A WDAC és a Windows PowerShell használatával engedélyezheti vagy letilthatja az alkalmazásokat HoloLens 2 eszközökön a Microsoft Intune
Microsoft HoloLens 2 eszköz támogatja a Windows Defender Application Control (WDAC) CSP-t, amely felváltja az AppLocker CSP-t.
A Windows PowerShell és a Microsoft Intune használatával a WDAC CSP-vel engedélyezheti vagy letilthatja bizonyos alkalmazások megnyitását Microsoft HoloLens 2 eszközön. Előfordulhat például, hogy engedélyezni vagy megakadályozni szeretné, hogy egy alkalmazás megnyíljon HoloLens 2 eszközökön a szervezetében.
Ez a funkció az alábbiakra vonatkozik:
- HoloLens 2 Windows Holographic for Business-t futtató eszközök
A WDAC CSP a Windows Defender Application Control (WDAC) szolgáltatáson alapul. Több WDAC-házirendet is használhat.
Ez a cikk a következőkhöz nyújt útmutatást:
- WDAC-szabályzatok létrehozása Windows PowerShell használatával.
- A Windows PowerShell használatával konvertálhatja a WDAC-házirendszabályokat XML-fájllá, frissítheti az XML-t, majd bináris fájllá alakíthatja az XML-t.
- A Microsoft Intune hozzon létre egy egyéni eszközkonfigurációs profilt, adja hozzá ezt a WDAC-házirend bináris fájlját, és alkalmazza a szabályzatot a HoloLens 2-eszközökre.
Az Intune-ban létre kell hoznia egy egyéni konfigurációs profilt a Windows Defender Application Control (WDAC) CSP használatához.
A cikkben szereplő lépéseket sablonként használva engedélyezheti vagy letilthatja bizonyos alkalmazások megnyitását HoloLens 2 eszközökön.
Előfeltételek
Ismerkedjen meg a Windows PowerShell.
Jelentkezzen be az Intune-ba az alábbiak tagjaként:
Szabályzat- és profilkezelő vagy Intune-beli rendszergazdai Intune-szerepkör
VAGY
Globális rendszergazda vagy Intune-szolgáltatásadminisztrátor Microsoft Entra szerepkör
További információ az Intune-szerepkörökről: Szerepköralapú hozzáférés-vezérlés (RBAC) az Intune-nal.
Hozzon létre egy felhasználói csoportot vagy eszközcsoportot a HoloLens 2 eszközeivel. A csoportokról további információt a Felhasználói csoportok és eszközcsoportok című témakörben talál.
Példa
Ez a példa Windows PowerShell használ egy Windows Defender alkalmazásvezérlési (WDAC) szabályzat létrehozásához. A szabályzat megakadályozza bizonyos alkalmazások megnyitását. Ezután az Intune-ból helyezze üzembe a szabályzatot HoloLens 2 eszközökön.
Nyissa meg az asztali számítógépen a Windows PowerShell alkalmazást.
Az asztali számítógépen és a HoloLensen telepített alkalmazáscsomag adatainak lekérése:
$package1 = Get-AppxPackage -name *<applicationname>*
Írja be például a következőt:
$package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
Ezután ellenőrizze, hogy a csomag rendelkezik-e alkalmazásattribútumokkal:
$package1
Az alábbi attribútumokhoz hasonló alkalmazásadatok jelennek meg:
Name : Microsoft.MicrosoftEdge Publisher : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US Architecture : Neutral ResourceId : Version : 44.20190.1000.0 PackageFullName : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe InstallLocation : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe IsFramework : False PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe PublisherId : 8wekyb3d8bbwe IsResourcePackage : False IsBundle : False IsDevelopmentMode : False NonRemovable : True IsPartiallyStaged : False SignatureKind : System Status : Ok
Hozzon létre egy WDAC-szabályzatot, és adja hozzá az alkalmazáscsomagot a DENY szabályhoz:
$rule = New-CIPolicyRule -Package $package1 -Deny
Ismételje meg a 2. és a 3. lépést minden olyan alkalmazás esetében, amelyet megtagadni szeretne:
$rule += New-CIPolicyRule -Package $package<2..n> -Deny
Írja be például a következőt:
$package2 = Get-AppxPackage -name *windowsstore* $rule += New-CIPolicyRule -Package $package<2..n> -Deny
Konvertálja a WDAC-szabályzatot newPolicy.xml:
Megjegyzés:
Letilthatja azokat az alkalmazásokat, amelyek csak HoloLens-eszközökön vannak telepítve. További információt a Családnevek csomagolása alkalmazásokhoz a HoloLensben című témakörben talál.
New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
Az alkalmazás összes verziójának megcélzásához a newPolicy.xml győződjön meg arról, hogy
PackageVersion="65535.65535.65535.65535"
a Megtagadás csomópontban van:<Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
A esetében
PackageFamilyNameRules
a következő verziókat használhatja:- Engedélyezés: Írja be
PackageVersion, 0.0.0.0
a következőt: , ami azt jelenti, hogy "Ez a verzió és újabb verzió engedélyezése". - Megtagadás: Írja be
PackageVersion, 65535.65535.65535.65535
a következőt: , ami azt jelenti, hogy "A verzió megtagadása és az alábbi".
- Engedélyezés: Írja be
Ha olyan alkalmazásokat kíván üzembe helyezni és futtatni, amelyek nem a Microsoft Store-ból származnak, például üzletági alkalmazásokat (lásd : Alkalmazáskezelés), akkor explicit módon engedélyezze ezeket az alkalmazásokat úgy, hogy hozzáadja az aláíróját a WDAC-szabályzathoz.
Megjegyzés:
A WDAC- és LOB-alkalmazások használata jelenleg csak a HoloLens Windows Insiderek funkcióiban érhető el.
Például a üzembe helyezését
ATestApp.msix
tervezi.ATestApp.msix
a tanúsítvány írtaTestCert.cer
alá. Az aláíró WDAC-szabályzathoz való hozzáadásához használja az alábbi Windows PowerShell szkriptet:Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
Egyesítse newPolicy.xml az asztali számítógépen található alapértelmezett házirenddel. Ez a lépés mergedPolicy.xmlhoz létre. Engedélyezheti például a Windows, WHQL által aláírt illesztőprogramok és az Áruház által aláírt alkalmazások futtatását:
Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
Tiltsa le a naplózási mód szabályát azmergedPolicy.xml-ben . Az egyesítéskor a naplózási mód automatikusan be van kapcsolva:
Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
Engedélyezze az InvalidateEA-kat egy újraindítási szabályon a következőben:mergedPolicy.xml:
Set-RuleOption -o 15 .\mergedPolicy.xml
További információ ezekről a szabályokról: A WDAC-házirendszabályok és -fájlszabályok ismertetése.
Konvertálja amergedPolicy.xml bináris formátumra. Ez a lépés létrehozza a compiledPolicy.bin fájlt. Egy későbbi lépésben hozzáadja ezt a compiledPolicy.bin bináris fájlt az Intune-hoz.
ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
Hozza létre az egyéni eszközkonfigurációs profilt az Intune-ban:
A Microsoft Intune Felügyeleti központban hozzon létre egy Windows 10/11 egyéni eszközkonfigurációs profilt.
A konkrét lépésekért tekintse meg az Egyéni profil létrehozása OMA-URI használatával az Intune-ban című témakört.
A profil létrehozásakor adja meg a következő beállításokat:
OMA-URI: Írja be a következőt
./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy
: . Cserélje le<PolicyGUID>
a elemet a 6. lépésben létrehozott mergedPolicy.xml fájl PolicyTypeID csomópontjára.A példánkban írja be a következőt
./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy
: .A szabályzat GUID azonosítójának meg kell egyeznie a (6. lépésben létrehozott )mergedPolicy.xml fájl PolicyTypeID csomópontjának.
Az OMA-URI az ApplicationControl CSP-t használja. A CSP csomópontjaival kapcsolatos további információkért lépjen az ApplicationControl CSP webhelyre.
Adattípus: Állítsa Base64-fájlra. Automatikusan konvertálja a fájlt a bin-ből base64-be.
Tanúsítványfájl: Töltse fel a compiledPolicy.bin bináris fájlt (amely a 10. lépésben jött létre).
A beállítások az alábbi beállításokhoz hasonlóan néznek ki:
Ha a profil hozzá van rendelve a HoloLens 2 csoporthoz, ellenőrizze a profil állapotát. A profil sikeres alkalmazása után indítsa újra az HoloLens 2 eszközöket.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: