Share via

A WDAC és a Windows PowerShell használatával engedélyezheti vagy letilthatja az alkalmazásokat HoloLens 2 eszközökön a Microsoft Intune

  • Cikk

Microsoft HoloLens 2 eszköz támogatja a Windows Defender Application Control (WDAC) CSP-t, amely felváltja az AppLocker CSP-t.

A Windows PowerShell és a Microsoft Intune használatával a WDAC CSP-vel engedélyezheti vagy letilthatja bizonyos alkalmazások megnyitását Microsoft HoloLens 2 eszközön. Előfordulhat például, hogy engedélyezni vagy megakadályozni szeretné, hogy egy alkalmazás megnyíljon HoloLens 2 eszközökön a szervezetében.

Ez a funkció az alábbiakra vonatkozik:

  • HoloLens 2 Windows Holographic for Business-t futtató eszközök

A WDAC CSP a Windows Defender Application Control (WDAC) szolgáltatáson alapul. Több WDAC-házirendet is használhat.

Ez a cikk a következőkhöz nyújt útmutatást:

  1. WDAC-szabályzatok létrehozása Windows PowerShell használatával.
  2. A Windows PowerShell használatával konvertálhatja a WDAC-házirendszabályokat XML-fájllá, frissítheti az XML-t, majd bináris fájllá alakíthatja az XML-t.
  3. A Microsoft Intune hozzon létre egy egyéni eszközkonfigurációs profilt, adja hozzá ezt a WDAC-házirend bináris fájlját, és alkalmazza a szabályzatot a HoloLens 2-eszközökre.

Az Intune-ban létre kell hoznia egy egyéni konfigurációs profilt a Windows Defender Application Control (WDAC) CSP használatához.

A cikkben szereplő lépéseket sablonként használva engedélyezheti vagy letilthatja bizonyos alkalmazások megnyitását HoloLens 2 eszközökön.

Előfeltételek

  • Ismerkedjen meg a Windows PowerShell.

  • Jelentkezzen be az Intune-ba az alábbiak tagjaként:

    • Szabályzat- és profilkezelő vagy Intune-beli rendszergazdai Intune-szerepkör

      VAGY

    • Globális rendszergazda vagy Intune-szolgáltatásadminisztrátor Microsoft Entra szerepkör

    További információ az Intune-szerepkörökről: Szerepköralapú hozzáférés-vezérlés (RBAC) az Intune-nal.

  • Hozzon létre egy felhasználói csoportot vagy eszközcsoportot a HoloLens 2 eszközeivel. A csoportokról további információt a Felhasználói csoportok és eszközcsoportok című témakörben talál.

Példa

Ez a példa Windows PowerShell használ egy Windows Defender alkalmazásvezérlési (WDAC) szabályzat létrehozásához. A szabályzat megakadályozza bizonyos alkalmazások megnyitását. Ezután az Intune-ból helyezze üzembe a szabályzatot HoloLens 2 eszközökön.

  1. Nyissa meg az asztali számítógépen a Windows PowerShell alkalmazást.

  2. Az asztali számítógépen és a HoloLensen telepített alkalmazáscsomag adatainak lekérése:

    $package1 = Get-AppxPackage -name *<applicationname>*

    Írja be például a következőt:

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge

    Ezután ellenőrizze, hogy a csomag rendelkezik-e alkalmazásattribútumokkal:

    $package1

    Az alábbi attribútumokhoz hasonló alkalmazásadatok jelennek meg:

    Name              : Microsoft.MicrosoftEdge
Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Architecture      : Neutral
ResourceId        :
Version           : 44.20190.1000.0
PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
IsFramework       : False
PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
PublisherId       : 8wekyb3d8bbwe
IsResourcePackage : False
IsBundle          : False
IsDevelopmentMode : False
NonRemovable      : True
IsPartiallyStaged : False
SignatureKind     : System
Status            : Ok

  3. Hozzon létre egy WDAC-szabályzatot, és adja hozzá az alkalmazáscsomagot a DENY szabályhoz:

    $rule = New-CIPolicyRule -Package $package1 -Deny

  4. Ismételje meg a 2. és a 3. lépést minden olyan alkalmazás esetében, amelyet megtagadni szeretne:

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny

    Írja be például a következőt:

    $package2 = Get-AppxPackage -name *windowsstore*
$rule += New-CIPolicyRule -Package $package<2..n>  -Deny

  5. Konvertálja a WDAC-szabályzatot newPolicy.xml:

    Megjegyzés:

    Letilthatja azokat az alkalmazásokat, amelyek csak HoloLens-eszközökön vannak telepítve. További információt a Családnevek csomagolása alkalmazásokhoz a HoloLensben című témakörben talál.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs

    Az alkalmazás összes verziójának megcélzásához a newPolicy.xml győződjön meg arról, hogy PackageVersion="65535.65535.65535.65535" a Megtagadás csomópontban van:

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />

    A esetében PackageFamilyNameRulesa következő verziókat használhatja:

    • Engedélyezés: Írja be PackageVersion, 0.0.0.0a következőt: , ami azt jelenti, hogy "Ez a verzió és újabb verzió engedélyezése".
    • Megtagadás: Írja be PackageVersion, 65535.65535.65535.65535a következőt: , ami azt jelenti, hogy "A verzió megtagadása és az alábbi".

  6. Ha olyan alkalmazásokat kíván üzembe helyezni és futtatni, amelyek nem a Microsoft Store-ból származnak, például üzletági alkalmazásokat (lásd : Alkalmazáskezelés), akkor explicit módon engedélyezze ezeket az alkalmazásokat úgy, hogy hozzáadja az aláíróját a WDAC-szabályzathoz.

    Megjegyzés:

    A WDAC- és LOB-alkalmazások használata jelenleg csak a HoloLens Windows Insiderek funkcióiban érhető el.

    Például a üzembe helyezését ATestApp.msixtervezi. ATestApp.msix a tanúsítvány írta TestCert.cer alá. Az aláíró WDAC-szabályzathoz való hozzáadásához használja az alábbi Windows PowerShell szkriptet:

    Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User

  7. Egyesítse newPolicy.xml az asztali számítógépen található alapértelmezett házirenddel. Ez a lépés mergedPolicy.xmlhoz létre. Engedélyezheti például a Windows, WHQL által aláírt illesztőprogramok és az Áruház által aláírt alkalmazások futtatását:

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml

  8. Tiltsa le a naplózási mód szabályát azmergedPolicy.xml-ben . Az egyesítéskor a naplózási mód automatikusan be van kapcsolva:

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml

  9. Engedélyezze az InvalidateEA-kat egy újraindítási szabályon a következőben:mergedPolicy.xml:

    Set-RuleOption -o 15 .\mergedPolicy.xml

    További információ ezekről a szabályokról: A WDAC-házirendszabályok és -fájlszabályok ismertetése.

  10. Konvertálja amergedPolicy.xml bináris formátumra. Ez a lépés létrehozza a compiledPolicy.bin fájlt. Egy későbbi lépésben hozzáadja ezt a compiledPolicy.bin bináris fájlt az Intune-hoz.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin

  11. Hozza létre az egyéni eszközkonfigurációs profilt az Intune-ban:

    1. A Microsoft Intune Felügyeleti központban hozzon létre egy Windows 10/11 egyéni eszközkonfigurációs profilt.

      A konkrét lépésekért tekintse meg az Egyéni profil létrehozása OMA-URI használatával az Intune-ban című témakört.

    2. A profil létrehozásakor adja meg a következő beállításokat:

    • OMA-URI: Írja be a következőt ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy: . Cserélje le <PolicyGUID> a elemet a 6. lépésben létrehozott mergedPolicy.xml fájl PolicyTypeID csomópontjára.

      A példánkban írja be a következőt ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy: .

      A szabályzat GUID azonosítójának meg kell egyeznie a (6. lépésben létrehozott )mergedPolicy.xml fájl PolicyTypeID csomópontjának.

      Az OMA-URI az ApplicationControl CSP-t használja. A CSP csomópontjaival kapcsolatos további információkért lépjen az ApplicationControl CSP webhelyre.

    • Adattípus: Állítsa Base64-fájlra. Automatikusan konvertálja a fájlt a bin-ből base64-be.

    • Tanúsítványfájl: Töltse fel a compiledPolicy.bin bináris fájlt (amely a 10. lépésben jött létre).

    A beállítások az alábbi beállításokhoz hasonlóan néznek ki:

    Adjon hozzá egy egyéni OMA-URI-t az ApplicationControl CSP konfigurálásához Microsoft Intune.

  12. Ha a profil hozzá van rendelve a HoloLens 2 csoporthoz, ellenőrizze a profil állapotát. A profil sikeres alkalmazása után indítsa újra az HoloLens 2 eszközöket.

Következő lépések

Rendelje hozzá a profilt, és figyelje az állapotát.

További információ az intune-beli egyéni profilokról.