Sdílet prostřednictvím

Použití WDAC a Windows PowerShell k povolení nebo blokování aplikací na HoloLens 2 zařízeních s Microsoft Intune

  • Článek

Microsoft HoloLens 2 zařízení podporují Windows Defender Application Control (WDAC) CSP, který nahrazuje poskytovatele CSP AppLockeru.

Pomocí Windows PowerShell a Microsoft Intune můžete pomocí programu WDAC CSP povolit nebo zablokovat otevírání konkrétních aplikací na zařízeních Microsoft HoloLens 2. Můžete například chtít povolit nebo zakázat otevření aplikace na HoloLens 2 zařízeních ve vaší organizaci.

Tato funkce platí pro:

  • HoloLens 2 zařízení se systémem Windows Holographic for Business

Program WDAC CSP je založený na funkci Windows Defender Application Control (WDAC). Můžete také použít více zásad WDAC.

V tomto článku se dozvíte, jak:

  1. K vytvoření zásad WDAC použijte Windows PowerShell.
  2. Pomocí Windows PowerShell převeďte pravidla zásad WDAC na XML, aktualizujte XML a pak převeďte XML na binární soubor.
  3. V Microsoft Intune vytvořte vlastní profil konfigurace zařízení, přidejte tento binární soubor zásad WDAC a použijte zásadu pro HoloLens 2 zařízení.

V Intune musíte vytvořit vlastní konfigurační profil, který bude používat Windows Defender Application Control (WDAC) CSP.

Kroky v tomto článku použijte jako šablonu, abyste povolili nebo odepřeli otevírání konkrétních aplikací na HoloLens 2 zařízeních.

Požadavky

  • Seznamte se s Windows PowerShell.

  • Přihlaste se k Intune jako člen:

    • Role Správce zásad a profilů nebo Správce rolí Intune v Intune

      NEBO

    • Role globálního správce nebo správce služeb Intune Microsoft Entra

    Další informace o rolích Intune najdete v tématu Řízení přístupu na základě role (RBAC) s Intune.

  • Vytvořte skupinu uživatelů nebo skupinu zařízení s HoloLens 2 zařízeními. Další informace o skupinách najdete v tématu Skupiny uživatelů a skupiny zařízení.

Příklad

Tento příklad používá Windows PowerShell k vytvoření zásady Windows Defender Application Control (WDAC). Zásady brání otevření konkrétních aplikací. Pak pomocí Intune nasaďte zásadu na HoloLens 2 zařízení.

  1. Na stolním počítači otevřete aplikaci Windows PowerShell.

  2. Získejte informace o nainstalovaném balíčku aplikace na stolním počítači a HoloLensu:

    $package1 = Get-AppxPackage -name *<applicationname>*

    Zadejte například:

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge

    Dále ověřte, že balíček obsahuje atributy aplikace:

    $package1

    Zobrazí se podrobnosti o aplikaci podobné následujícím atributům:

    Name              : Microsoft.MicrosoftEdge
Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Architecture      : Neutral
ResourceId        :
Version           : 44.20190.1000.0
PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
IsFramework       : False
PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
PublisherId       : 8wekyb3d8bbwe
IsResourcePackage : False
IsBundle          : False
IsDevelopmentMode : False
NonRemovable      : True
IsPartiallyStaged : False
SignatureKind     : System
Status            : Ok

  3. Vytvořte zásadu WDAC a přidejte balíček aplikace do pravidla ODEPŘÍT:

    $rule = New-CIPolicyRule -Package $package1 -Deny

  4. Opakujte kroky 2 a 3 pro všechny ostatní aplikace, které chcete ZAKÁZAT:

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny

    Zadejte například:

    $package2 = Get-AppxPackage -name *windowsstore*
$rule += New-CIPolicyRule -Package $package<2..n>  -Deny

  5. Převeďte zásady WDAC na newPolicy.xml:

    Poznámka

    Můžete blokovat aplikace, které jsou nainstalované jenom na zařízeních HoloLens. Další informace najdete v tématu Názvy rodinných balíčků pro aplikace na HoloLensu.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs

    Pokud chcete cílit na všechny verze aplikace, v newPolicy.xml se ujistěte, že PackageVersion="65535.65535.65535.65535" je v uzlu Odepřít:

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />

    Pro PackageFamilyNameRulesmůžete použít následující verze:

    • Povolit: Zadejte PackageVersion, 0.0.0.0, což znamená "Povolit tuto verzi a vyšší".
    • Odepřít: Zadejte PackageVersion, 65535.65535.65535.65535, což znamená Odepřít tuto a nižší verzi.

  6. Pokud plánujete nasadit a spustit všechny aplikace, které nepocházejí z Microsoft Storu, například obchodní aplikace (viz Správa aplikací), explicitně tyto aplikace povolte přidáním podepisujícího uživatele do zásad WDAC.

    Poznámka

    Používání WDAC a obchodních aplikací je v současné době dostupné jenom ve funkcích programu Windows Insider pro HoloLens.

    Plánujete například nasazení ATestApp.msix. ATestApp.msix je podepsaný certifikátem TestCert.cer . K přidání podepisujícího uživatele do zásad WDAC použijte následující skript Windows PowerShell:

    Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User

  7. Sloučit newPolicy.xml s výchozí zásadou, která je na vašem stolním počítači. Tento krok vytvoří mergedPolicy.xml. Například povolte spouštění aplikací podepsaných systémem Windows, WHQL a aplikacím podepsaným službou Store:

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml

  8. Zakažte pravidlo režimu auditování v mergedPolicy.xml. Při sloučení se režim auditování automaticky zapne:

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml

  9. Povolte invalidateEAs v pravidle restartování v mergedPolicy.xml:

    Set-RuleOption -o 15 .\mergedPolicy.xml

    Další informace o těchto pravidlech najdete v tématu Vysvětlení pravidel zásad WDAC a pravidel souborů.

  10. Převeďte mergedPolicy.xml na binární formát. Tento krok vytvoří compiledPolicy.bin. V pozdějším kroku přidáte tento zkompilovaný binární souborPolicy.bin do Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin

  11. Vytvořte vlastní konfigurační profil zařízení v Intune:

    1. V Centru pro správu Microsoft Intune vytvořte vlastní profil konfigurace zařízení Windows 10/11.

      Konkrétní kroky najdete v tématu Vytvoření vlastního profilu pomocí OMA-URI v Intune.

    2. Při vytváření profilu zadejte následující nastavení:

    • OMA-URI: Zadejte ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. Nahraďte <PolicyGUID> uzlem PolicyTypeID v souboru mergedPolicy.xml , který jste vytvořili v kroku 6.

      V našem příkladu zadejte ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

      Identifikátor GUID zásad se musí shodovat s uzlem PolicyTypeID v souboru mergedPolicy.xml (vytvořeném v kroku 6).

      OMA-URI používá ApplicationControl CSP. Další informace o uzlech v tomto zprostředkovateli CSP najdete v tématu ApplicationControl CSP.

    • Datový typ: Nastavte na soubor Base64. Automaticky převede soubor z přihrádky na base64.

    • Soubor certifikátu: Nahrajte binární soubor compiledPolicy.bin (vytvořený v kroku 10).

    Vaše nastavení vypadají podobně jako následující nastavení:

    Přidejte vlastní OMA-URI pro konfiguraci applicationControl CSP v Microsoft Intune.

  12. Po přiřazení profilu ke skupině HoloLens 2 zkontrolujte stav profilu. Po úspěšném použití profilu restartujte zařízení HoloLens 2.

Další kroky

Přiřaďte profil a sledujte jeho stav.

Přečtěte si další informace o vlastních profilech v Intune.