Povolení aplikací Win32 na zařízeních v režimu S

Windows 10 režim S je uzamčený operační systém, ve kterém běží jenom aplikace pro Store. Zařízení v režimu Windows S ve výchozím nastavení neumožňují instalaci a spouštění aplikací Win32. Tato zařízení zahrnují jednu základní zásadu Win 10S, která zařízení v režimu S zamkne, aby na něm běžely aplikace Win32. Když ale v Intune vytvoříte a použijete doplňkové zásady v režimu S, můžete instalovat a spouštět aplikace Win32 na zařízeních spravovaných v režimu Windows 10 S. Pomocí nástrojů PowerShellu Microsoft Defender Application Control (WDAC) můžete vytvořit jednu nebo více doplňkových zásad pro režim Windows S. Doplňkové zásady musíte podepsat pomocí služby DGSS (Device Guard Signing Service) nebo SignTool.exe a pak zásady nahrát a distribuovat prostřednictvím Intune. Jako alternativu můžete doplňkové zásady podepsat certifikátem pro návrh od vaší organizace, ale upřednostňovanou metodou je použít DGSS. V případě, že používáte certifikát pro návrh z vaší organizace, musí být na zařízení kořenový certifikát, na který se zřetězí spoludesignující certifikát.

Přiřazením doplňkové zásady režimu S v Intune povolíte zařízení, aby udělalo výjimku ze stávajících zásad režimu S zařízení, což umožňuje nahraný odpovídající podepsaný katalog aplikací. Zásady nastaví seznam povolených aplikací (katalog aplikací), které se dají použít na zařízení v režimu S.

Poznámka

Aplikace Win32 na zařízeních v režimu S se podporují jenom v aktualizaci Windows 10 z listopadu 2019 (build 18363) nebo novějších verzích.

Postup povolení spouštění aplikací Win32 na Windows 10 zařízení v režimu S:

1. Povolte zařízení v režimu S prostřednictvím Intune v rámci procesu registrace Windows 10 S.
2. Vytvořte doplňkové zásady, které povolí aplikace Win32:
   • K vytvoření doplňkových zásad můžete použít nástroje Microsoft Defender Application Control (WDAC). ID základní zásady v rámci zásad se musí shodovat s ID základní zásady v režimu S (které je pevně zakódované v klientovi). Také se ujistěte, že je verze zásad vyšší než předchozí verze.
   • K podepsání doplňkových zásad používáte službu DGSS. Další informace najdete v tématu Podepisování zásad integrity kódu podepisováním v ochraně Device Guard.
   • Podepsané doplňkové zásady nahrajete do Intune vytvořením doplňkové zásady v režimu Windows 10 S (viz níže).
3. Katalogy aplikací Win32 povolíte prostřednictvím Intune:
   • Vytvoříte soubory katalogu (jeden pro každou aplikaci) a podepíšete je pomocí služby DGSS nebo jiné infrastruktury certifikátů.
   • Podepsaný katalog zabalíte do souboru .intunewin pomocí nástroje Microsoft Win32 Content Prep Tool. Při vytváření souboru katalogu pomocí nástroje Microsoft Win32 Content Prep Tool neexistují žádná omezení pro vytváření názvů. Při generování souboru .intunewin ze zadané zdrojové složky a instalačního souboru můžete pomocí možnosti -a cmdline poskytnout samostatnou složku obsahující pouze soubory katalogu. Další informace najdete v tématu Správa aplikací Win32 – Příprava obsahu aplikace Win32 k nahrání.
   • Intune použije podepsaný katalog aplikací k instalaci aplikace Win32 na zařízení v režimu S pomocí rozšíření Intune Management.

Poznámka

Obchodní (LOB) .appx a .appx balíčky v režimu Windows 10 S budou podporovány prostřednictvím podepisování Microsoft Store pro firmy (MSFB).

Doplňkové zásady režimu S pro aplikace se musí doručovat prostřednictvím rozšíření Intune Management.

Zásady režimu S se vynucují na úrovni zařízení. Na zařízení se sloučí několik cílených zásad. Sloučené zásady se vynutí na zařízení.

Pokud chcete vytvořit doplňkové zásady v režimu Windows 10 S, postupujte následovně:

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Doplňkové> zásady >aplikace v režimu SVytvořit zásadu.

3. Před přidáním souboru zásad ho musíte vytvořit a podepsat. Další informace najdete tady:

   • Vytvoření zásady WDAC pomocí nástrojů PowerShellu a jejich převod do binárního formátu
   • Podepisování pomocí podpisové služby Device Guard(doporučeno)

4. Na stránce Základy přidejte následující hodnoty:

   Hodnota	Popis
   Soubor zásad	Soubor, který obsahuje zásady WDAC.
   Name (Název)	Název této zásady.
   Popis	[Volitelné] Popis této zásady

5. Vyberte Další: Značky oboru.
   Na stránce Značky oboru můžete volitelně nakonfigurovat značky oboru a určit, kdo může zobrazit zásady aplikace v Intune. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role a značek oboru pro distribuované IT.

6. Vyberte Další: Přiřazení.
   Stránka Přiřazení umožňuje přiřazovat zásady uživatelům a zařízením. Je důležité si uvědomit, že k zařízení můžete přiřadit zásady bez ohledu na to, jestli je zařízení spravované Intune.

7. Vyberte Další: Zkontrolovat a vytvořit a zkontrolujte hodnoty, které jste zadali pro profil.

8. Až budete hotovi, vyberte Vytvořit a vytvořte v Intune doplňkové zásady režimu S.

Po vytvoření se zásada přidá do seznamu doplňkových zásad režimu S v Intune. Po přiřazení zásady se nasadí do zařízení. Upozorňujeme, že aplikaci musíte nasadit do stejné skupiny zabezpečení jako doplňkové zásady. Můžete začít cílit a přiřazovat aplikace k těmto zařízením. To umožní koncovým uživatelům instalovat a spouštět aplikace na zařízeních v režimu S.

Odebrání zásad režimu S

Chcete-li v současné době odebrat doplňkové zásady režimu S ze zařízení, musíte přiřadit a nasadit prázdné zásady, aby se přepsaly stávající doplňkové zásady režimu S.

Generování sestav zásad

Doplňkové zásady režimu S, které se vynucují na úrovni zařízení, mají jenom sestavy na úrovni zařízení. Generování sestav na úrovni zařízení je k dispozici pro úspěšné a chybové podmínky.

Hodnoty sestav, které se zobrazují v Centru pro správu Microsoft Intune pro zásady generování sestav v režimu S:

• Úspěch: Platí doplňkové zásady režimu S.
• Neznámé: Stav doplňkových zásad režimu S není známý.
• TokenError: Doplňkové zásady režimu S jsou strukturálně v pořádku, ale při autorizaci tokenu došlo k chybě.
• NotAuthorizedByToken: Token neautorizuje tuto doplňkovou zásadu v režimu S.
• PolicyNotFound:Doplňková zásada režimu S se nenašla.

Další kroky

• Další informace najdete v tématu Aplikace Win32 v režimu s.
• Další informace o přidávání aplikací do Intune najdete v tématu Přidání aplikací do Microsoft Intune.
• Další informace o aplikacích Win32 najdete v tématu Intune správa aplikací Win32.