Win32-alkalmazások engedélyezése S módú eszközökön

A Windows 10 S mód egy zárolt operációs rendszer, amely csak Store-alkalmazásokat futtat. Alapértelmezés szerint a Windows S módú eszközök nem engedélyezik a Win32-alkalmazások telepítését és végrehajtását. Ezek az eszközök egyetlen Win 10S alapszabályzatot tartalmaznak, amely zárolja az S módú eszközt, hogy bármilyen Win32-alkalmazást futtasson rajta. Az Intune-ban egy S módú kiegészítő szabályzat létrehozásával és használatával azonban Windows 10 S módú felügyelt eszközökön is telepíthet és futtathat Win32-alkalmazásokat. A Microsoft Defender Alkalmazásvezérlés (WDAC) PowerShell-eszközeivel egy vagy több kiegészítő házirendet hozhat létre a Windows S módhoz. A kiegészítő szabályzatokat alá kell írnia a Device Guard aláíró szolgáltatással (DGSS) vagy aSignTool.exe , majd fel kell töltenie és el kell osztania a szabályzatokat az Intune-on keresztül. Alternatív megoldásként aláírhatja a kiegészítő szabályzatokat a szervezetétől származó, egységesítő tanúsítvánnyal, de az előnyben részesített módszer a DGSS használata. Abban a példányban, amelyben a szervezetétől származó, a codesigning tanúsítványt használja, az eszközön jelen kell lennie annak a főtanúsítványnak, amelybe a codesigning tanúsítvány láncba van állítva.

Az S mód kiegészítő szabályzatának az Intune-ban való hozzárendelésével lehetővé teszi az eszköz számára, hogy kivételt tegyen az eszköz meglévő S módú szabályzata alól, amely lehetővé teszi a feltöltött aláírt alkalmazáskatalógust. A szabályzat beállítja az S módú eszközön használható alkalmazások engedélyezési listáját (az alkalmazáskatalógust).

Megjegyzés:

Az S módú eszközökön futó Win32-alkalmazások csak a Windows 10 2019. november 10-i frissítésében (18363-es build) vagy újabb verziókban támogatottak.

A Win32-alkalmazások S módban, Windows 10-es eszközön való futtatásának engedélyezéséhez szükséges lépések a következők:

1. Engedélyezze az S módú eszközöket az Intune-on keresztül a Windows 10 S regisztrációs folyamatának részeként.
2. Hozzon létre egy kiegészítő szabályzatot a Win32-alkalmazások engedélyezéséhez:
   • A Microsoft Defender alkalmazásvezérlési (WDAC) eszközeivel kiegészítő szabályzatot hozhat létre. A szabályzaton belüli alapházirend-azonosítónak meg kell egyeznie az S mód alapházirend-azonosítójával (amely az ügyfélen nem módosítható). Győződjön meg arról is, hogy a szabályzat verziója magasabb, mint az előző verzió.
   • A kiegészítő szabályzat aláírásához a DGSS-t kell használnia. További információ: Kódintegritási szabályzat aláírása a Device Guard aláírásával.
   • Az aláírt kiegészítő szabályzatot egy Windows 10 S módú kiegészítő szabályzat létrehozásával töltheti fel az Intune-ba (lásd alább).
3. Az Intune-on keresztül engedélyezheti a Win32-alkalmazáskatalógusokat:
   • Katalógusfájlokat hozhat létre (minden alkalmazáshoz egyet), és aláírhatja őket a DGSS vagy más tanúsítványinfrastruktúra használatával.
   • Az aláírt katalógust a Microsoft Win32 Tartalom-előkészítő eszközzel csomagolhatja be az .intunewin fájlba. A Katalógusfájlok Microsoft Win32 Tartalom-előkészítő eszközzel történő létrehozásakor nincsenek elnevezési korlátozások. Amikor létrehozza az .intunewin-fájlt a megadott forrásmappából és a telepítőfájlból, az -a parancsmaggal megadhat egy külön mappát, amely csak katalógusfájlokat tartalmaz. További információ: Win32-alkalmazáskezelés – A Win32-alkalmazás tartalmának előkészítése feltöltésre.
   • Az Intune az aláírt alkalmazáskatalógust alkalmazza a Win32-alkalmazás S módú eszközre való telepítéséhez az Intune felügyeleti bővítmény használatával.

Megjegyzés:

Az üzletági (LOB) .appx és .appx csomagokat Windows 10 S módban a Microsoft Store Vállalatoknak (MSFB) aláírása támogatja.

Az alkalmazások S módú kiegészítő szabályzatát az Intune felügyeleti bővítményen keresztül kell kézbesíteni.

Az S módú szabályzatok az eszköz szintjén vannak kényszerítve. A rendszer több célzott szabályzatot egyesít az eszközön. Az egyesített szabályzat kényszerítve lesz az eszközön.

Windows 10 S módú kiegészítő szabályzat létrehozásához kövesse az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza az Alkalmazások>S mód kiegészítő szabályzatok>Szabályzat létrehozása lehetőséget.

3. A Házirend fájl hozzáadása előtt létre kell hoznia és alá kell írnia. További információ:

   • WDAC-szabályzat létrehozása PowerShell-eszközökkel, majd konvertálása bináris formátumra
   • Aláírás a Device Guard aláíró szolgáltatással(ajánlott)

4. Az Alapvető beállítások lapon adja hozzá a következő értékeket:

   Érték	Leírás
   Szabályzatfájl	A WDAC-szabályzatot tartalmazó fájl.
   Name (Név)	A szabályzat neve.
   Leírás	[Nem kötelező] A szabályzat leírása.

5. Válassza a Tovább: Hatókörcímkék lehetőséget.
   A Hatókörcímkék lapon igény szerint konfigurálhatja a hatókörcímkéket annak meghatározásához, hogy ki láthatja az alkalmazásszabályzatot az Intune-ban. További információ a hatókörcímkékről: Szerepköralapú hozzáférés-vezérlés és hatókörcímkék használata elosztott informatikai eszközökhöz.

6. Válassza a Tovább: Hozzárendelések lehetőséget.
   A Hozzárendelések lapon hozzárendelheti a szabályzatot a felhasználókhoz és az eszközökhöz. Fontos megjegyezni, hogy hozzárendelhet egy szabályzatot egy eszközhöz, függetlenül attól, hogy az eszközt az Intune felügyeli-e.

7. Válassza a Tovább: Áttekintés + létrehozás lehetőséget a profilhoz megadott értékek áttekintéséhez.

8. Ha elkészült, válassza a Létrehozás lehetőséget az S mód kiegészítő szabályzatának létrehozásához az Intune-ban.

A szabályzat létrehozása után megjelenik az Intune S módú kiegészítő szabályzatainak listájában. A szabályzat hozzárendelése után a szabályzat üzembe lesz helyezve az eszközökön. Vegye figyelembe, hogy az alkalmazást ugyanabban a biztonsági csoportban kell üzembe helyeznie, mint a kiegészítő szabályzatot. Megkezdheti az alkalmazások célzását és hozzárendelését ezekhez az eszközökhöz. Így a végfelhasználók telepíthetik és futtathatják az alkalmazásokat az S módú eszközökön.

Az S módú szabályzat eltávolítása

Jelenleg az S mód kiegészítő szabályzatának eszközről való eltávolításához ki kell osztania és üzembe kell helyeznie egy üres szabályzatot a meglévő S módú kiegészítő szabályzat felülírásához.

Szabályzatjelentés

Az S mód kiegészítő szabályzata, amely eszközszinten van kényszerítve, csak eszközszintű jelentéskészítéssel rendelkezik. Az eszközszintű jelentéskészítés sikeres és hibafeltételekhez érhető el.

A Microsoft Intune Felügyeleti központban az S módú jelentéskészítési házirendekhez megjelenített jelentési értékek:

• Sikeres: Az S mód kiegészítő szabályzata érvényben van.
• Ismeretlen: Az S mód kiegészítő szabályzatának állapota nem ismert.
• TokenError: Az S mód kiegészítő szabályzata szerkezetileg rendben van, de hiba történt a jogkivonat engedélyezésekor.
• NotAuthorizedByToken: A jogkivonat nem engedélyezi ezt az S módú kiegészítő szabályzatot.
• PolicyNotFound: Az S mód kiegészítő szabályzata nem található.

Következő lépések

• További információ: Win32-alkalmazások s módban.
• További információ az alkalmazások Intune-hoz való hozzáadásáról: Alkalmazások hozzáadása a Microsoft Intune-hoz.
• További információ a Win32-alkalmazásokról: Intune Win32-alkalmazások kezelése.