Partager via


Utilisez WDAC et Windows PowerShell pour autoriser ou bloquer des applications sur des appareils HoloLens 2 avec Microsoft Intune

Les appareils Microsoft HoloLens 2 prennent en charge le fournisseur de services de configuration Windows Defender Application Control (WDAC), qui remplace le fournisseur de services de configuration AppLocker.

À l’aide de Windows PowerShell et de Microsoft Intune, vous pouvez utiliser le fournisseur de services de configuration WDAC pour autoriser ou bloquer l’ouverture de certaines applications sur des appareils Microsoft HoloLens 2. Par exemple, vous pouvez autoriser ou empêcher l’ouverture d’une application sur les appareils HoloLens 2 de votre organisation.

Cette fonctionnalité s’applique à :

  • L’ensemble des appareils HoloLens 2 exécutant Windows Holographic for Business
  • Windows 10/11

Le fournisseur de services de configuration WDAC est basé sur la fonctionnalité Windows Defender Application Control (WDAC). Vous pouvez également utiliser plusieurs stratégies WDAC.

Cet article vous montre comment :

  1. Utilisez Windows PowerShell pour créer des stratégies WDAC.
  2. Utilisez Windows PowerShell pour convertir les règles de stratégie WDAC en code XML, mettre à jour ce code XML, puis le convertir en un fichier binaire.
  3. Dans Microsoft Intune, créez un profil de configuration d’appareil personnalisé, ajoutez ce fichier binaire de stratégie WDAC, puis appliquez la stratégie à vos appareils HoloLens 2.

Dans Intune, vous devez créer un profil de configuration personnalisé pour utiliser le fournisseur de services de configuration Windows Defender Application Control (WDAC).

Prenez les étapes de cet article comme modèle pour autoriser ou refuser l’ouverture de certaines applications sur les appareils HoloLens 2.

Configuration requise

Étape 1 : Créer la stratégie WDAC à l’aide de Windows PowerShell

Cet exemple utilise Windows PowerShell pour créer une stratégie Windows Defender Application Control (WDAC). La stratégie empêche l’ouverture de certaines applications.

  1. Sur votre ordinateur de bureau, ouvrez l’application Windows PowerShell.

  2. Obtenez des informations sur le package d’application qui est installé sur votre station de travail et sur HoloLens :

    $package1 = Get-AppxPackage -name *<applicationname>*
    

    Par exemple, entrez :

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
    

    Ensuite, vérifiez que le package contient des attributs d’application :

    $package1
    

    Les détails de l’application similaires aux attributs suivants sont affichés :

    Name              : Microsoft.MicrosoftEdge
    Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
    Architecture      : Neutral
    ResourceId        :
    Version           : 44.20190.1000.0
    PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
    InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    IsFramework       : False
    PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    PublisherId       : 8wekyb3d8bbwe
    IsResourcePackage : False
    IsBundle          : False
    IsDevelopmentMode : False
    NonRemovable      : True
    IsPartiallyStaged : False
    SignatureKind     : System
    Status            : Ok
    
  3. Créez une stratégie WDAC, puis ajoutez le package d’application à la règle de refus :

    $rule = New-CIPolicyRule -Package $package1 -Deny
    
  4. Répétez les étapes 2 et 3 pour toutes les autres applications dont vous souhaitez empêcher l’ouverture :

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny
    

    Par exemple, entrez :

    $package2 = Get-AppxPackage -name *windowsstore*
    $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
    
  5. Convertissez la stratégie WDAC en newPolicy.xml :

    Remarque

    Vous pouvez bloquer les applications qui sont installées seulement sur des appareils HoloLens. Pour plus d’informations, consultez noms de famille de packages pour les applications sur HoloLens.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
    

    Pour cibler toutes les versions d’une application, dans newPolicy.xml, vérifiez que PackageVersion="65535.65535.65535.65535" se trouve bien dans le nœud Deny :

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
    

    Pour PackageFamilyNameRules, vous pouvez utiliser les versions suivantes :

    • Autoriser: entrez PackageVersion, 0.0.0.0, ce qui signifie « Autoriser cette version et les versions ultérieures ».
    • Refuser: entrez PackageVersion, 65535.65535.65535.65535, ce qui signifie « Refuser cette version et les versions ci-dessous ».
  6. Si vous envisagez de déployer et d’exécuter des applications qui ne proviennent pas de Microsoft Store, telles que des applications métier (consultez Gestion des applications), puis autorisez explicitement ces applications en ajoutant leur signataire à la stratégie WDAC.

    Remarque

    L’utilisation des applications WDAC et LOB est actuellement disponible uniquement dans Fonctionnalités Windows insiders pour HoloLens.

    Par exemple, vous planifiez le déploiement de ATestApp.msix. ATestApp.msix est signé par le certificat TestCert.cer. utilisez le script Windows PowerShell suivant pour ajouter le signataire à la stratégie WDAC :

    Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
    
  7. Fusionnez newPolicy.xml avec la stratégie par défaut qui se trouve sur votre ordinateur de bureau. Cette étape crée mergedPolicy.xml. Par exemple, autorisez l’exécution des pilotes signés Windows et WHQL, ainsi que les applications signées du Store :

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
    
  8. Désactivez la règle Audit mode dans mergedPolicy.xml. Lorsque vous fusionnez, le mode Audit est activé automatiquement :

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
    
  9. Activez la règle InvalidateEAs on a reboot dans mergedPolicy.xml :

    Set-RuleOption -o 15 .\mergedPolicy.xml
    

    Pour plus d’informations sur ces règles, consultez Comprendre les règles de stratégie WDAC et les règles de fichier.

  10. Convertissez mergedPolicy.xml au format binaire. Cette étape crée compiledPolicy.bin. À l’étape 2 : Créer une stratégie Intune et déployer la stratégie sur les appareils HoloLens 2, vous ajoutez ce fichier binaire compiledPolicy.bin à une stratégie Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

Étape 2 : Créer une stratégie Intune et déployer la stratégie sur les appareils HoloLens 2

Dans cette étape, vous allez créer un profil de configuration d’appareil personnalisé dans Intune. Dans la stratégie personnalisée, vous ajoutez le fichier binaire compiledPolicy.bin que vous avez créé à l’étape 1 - Créer la stratégie WDAC à l’aide de Windows PowerShell. Ensuite, utilisez Intune pour déployer la stratégie sur les appareils HoloLens 2.

  1. Dans le Centre d’administration Microsoft Intune, créez un profil de configuration d’appareil personnalisé Windows.

    Pour connaître les étapes spécifiques, accédez à Créer un profil personnalisé à l’aide d’OMA-URI dans Intune.

  2. Lorsque vous créez le profil, entrez les paramètres suivants :

    • OMA-URI : entrez ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. Remplacez <PolicyGUID> par le nœud PolicyTypeID dans le fichier mergedPolicy.xml que vous avez créé à l’étape 6.

      En suivant notre exemple, entrez ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

      Le GUID de stratégie doit correspondre au nœud PolicyTypeID du fichier mergedPolicy.xml (créé à l’étape 6).

      OMA-URI utilise le CSP ApplicationControl. Pour plus d’informations sur les nœuds de ce csp, accédez à ApplicationControl CSP.

    • Type de données: défini sur fichier Base64. Cela convertit automatiquement le fichier bin en base64.

    • Fichier de certificat : chargez le fichier binaire compiledPolicy.bin (créé à l’étape 10).

    Vos paramètres ressemblent aux suivants :

    Ajoutez un OMA-URI personnalisé pour configurer le fournisseur de services de configuration ApplicationControl dans Microsoft Intune.

  3. Lorsque le profil est affecté à votre groupe HoloLens 2, vérifiez l’état du profil. Une fois le profil correctement appliqué, redémarrez les appareils HoloLens 2.