Управление корпоративными приложениями Enterprise app management

В этом разделе описывается одна из ключевых функций управления мобильными устройствами (MDM) в Windows 10 для управления жизненным циклом приложений во всех windows. This topic covers one of the key mobile device management (MDM) features in Windows10 for managing the lifecycle of apps across all of Windows. Это возможность управления как приложениями Из Магазина, так и приложениями, не из Магазина, как частью возможностей MDM. It is the ability to manage both Store and non-Store apps as part of the native MDM capabilities. Новые возможности Windows 10 — возможность провести инвентаризацию всех приложений. New in Windows10 is the ability to take inventory of all your apps.

Цели управления приложениями Application management goals

Windows 10 позволяет серверам управления выполнять: Windows10 offers the ability for management servers to:

• Установка приложений непосредственно из Microsoft Store для бизнеса Install apps directly from the Microsoft Store for Business
• Развертывание приложений и лицензий автономного Магазина Deploy offline Store apps and licenses
• Развертывание бизнес-приложений (не из Магазина) Deploy line-of-business (LOB) apps (non-Store apps)
• Инвентаризация всех приложений для пользователя (приложений Магазина и других приложений) Inventory all apps for a user (Store and non-Store apps)
• Инвентаризация всех приложений для устройства (приложений Магазина и других приложений) Inventory all apps for a device (Store and non-Store apps)
• Удалить все приложения для пользователя (приложения Из Магазина и других приложений) Uninstall all apps for a user (Store and non-Store apps)
• Подготовка приложений для установки для всех пользователей устройств под управлением Windows 10 для настольных систем (Домашняя, Pro, Корпоративная и для образовательных систем) Provision apps so they are installed for all users of a device running Windows10 for desktop editions (Home, Pro, Enterprise, and Education)
• Удаление приложения, предназначенного для настольных пк, на устройстве под управлением Windows 10 Remove the provisioned app on the device running Windows10 for desktop editions

Инвентаризация приложений Inventory your apps

Windows 10 позволяет провести инвентаризацию всех приложений, развернутых для пользователя, и всех приложений для всех пользователей устройства в Windows 10 для настольных систем. Windows10 lets you inventory all apps deployed to a user and all apps for all users of a device on Windows10 for desktop editions. Поставщик служб конфигурации (CSP) EnterpriseModernAppManagement выполняет инвентаризацию упакованных приложений и не включает традиционные приложения Win32, установленные через MSI или исполняемые приложения. The EnterpriseModernAppManagement configuration service provider (CSP) inventories packaged apps and does not include traditional Win32 apps installed via MSI or executables. При инвентаризации приложения разделяются на основе следующих классификаций приложений: When the apps are inventoried they are separated based on the following app classifications:

• Store — приложения из Microsoft Store. Store — Apps that are from the Microsoft Store. Приложения можно устанавливать напрямую из Магазина или доставлять вместе с предприятием из Магазина для бизнеса. Apps can be directly installed from the Store or delivered with the enterprise from the Store for Business
• nonStore — приложения, которые не были приобретены в Microsoft Store. nonStore — Apps that were not acquired from the Microsoft Store.
• Система — приложения, которые являются частью ОС. System — Apps that are part of the OS. Удалить эти приложения невозможно. You cannot uninstall these apps. Эта классификация является только для чтения и может быть только инвентаризация. This classification is read-only and can only be inventoried.

Эти классификации представлены в качестве узлов в CSP EnterpriseModernAppManagement. These classifications are represented as nodes in the EnterpriseModernAppManagement CSP.

На следующей схеме показан CSP EnterpriseModernAppManagement в формате дерева. The following diagram shows the EnterpriseModernAppManagement CSP in a tree format.

Каждое приложение отображает одно имя семейства пакетов и одно-n полные имена пакетов для установленных приложений. Each app displays one package family name and 1-n package full names for installed apps. Приложения классифицируются в зависимости от их источника (Store, nonStore, System). The apps are categorized based on their origin (Store, nonStore, System).

Инвентаризацию можно выполнять рекурсивно на любом уровне узла AppManagement с помощью полного имени пакета. Inventory can be performed recursively at any level from the AppManagement node through the package full name. Инвентаризацию также можно выполнить только для определенного атрибута инвентаризации. Inventory can also be performed only for a specific inventory attribute.

Инвентаризация относится к полному имени пакета и перечисляет пакеты пакетов и пакеты ресурсов в соответствии с именем семейства пакетов. Inventory is specific to the package full name and lists bundled packs and resources packs as applicable under the package family name.

Примечание В Windows 10 Mobile пакеты XAP имеют ИД продукта, а не имя семейства пакетов и полное имя пакета. NoteOn Windows10 Mobile, XAP packages have the product ID in place of both the package family name and package full name.

Вот узлы для каждого полного имени пакета: Here are the nodes for each package full name:

• Имя Name
• Версия Version
• Издатель Publisher
• Architecture (Архитектура) Architecture
• InstallLocation InstallLocation
• IsFramework IsFramework
• IsBundle IsBundle
• InstallDate InstallDate
• ResourceID ResourceID
• RequiresReinstall RequiresReinstall
• PackageStatus PackageStatus
• Пользователи Users
• IsProvisioned IsProvisioned

Подробные описания каждого узла см. в описании CSP EnterpriseModernAppManagement. For detailed descriptions of each node, see EnterpriseModernAppManagement CSP.

Инвентаризация приложений App inventory

Можно использовать CSP EnterpriseModernAppManagement для запроса всех приложений, установленных для пользователя или устройства. You can use the EnterpriseModernAppManagement CSP to query for all apps installed for a user or device. Запрос возвращает все приложения независимо от того, были ли они установлены с помощью MDM или другими методами. The query returns all apps regardless if they were installed via MDM or other methods. Инвентаризацию можно выполнить на уровне пользователя или устройства. Inventory can be performed at the user or device level. Инвентаризация на уровне устройства возвращает сведения для всех пользователей на устройстве. Inventory at the device level will return information for all users on the device.

Обратите внимание, что выполнение полного инвентаризации устройства может быть ресурсоемким на клиенте в зависимости от оборудования и количества установленных приложений. Note that performing a full inventory of a device can be resource intensive on the client based on the hardware and number of apps that are installed. Возвращаемая информация также может быть очень большой. The data returned can also be very large. Вы можете разрезать эти запросы, чтобы уменьшить влияние на клиенты и сетевой трафик. You may want to chunk these requests to reduce the impact to clients and network traffic.

Вот пример запроса для всех приложений на устройстве. Here is an example of a query for all apps on the device.

Вот пример запроса определенного приложения для пользователя. Here is an example of a query for a specific app for a user.

Инвентаризация лицензий Магазина Store license inventory

Можно использовать CSP EnterpriseModernAppManagement для запроса всех лицензий приложений, установленных для пользователя или устройства. You can use the EnterpriseModernAppManagement CSP to query for all app licenses installed for a user or device. Запрос возвращает все лицензии приложений независимо от того, были ли они установлены с помощью MDM или другими методами. The query returns all app licenses regardless if they were installed via MDM or other methods. Инвентаризацию можно выполнить на уровне пользователя или устройства. Inventory can be performed at the user or device level. Инвентаризация на уровне устройства возвращает сведения для всех пользователей на устройстве. Inventory at the device level will return information for all users on the device.

Ниже узлы для каждого ИД лицензии. Here are the nodes for each license ID:

• LicenseCategory LicenseCategory
• LicenseUsage LicenseUsage
• RequestedID RequestedID

Подробные описания каждого узла см. в описании CSP EnterpriseModernAppManagement. For detailed descriptions of each node, see EnterpriseModernAppManagement CSP.

Примечание LicenseID в CSP — это ИД содержимого лицензии. NoteThe LicenseID in the CSP is the content ID for the license.

Вот пример запроса для всех лицензий приложений на устройстве. Here is an example of a query for all app licenses on a device.

Вот пример запроса для всех лицензий приложения для пользователя. Here is an example of a query for all app licenses for a user.

Включить на устройстве установку приложений, не относяхся к Магазину Enable the device to install non-Store apps

Существует два основных типа приложений, которые можно развернуть: приложения Магазина и подписанные корпоративными приложениями. There are two basic types of apps you can deploy: Store apps and enterprise signed apps. Чтобы развернуть подписанные корпоративными приложениями, необходимо включить параметр на устройстве, разрешив доверенные приложения. To deploy enterprise signed apps, you must enable a setting on the device to allow trusted apps. Приложения могут быть подписаны утвержденным корпорацией Майкрософт корневым (например, Symantec), развернутой корпоративным корневым или самозаверяя приложениями. The apps can be signed by a Microsoft approved root (such as Symantec), an enterprise deployed root or apps that are self-signed. В этом разделе описывается настройка устройства для развертывания приложений, не хранимых в Магазине. This section covers the steps to configure the device for non-store app deployment.

Разблокировка устройства для приложений, не хранимых в Магазине Unlock the device for non-Store apps

Чтобы развернуть приложение, не из Microsoft Store, необходимо настроить политику ApplicationManagement/AllowAllTrustedApps. To deploy app that are not from the Microsoft Store, you must configure the ApplicationManagement/AllowAllTrustedApps policy. Эта политика разрешает установку приложений, не хранимых в Магазине, на устройстве при условии, что на устройстве есть цепочка сертификата. This policy allows the installation of non-Store apps on the device provided that there is a chain to a certificate on the device. Приложение может быть подписано корневым сертификатом на устройстве (например, Symantec Enterprise), корпоративным корневым сертификатом или сертификатом доверия одноранговых устройств, развернутых на устройстве. The app can be signed with a root certificate on the device (such as Symantec Enterprise), an enterprise owned root certificate, or a peer trust certificate deployed on the device. Дополнительные сведения о развертывании пользовательской лицензии см. в этой теме. For more information about deploying user license, see Deploy an offline license to a user.

Политика AllowAllTrustedApps включает установку приложений, доверенных сертификатом доверенных людей на устройстве или корневым сертификатом в доверенной корневой части устройства. The AllowAllTrustedApps policy enables the installation apps that are trusted by a certificate in the Trusted People on the device or a root certificate in the Trusted Root of the device. Политика не настроена по умолчанию, то есть можно устанавливать только приложения из Microsoft Store. The policy is not configured by default, which means only apps from the Microsoft Store can be installed. Если сервер управления неявно отключит значение, параметр будет отключен в панели параметров на устройстве. If the management server implicitly sets the value to off, the setting is disabled in the settings panel on the device.

Дополнительные сведения о политике AllowAllTrustedApps см. в CSP политики. For more information about the AllowAllTrustedApps policy, see Policy CSP.

Вот несколько примеров. Here are some examples.

1 ./Vendor/MSFT/Policy/Result/ApplicationManagement/AllowAllTrustedApps?list=StructData 2 ./Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApps

Управление функцией управления приложениями в Защитнике Windows с помощью Configuration Manager Windows Defender Application Control management with Configuration Manager

Область применения: Configuration Manager (Current Branch) Applies to: Configuration Manager (current branch)

Введение Introduction

Управление приложениями в Защитнике Windows предназначено для защиты компьютеров от вредоносных и других ненадежных программ. Windows Defender Application Control is designed to protect PCs against malware and other untrusted software. Эта служба блокирует запуск вредоносного кода, гарантируя выполнение только надежного утвержденного кода. It prevents malicious code from running by ensuring that only approved code, that you know, can be run.

Управление приложениями в Защитнике Windows реализует программный уровень защиты, поддерживая строгий список программ, выполнение которых допускается на компьютере. Windows Defender Application Control is a software-based security layer that enforces an explicit list of software that is allowed to run on a PC. Само по себе управление приложениями не имеет требований к оборудованию или микропрограммному обеспечению. On its own, Application Control does not have any hardware or firmware prerequisites. Политики управления приложениями, развернутые с помощью Configuration Manager, применяются к компьютерам в целевых коллекциях, которые соответствуют минимальным требованиям к версии Windows и SKU, как описано в этой статье. Application Control policies deployed with Configuration Manager enable a policy on PCs in targeted collections that meet the minimum Windows version and SKU requirements outlined in this article. При необходимости вы можете включить политики управления приложениями на основе гипервизора, развернув их с использованием Configuration Manager в виде групповой политики для соответствующего оборудования. Optionally, hypervisor-based protection of Application Control policies deployed through Configuration Manager can be enabled through Group Policy on capable hardware.

Дополнительные сведения об управлении приложениями в Защитнике Windows см. в разделе Руководство по развертыванию системы управления приложениями в Защитнике Windows. To learn more about Windows Defender Application Control, read the Windows Defender Application Control deployment guide.

• Начиная с Windows 10 версии 1709, настраиваемые политики целостности кода переименованы в управление приложениями в Защитнике Windows. Beginning with Windows 10, version 1709, configurable code integrity policies are known as Windows Defender Application Control.
• Начиная с Configuration Manager версии 1710 политики Device Guard переименованы в политики управления приложениями в Защитнике Windows. Beginning in Configuration Manager version 1710, Device Guard policies have been renamed to Windows Defender Application Control policies.

Использование управления приложениями в Защитнике Windows с Configuration Manager Using Windows Defender Application Control with Configuration Manager

Вы можете развернуть политику управления приложениями в Защитнике Windows с помощью Configuration Manager. You can use Configuration Manager to deploy a Windows Defender Application Control policy. Такая политика позволяет настроить режим, в котором функция управления приложениями в Защитнике Windows выполняется на компьютерах в коллекции. This policy lets you configure the mode in which Windows Defender Application Control runs on PCs in a collection.

Можно настроить один из следующих режимов. You can configure one of the following modes:

1. Включено принудительное применение — разрешено выполнение только надежных исполняемых файлов. Enforcement enabled — Only trusted executables are allowed to run.
2. Только аудит — разрешено выполнение всех исполняемых файлов, но ведется регистрация выполняющихся ненадежных программ в журнале событий локального клиента. Audit only — Allow all executables to run, but log untrusted executables that run in the local client event log.

Эта функция появилась в версии 1702 на стадии предварительного выпуска. This feature was first introduced in version 1702 as a pre-release feature. Начиная с версии 1906 эта функция больше не считается функцией предварительной версии. Beginning with version 1906, it’s no longer a pre-release feature.

Что разрешено запускать при развертывании политики управления приложениями в Защитнике Windows? What can run when you deploy a Windows Defender Application Control policy?

Управление приложениями в Защитнике Windows позволяет строго контролировать, что может выполняться на управляемых вами компьютерах. Windows Defender Application Control lets you strongly control what can run on PCs you manage. Эта функция полезна для отделов с повышенными требованиями к безопасности, где важно не допустить выполнение нежелательного программного обеспечения. This feature can be useful for PCs in high-security departments, where it’s vital that unwanted software cannot run.

При развертывании политики обычно разрешается запуск следующих исполняемых файлов: When you deploy a policy, typically, the following executables can run:

• компоненты операционной системы Windows; Windows operating system components
• драйверы Центра разработки оборудования (которые имеют сигнатуры лабораторий WHQL); Hardware Dev Center drivers (that have Windows Hardware Quality Labs signatures)
• приложения Магазина Windows; Windows Store apps
• клиент Configuration Manager; The Configuration Manager client
• все программное обеспечение, развернутое через Configuration Manager, которое устанавливается на компьютерах после обработки политики управления приложениями в Защитнике Windows. All software deployed through Configuration Manager that PCs install after the Windows Defender Application Control policy is processed.
• Обновления компонентов Windows из: Updates to windows components from:
  • Центра обновления Windows; Windows Update
  • Центр обновления Windows для бизнеса. Windows Update for Business
  • Службы WSUS Windows Server Update Services
  • Configuration Manager Configuration Manager
  • Настраиваемое при необходимости программное обеспечение с хорошей репутацией в системе Microsoft Intelligent Security Graph (ISG). Optionally, software with a good reputation as determined by the Microsoft Intelligent Security Graph (ISG). ISG включает в себя SmartScreen Защитника Windows и другие службы Майкрософт. The ISG includes Windows Defender SmartScreen and other Microsoft services. Чтобы это программное обеспечение считалось надежным, на устройстве должно выполняться средство SmartScreen Защитника Windows и Windows 10 версии 1709. The device must be running Windows Defender SmartScreen and Windows 10 version 1709 or later for this software to be trusted.

В этот список не входят программы, кроме встроенных в Windows, которые автоматические обновляются через Интернет, а также любые обновления стороннего программного обеспечения, которые устанавливаются с использованием указанных выше механизмов или через Интернет. These items do not include any software that is not built-into Windows that automatically updates from the internet or third-party software updates whether they are installed via any of the update mechanisms mentioned previously, or from the internet. Разрешено выполнение только таких изменений программного обеспечения, которые разворачиваются с использованием клиента Configuration Manager. Only software changes that are deployed though the Configuration Manager client can run.

Поддерживаемые операционные системы Supported operating systems

Чтобы использовать управление приложениями в Защитнике Windows с Configuration Manager, требуется следующее: To use Windows Defender Application Control with Configuration Manager, devices you manage must be running:

• Устройства под управлением Windows 10 Корпоративная версии 1703 или более поздней. Windows 10 Enterprise version 1703, or later.
• Windows Server 2019 или более поздней версии (появилось в версии 2010) Windows Server 2019, or later (Introduced in version 2010)

Создайте новые политики для целевых операционных систем Windows Server после установки Configuration Manager 2010 и установки обновленного клиента. Create new policies to target Windows Server operating systems after installation of Configuration Manager 2010 and installing the updated client. Существующие политики управления приложениями в Защитнике Windows, созданные до установки версии 2010, не будут работать с операционными системами Windows Server. Existing Windows Defender Application Control polices created prior to installing 2010 won’t work with Windows Server operating systems.

Перед началом работы Before you start

Перед настройкой и развертыванием политик управления приложениями в Защитнике Windows обратите внимание на следующие аспекты: Before you configure or deploy Windows Defender Application Control policies, read the following information:

• Когда политика будет успешно обработана на клиентском компьютере, на этом клиенте Configuration Manager настраивается в роли управляемого установщика. Once a policy is successfully processed on a client PC, Configuration Manager is configured as a Managed Installer on that client. Все программное обеспечение, развернутое с его помощью после обработки политики, автоматически считается доверенным. Software deployed through it, after the policy processes, is automatically trusted. Программное обеспечение, установленное с помощью Configuration Manager до обработки политики управления приложениями в Защитнике Windows, автоматически не считается надежным. Software installed by Configuration Manager before the Windows Defender Application Control policy processes is not automatically trusted.
• Для политик управления приложениями во время развертывания по умолчанию настраивается расписание ежедневного выполнения. The default compliance evaluation schedule for Application Control policies, configurable during deployment, is every one day. Если возникают проблемы с обработкой политики, возможно, стоит настроить более короткий интервал для проверки соответствия, например каждый час. If issues in policy processing are observed, it may be beneficial to configure the compliance evaluation schedule to be shorter, for example every hour. Это расписание определяет, как часто клиент пытается повторно обработать политику управления приложениями в Защитнике Windows, если попытка завершается сбоем. This schedule dictates how often clients reattempt to process a Windows Defender Application Control policy if a failure occurs.
• Независимо от выбранного режима применения, после развертывания политики управления приложениями в Защитнике Windows клиентские компьютеры не могут выполнять HTML-приложения с расширением HTA. Regardless of the enforcement mode you select, when you deploy a Windows Defender Application Control policy, client PCs cannot run HTML applications with the extension .hta.
• Создайте новые политики для целевых операционных систем Windows Server после установки Configuration Manager 2010 и установки обновленного клиента. Create new policies to target Windows Server operating systems after installation of Configuration Manager 2010 and installing the updated client. Существующие политики управления приложениями в Защитнике Windows, созданные до установки версии 2010, не будут работать с операционными системами Windows Server. Existing Windows Defender Application Control polices created prior to installing 2010 won’t work with Windows Server operating systems.

Создание политики управления приложениями в Защитнике Windows How to create a Windows Defender Application Control policy

1. В консоли Configuration Manager щелкните элемент Активы и соответствие. In the Configuration Manager console, click Assets and Compliance.
2. В рабочей области Активы и соответствие разверните узел Endpoint Protection и щелкните Управление приложениями в Защитнике Windows. In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
3. На вкладке Главная в группе Создать щелкните Создать политику управления приложениями. On the Home tab, in the Create group, click Create Application Control policy.
4. На странице Общие в мастере создания политики управления приложениями настройте следующие параметры: On the General page of the Create Application Control policy Wizard, specify the following settings:
   • Имя — уникальное имя для этой политики управления приложениями в Защитнике Windows. Name — Enter a unique name for this Windows Defender Application Control policy.
   • Описание — при необходимости введите описание политики, которое идентифицирует ее в консоли Configuration Manager. Description — Optionally, enter a description for the policy that helps you identify it in the Configuration Manager console.
   • Принудительно перезагружать устройства, чтобы политика могла быть применена ко всем устройствам — когда клиентский компьютер обработает политику, ему будет назначено расписание перезагрузки в соответствии с параметром Перезагрузка компьютера в параметрах клиента. Enforce a restart of devices so that this policy can be enforced for all processes — After the policy is processed on a client PC, a restart is scheduled on the client according to the Client Settings for Computer Restart.
     • Устройства под управлением Windows 10 версии 1703 или более ранней версии всегда автоматически перезапускаются. Devices running Windows 10 version 1703 or earlier will always be automatically restarted.
     • Начиная с Windows 10 версии 1709, к выполняемым на устройстве приложениям новая политика управления приложением не применяется до следующей перезагрузки. Starting with Windows 10 version 1709, applications currently running on the device will not have the new Application Control policy applied to them until after a restart. Но для всех приложений, запущенных после применения политики, будет применена новая политика управления приложения. However, applications launched after the policy applies will honor the new Application Control policy.
   • Режим применения — выберите один из следующих способов принудительного применения функции управления приложениями в Защитнике Windows на клиентском компьютере. Enforcement Mode — Choose one of the following enforcement methods for Windows Defender Application Control on the client PC.
     • Включено принудительное применение — разрешено выполнение только надежных исполняемых файлов. Enforcement Enabled — Only allow trusted executables are allowed to run.
     • Только аудит — разрешено выполнение всех исполняемых файлов, но ведется регистрация выполняющихся ненадежных программ в журнале событий локального клиента. Audit Only — Allow all executables to run, but log untrusted executables that run in the local client event log.
5. На вкладке Включения в мастере создания политики управления приложениями выберите, нужно ли авторизовать программное обеспечение, которому доверяет Intelligent Security Graph. On the Inclusions tab of the Create Application Control policy Wizard, choose if you want to Authorize software that is trusted by the Intelligent Security Graph.
6. Щелкните Добавить, если вы хотите добавить отношения доверия для определенных файлов или папок на компьютерах. Click Add if you want to add trust for specific files or folders on PCs. В диалоговом окне Добавление доверенного файла или папки вы можете указать локальный файл или путь к папке, для которых следует настроить отношение доверия. In the Add Trusted File or Folder dialog box, you can specify a local file or a folder path to trust. Можно также указать путь к файлу или папке на удаленном устройстве, на подключение к которому у вас есть права. You can also specify a file or folder path on a remote device on which you have permission to connect. Добавив в политику управления приложениями в Защитнике Windows отношение доверия для определенных файлов или папок, вы можете: When you add trust for specific files or folders in a Windows Defender Application Control policy, you can:
   • устранять проблемы, связанные с поведением управляемого установщика; Overcome issues with managed installer behaviors
   • доверять бизнес-приложениям, которые не могут быть развернуты с помощью Configuration Manager; Trust line-of-business apps that cannot be deployed with Configuration Manager
   • доверять приложениям, которые включены в образ развертывания операционной системы. Trust apps that are included in an operating system deployment image.
7. Чтобы завершить работу мастера, щелкните Далее. Click Next, to complete the wizard.

Включение доверенных файлов или папок поддерживается только на клиентских компьютерах под управлением версии 1706 или более поздней версии клиента Configuration Manager. The inclusion of trusted files or folders is only supported on client PCs running version 1706 or later of the Configuration Manager client. Если правила включения содержатся в политике управления приложениями в Защитнике Windows и эта политика развертывается на клиентском компьютере под управлением более ранней версии клиента Configuration Manager, ее будет невозможно применить. If any inclusion rules are included in a Windows Defender Application Control policy and the policy is then deployed to a client PC running an earlier version on the Configuration Manager client, the policy will fail to be applied. Чтобы устранить эту проблему, обновите устаревшие клиенты. Upgrading these older clients will resolve this issue. Политики, которые не содержат правила включения, могут применяться в предыдущих версиях клиента Configuration Manager. Policies that do not include any inclusion rules may still be applied on older versions of the Configuration Manager client.

Развертывание политики управления приложениями в Защитнике Windows How to deploy a Windows Defender Application Control policy

1. В консоли Configuration Manager щелкните элемент Активы и соответствие. In the Configuration Manager console, click Assets and Compliance.
2. В рабочей области Активы и соответствие разверните узел Endpoint Protection и щелкните Управление приложениями в Защитнике Windows. In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
3. В списке политик выберите политику, которую необходимо развернуть, а затем на вкладке Главная в группе Развертывание щелкните элемент Развертывание политики управления приложениями. From the list of policies, select the one you want to deploy, and then, on the Home tab, in the Deployment group, click Deploy Application Control Policy.
4. В диалоговом окне Развертывание политики управления приложениями выберите коллекцию, в которой нужно развернуть политику. In the Deploy Application Control policy dialog box, select the collection to which you want to deploy the policy. Затем настройте расписание, в соответствии с которым клиенты будут оценивать политику. Then, configure a schedule for when clients evaluate the policy. И наконец укажите, могут ли клиенты оценивать политику вне настроенных периодов обслуживания. Finally, select whether the client can evaluate the policy outside of any configured maintenance windows.
5. По завершении нажмите кнопку ОК, чтобы развернуть политику. When you are finished, click OK to deploy the policy.

Мониторинг политики управления приложениями в Защитнике Windows How to monitor a Windows Defender Application Control policy

В статье Мониторинг параметров соответствия требованиям в System Center Configuration Manager описано, как проверить правильное применение развернутой политики ко всем компьютерам. Use the information in the Monitor compliance settings article to help you monitor that the deployed policy has been applied to all PCs correctly.

Используйте следующий файл журнала на клиентских компьютерах, чтобы наблюдать за обработкой политики управления приложениями в Защитнике Windows: To monitor the processing of a Windows Defender Application Control policy, use the following log file on client PCs:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log %WINDIR%\CCM\Logs\DeviceGuardHandler.log

Чтобы проверить, применяется ли блокировка или аудит к конкретной программе, изучите следующие журналы событий на локальном клиенте. To verify the specific software being blocked or audited, see the following local client event logs:

1. Сведения о блокировке и аудите исполняемых файлов содержатся в журнале Журналы приложений и служб >Microsoft >Windows >Целостность кода >Операционные. For blocking and auditing of executable files, use Applications and Services Logs >Microsoft >Windows >Code Integrity >Operational.
2. Сведения о блокировке и аудите установщика Windows и файлов сценариев содержатся в журнале Журналы приложений и служб >Microsoft >Windows >AppLocker >MSI и сценарий. For blocking and auditing of Windows Installer and script files, use Applications and Services Logs >Microsoft >Windows >AppLocker >MSI and Script.