使用行動裝置 裝置管理 (MDM) 部署 WDAC 原則

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender 應用程控 (WDAC) 的某些功能僅適用於特定 Windows 版本。 深入了解 Windows Defender 應用控制功能可用性。

您可以使用行動 裝置管理 (MDM) 解決方案，例如 Microsoft Intune，在用戶端電腦上設定 Windows Defender 應用程控 (WDAC) 。 Intune 包含 WDAC 的原生支援，這可能是實用的起點，但客戶可能會發現可用的信任圈選項太受限制。 若要透過 Intune 部署自定義原則，並定義您自己的信任圈，您可以使用自定義 OMA-URI 來設定設定檔。 如果您的組織使用另一個 MDM 解決方案，請洽閱解決方案提供者以取得 WDAC 原則部署步驟。

重要

由於已知問題，您應該一律啟用新的已簽署 WDAC 基底原則，並在已啟用記憶體完整性的系統上重新啟動。 而不是行動 裝置管理 (MDM) ，而是透過腳本部署新的已簽署的 WDAC 基底原則，並透過系統重新啟動來啟用原則。

此問題不會影響系統上已啟用之已簽署基底原則的更新、未簽署原則的部署，或 (已簽署或未簽署) 的補充原則部署。 它也不會影響未執行記憶體完整性的系統部署。

使用 Intune 的內建原則

Intune 的內建 Windows Defender 應用程控支援可讓您將 Windows 用戶端電腦設定為只執行：

• Windows 元件
• 第三方硬體和軟體核心驅動程式
• Microsoft Store 簽署的應用程式
• [選擇性]Intelligent Security Graph (ISG) 所定義的可靠應用程式

注意

Intune 的內建原則會使用DefaultWindows原則的1903之前單一原則格式版本。 使用目前處於公開預覽狀態的改良 Intune WDAC 體驗，來建立和部署多重原則格式檔案。 或者，您可以使用 Intune 的自定義 OMA-URI 功能來部署您自己的多原則格式 WDAC 原則，並利用 Windows 10 1903+ 或 Windows 11 上可用的功能，如本主題稍後所述。

注意

Intune 目前使用AppLocker CSP來部署其內建原則。 AppLocker CSP 一律會在套用 WDAC 原則時要求重新啟動裝置。 使用目前處於公開預覽狀態的改良 Intune WDAC 體驗，在不重新啟動的情況下部署您自己的 WDAC 原則。 或者，您可以使用 Intune 的自定義 OMA-URI 功能搭配 ApplicationControl CSP。

若要使用 Intune 的內建 WDAC 原則，請針對 Windows 10 (和更新版本設定 Endpoint Protection) 。

使用自定義 OMA-URI 部署 WDAC 原則

注意

透過 Intune 自定義 OMA-URI 部署的原則受限於 350,000 個字節的限制。 客戶應該建立 Windows Defender 應用程控原則，以實際使用簽章型規則、Intelligent Security Graph 和受控安裝程式。 此外，也建議其裝置執行 1903 以上 Windows 組建的客戶使用 多個 原則，以允許更細微的原則。

您現在應該已將一或多個 WDAC 原則轉換成二進位格式。 如果沒有，請遵循部署 Windows Defender 應用程控 (WDAC) 原則中所述的步驟。

在 Windows 10 1903+ 上部署自定義 WDAC 原則

從 Windows 10 1903 開始，自定義 OMA-URI 原則部署可以使用 ApplicationControl CSP，其支援多個原則和重新啟動原則。

注意

您必須先將自定義原則 XML 轉換成二進位格式，才能使用 OMA-URI 進行部署。

使用 Intune 自定義 OMA-URI 功能的步驟如下：

1. 開啟 Microsoft Intune 入口網站，並使用自定義設定建立配置檔。

2. 指定 [名稱 ] 和 [描述 ]，並針對其餘的自定義 OMA-URI 設定使用下列值：

   • OMA-URI： ./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
   • 數據類型：Base64 (檔案)
   • 憑證檔案：上傳您的二進位格式原則檔案。 若要這樣做，請將您的 {GUID}.cip 檔案變更為 {GUID}.bin。 您不需要上傳Base64檔案，因為 Intune 代表您將上傳的.bin檔案轉換成Base64。

   

注意

針對 [ 原則 GUID] 值，請勿包含大括弧。

拿掉 Windows 10 1903+ 上的 WDAC 原則

刪除時，透過 applicationControl CSP 透過 Intune 部署的原則會從系統中移除，但在下次重新啟動之前會保持作用。 若要停用 Windows Defender 應用程控強制執行，請先將現有的原則取代為將「允許」的新版本原則，如同 %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml 範例原則中的規則。 部署更新的原則之後，您就可以從 Intune 入口網站刪除原則。 此刪除會防止任何專案遭到封鎖，並在下次重新啟動時完全移除 WDAC 原則。

針對 1903 之前系統

部署原則

使用 Intune 的自定義 OMA-URI 功能來套用 AppLocker CSP 並將自定義 WDAC 原則部署到 1903 年之前系統的步驟如下：

1. 使用 ConvertFrom-CIPolicy Cmdlet 將原則 XML 轉換成二進位格式，以進行部署。 二進位原則可能已簽署或未簽署。

2. 開啟 Microsoft Intune 入口網站，並使用自定義設定建立配置檔。

3. 指定 [名稱 ] 和 [描述 ]，並針對其餘的自定義 OMA-URI 設定使用下列值：

   • OMA-URI： ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
   • 數據類型：Base64 (檔案)
   • 憑證檔案：上傳您的二進位格式原則檔案

   注意

   透過 AppLocker CSP 部署原則會在 OOBE 期間強制重新啟動。

拿掉原則

無法透過 Intune 主控台刪除透過 appLocker CSP 透過 Intune 部署的原則。 若要停用 Windows Defender 應用程控原則強制執行，請部署稽核模式原則，或使用腳本來刪除現有的原則。