다음을 통해 공유

비즈니스용 앱 컨트롤 정책 병합

참고

비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.

이 문서에서는 여러 정책 XML 파일을 함께 병합하는 방법과 규칙을 정책에 직접 병합하는 방법을 보여 줍니다. 비즈니스용 앱 제어 배포에는 특정 사용 사례에 대한 몇 가지 기본 정책 및 선택적 추가 정책이 포함되어 있는 경우가 많습니다.

참고

Windows Server 2019 및 이전 버전을 포함하여 Windows 버전 1903 이전에는 한 번에 하나의 비즈니스용 앱 컨트롤 정책만 시스템에서 활성화할 수 있습니다. 이러한 이전 버전의 Windows를 실행하는 시스템에서 App Control을 사용해야 하는 경우 배포하기 전에 모든 정책을 병합해야 합니다.

여러 App Control 정책 XML 파일을 함께 병합

둘 이상의 정책 파일을 병합할 수 있는 여러 시나리오가 있습니다. 예를 들어 감사 이벤트를 사용하여 비즈니스용 App Control 정책 규칙을 만드는 경우 해당 규칙을 기존 App Control 기본 정책과 병합할 수 있습니다. 해당 문서에서 참조하는 두 개의 App Control 정책을 병합하려면 관리자 권한 Windows PowerShell 세션에서 다음 단계를 완료합니다.

  1. 사용되는 변수를 초기화합니다.

    $PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
$EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
$MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"

  2. Merge-CIPolicy를 사용하여 두 정책을 병합하고 새 비즈니스용 App Control 정책을 만듭니다.

    Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy

    참고

    -PolicyPaths 매개 변수를 쉼표로 구분하여 위의 Merge-CIPolicy 단계와 추가 정책을 병합할 수 있습니다. -OutputFilePath로 지정된 새 정책 파일에는 목록의 첫 번째 정책에서 정책 정보가 포함됩니다. 예를 들어 위의 예제에서 $MergedPolicy $LamnaPolicy 정책 유형, ID, 이름 및 버전 정보를 상속합니다. 이러한 값을 변경하려면 Set-CIPolicyIdInfoSet-CIPolicyVersion을 사용합니다.

앱 제어 규칙을 정책 XML에 직접 병합

여러 정책 XML 파일을 병합하는 것 외에도 New-CIPolicyRule cmdlet을 사용하여 만든 규칙을 기존 App Control 정책 XML 파일에 직접 병합할 수도 있습니다. 규칙을 직접 병합하는 것은 추가 정책 XML 파일을 만들지 않고도 정책을 업데이트하는 편리한 방법입니다. 예를 들어 앱 제어 마법사 및 앱 제어 RefreshPolicy.exe 도구를 허용하는 규칙을 추가하려면 다음 단계를 수행합니다.

  1. 앱 제어 마법사 패키지 MSIX 앱을 설치합니다.

  2. 프로세서 아키텍처에 대한 정책 새로 고침 도구를 다운로드하고 RefreshPolicy.exe 바탕 화면에 저장합니다.

  3. PowerShell 세션에서 다음 명령을 실행하여 앱 제어 마법사에 대한 패키지된 앱 허용 규칙을 만듭니다.

    $PackageInfo = Get-AppxPackage -Name Microsoft.App Control.WDACWizard
$Rules = New-CIPolicyRule -Package $PackageInfo

  4. RefreshPolicy.exe 대한 FilePublisher 규칙을 추가합니다.

    $Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher

  5. Merge-CIPolicy를 사용하여 새 규칙을 이전 절차의 마지막 단계에서 만든 MergedPolicy 파일에 직접 병합합니다.

    Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules

병합된 정책을 관리형 엔드포인트로 변환 및 배포

이제 병합된 새 정책이 있으므로 정책 이진 파일을 관리형 엔드포인트로 변환하고 배포할 수 있습니다.

  1. ConvertFrom-CIPolicy를 사용하여 App Control 정책을 이진 형식으로 변환합니다.

    $AppControlPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin"
ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $AppControlPolicyBin

    참고

    위의 샘플 명령에서 Windows 10 버전 1903 이상 또는 Windows 11 대상으로 하는 정책의 경우 문자열 "{InsertPolicyID}"를 정책 XML 파일에 있는 실제 PolicyID GUID(중괄호 포함 { })로 바꿉니다. 1903 이전의 Windows 10 버전의 경우 이진 파일 이름에 SiPolicy.p7b 이름을 사용합니다.

  2. 병합된 정책 XML 및 연결된 이진 파일을 비즈니스용 App Control 정책에 사용하는 소스 제어 솔루션에 업로드합니다. GitHub 또는 Office 365 SharePoint와 같은 문서 관리 솔루션

  3. 기본 배포 솔루션을 사용하여 병합된 정책을 배포합니다. 비즈니스용 앱 제어 정책 배포를 참조하세요.