Azure active directory 使用InTune锁定Windows PC以阻止cmd和regedit等_Azure Active Directory_Intune

Azure active directory 使用InTune锁定Windows PC以阻止cmd和regedit等

azure-active-directory

Azure active directory 使用InTune锁定Windows PC以阻止cmd和regedit等,azure-active-directory,intune,Azure Active Directory,Intune,我正在尝试使用InTune管理加入Azure AD的设备，因为没有本地Active Directory，所以无法访问组策略。我需要能够完全锁定Windows 10 PC，这样用户就无法访问命令提示符（CMD）或Regedit之类的东西，从而导致电脑出现任何问题我可以在InTune中看到我可以限制访问“设置”部分等，但似乎没有任何限制上述应用程序的内容例如，想象一下，电脑在一所学校里，它们需要被完全限制，这样就不会有麻烦的用户打扰它们是否有人知道使用InTune是否可以做到这一点？如果可以，

我正在尝试使用InTune管理加入Azure AD的设备，因为没有本地Active Directory，所以无法访问组策略。我需要能够完全锁定Windows 10 PC，这样用户就无法访问命令提示符（CMD）或Regedit之类的东西，从而导致电脑出现任何问题

我可以在InTune中看到我可以限制访问“设置”部分等，但似乎没有任何限制上述应用程序的内容

例如，想象一下，电脑在一所学校里，它们需要被完全限制，这样就不会有麻烦的用户打扰它们

是否有人知道使用InTune是否可以做到这一点？如果可以，如何做到这一点，或者有哪些替代方案，是否有更好的MDM可供使用？

Applocker是我发现的唯一方法。创建自定义OMA-URI ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/00000000 1/EXE/Policy 值字符串使用XML文件详细说明要限制的内容。有关填充详细信息，请参阅。可以对CMD和regedit执行相同的操作

IE这个例子阻止了Powershell和python

<RuleCollection Type="Exe" EnforcementMode="Enabled">
    <FilePathRule Id="e16ce5e4-67f2-4ebf-ad01-c81fc8f28cd5" Name="All Files" Description="" UserOrGroupSid="S-1-5-32-544" Action="Allow">
      <Conditions>
        <FilePathCondition Path="*" />
      </Conditions>
    </FilePathRule>
    <FilePathRule Id="9eb15b2e-f9c2-42d4-8692-ad1a0f6a0722" Name="All files" Description="Allows user to run files execpt powershell" UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePathCondition Path="*" />
      </Conditions>
      <Exceptions>
        <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="MICROSOFT® WINDOWS® OPERATING SYSTEM" BinaryName="POWERSHELL.EXE">
          <BinaryVersionRange LowSection="*" HighSection="*" />
        </FilePublisherCondition>
        <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="MICROSOFT® WINDOWS® OPERATING SYSTEM" BinaryName="POWERSHELL_ISE.EXE">
          <BinaryVersionRange LowSection="*" HighSection="*" />
        </FilePublisherCondition>
      </Exceptions>
    </FilePathRule>     <!-- This is a test to block python from running -->    <FilePublisherRule Id="3d6ce594-1cc7-4870-b839-48c43a8954c0" Name="Signed by O=PYTHON SOFTWARE FOUNDATION, L=WOLFEBORO, S=NEW HAMPSHIRE, C=US" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
      <Conditions>
        <FilePublisherCondition PublisherName="O=PYTHON SOFTWARE FOUNDATION, L=WOLFEBORO, S=NEW HAMPSHIRE, C=US" ProductName="*" BinaryName="*">
          <BinaryVersionRange LowSection="*" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>   </RuleCollection>