通过应用市场的应用管控功能，管理员可以使用应用黑白名单对桌面实现有效的安全管控。

绑定黑名单规则的桌面，无法运行黑名单列表中的应用，当桌面运行黑名单中应用时会被阻止，且用户无法向管理员发起应用放行申请。

绑定白名单规则的桌面只能运行白名单列表中的应用，当桌面安装或运行非白名单中的应用时会被阻止。用户如需使用被阻止的应用，可在拦截提示中向管理员发起申请。如果管理员同意放行此应用，用户再次运行应用时即可正常使用。

前提条件

已开通天翼云电脑（政企版），详情请参见快速订购云电脑。

已开通应用市场，详情请参见开通应用市场。

注意事项

为了保证应用黑白名单的正常使用，在使用之前，请您务必认真阅读应用管控部分的功能介绍。详情请参见应用管控。

应用场景说明

企业只允许员工在云电脑中使用特定的应用时，可使用白名单，如教育培训，银行金融办公等场景；企业只限制员工在云电脑中不能使用某些应用时，可使用黑名单，如事业单位、互联网等场景。

操作步骤

步骤一：配置黑名单

黑名单应用库

管理员可在平台应用库中，快速选择应用添加到黑名单列表。

管理员也可以创建一个企业专属的黑名单应用库用于自定义维护，具体操作如图示：

1.创建一个专用桌面，将希望禁止的应用安装至桌面中，此桌面可作为后续运维桌面；

2.进入黑名单规则，选择租户应用库并点击管理；

3.在页面中点击新增，进入获取应用的弹窗界面；

4.选择“1”中设置好的桌面点击“获取”，即可从该桌面获取已安装的应用列表，选择应用添加至黑名单租户应用库中即可。

注：在专用桌面中，建议使用“应用辅助工具”进行应用安装，便于提取相关应用的完整信息，此类信息可用于黑名单列表的创建。

黑名单列表

管理员还可以在黑名单列表中手动添加需要加入黑名单的应用。

步骤二：配置白名单

管控模式设置

白名单规则包含轻管控、中管控、严管控、自定义管控等多个模式，每个模式预设了不同的策略，满足不用场景需求。此外，还有电脑扫描策略、审批放行策略和程序拦截策略可以自由配置。

电脑扫描策略

“全盘扫描”，会在桌面绑定规则后，将桌面内已有的所有exe，msi文件扫描到白名单中。

“仅扫描系统文件与指定路径”，则只将系统文件以及指定路径下的文件加入白名单。

注：如果白名单规则有绑定桌面，则此策略无法修改。如需更改，请先解绑当前规则下的所有桌面。

审批放行策略

“安装过程中产生的程序均自动放行 ”，即在管理员放行安装的主程序后，将自动放行该程序后续产生的子程序（不包含安装成功后，正常运行时新增的程序，如自更新程序、插件等）。

“匹配相似程序并自动放行”，即在管理员放行安装程序后，会自动放行与该程序名称与MD5两项信息相匹配的程序（针对解决某些应用的插件等程序频繁调用导致重复拦截的情况）。

程序拦截策略

“不拦截升级/插件类程序”， 即自更新/插件类型程序均不拦截（此类程序不加入白名单列表），需满足以下条件：1.父进程在白名单； 2.父进程不属于：explorer.exe、cmd.exe、浏览器、迅雷、网盘、IM； 3.自身非安装包。

“不拦截指定签名的程序”，即可配置签名，程序签名与配置签名相符则自动放行。

“不拦截指定路径的程序”，即可配置指定路径，该路径下面的所有程序均不拦截（此类程序不加入白名单列表）。

配置白名单列表

在“白名单列表”中，管理员可以添加特定的应用程序，此类应用程序不会被拦截。

如果想禁用部分在白名单中已放行的应用，管理员可在“禁用列表”中添加应用信息。

注：绑定白名单，扫描完成后，桌面内能够运行的程序有以下几种

1、扫描前在扫描范围内已经安装的应用。

2、白名单列表内的应用。

3、放行通过的应用以及它释放的程序。

4、签名为天翼云的相关应用。

步骤三：绑定桌面

创建规则后，点击右侧的“绑定”，可选择需要绑定该规则的桌面。绑定后，天翼云电脑（政企版）控制台将向所选桌面推送管控策略（绑定白名单规则后，桌面首次开机需要进行扫描），待桌面开机后进入管控状态。已绑定规则的桌面的管控状态也可在此页面中查看。

执行结果

步骤一：白名单下的应用放行流程

申请放行

用户在桌面内运行不在白名单内的应用会被阻止并出现提示弹窗，可在弹窗中查看详情或发起申请。有多个程序被阻止时，可批量操作。

注：

1、当运行某款应用时出现未执行也未被阻止的无响应状况，可能已被windows系统默认为风险拦截。遇此情况，右键该应用，并在在属性中解除windows拦截即可。

2、绑定黑名单规则时，被阻止的应用不允许申请放行。

应用放行审批

申请人提交的应用放行申请，会展示在此列表下，审批人可逐条或批量处理；也可在客户端中进行审批。

结果通知

应用放行申请经审批人处理后，申请人会收到相关处理结果的通知。