Habilitación de aplicaciones Win32 en dispositivos en modo S

El modo de Windows 10 S es un sistema operativo bloqueado que solo ejecuta aplicaciones de la Tienda. De forma predeterminada, los dispositivos en modo S de Windows no permiten la instalación y ejecución de aplicaciones Win32. Estos dispositivos incluyen una única directiva base de Win 10S, que impide que el dispositivo en modo S ejecute cualquier aplicación Win32 en él. Sin embargo, al crear y usar una directiva complementaria del modo S en Intune, puedes instalar y ejecutar aplicaciones Win32 en dispositivos administrados en modo Windows 10 S. Mediante el uso de las herramientas de PowerShell Microsoft Defender Application Control (WDAC), puede crear una o varias directivas complementarias para el modo Windows S. Debe firmar las directivas complementarias con el Servicio de firma de Device Guard (DGSS) o con SignTool.exe y, a continuación, cargar y distribuir las directivas a través de Intune. Como alternativa, puede firmar las directivas complementarias con un certificado de firma de código de su organización, pero el método preferido es usar DGSS. En la instancia de que usa el certificado de firma de código de su organización, el certificado raíz al que se encadena el certificado de firma de código debe estar presente en el dispositivo.

Al asignar la directiva complementaria del modo S en Intune, se habilita el dispositivo para que realice una excepción a la directiva de modo S existente del dispositivo, lo que permite cargar el catálogo de aplicaciones firmado correspondiente cargado. La directiva establece una lista de permitidos de aplicaciones (el catálogo de aplicaciones) que se pueden usar en el dispositivo en modo S.

Nota:

Las aplicaciones Win32 en dispositivos en modo S solo se admiten en la actualización de noviembre de 2019 de Windows 10 (compilación 18363) o versiones posteriores.

Los pasos para permitir que las aplicaciones Win32 se ejecuten en un dispositivo Windows 10 en modo S son los siguientes:

1. Habilite dispositivos en modo S a través de Intune como parte del proceso de inscripción de Windows 10 S.
2. Cree una directiva complementaria para permitir aplicaciones Win32:
   • Puede usar Microsoft Defender herramientas de Control de aplicaciones (WDAC) para crear una directiva complementaria. El identificador de directiva base dentro de la directiva debe coincidir con el identificador de directiva base del modo S (que está codificado de forma rígida en el cliente). Además, asegúrese de que la versión de la directiva sea mayor que la versión anterior.
   • Use DGSS para firmar la directiva complementaria. Para obtener más información, consulte Firma de la directiva de integridad de código con la firma de Device Guard.
   • Cargue la directiva complementaria firmada en Intune mediante la creación de una directiva complementaria del modo de Windows 10 S (consulte a continuación).
3. Permite catálogos de aplicaciones Win32 a través de Intune:
   • Puede crear archivos de catálogo (uno para cada aplicación) y firmarlos mediante DGSS u otra infraestructura de certificados.
   • Empaquete el catálogo con sesión iniciada en el archivo .intunewin mediante la herramienta de preparación de contenido de Microsoft Win32. No hay restricciones de nomenclatura al crear un archivo de catálogo mediante la herramienta de preparación de contenido De Microsoft Win32. Al generar el archivo .intunewin desde la carpeta de origen y el archivo de instalación especificados, puede proporcionar una carpeta independiente que contenga solo archivos de catálogo mediante la opción -a cmdline. Para obtener más información, consulte Administración de aplicaciones Win32: preparar el contenido de la aplicación Win32 para su carga.
   • Intune aplica el catálogo de aplicaciones firmadas para instalar la aplicación Win32 en el dispositivo en modo S mediante la extensión de administración de Intune.

Nota:

La línea de negocio (LOB) .appx y .appx las agrupaciones en el modo Windows 10 S se admitirán mediante la firma de Microsoft Store para Empresas (MSFB).

La directiva complementaria del modo S para las aplicaciones debe entregarse a través de Intune Extensión de administración.

Las directivas de modo S se aplican en el nivel de dispositivo. Se combinarán varias directivas de destino en el dispositivo. La directiva combinada se aplicará en el dispositivo.

Para crear una directiva complementaria del modo de Windows 10 S, siga estos pasos:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Directivascomplementarias del modo S de> aplicaciones >Crear directiva.

3. Antes de agregar el archivo de directiva, debe crearlo y firmarlo. Para obtener más información, consulte:

   • Creación de una directiva WDAC mediante herramientas de PowerShell y conversión en formato binario
   • Firmar con el servicio de firma de Device Guard(recomendado)

4. En la página Datos básicos, agregue los siguientes valores:

   Valor	Descripción
   Archivo de directiva	Archivo que contiene la directiva WDAC.
   Nombre	Nombre de esta directiva.
   Descripción	[Opcional] Descripción de esta directiva.

5. Seleccione Siguiente: Etiquetas de ámbito.
   En la página Etiquetas de ámbito, opcionalmente puede configurar etiquetas de ámbito para determinar quién puede ver la directiva de aplicación en Intune. Para obtener más información sobre las etiquetas de ámbito, consulte Usar el control de acceso basado en roles y las etiquetas de ámbito para TI distribuida.

6. Seleccione Siguiente: Asignaciones.
   La página Asignaciones permite asignar la directiva a usuarios y dispositivos. Es importante tener en cuenta que puede asignar una directiva a un dispositivo independientemente de si el dispositivo se administra mediante Intune.

7. Seleccione Siguiente: Revisar y crear para revisar los valores especificados para el perfil.

8. Cuando haya terminado, seleccione Crear para crear la directiva complementaria del modo S en Intune.

Una vez creada la directiva, verá que se ha agregado a la lista de directivas complementarias del modo S en Intune. Una vez asignada la directiva, la directiva se implementa en los dispositivos. Tenga en cuenta que debe implementar la aplicación en el mismo grupo de seguridad que la directiva complementaria. Puede empezar a dirigirse y asignar aplicaciones a esos dispositivos. Esto permitirá a los usuarios finales instalar y ejecutar las aplicaciones en los dispositivos en modo S.

Eliminación de la directiva de modo S

Actualmente, para quitar la directiva complementaria del modo S del dispositivo, debe asignar e implementar una directiva vacía para sobrescribir la directiva complementaria del modo S existente.

Informes de directivas

La directiva complementaria del modo S, que se aplica en el nivel de dispositivo, solo tiene informes de nivel de dispositivo. Los informes de nivel de dispositivo están disponibles para condiciones de éxito y error.

Valores de informes que se muestran en el centro de administración de Microsoft Intune para las directivas de informes del modo S:

• Correcto: la directiva complementaria del modo S está en vigor.
• Desconocido: no se conoce el estado de la directiva complementaria del modo S.
• TokenError: la directiva complementaria del modo S está estructuralmente bien, pero hay un error al autorizar el token.
• NotAuthorizedByToken: el token no autoriza esta directiva complementaria del modo S.
• PolicyNotFound: no se encuentra la directiva complementaria del modo S.

Siguientes pasos

• Para obtener más información, vea Aplicaciones Win32 en modo s.
• Para obtener más información sobre cómo agregar aplicaciones a Intune, consulte Agregar aplicaciones a Microsoft Intune.
• Para obtener más información sobre las aplicaciones Win32, consulte Intune administración de aplicaciones win32.