Azure active directory 使用InTune锁定Windows PC以阻止cmd和regedit等
我正在尝试使用InTune管理加入Azure AD的设备,因为没有本地Active Directory,所以无法访问组策略。我需要能够完全锁定Windows 10 PC,这样用户就无法访问命令提示符(CMD)或Regedit之类的东西,从而导致电脑出现任何问题 我可以在InTune中看到我可以限制访问“设置”部分等,但似乎没有任何限制上述应用程序的内容 例如,想象一下,电脑在一所学校里,它们需要被完全限制,这样就不会有麻烦的用户打扰它们Azure active directory 使用InTune锁定Windows PC以阻止cmd和regedit等,azure-active-directory,intune,Azure Active Directory,Intune,我正在尝试使用InTune管理加入Azure AD的设备,因为没有本地Active Directory,所以无法访问组策略。我需要能够完全锁定Windows 10 PC,这样用户就无法访问命令提示符(CMD)或Regedit之类的东西,从而导致电脑出现任何问题 我可以在InTune中看到我可以限制访问“设置”部分等,但似乎没有任何限制上述应用程序的内容 例如,想象一下,电脑在一所学校里,它们需要被完全限制,这样就不会有麻烦的用户打扰它们 是否有人知道使用InTune是否可以做到这一点?如果可以,
是否有人知道使用InTune是否可以做到这一点?如果可以,如何做到这一点,或者有哪些替代方案,是否有更好的MDM可供使用?Applocker是我发现的唯一方法。 创建自定义OMA-URI ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/00000000 1/EXE/Policy 值字符串 使用XML文件详细说明要限制的内容。 有关填充详细信息,请参阅。可以对CMD和regedit执行相同的操作 IE这个例子阻止了Powershell和python
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePathRule Id="e16ce5e4-67f2-4ebf-ad01-c81fc8f28cd5" Name="All Files" Description="" UserOrGroupSid="S-1-5-32-544" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
</FilePathRule>
<FilePathRule Id="9eb15b2e-f9c2-42d4-8692-ad1a0f6a0722" Name="All files" Description="Allows user to run files execpt powershell" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePathCondition Path="*" />
</Conditions>
<Exceptions>
<FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="MICROSOFT® WINDOWS® OPERATING SYSTEM" BinaryName="POWERSHELL.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
<FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="MICROSOFT® WINDOWS® OPERATING SYSTEM" BinaryName="POWERSHELL_ISE.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Exceptions>
</FilePathRule> <!-- This is a test to block python from running --> <FilePublisherRule Id="3d6ce594-1cc7-4870-b839-48c43a8954c0" Name="Signed by O=PYTHON SOFTWARE FOUNDATION, L=WOLFEBORO, S=NEW HAMPSHIRE, C=US" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=PYTHON SOFTWARE FOUNDATION, L=WOLFEBORO, S=NEW HAMPSHIRE, C=US" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule> </RuleCollection>