A WDAC és a Windows PowerShell használata a HoloLens 2-eszközökön futó alkalmazások engedélyezéséhez vagy letiltásához a Microsoft Intune-nal

A Microsoft HoloLens 2-eszközök támogatják a Windows Defender alkalmazásvezérlő (WDAC) CSP-t, amely felváltja az AppLocker CSP-t.

A Windows PowerShell és a Microsoft Intune használatával a WDAC CSP használatával engedélyezheti vagy letilthatja bizonyos alkalmazások megnyitását a Microsoft HoloLens 2 eszközökön. Előfordulhat például, hogy engedélyezni vagy megakadályozni szeretné, hogy egy alkalmazás megnyíljon a holoLens 2-eszközökön a szervezetében.

Ez a funkció az alábbiakra vonatkozik:

• Windows Holographic for Business rendszert futtató HoloLens 2-eszközök
• Windows 10/11

A WDAC CSP a Windows Defender alkalmazásvezérlési (WDAC) funkcióján alapul. Több WDAC-házirendet is használhat.

Ez a cikk a következőkhöz nyújt útmutatást:

1. WDAC-szabályzatok létrehozása a Windows PowerShell használatával.
2. A Windows PowerShell használatával konvertálja a WDAC-házirendszabályokat XML-fájllá, frissítse az XML-t, majd konvertálja az XML-t bináris fájllá.
3. A Microsoft Intune-ban hozzon létre egy egyéni eszközkonfigurációs profilt, adja hozzá ezt a WDAC-szabályzat bináris fájlját, és alkalmazza a szabályzatot a HoloLens 2-eszközökre.

Az Intune-ban létre kell hoznia egy egyéni konfigurációs profilt a Windows Defender alkalmazásvezérlő (WDAC) CSP használatához.

A cikkben szereplő lépéseket sablonként használva engedélyezheti vagy letilthatja bizonyos alkalmazások megnyitását a HoloLens 2-eszközökön.

Előfeltételek

• Ismerkedjen meg a Windows PowerShell-lel. A végrehajtási szabályzat beállításairól a Windows PowerShell about_Execution_Policies talál további információt.

• Az Intune-szabályzat konfigurálásához legalább jelentkezzen be az Intune Felügyeleti központba a Szabályzat- és profilkezelő beépített Intune-szerepkör tagjaként.

  Az Intune beépített szerepköreivel és azok használatával kapcsolatos információkért látogasson el a következőre:

  • Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nal
  • Beépített szerepkör-engedélyek a Microsoft Intune-hoz

• Hozzon létre egy felhasználói csoportot vagy eszközcsoportot a HoloLens 2-eszközeivel. A csoportokról további információt a Felhasználói csoportok és eszközcsoportok című témakörben talál.

1. lépés – A WDAC-szabályzat létrehozása a Windows PowerShell használatával

Ez a példa a Windows PowerShell használatával hoz létre egy Windows Defender alkalmazásvezérlési (WDAC) szabályzatot. A szabályzat megakadályozza bizonyos alkalmazások megnyitását.

1. Az asztali számítógépen nyissa meg a Windows PowerShell alkalmazást.

2. Az asztali számítógépen és a HoloLensen telepített alkalmazáscsomag adatainak lekérése:

   $package1 = Get-AppxPackage -name *<applicationname>*
   

   Írja be például a következőt:

   $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
   

   Ezután ellenőrizze, hogy a csomag rendelkezik-e alkalmazásattribútumokkal:

   $package1
   

   Az alábbi attribútumokhoz hasonló alkalmazásadatok jelennek meg:

   Name              : Microsoft.MicrosoftEdge
   Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
   Architecture      : Neutral
   ResourceId        :
   Version           : 44.20190.1000.0
   PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
   InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   IsFramework       : False
   PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   PublisherId       : 8wekyb3d8bbwe
   IsResourcePackage : False
   IsBundle          : False
   IsDevelopmentMode : False
   NonRemovable      : True
   IsPartiallyStaged : False
   SignatureKind     : System
   Status            : Ok
   

3. Hozzon létre egy WDAC-szabályzatot, és adja hozzá az alkalmazáscsomagot a DENY szabályhoz:

   $rule = New-CIPolicyRule -Package $package1 -Deny
   

4. Ismételje meg a 2. és a 3. lépést minden olyan alkalmazás esetében, amelyet megtagadni szeretne:

   $rule += New-CIPolicyRule -Package $package<2..n> -Deny
   

   Írja be például a következőt:

   $package2 = Get-AppxPackage -name *windowsstore*
   $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
   

5. Konvertálja a WDAC-szabályzatot newPolicy.xml:

   Megjegyzés:

   Letilthatja azokat az alkalmazásokat, amelyek csak HoloLens-eszközökön vannak telepítve. További információt a Családnevek csomagolása alkalmazásokhoz a HoloLensben című témakörben talál.

   New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
   

   Az alkalmazás összes verziójának megcélzásához a newPolicy.xml győződjön meg arról, hogy PackageVersion="65535.65535.65535.65535" a Megtagadás csomópontban van:

   <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
   

   A esetében PackageFamilyNameRulesa következő verziókat használhatja:

   • Engedélyezés: Írja be PackageVersion, 0.0.0.0a következőt: , ami azt jelenti, hogy "Ez a verzió és újabb verzió engedélyezése".
   • Megtagadás: Írja be PackageVersion, 65535.65535.65535.65535a következőt: , ami azt jelenti, hogy "A verzió megtagadása és az alábbi".

6. Ha olyan alkalmazásokat kíván üzembe helyezni és futtatni, amelyek nem a Microsoft Store-ból származnak, például üzletági alkalmazásokat (lásd : Alkalmazáskezelés), akkor explicit módon engedélyezze ezeket az alkalmazásokat úgy, hogy hozzáadja az aláíróját a WDAC-szabályzathoz.

   Megjegyzés:

   A WDAC- és LOB-alkalmazások használata jelenleg csak a HoloLens Windows Insiderek funkcióiban érhető el.

   Például a üzembe helyezését ATestApp.msixtervezi. ATestApp.msix a tanúsítvány írta TestCert.cer alá. Az aláíró WDAC-szabályzathoz való hozzáadásához használja a következő Windows PowerShell-szkriptet:

   Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
   

7. Egyesítse newPolicy.xml az asztali számítógépen található alapértelmezett házirenddel. Ez a lépés mergedPolicy.xmlhoz létre. Engedélyezheti például a Windows, WHQL által aláírt illesztőprogramok és az Áruház által aláírt alkalmazások futtatását:

   Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
   

8. Tiltsa le a naplózási mód szabályát azmergedPolicy.xml-ben . Az egyesítéskor a naplózási mód automatikusan be van kapcsolva:

   Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
   

9. Engedélyezze az InvalidateEA-kat egy újraindítási szabályon a következőben:mergedPolicy.xml:

   Set-RuleOption -o 15 .\mergedPolicy.xml
   

   Ezekről a szabályokról további információt a WDAC-házirendszabályok és -fájlszabályok ismertetése című témakörben talál.

10. Konvertálja amergedPolicy.xml bináris formátumra. Ez a lépés compiledPolicy.bin hoz létre. A 2. lépésben – Intune-szabályzat létrehozása és a szabályzat HoloLens 2-eszközökön való üzembe helyezése során ezt a compiledPolicy.bin bináris fájlt egy Intune-szabályzathoz kell hozzáadnia.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

2. lépés – Intune-szabályzat létrehozása és a szabályzat üzembe helyezése HoloLens 2-eszközökön

Ebben a lépésben egyéni eszközkonfigurációs profilt hoz létre az Intune-ban. Az egyéni házirendben adja hozzá az 1. lépés – WDAC-házirend létrehozása a Windows PowerShell használatával című lépésben létrehozott compiledPolicy.bin bináris fájlt. Ezután az Intune használatával helyezze üzembe a szabályzatot a HoloLens 2-eszközökön.

1. A Microsoft Intune felügyeleti központban hozzon létre egy egyéni Windows-eszközkonfigurációs profilt.

   A konkrét lépésekért tekintse meg az Egyéni profil létrehozása OMA-URI használatával az Intune-ban című témakört.

2. A profil létrehozásakor adja meg a következő beállításokat:

   • OMA-URI: Írja be a következőt ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy: . Cserélje le <PolicyGUID> a elemet a 6. lépésben létrehozott mergedPolicy.xml fájl PolicyTypeID csomópontjára.

     A példánkban írja be a következőt ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy: .

     A szabályzat GUID azonosítójának meg kell egyeznie a (6. lépésben létrehozott )mergedPolicy.xml fájl PolicyTypeID csomópontjának.

     Az OMA-URI az ApplicationControl CSP-t használja. A CSP csomópontjaival kapcsolatos információkért lépjen az ApplicationControl CSP webhelyre.

   • Adattípus: Állítsa Base64-fájlra. Automatikusan konvertálja a fájlt a bin-ből base64-be.

   • Tanúsítványfájl: Töltse fel a compiledPolicy.bin bináris fájlt (amelyet a 10. lépésben hozott létre).

   A beállítások az alábbi beállításokhoz hasonlóan néznek ki:

   

3. Ha a profil hozzá van rendelve a HoloLens 2 csoporthoz, ellenőrizze a profil állapotát. A profil sikeres alkalmazása után indítsa újra a HoloLens 2-eszközöket.

Kapcsolódó cikkek

• Rendelje hozzá a profilt, és figyelje az állapotát.
• További információ az intune-beli egyéni profilokról.