Abilitare le app Win32 nei dispositivi in modalità S

La modalità Windows 10 S è un sistema operativo bloccato che esegue solo app dello Store. Per impostazione predefinita, i dispositivi in modalità S di Windows non consentono l'installazione e l'esecuzione di app Win32. Questi dispositivi includono un singolo criterio di base Win 10S, che blocca il dispositivo in modalità S dall'esecuzione di qualsiasi app Win32. Tuttavia, creando e usando criteri supplementari in modalità S in Intune, è possibile installare ed eseguire app Win32 nei dispositivi gestiti in modalità Windows 10 S. Usando gli strumenti di PowerShell di Microsoft Defender Application Control (WDAC), è possibile creare uno o più criteri supplementari per la modalità Windows S. È necessario firmare i criteri supplementari con il servizio di firma di Device Guard (DGSS) o con SignTool.exe e quindi caricare e distribuire i criteri tramite Intune. In alternativa, è possibile firmare i criteri supplementari con un certificato di progettazione condivisa dell'organizzazione, tuttavia il metodo preferito consiste nell'usare DGSS. Nell'istanza in cui si usa il certificato di progettazione condivisa dell'organizzazione, il certificato radice a cui il certificato di progettazione condivisa si concatena deve essere presente nel dispositivo.

Assegnando i criteri supplementari della modalità S in Intune, si abilita il dispositivo per fare un'eccezione ai criteri di modalità S esistenti del dispositivo, che consente il catalogo app firmato corrispondente caricato. I criteri impostano un elenco di app consentite (il catalogo app) che possono essere usate nel dispositivo in modalità S.

Nota

Le app Win32 nei dispositivi in modalità S sono supportate solo in Windows 10 Novembre 2019 Update (build 18363) o versioni successive.

I passaggi per consentire l'esecuzione di app Win32 in un dispositivo Windows 10 in modalità S sono i seguenti:

1. Abilitare i dispositivi in modalità S tramite Intune come parte del processo di registrazione di Windows 10 S.
2. Creare un criterio supplementare per consentire le app Win32:
   • È possibile usare gli strumenti WDAC (Microsoft Defender Application Control) per creare un criterio supplementare. L'ID dei criteri di base all'interno del criterio deve corrispondere all'ID del criterio di base della modalità S (codificato nel client). Assicurarsi inoltre che la versione dei criteri sia superiore alla versione precedente.
   • Si usa DGSS per firmare i criteri supplementari. Per altre informazioni, vedere Firmare i criteri di integrità del codice con la firma di Device Guard.
   • Si caricano i criteri supplementari firmati in Intune creando un criterio supplementare in modalità Windows 10 S (vedere di seguito).
3. È possibile consentire i cataloghi di app Win32 tramite Intune:
   • Si creano file di catalogo (uno per ogni app) e li firma usando DGSS o un'altra infrastruttura di certificati.
   • È possibile creare un pacchetto del catalogo firmato nel file con estensione intunewin usando lo strumento di preparazione del contenuto Microsoft Win32. Non esistono restrizioni di denominazione quando si crea un file di catalogo usando lo strumento di preparazione del contenuto Microsoft Win32. Quando si genera il file con estensione intunewin dalla cartella di origine e dal file di installazione specificati, è possibile specificare una cartella separata contenente solo i file di catalogo usando l'opzione -a cmdline. Per altre informazioni, vedere Gestione delle app Win32 - Preparare il contenuto dell'app Win32 per il caricamento.
   • Intune applica il catalogo app firmato per installare l'app Win32 nel dispositivo in modalità S usando l'estensione di gestione di Intune.

Nota

I criteri supplementari della modalità S per le app devono essere recapitati tramite l'estensione di gestione di Intune.

I criteri della modalità S vengono applicati a livello di dispositivo. Nel dispositivo verranno uniti più criteri di destinazione. I criteri uniti verranno applicati nel dispositivo.

Per creare un criterio supplementare per la modalità Windows 10 S, seguire questa procedura:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare Criterisupplementari >della modalità Sapp >Crea criterio.

3. Prima di aggiungere il file criteri, è necessario crearlo e firmarlo. Per altre informazioni, vedere:

   • Creare un criterio WDAC usando gli strumenti di PowerShell e convertirlo in un formato binario
   • Firmare usando il servizio di firma di Device Guard(scelta consigliata)

4. Nella pagina Nozioni di base aggiungere i valori seguenti:

   Valore	Descrizione
   File di criteri	File che contiene i criteri WDAC.
   Nome	Nome di questo criterio.
   Descrizione	[Facoltativo] Descrizione di questo criterio.

5. Selezionare Avanti: Tag ambito.
   Nella pagina Tag ambito è possibile configurare facoltativamente i tag di ambito per determinare chi può visualizzare i criteri dell'app in Intune. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

6. Seleziona Avanti: attività.
   La pagina Assegnazioni consente di assegnare i criteri a utenti e dispositivi. È importante notare che è possibile assegnare un criterio a un dispositivo indipendentemente dal fatto che il dispositivo sia gestito o meno da Intune.

7. Selezionare Avanti: Rivedi e crea per esaminare i valori immessi per il profilo.

8. Al termine, selezionare Crea per creare i criteri supplementari della modalità S in Intune.

Dopo aver creato il criterio, verrà aggiunto all'elenco dei criteri supplementari in modalità S in Intune. Dopo l'assegnazione dei criteri, i criteri vengono distribuiti ai dispositivi. Si noti che è necessario distribuire l'app nello stesso gruppo di sicurezza dei criteri supplementari. È possibile iniziare a scegliere come destinazione e assegnare app a tali dispositivi. In questo modo gli utenti finali potranno installare ed eseguire le app nei dispositivi in modalità S.

Rimozione dei criteri della modalità S

Attualmente, per rimuovere i criteri supplementari della modalità S dal dispositivo, è necessario assegnare e distribuire un criterio vuoto per sovrascrivere i criteri supplementari della modalità S esistenti.

Creazione di report sui criteri

I criteri supplementari della modalità S, applicati a livello di dispositivo, hanno solo la creazione di report a livello di dispositivo. La creazione di report a livello di dispositivo è disponibile per le condizioni di esito positivo e di errore.

Creazione di report dei valori visualizzati nell'interfaccia di amministrazione di Microsoft Intune per i criteri di report in modalità S:

• Operazione riuscita: i criteri supplementari della modalità S sono attivi.
• Sconosciuto: lo stato dei criteri supplementari della modalità S non è noto.
• TokenError: il criterio supplementare della modalità S è strutturalmente corretto, ma si è verificato un errore durante l'autorizzazione del token.
• NotAuthorizedByToken: il token non autorizza questo criterio supplementare in modalità S.
• PolicyNotFound: i criteri supplementari della modalità S non sono stati trovati.

Passaggi successivi

• Per altre informazioni, vedere App Win32 in modalità s.
• Per altre informazioni sull'aggiunta di app a Intune, vedere Aggiungere app a Microsoft Intune.
• Per altre informazioni sulle app Win32, vedere Gestione delle app Win32 di Intune.