비즈니스용 앱 제어 정책 적용
참고
비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.
이제 하나 이상의 비즈니스용 App Control 정책이 감사 모드로 광범위하게 배포되어야 합니다. 이러한 정책을 사용하여 디바이스에서 수집된 이벤트를 분석했으며 적용할 준비가 된 것입니다. 이 절차를 사용하여 적용 모드에서 App Control 정책을 준비하고 배포합니다.
참고
이 문서에 설명된 단계 중 일부는 Windows 10 버전 1903 이상 또는 Windows 11만 적용됩니다. 이 항목을 사용하여 사용자 고유의 organization App Control 정책을 계획할 때 관리되는 클라이언트가 이러한 기능의 전부 또는 일부를 사용할 수 있는지 여부를 고려합니다. 이전 버전의 Windows 10 및 Windows Server를 실행하는 클라이언트에서 사용할 수 없는 기능에 대한 영향을 평가합니다. 특정 organization 요구 사항에 맞게 이 지침을 조정해야 할 수 있습니다.
App Control 기본 정책을 감사에서 적용됨으로 변환
일반적인 비즈니스용 App Control 배포 시나리오에 설명된 대로 Lamna Healthcare Company(Lamna)의 예제를 사용하여 이 시나리오를 설명합니다. Lamna는 앱 제어를 사용하여 원치 않거나 권한이 없는 애플리케이션이 관리되는 디바이스에서 실행되지 않도록 하는 등 더 강력한 애플리케이션 정책을 채택하려고 합니다.
Alice Pena 는 Lamna의 App Control 출시를 담당하는 IT 팀 책임자입니다.
Alice는 이전에 organization 완전 관리형 디바이스에 대한 정책을 만들고 배포했습니다. 감사 이벤트를 사용하여 App Control 정책 규칙을 만들고 다시 배포에 설명된 대로 감사 이벤트 데이터를 기반으로 정책을 업데이트했습니다. 나머지 모든 감사 이벤트는 예상대로 진행되며 Alice는 적용 모드로 전환할 준비가 된 것입니다.
사용할 변수를 초기화하고 감사 버전을 복사하여 적용된 정책을 만듭니다.
$EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced" $AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml" $EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml" cp $AuditPolicyXML $EnforcedPolicyXMLSet-CIPolicyIdInfo를 사용하여 새 정책에 고유한 ID 및 설명이 포함된 이름을 지정합니다. ID 및 이름을 변경하면 적용된 정책을 감사 정책과 함께 배포할 수 있습니다. 시간이 지남에 따라 App Control 정책을 강화하려는 경우 이 단계를 수행합니다. 감사 정책을 현재 위치로 바꾸려면 이 단계를 건너뛸 수 있습니다.
$EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID $EnforcedPolicyID = $EnforcedPolicyID.Substring(11)[선택 사항]Set-RuleOption 을 사용하여 규칙 옵션 9("고급 부팅 옵션 메뉴") 및 10("실패 시 부팅 감사")을 사용하도록 설정합니다. 옵션 9를 사용하면 사용자가 부팅 전 메뉴에서 단일 부팅 세션에 대해 App Control 적용을 사용하지 않도록 설정할 수 있습니다. 옵션 10은 부팅에 중요한 커널 모드 드라이버가 차단된 경우에만 정책을 적용에서 감사로 전환하도록 Windows에 지시합니다. 첫 번째 배포 링에 새 적용 정책을 배포할 때는 이러한 옵션을 사용하는 것이 좋습니다. 그런 다음 문제가 발견되지 않으면 옵션을 제거하고 배포를 다시 시작할 수 있습니다.
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9 Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10Set-RuleOption 사용하여 정책을 적용으로 변경하는 감사 모드 규칙 옵션을 삭제합니다.
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -DeleteConvertFrom-CIPolicy를 사용하여 새 App Control 정책을 이진으로 변환합니다.
참고
위의 2단계에서 -ResetPolicyID를 사용하지 않은 경우 다음 명령의 $EnforcedPolicyID 기본 정책 XML에 있는 PolicyID 특성으로 바꿔야 합니다.
$EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip" ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary
적용된 기본 정책과 함께 사용할 필요한 추가 정책의 복사본을 만듭니다.
적용된 정책에 이전 절차에서 고유한 PolicyID가 제공되었으므로 적용된 정책과 함께 사용하기 위해 필요한 추가 정책을 복제해야 합니다. 추가 정책은 항상 수정하는 기본 정책에서 감사 또는 적용 모드를 상속합니다. 적용 기준 정책의 PolicyID를 다시 설정하지 않은 경우 이 절차를 건너뛸 수 있습니다.
사용할 변수를 초기화하고 현재 추가 정책의 복사본을 만듭니다. 이전 절차의 일부 변수 및 파일도 사용됩니다.
$SupplementalPolicyName = "Lamna_Supplemental1" $CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml" $EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"Set-CIPolicyIdInfo를 사용하여 새 추가 정책에 고유한 ID 및 설명이 포함된 이름을 지정하고 보완할 기본 정책을 변경합니다.
$SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID $SupplementalPolicyID = $SupplementalPolicyID.Substring(11)참고
Set-CIPolicyIdInfo Windows 10 버전에서 새 PolicyID 값을 출력하지 않는 경우 XML에서 PolicyId 값을 직접 가져와야 합니다.
ConvertFrom-CIPolicy를 사용하여 새 비즈니스용 App Control 추가 정책을 이진으로 변환합니다.
$EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml" ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary업데이트할 다른 추가 정책이 있는 경우 위의 단계를 반복합니다.
적용된 정책 및 추가 정책 배포
이제 기본 정책이 적용 모드에 있으므로 관리형 엔드포인트에 배포를 시작할 수 있습니다. 정책 배포에 대한 자세한 내용은 비즈니스용 앱 제어 정책 배포를 참조하세요.