Abilitare le app Win32 nei dispositivi in modalità S

Windows 10 modalità S è un sistema operativo bloccato che esegue solo le app dello Store. Per impostazione predefinita, i dispositivi in modalità S di Windows non consentono l'installazione e l'esecuzione di app Win32. Questi dispositivi includono un singolo criterio di base Win 10S, che blocca il dispositivo in modalità S dall'esecuzione di qualsiasi app Win32. Tuttavia, creando e usando criteri supplementari in modalità S in Intune, è possibile installare ed eseguire app Win32 in Windows 10 dispositivi gestiti in modalità S. Usando gli strumenti di PowerShell Microsoft Defender Application Control (WDAC), è possibile creare uno o più criteri supplementari per la modalità Windows S. È necessario firmare i criteri supplementari con il servizio di firma di Device Guard (DGSS) o con SignTool.exe e quindi caricare e distribuire i criteri tramite Intune. In alternativa, è possibile firmare i criteri supplementari con un certificato di progettazione condivisa dell'organizzazione, tuttavia il metodo preferito consiste nell'usare DGSS. Nell'istanza in cui si usa il certificato di progettazione condivisa dell'organizzazione, il certificato radice a cui il certificato di progettazione condivisa si concatena deve essere presente nel dispositivo.

Assegnando i criteri supplementari della modalità S in Intune, si abilita il dispositivo per fare un'eccezione ai criteri di modalità S esistenti del dispositivo, che consente il catalogo app firmato corrispondente caricato. I criteri impostano un elenco di app consentite (il catalogo app) che possono essere usate nel dispositivo in modalità S.

Nota

Le app Win32 nei dispositivi in modalità S sono supportate solo in Windows 10 aggiornamento di novembre 2019 (build 18363) o versioni successive.

I passaggi per consentire l'esecuzione di app Win32 in un dispositivo Windows 10 in modalità S sono i seguenti:

1. Abilitare i dispositivi in modalità S tramite Intune come parte del processo di registrazione di Windows 10 S.
2. Creare un criterio supplementare per consentire le app Win32:
   • È possibile usare Microsoft Defender strumenti WDAC (Application Control) per creare un criterio supplementare. L'ID dei criteri di base all'interno del criterio deve corrispondere all'ID del criterio di base della modalità S (codificato nel client). Assicurarsi inoltre che la versione dei criteri sia superiore alla versione precedente.
   • Si usa DGSS per firmare i criteri supplementari. Per altre informazioni, vedere Firmare i criteri di integrità del codice con la firma di Device Guard.
   • È possibile caricare i criteri supplementari firmati in Intune creando un criterio supplementare in modalità S Windows 10 (vedere di seguito).
3. È possibile consentire cataloghi di app Win32 tramite Intune:
   • Si creano file di catalogo (uno per ogni app) e li firma usando DGSS o un'altra infrastruttura di certificati.
   • È possibile creare un pacchetto del catalogo firmato nel file con estensione intunewin usando lo strumento di preparazione del contenuto Microsoft Win32. Non esistono restrizioni di denominazione quando si crea un file di catalogo usando lo strumento di preparazione del contenuto Microsoft Win32. Quando si genera il file con estensione intunewin dalla cartella di origine e dal file di installazione specificati, è possibile specificare una cartella separata contenente solo i file di catalogo usando l'opzione -a cmdline. Per altre informazioni, vedere Gestione delle app Win32 - Preparare il contenuto dell'app Win32 per il caricamento.
   • Intune applica il catalogo app firmato per installare l'app Win32 nel dispositivo in modalità S usando l'estensione di gestione Intune.

Nota

Line-of-business (LOB) .appx e .appx bundle in modalità S Windows 10 saranno supportati tramite la firma Microsoft Store per le aziende (MSFB).

I criteri supplementari della modalità S per le app devono essere recapitati tramite Intune estensioni di gestione.

I criteri della modalità S vengono applicati a livello di dispositivo. Nel dispositivo verranno uniti più criteri di destinazione. I criteri uniti verranno applicati nel dispositivo.

Per creare un criterio supplementare Windows 10 modalità S, seguire questa procedura:

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Criterisupplementari >della modalità Sapp >Crea criterio.

3. Prima di aggiungere il file criteri, è necessario crearlo e firmarlo. Per ulteriori informazioni consulta:

   • Creare un criterio WDAC usando gli strumenti di PowerShell e convertirlo in un formato binario
   • Firmare usando il servizio di firma di Device Guard(scelta consigliata)

4. Nella pagina Nozioni di base aggiungere i valori seguenti:

   Valore	Descrizione
   File di criteri	File che contiene i criteri WDAC.
   Nome	Nome di questo criterio.
   Descrizione	[Facoltativo] Descrizione di questo criterio.

5. Selezionare Avanti: Tag ambito.
   Nella pagina Tag ambito è possibile configurare facoltativamente i tag di ambito per determinare chi può visualizzare i criteri dell'app in Intune. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

6. Seleziona Avanti: attività.
   La pagina Assegnazioni consente di assegnare i criteri a utenti e dispositivi. È importante notare che è possibile assegnare un criterio a un dispositivo indipendentemente dal fatto che il dispositivo sia gestito o meno da Intune.

7. Selezionare Avanti: Rivedi e crea per esaminare i valori immessi per il profilo.

8. Al termine, selezionare Crea per creare i criteri supplementari della modalità S in Intune.

Dopo aver creato il criterio, verrà aggiunto all'elenco dei criteri supplementari in modalità S in Intune. Dopo l'assegnazione dei criteri, i criteri vengono distribuiti ai dispositivi. Si noti che è necessario distribuire l'app nello stesso gruppo di sicurezza dei criteri supplementari. È possibile iniziare a scegliere come destinazione e assegnare app a tali dispositivi. In questo modo gli utenti finali potranno installare ed eseguire le app nei dispositivi in modalità S.

Rimozione dei criteri della modalità S

Attualmente, per rimuovere i criteri supplementari della modalità S dal dispositivo, è necessario assegnare e distribuire un criterio vuoto per sovrascrivere i criteri supplementari della modalità S esistenti.

Creazione di report sui criteri

I criteri supplementari della modalità S, applicati a livello di dispositivo, hanno solo la creazione di report a livello di dispositivo. La creazione di report a livello di dispositivo è disponibile per le condizioni di esito positivo e di errore.

Creazione di report dei valori visualizzati nell'interfaccia di amministrazione Microsoft Intune per i criteri di report in modalità S:

• Operazione riuscita: i criteri supplementari della modalità S sono attivi.
• Sconosciuto: lo stato dei criteri supplementari della modalità S non è noto.
• TokenError: il criterio supplementare della modalità S è strutturalmente corretto, ma si è verificato un errore durante l'autorizzazione del token.
• NotAuthorizedByToken: il token non autorizza questo criterio supplementare in modalità S.
• PolicyNotFound: i criteri supplementari della modalità S non sono stati trovati.

Passaggi successivi

• Per altre informazioni, vedere App Win32 in modalità s.
• Per altre informazioni sull'aggiunta di app a Intune, vedere Aggiungere app a Microsoft Intune.
• Per altre informazioni sulle app Win32, vedere Intune gestione delle app Win32.