Aktivieren von Win32-Apps auf Geräten im S-Modus

Windows 10 S Modus ist ein gesperrtes Betriebssystem, auf dem nur Store-Apps ausgeführt werden. Standardmäßig lassen Geräte im Windows S-Modus die Installation und Ausführung von Win32-Apps nicht zu. Diese Geräte enthalten eine einzelne Win 10S-Basisrichtlinie, die das Gerät im S Modus daran hindert, Win32-Apps darauf auszuführen. Durch Erstellen und Verwenden einer ergänzenden S Modus-Richtlinie in Intune können Sie Win32-Apps jedoch auf Windows 10 verwalteten Geräten im S-Modus installieren und ausführen. Mithilfe der PowerShell-Tools Microsoft Defender Application Control (WDAC) können Sie eine oder mehrere zusätzliche Richtlinien für den Windows S-Modus erstellen. Sie müssen die zusätzlichen Richtlinien mit dem Device Guard-Signaturdienst (Device Guard Signing Service, DGSS) oder mit SignTool.exe signieren und die Richtlinien dann über Intune hochladen und verteilen. Alternativ können Sie die ergänzenden Richtlinien mit einem codesigning-Zertifikat aus Ihrem organization signieren. Die bevorzugte Methode ist jedoch die Verwendung von DGSS. In der instance, die Sie das codesigning-Zertifikat aus Ihrem organization verwenden, muss das Stammzertifikat, mit dem das codesignierende Zertifikat verkettet ist, auf dem Gerät vorhanden sein.

Durch Zuweisen der ergänzenden S-Modus-Richtlinie in Intune ermöglichen Sie dem Gerät, eine Ausnahme von der vorhandenen S-Modus-Richtlinie des Geräts zu machen, die den hochgeladenen entsprechenden signierten App-Katalog zulässt. Die Richtlinie legt eine Positivliste von Apps (app-Katalog) fest, die auf dem Gerät im S Modus verwendet werden können.

Hinweis

Win32-Apps auf Geräten im S Modus werden nur ab Windows 10 Update vom November 2019 (Build 18363) oder höheren Versionen unterstützt.

Die folgenden Schritte ermöglichen die Ausführung von Win32-Apps auf einem Windows 10 Gerät im S Modus:

1. Aktivieren Sie Geräte im S-Modus über Intune im Rahmen der Windows 10 S-Registrierung.
2. Erstellen Sie eine zusätzliche Richtlinie, um Win32-Apps zuzulassen:
   • Sie können Microsoft Defender WDAC-Tools (Application Control) verwenden, um eine zusätzliche Richtlinie zu erstellen. Die Basisrichtlinien-ID in der Richtlinie muss mit der Basisrichtlinien-ID im S-Modus übereinstimmen (die auf dem Client hartcodiert ist). Stellen Sie außerdem sicher, dass die Richtlinienversion höher als die vorherige Version ist.
   • Sie verwenden DGSS, um Ihre ergänzende Richtlinie zu unterzeichnen. Weitere Informationen finden Sie unter Signieren einer Codeintegritätsrichtlinie mit Device Guard-Signatur.
   • Sie laden die signierte ergänzende Richtlinie in Intune hoch, indem Sie eine ergänzende richtlinie für Windows 10 S-Modus erstellen (siehe unten).
3. Sie lassen Win32-App-Kataloge über Intune zu:
   • Sie erstellen Katalogdateien (eine für jede App) und signieren sie mithilfe von DGSS oder einer anderen Zertifikatinfrastruktur.
   • Sie packen den signierten Katalog mithilfe des Microsoft Win32 Content Prep Tools in die INTUNEWIN-Datei. Beim Erstellen einer Katalogdatei mit dem Microsoft Win32 Content Prep Tool gibt es keine Benennungseinschränkungen. Beim Generieren der .intunewin-Datei aus dem angegebenen Quellordner und der angegebenen Setupdatei können Sie einen separaten Ordner bereitstellen, der nur Katalogdateien enthält, indem Sie die Cmdline-Option -a verwenden. Weitere Informationen finden Sie unter Win32-App-Verwaltung – Vorbereiten des Win32-App-Inhalts für den Upload.
   • Intune wendet den signierten App-Katalog an, um die Win32-App mithilfe der Intune-Verwaltungserweiterung auf dem Gerät im S Modus zu installieren.

Hinweis

Branchenspezifische (Lob) .appx und .appx Bundles im Windows 10 S-Modus werden über Microsoft Store für Unternehmen (MSFB)-Signatur unterstützt.

Die ergänzende S-Modus-Richtlinie für Apps muss über Intune Verwaltungserweiterung bereitgestellt werden.

Richtlinien im S-Modus werden auf Geräteebene erzwungen. Mehrere zielorientierte Richtlinien werden auf dem Gerät zusammengeführt. Die zusammengeführte Richtlinie wird auf dem Gerät erzwungen.

Führen Sie die folgenden Schritte aus, um eine ergänzende Richtlinie für den Windows 10 S-Modus zu erstellen:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie Apps>S modus supplemental policies>Create policy (Richtlinie erstellen) aus.

3. Bevor Sie die Richtliniendatei hinzufügen, müssen Sie sie erstellen und signieren. Weitere Informationen finden Sie unter:

   • Erstellen einer WDAC-Richtlinie mithilfe von PowerShell-Tools und Konvertieren in ein Binärformat
   • Signieren mithilfe des Device Guard-Signaturdiensts(empfohlen)

4. Fügen Sie auf der Seite Basics (Grundeinstellungen) die folgenden Werte hinzu:

   Wert	Beschreibung
   Richtliniendatei	Die Datei, die die WDAC-Richtlinie enthält.
   Name	Der Name dieser Richtlinie.
   Beschreibung	[Optional] Die Beschreibung dieser Richtlinie.

5. Wählen Sie Weiter: Bereichstags aus.
   Auf der Seite Bereichstags können Sie optional Bereichstags konfigurieren, um zu bestimmen, wer die App-Richtlinie in Intune sehen kann. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Use role-based access control and scope tags for distributed IT (Verwenden der rollenbasierten Zugriffssteuerung und von Bereichsmarkierungen für verteilte IT).

6. Wählen Sie Weiter: Aufgabenaus.
   Auf der Seite Zuweisungen können Sie die Richtlinie Benutzern und Geräten zuweisen. Es ist wichtig zu beachten, dass Sie einem Gerät eine Richtlinie zuweisen können, unabhängig davon, ob das Gerät von Intune verwaltet wird.

7. Wählen Sie Weiter: Überprüfen + erstellen aus, um die Werte zu überprüfen, die Sie für das Profil eingegeben haben.

8. Wenn Sie fertig sind, wählen Sie Erstellen aus, um die ergänzende S Modus-Richtlinie in Intune zu erstellen.

Sobald die Richtlinie erstellt wurde, wird sie der Liste der ergänzenden S-Modus-Richtlinien in Intune hinzugefügt. Sobald die Richtlinie zugewiesen wurde, wird sie auf den Geräten bereitgestellt. Beachten Sie, dass Sie die App in derselben Sicherheitsgruppe wie die ergänzende Richtlinie bereitstellen müssen. Sie können damit beginnen, apps als Ziel zu verwenden und diesen Geräten zuzuweisen. Dadurch können Ihre Endbenutzer die Apps auf den Geräten im S Modus installieren und ausführen.

Entfernen der S-Modus-Richtlinie

Um die ergänzende S-Modus-Richtlinie vom Gerät zu entfernen, müssen Sie derzeit eine leere Richtlinie zuweisen und bereitstellen, um die vorhandene ergänzende S-Modus-Richtlinie zu überschreiben.

Richtlinienberichterstellung

Die ergänzende S-Modus-Richtlinie, die auf Geräteebene erzwungen wird, enthält nur Berichte auf Geräteebene. Berichte auf Geräteebene sind für Erfolgs- und Fehlerbedingungen verfügbar.

Berichtswerte, die im Microsoft Intune Admin Center für Berichtsrichtlinien im S Modus angezeigt werden:

• Erfolg: Die ergänzende S-Modus-Richtlinie ist in Kraft.
• Unbekannt: Die status der ergänzenden Richtlinie für den S-Modus ist nicht bekannt.
• TokenError: Die ergänzende S-Modus-Richtlinie ist strukturell in Ordnung, aber es liegt ein Fehler beim Autorisieren des Tokens vor.
• NotAuthorizedByToken: Das Token autorisiert diese ergänzende S Modus-Richtlinie nicht.
• PolicyNotFound: Die ergänzende S-Modus-Richtlinie wurde nicht gefunden.

Nächste Schritte

• Weitere Informationen finden Sie unter Win32-Apps im s-Modus.
• Weitere Informationen zum Hinzufügen von Apps zu Intune finden Sie unter Hinzufügen von Apps zu Microsoft Intune.
• Weitere Informationen zu Win32-Apps finden Sie unter Intune Win32-App-Verwaltung.