幕快照顯示受控安裝程序原則 [概觀] 頁面的檢視。

選取原則名稱以開啟其 [概觀] 頁面,您可以在其中檢視下列資訊:

  • 裝置狀態,成功與錯誤的靜態計數。

  • 裝置狀態趨勢,此歷程記錄圖表會顯示每個詳細數據類別中的裝置時程表和計數。

報表詳細資料包括:

  • 成功 - 成功套用原則的裝置。

  • 錯誤 - 發生錯誤的裝置。

  • 新裝置 – 新裝置可識別最近套用原則的裝置。

    此螢幕快照顯示Managed安裝程式概觀。

[概觀] 中的 [ 裝置狀態 ] 和 [ 裝置狀態趨勢 ] 區段最多可能需要 24 小時的時間才能更新。

檢視原則詳細數據時,您可以在 [監視) ] 下方 (選取 [裝置狀態],以開啟原則詳細數據的裝置型檢視。 [ 裝置狀態] 檢視會顯示下列詳細數據,可讓您在裝置無法成功套用原則時用來識別問題:

  • 裝置名稱
  • 使用者名稱
  • 操作系統版本
  • Managed 安裝程式狀態 (成功錯誤)

在裝置實際收到原則之後,可能需要幾分鐘的時間,才能更新原則詳細數據的裝置型檢視。

商務用應用程控

在 [ 商務用應用程控 ] 索引標籤上,您可以檢視商務用應用程控原則的清單和基本詳細數據,包括其指派和上次修改的時間。

選取原則以開啟更多報表選項的檢視:

此螢幕快照顯示每一原則狀態檢視,以及兩份額外報表的磚。

原則的報告選項包括:

  • 裝置和使用者簽入狀態 - 顯示報告此原則每個可用狀態之裝置計數的簡單圖表。

  • 檢視報表 - 這會開啟包含已收到此原則之裝置清單的檢視。 您可以在這裡選取要鑽研的裝置,並檢視其商務用應用程控原則設定格式。

原則檢視也包含下列報表磚:

  • 裝置指派狀態 - 此報告會顯示原則設為目標的所有裝置,包括處於擱置原則指派狀態的裝置。

    使用此報告,您可以選取您想要檢視的 [指 派狀態 ] 值,然後選取 [ 產生報 表] 以重新整理接收原則的個別裝置、其最後一個作用中使用者和指派狀態的報表檢視。

    您也可以選取要鑽研的裝置,並檢視其商務用應用程控原則設定格式。

  • 每個設定狀態 - 此報表會顯示報告此原則設定狀態為 [成功]、[ 錯誤] 或 [ 衝突 ] 的裝置計數。

常見問題

何時應該將 Intune 管理延伸模組設定為 Managed 安裝程式?

我們建議您在下一個可用的機會,將 Intune 管理延伸模塊設定為受管理的安裝程式。

設定之後,您部署至裝置的後續應用程式會適當地標記,以支援信任來自受管理 安裝程式之應用程式的 WDAC 原則。

在設定受控安裝程式之前部署應用程式的環境中,建議您在 稽核模式 中部署新的 WDAC 原則,以便您識別已部署但未標記為受信任的應用程式。 然後,您可以檢閱稽核結果,並判斷應該信任哪些應用程式。 針對您信任並允許執行的應用程式,您可以接著建立自定義 WDAC 原則來允許這些應用程式。

探索進階搜捕會很有説明,這是 適用於端點的 Microsoft Defender 中的一項功能,可讓您更輕鬆地在IT系統管理員管理的許多電腦上查詢稽核事件,並協助他們製作原則。

我該如何處理受攻擊面縮小原則中的舊應用程控原則

您可能會在 [端點安全>性附加介面縮小] 或 [裝置>管理裝置>設定] 底下的 [Intune UI 中,注意到應用程控原則的實例。 這些將會在未來的版本中淘汰。

如果我在同一部裝置上有多個基底或補充原則,該怎麼辦?

在 Windows 10 1903 之前,商務用應用程控在任何指定時間都只支持系統上的單一作用中原則。 在具有不同意圖的多個原則會很有用的情況下,該行為會大幅限制客戶。 現在,相同裝置上支援多個基底和補充原則。 深入瞭解 部署多個商務用應用程控原則

在相關注意事項上,商務用應用程控的相同裝置上不再有32個作用中原則的限制。 在 2024 年 3 月 12 日或之後發行 Windows 安全性更新 Windows 10 1903 或更新版本執行的裝置,已解決此問題。 較舊版本的 Windows 預期會在未來的 Windows 安全性更新中收到此修正程式。

從具有適當標籤的 Configuration Manager 安裝租使用者集應用程式的受控安裝程式是否選擇加入功能?

不能。 此版本著重於使用 Intune 管理延伸模組作為受控安裝程式,設定從 Intune 安裝的應用程式。 它無法將 Configuration Manager 設定為 Managed Installer。

如果需要將 Configuration Manager 設定為受控安裝程式,您可以從 Configuration Manager 內允許該行為。 如果您已經 Configuration Manager 設定為受管理的安裝程式,預期的行為是新的 Intune 管理延伸模組 AppLocker 原則會與現有的 Configuration Manager 原則合併。

我的組織內想要使用受控安裝程式的裝置 (HAADJ) 裝置應該有哪些考慮?

Entra 混合式聯結裝置需要連線到內部部署域控制器 (DC) ,才能套用組策略,包括透過 AppLocker) (的受管理安裝程序原則。 如果沒有DC連線能力,特別是在 Autopilot 布建期間,受控安裝程式原則將無法成功套用。 考量:

  1. 請改用 Autopilot 搭配 Entra join。 如需詳細資訊,請參閱我們建議的 Entra join 選項

  2. 針對 Entra 混合式聯結,請選擇下列其中一個或兩者:

    • 使用在應用程式安裝時提供DC連線的裝置佈建方法,因為 Autopilot 可能無法在這裡運作。
    • 在 Autopilot 布建完成之後部署應用程式,以便在應用程式安裝時建立 DC 連線能力,並套用受控安裝程序原則。

後續步驟

設定端點安全策略