介绍
Workforce Experience Platform (WXP) 中的 策略 模块使 IT 管理员能够跨托管设备实施配置标准、安全基线和合规性规则。如果没有集中式策略引擎,组织通常难以在动态和分布式设备环境中保持一致。
使用策略,您可以定义自动化系统行为,以保持所需的配置状态并确保一致的实施,而无需人工干预。可以通过设备组(例如 静态、 动态或 基于 Entra ID 的设备组)应用策略,并与脚本和修正措施协同工作以维护 IT 治理。
策略充当执行层,用于维护一致的设备配置和安全态势。它们集成到补救和合规性工作流程中,主动确保端点与公司标准保持一致。此功能可帮助 IT 团队降低风险、保持合规性并大规模自动执行配置更改。
策略类型
- 配置策略(系统级实施):这些策略定义和维护系统级设置,例如 BIOS 配置、防火墙启用和安全启动。它们通过自动实施和纠正配置偏差来确保所有设备的一致性。策略可以直接应用,也可以与 Microsoft Intune 等管理工具集成。
-
安全策略(基线强制和修正):这些策略设置基线安全设置,例如启用防病毒、BitLocker 加密和 Windows Defender。它们受到持续监控,以检测和纠正任何偏差。这些策略符合常见漏洞和暴露 (CVE) 补救措施、合规性要求和行业最佳实践。
-
合规性策略(以审核为中心的执行):这些策略确保设备符合内部标准、法律要求和行业法规。另外:
- 所有策略作都会被记录下来,以便进行审核和报告。
- 支持基于角色的访问控制 (RBAC) 来限制对敏感强制作的访问。
目标受众
- 定义和管理实施策略的 IT 管理员
- 监控策略遵守情况和审核准备情况的安全与合规性团队
- 调查和修复策略实施问题的技术支持人员和 IT 技术人员
主要特点
一些核心功能包括:
- 集中策略管理:从单个界面定义和管理所有策略。这将通过将策略链接到设备组来实现有针对性的实施。
- 自动强制实施:在设备加入或更改状态时自动应用策略,并检测和修正配置偏差,而无需手动干预。
- 安全性和合规性集成:使策略与漏洞扫描和基线配置保持一致,同时记录所有更改以进行审计和合规性跟踪。
- 与建议的作和组集成:在修正工作流中触发策略,或使用静态、动态或基于 Entra ID 的组主动应用策略,以实现上下文感知强制实施。
- 配置偏差校正:自动检测与预期设置的偏差并重新应用策略以恢复合规性,从而减少手动开销和风险。
使用案例
-
安全基线强制实施(动态组策略)
方案:你的公司希望确保在所有企业笔记本电脑上启用 BitLocker 加密。
解决方案:定义强制实施 BitLocker 加密的策略,并将其分配给 Windows 11 笔记本电脑的动态组。所有匹配的设备都会自动接收策略,不合规的设备将被标记和修正。 -
配置偏差更正(策略重新应用)
方案:某些设备显示已手动关闭 Windows Defender。
解决方案:策略引擎检测偏差并重新应用预期配置。将创建日志条目以进行审核跟踪,并且设备无需用户干预即可返回到合规状态。 -
直接 BIOS 策略应用程序(脚本与策略选项)
方案:你的组织希望在其队列中成功推出 BIOS 更新。
解决方案:不要使用脚本,而是选择“应用策略”选项来绕过外部工具并通过策略引擎强制执行 BIOS 更新。这确保了平台内的标准化部署和跟踪。
常见问题
1. 我需要担心使用 BIOS 更新策略处理 BitLocker 吗?
答:没有。我们使用 Windows Update BIOS 更新胶囊,它会自动处理 BitLocker。为了安全起见,我们还在应用 BIOS 更新后向设备添加了一次性关机脚本。此脚本确保 BitLocker 在下次重启之前挂起。
联系我们
如需任何帮助, 请创建支持案例 或电子邮件 support@wxp.hp.com。