Sdílet prostřednictvím


Použití WDAC a Windows PowerShell k povolení nebo blokování aplikací na HoloLens 2 zařízeních s Microsoft Intune

Microsoft HoloLens 2 zařízení podporují Windows Defender Application Control (WDAC) CSP, který nahrazuje poskytovatele CSP AppLockeru.

Pomocí Windows PowerShell a Microsoft Intune můžete pomocí programu WDAC CSP povolit nebo zablokovat otevírání konkrétních aplikací na zařízeních Microsoft HoloLens 2. Můžete například chtít povolit nebo zakázat otevření aplikace na HoloLens 2 zařízeních ve vaší organizaci.

Tato funkce platí pro:

  • HoloLens 2 zařízení se systémem Windows Holographic for Business

Program WDAC CSP je založený na funkci Windows Defender Application Control (WDAC). Můžete také použít více zásad WDAC.

V tomto článku se dozvíte, jak:

  1. K vytvoření zásad WDAC použijte Windows PowerShell.
  2. Pomocí Windows PowerShell převeďte pravidla zásad WDAC na XML, aktualizujte XML a pak převeďte XML na binární soubor.
  3. V Microsoft Intune vytvořte vlastní profil konfigurace zařízení, přidejte tento binární soubor zásad WDAC a použijte zásadu pro HoloLens 2 zařízení.

V Intune musíte vytvořit vlastní konfigurační profil, který bude používat Windows Defender Application Control (WDAC) CSP.

Kroky v tomto článku použijte jako šablonu, abyste povolili nebo odepřeli otevírání konkrétních aplikací na HoloLens 2 zařízeních.

Požadavky

  • Seznamte se s Windows PowerShell.

  • Přihlaste se k Intune jako člen:

    • Role Správce zásad a profilů nebo Správce rolí Intune v Intune

      NEBO

    • Role globálního správce nebo správce služeb Intune Microsoft Entra

    Další informace o rolích Intune najdete v tématu Řízení přístupu na základě role (RBAC) s Intune.

  • Vytvořte skupinu uživatelů nebo skupinu zařízení s HoloLens 2 zařízeními. Další informace o skupinách najdete v tématu Skupiny uživatelů a skupiny zařízení.

Příklad

Tento příklad používá Windows PowerShell k vytvoření zásady Windows Defender Application Control (WDAC). Zásady brání otevření konkrétních aplikací. Pak pomocí Intune nasaďte zásadu na HoloLens 2 zařízení.

  1. Na stolním počítači otevřete aplikaci Windows PowerShell.

  2. Získejte informace o nainstalovaném balíčku aplikace na stolním počítači a HoloLensu:

    $package1 = Get-AppxPackage -name *<applicationname>*
    

    Zadejte například:

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
    

    Dále ověřte, že balíček obsahuje atributy aplikace:

    $package1
    

    Zobrazí se podrobnosti o aplikaci podobné následujícím atributům:

    Name              : Microsoft.MicrosoftEdge
    Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
    Architecture      : Neutral
    ResourceId        :
    Version           : 44.20190.1000.0
    PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
    InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    IsFramework       : False
    PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    PublisherId       : 8wekyb3d8bbwe
    IsResourcePackage : False
    IsBundle          : False
    IsDevelopmentMode : False
    NonRemovable      : True
    IsPartiallyStaged : False
    SignatureKind     : System
    Status            : Ok
    
  3. Vytvořte zásadu WDAC a přidejte balíček aplikace do pravidla ODEPŘÍT:

    $rule = New-CIPolicyRule -Package $package1 -Deny
    
  4. Opakujte kroky 2 a 3 pro všechny ostatní aplikace, které chcete ZAKÁZAT:

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny
    

    Zadejte například:

    $package2 = Get-AppxPackage -name *windowsstore*
    $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
    
  5. Převeďte zásady WDAC na newPolicy.xml:

    Poznámka

    Můžete blokovat aplikace, které jsou nainstalované jenom na zařízeních HoloLens. Další informace najdete v tématu Názvy rodinných balíčků pro aplikace na HoloLensu.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
    

    Pokud chcete cílit na všechny verze aplikace, v newPolicy.xml se ujistěte, že PackageVersion="65535.65535.65535.65535" je v uzlu Odepřít:

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
    

    Pro PackageFamilyNameRulesmůžete použít následující verze:

    • Povolit: Zadejte PackageVersion, 0.0.0.0, což znamená "Povolit tuto verzi a vyšší".
    • Odepřít: Zadejte PackageVersion, 65535.65535.65535.65535, což znamená Odepřít tuto a nižší verzi.
  6. Pokud plánujete nasadit a spustit všechny aplikace, které nepocházejí z Microsoft Storu, například obchodní aplikace (viz Správa aplikací), explicitně tyto aplikace povolte přidáním podepisujícího uživatele do zásad WDAC.

    Poznámka

    Používání WDAC a obchodních aplikací je v současné době dostupné jenom ve funkcích programu Windows Insider pro HoloLens.

    Plánujete například nasazení ATestApp.msix. ATestApp.msix je podepsaný certifikátem TestCert.cer . K přidání podepisujícího uživatele do zásad WDAC použijte následující skript Windows PowerShell:

    Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
    
  7. Sloučit newPolicy.xml s výchozí zásadou, která je na vašem stolním počítači. Tento krok vytvoří mergedPolicy.xml. Například povolte spouštění aplikací podepsaných systémem Windows, WHQL a aplikacím podepsaným službou Store:

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
    
  8. Zakažte pravidlo režimu auditování v mergedPolicy.xml. Při sloučení se režim auditování automaticky zapne:

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
    
  9. Povolte invalidateEAs v pravidle restartování v mergedPolicy.xml:

    Set-RuleOption -o 15 .\mergedPolicy.xml
    

    Další informace o těchto pravidlech najdete v tématu Vysvětlení pravidel zásad WDAC a pravidel souborů.

  10. Převeďte mergedPolicy.xml na binární formát. Tento krok vytvoří compiledPolicy.bin. V pozdějším kroku přidáte tento zkompilovaný binární souborPolicy.bin do Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    
  11. Vytvořte vlastní konfigurační profil zařízení v Intune:

    1. V Centru pro správu Microsoft Intune vytvořte vlastní profil konfigurace zařízení Windows 10/11.

      Konkrétní kroky najdete v tématu Vytvoření vlastního profilu pomocí OMA-URI v Intune.

    2. Při vytváření profilu zadejte následující nastavení:

    • OMA-URI: Zadejte ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. Nahraďte <PolicyGUID> uzlem PolicyTypeID v souboru mergedPolicy.xml , který jste vytvořili v kroku 6.

      V našem příkladu zadejte ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

      Identifikátor GUID zásad se musí shodovat s uzlem PolicyTypeID v souboru mergedPolicy.xml (vytvořeném v kroku 6).

      OMA-URI používá ApplicationControl CSP. Další informace o uzlech v tomto zprostředkovateli CSP najdete v tématu ApplicationControl CSP.

    • Datový typ: Nastavte na soubor Base64. Automaticky převede soubor z přihrádky na base64.

    • Soubor certifikátu: Nahrajte binární soubor compiledPolicy.bin (vytvořený v kroku 10).

    Vaše nastavení vypadají podobně jako následující nastavení:

    Přidejte vlastní OMA-URI pro konfiguraci applicationControl CSP v Microsoft Intune.

  12. Po přiřazení profilu ke skupině HoloLens 2 zkontrolujte stav profilu. Po úspěšném použití profilu restartujte zařízení HoloLens 2.

Další kroky

Přiřaďte profil a sledujte jeho stav.

Přečtěte si další informace o vlastních profilech v Intune.