应用程序锁定设备策略

“应用程序锁定” 设备策略定义了以下各项中的应用程序的列表:

  • 允许在设备上运行。
  • 阻止在设备上运行。

每个受支持的平台的策略运行方式各不相同。例如,不能阻止在 iOS 设备上运行多个应用程序。

同样,对于 iOS 设备,每个策略只能选择一个 iOS 应用程序。这表示用户只能使用其设备运行单个应用程序。在强制执行应用程序锁定策略时,用户无法在设备上执行除您明确允许的选项之外的任何其他活动。

此外,必须监督 iOS 设备才能推送应用程序锁定策略。

虽然设备策略适用于大多数 Android L 和 M 设备,但是,由于 Google 弃用了所需的 API,因此,应用程序锁定不适用于 Android N 或更高版本的设备。

对于托管 Windows Desktop 和 Tablet,可以创建用于定义黑名单和白名单应用程序列表的“应用程序锁定”设备策略。可以允许或阻止可执行文件、MSI 安装程序、应用商店应用程序、DLL 和脚本。

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

iOS 设置

“设备策略”配置屏幕图

  • 应用程序捆绑包 ID: 在列表中,单击应用此策略的应用程序,或单击新增向列表中添加新应用程序。如果选择新增,请在显示的字段中键入应用程序名称。
  • 选项: 对于每个选项,除“禁用触摸屏”默认值为之外,默认值均为
    • 禁用触摸屏
    • 禁用设备旋转感应
    • 禁用音量按钮
    • 禁用铃声开关

      “禁用铃声开关”为时,铃声行为取决于首次禁用时开关所处的位置。

    • 禁用睡眠/唤醒按钮
    • 禁用自动锁定
    • 禁用 VoiceOver
    • 启用缩放
    • 启用反转颜色
    • 启用 AssistiveTouch
    • 启用朗读所选内容
    • 启用单声道音频
  • 用户启用的选项:对于每个选项, 默认值为
    • 允许 VoiceOver 调整
    • 允许缩放调整
    • 允许反转颜色调整
    • 允许 AssitiveTouch 调整

Android 设置

注意:

不能使用“应用程序锁定”设备策略阻止 Android 的“设置”应用程序。

“设备策略”配置屏幕图

  • 应用程序锁定参数
    • 锁定消息: 键入用户尝试打开锁定的应用程序时看到的消息。
    • 解锁密码: 键入用于解锁应用程序的密码。
    • 阻止卸载: 选择是否允许用户卸载应用程序。默认值为
    • 锁定屏幕: 单击“浏览”并导航到显示在设备锁屏界面上的图像文件所在位置,选择此图像。
    • 强制执行: 单击黑名单以创建不允许在设备上运行的应用程序的列表,或单击白名单以创建允许在设备上运行的应用程序的列表。
  • 应用程序: 单击添加,然后执行以下操作:
    • 应用程序名称: 在列表中,单击要添加到白名单或黑名单的应用程序的名称,或单击新增向可用应用程序列表中添加新应用程序。
    • 如果选择新增,请在显示的字段中键入应用程序名称。
    • 单击保存取消
    • 为要添加到白名单或黑名单中的每个应用程序重复执行这些步骤。

Windows Desktop 和 Tablet 设置

应用程序锁定的必备条件

  • 在 Windows 中,请在运行 Windows 10 Enterprise 或 Education 的 Windows 10 Desktop 上在本地安全策略编辑器中配置规则。
  • 导出策略 XML 文件。Citrix 建议您在 Windows 中创建默认规则,以避免锁定默认配置或导致设备上出现问题。
  • 然后, 使用 “应用程序锁定” 设备策略将 XML 文件上载到 Endpoint Management。有关创建规则的详细信息,请参阅此 Microsoft 文章: https://docs.microsoft.com/en-us/windows/security/threat-protection/applocker/applocker-overview

从 Windows 配置和导出策略 XML 文件

重要:

通过 Windows 策略编辑器配置策略 XML 文件时,请使用“仅审核”模式。

  1. 在 Windows 计算机中,启动本地安全策略编辑器。单击启动,键入本地安全策略,然后单击本地安全策略
  2. 在控制台树中,单击计算机配置 > Windows 设置 > 安全设置,然后展开应用程序控制策略
  3. 单击 AppLocker,然后在中心窗格中,单击 Configurerule enforcement(配置规则强制执行)。
  4. 选择 Enforce rules(强制执行规则)。启用了某个规则时,Enforce rules(强制执行规则)为默认值。
  5. 可以创建 Executable Rules(可执行规则)、Windows Installer Rules(Windows 安装程序规则)、Script Rules(脚本规则)和 Packaged App Rules(封装应用程序规则)。为此,请右键单击文件夹,然后单击 Create New Rule(创建新规则)。
  6. 右键单击 AppLocker,单击 Export Policy(导出策略),然后保存 XML 文件。

将策略 XML 文件导入 Endpoint Management

创建应用程序锁定策略。在 “应用程序锁定策略文件” 设置中, 单击浏览并导航到 XML 文件。

停止应用“应用程序锁定”策略

在 Endpoint Management 中部署“应用程序锁定”策略后:要停止应用该“应用程序锁定”策略,请创建一个空 XML 文件。然后,创建另一个“应用程序锁定”策略,上载文件并部署该策略。启用了“应用程序锁定”的设备不受影响。首次接收该测uede设备未设置“应用程序锁定”策略。

应用程序锁定设备策略