注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
盡可能啟用商務用應用程控 (應用程控) 應在第一次設定裝置時,以及安裝任何應用程式之前啟用。 這可確保系統在應用程控啟動時處於「乾淨」狀態,而且對於允許的應用程式而言特別重要,因為應用程式是由受管理的安裝程式所安裝,或因為 Intelligent Security Graph (ISG) 判斷應用程式可以安全地執行。
一般而言,商務用應用程控的部署最好是分階段進行,而不是您只是「開啟」的功能。階段的選擇和順序取決於組織中各種計算機和其他裝置的使用方式,以及IT管理這些裝置的程度。 下表可協助您開始開發在組織中部署應用程控的計劃。 組織通常會在每個描述的類別中都有裝置使用案例。
常見的使用案例
| 使用案例 | 應用程控與此使用案例的關聯性 |
|---|---|
|
封鎖不想要的應用程式:少數公司會集中管理所有應用程式,需要很長的探索期間,才能開始決定要允許的應用程式。 相反地,IT 部門的焦點會轉移到封鎖一組他們視為問題的應用程式,同時建置其應用程式清查。 |
使用應用程控,部署僅限封鎖清單的原則以及稽核允許清單原則,以收集有關您裝置上執行之應用程式和程序的資訊。 |
|
少量管理的裝置︰由公司所擁有,但使用者可以隨意安裝軟體。 需要裝置才能執行特定應用程式,例如組織的防病毒軟體解決方案或其技術服務人員用戶端管理工具。 |
商務用應用程控可用來協助保護核心,並讓使用者執行已簽署的應用程式,這些應用程式是由公司的應用程式部署解決方案所安裝,例如 Intune、安裝到只有系統管理員可以寫入檔案的位置,以及任何具有良好信譽的應用程式。 |
|
完全受控裝置:您的IT部門會限制允許的軟體。 使用者可以要求更多軟體,或從IT部門提供的應用程式清單進行安裝。 範例:鎖定的公司桌上型電腦和膝上型電腦。 |
您可以建立並強制執行商務用初始基準應用程控原則。 每當 IT 部門核准更多應用程式時,他們就可以在其應用程式封裝和部署程式中更新應用程控原則。 或者,他們可以建立並簽署應用程式類別目錄檔案,然後以應用程式的相依性散發。 |
|
工作負載固定的裝置︰每日執行相同的工作。 核准的應用程式清單很少變更。 範例︰Kiosk、銷售點系統、客服中心電腦。 |
商務用應用程控可以完整部署,且部署和進行中的管理相當簡單。 部署商務用應用程控之後,只有核准的應用程式可以執行。 此規則是因為應用程控所提供的保護。 |
| 攜帶您自己的裝置︰允許員工攜帶他們自己的裝置,也可以在離開辦公室時使用這些裝置。 | 在大部分情況下,不適用商務用應用程控。 您應該改為使用以 MDM 為基礎的條件式存取解決方案 (例如 Microsoft Intune),來探索其他的強化與安全性功能。 不過,您可以選擇將稽核模式原則部署到這些裝置,或採用僅限封鎖清單原則,以防止組織認為惡意或易受攻擊的特定應用程式或二進位檔。 |
| 「中途」系統:在已在使用中的系統上引進應用程控解決方案,比將它套用至尚未安裝任何應用程式的新裝置時更具挑戰性。 有時候,即使某些應用程式可能是組織不需要的應用程式,還是必須做出取捨以維持生產力。 | 組織可以使用腳本來套用應用程控原則,藉由掃描每個裝置,併為觀察到的每個二進位或腳本檔案建立規則,來建立原則。 這組規則可用來補充套用至新設定之全新裝置的限制性較嚴格的基底原則。 如此一來,任何先前安裝的應用程式都會繼續運作,但所有未來的安裝都必須通過組織新強制執行的應用程控規則。 |
Lamna Healthcare 公司簡介
在下一組文章中,我們將探索使用名為 Lamna Healthcare Company 的虛構公司處理類似數據表中案例的原則。
Lamna Healthcare Company (Lamna) 是一家在 美國 中運作的大型醫療保健提供者。 Lamna 僱用數千人,從醫生和醫生到醫生、內部律師和IT技術人員。 他們的裝置使用案例各不相同,包括其專業人員的單一使用者工作站、醫生和醫生用來存取病患記錄的共用 Kiosk、MRI 掃描儀等專用醫療裝置,以及其他許多工作站。 此外,Lamna 為許多專業員工提供寬鬆的自備裝置原則。
Lamna 在混合模式中使用 Microsoft Intune 與 Configuration Manager 和 Intune。 雖然他們使用 Microsoft Intune 來部署許多應用程式,但 Lamna 一律有寬鬆的應用程式使用方式:個別小組和員工已能夠安裝和使用他們認為在自己的工作站上扮演角色所需的任何應用程式。 Lamna 最近也開始使用 適用於端點的 Microsoft Defender,以獲得更佳的端點偵測和回應。
最近,Lamna 發生勒索軟體事件,需要昂貴的復原程式,而且可能包含不明攻擊者的數據外洩。 攻擊的一部分包括安裝和執行惡意二進制檔,這些二進制檔避開了 Lamna 防病毒軟體解決方案的偵測,但會遭到應用程控原則封鎖。 為了回應,Lamna 的執行委員會已授權許多新的安全性 IT 回應,包括應用程式使用的原則和引進應用程控。
下一步
現在,讓我們使用 智慧應用程控 的「信任圓圈」作為起點來建立初始原則。
或者,如果您想要: