Usare WDAC e Windows PowerShell per consentire o bloccare le app nei dispositivi HoloLens 2 con Microsoft Intune

Microsoft HoloLens 2 dispositivi supportano il CSP WDAC (Application Control) Windows Defender, che sostituisce il CSP AppLocker.

Usando Windows PowerShell e Microsoft Intune, è possibile usare WDAC CSP per consentire o bloccare l'apertura di app specifiche in Microsoft HoloLens 2 dispositivi. Ad esempio, è possibile consentire o impedire l'apertura di un'app nei dispositivi HoloLens 2 dell'organizzazione.

Questa funzionalità si applica a:

• HoloLens 2 dispositivi che eseguono Windows Holographic for Business

WDAC CSP si basa sulla funzionalità WDAC (Application Control) Windows Defender. È anche possibile usare più criteri WDAC.

Questo articolo illustra come:

1. Usare Windows PowerShell per creare criteri WDAC.
2. Usare Windows PowerShell per convertire le regole dei criteri WDAC in XML, aggiornare il codice XML e quindi convertire il codice XML in un file binario.
3. In Microsoft Intune creare un profilo di configurazione del dispositivo personalizzato, aggiungere questo file binario dei criteri WDAC e applicare i criteri ai dispositivi HoloLens 2.

In Intune è necessario creare un profilo di configurazione personalizzato per usare il provider di servizi di configurazione WDAC (Windows Defender Application Control).

Usare la procedura descritta in questo articolo come modello per consentire o negare l'apertura di app specifiche nei dispositivi HoloLens 2.

Prerequisiti

• Acquisire familiarità con Windows PowerShell.

• Accedere a Intune come membro di:

  • Ruolo Intune amministratore dei criteri e dei profili o amministratore del ruolo di Intune

    OPPURE

  • Ruolo Microsoft Entra Amministratore globale o Amministratore del servizio Intune

  Per altre informazioni sui ruoli di Intune, vedere Controllo degli accessi in base al ruolo con Intune.

• Creare un gruppo di utenti o dispositivi con i dispositivi HoloLens 2. Per altre informazioni sui gruppi, vedere Gruppi di utenti e gruppi di dispositivi.

Esempio

Questo esempio usa Windows PowerShell per creare un criterio WDAC (Application Control) Windows Defender. Il criterio impedisce l'apertura di app specifiche. Usare quindi Intune per distribuire i criteri ai dispositivi HoloLens 2.

1. Nel computer desktop aprire l'app Windows PowerShell.

2. Ottenere informazioni sul pacchetto dell'applicazione installato nel computer desktop e in HoloLens:

   $package1 = Get-AppxPackage -name *<applicationname>*
   

   Ad esempio, immettere:

   $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
   

   Verificare quindi che il pacchetto abbia attributi dell'applicazione:

   $package1
   

   Vengono visualizzati dettagli dell'app simili agli attributi seguenti:

   Name              : Microsoft.MicrosoftEdge
   Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
   Architecture      : Neutral
   ResourceId        :
   Version           : 44.20190.1000.0
   PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
   InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   IsFramework       : False
   PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   PublisherId       : 8wekyb3d8bbwe
   IsResourcePackage : False
   IsBundle          : False
   IsDevelopmentMode : False
   NonRemovable      : True
   IsPartiallyStaged : False
   SignatureKind     : System
   Status            : Ok
   

3. Creare un criterio WDAC e aggiungere il pacchetto dell'app alla regola DENY:

   $rule = New-CIPolicyRule -Package $package1 -Deny
   

4. Ripetere i passaggi 2 e 3 per tutte le altre applicazioni che si desidera NEGARE:

   $rule += New-CIPolicyRule -Package $package<2..n> -Deny
   

   Ad esempio, immettere:

   $package2 = Get-AppxPackage -name *windowsstore*
   $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
   

5. Convertire i criteri WDAC in newPolicy.xml:

   Nota

   È possibile bloccare le app installate solo nei dispositivi HoloLens. Per altre informazioni, vedere i nomi delle famiglie di pacchetti per le app in HoloLens.

   New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
   

   Per impostare come destinazione tutte le versioni di un'app, in newPolicy.xml assicurarsi che PackageVersion="65535.65535.65535.65535" sia nel nodo Deny:

   <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
   

   Per PackageFamilyNameRulesè possibile usare le versioni seguenti:

   • Consenti: immettere PackageVersion, 0.0.0.0, che significa "Consenti questa versione e versioni successive".
   • Nega: immettere PackageVersion, 65535.65535.65535.65535, che significa "Nega questa versione e versioni successive".

6. Se si prevede di distribuire ed eseguire app che non hanno origine da Microsoft Store, ad esempio app line-of-business (vedere Gestione app), consentire in modo esplicito queste app aggiungendo il firmatario ai criteri WDAC.

   Nota

   L'uso di app WDAC e LOB è attualmente disponibile solo nelle funzionalità di Windows Insiders per HoloLens.

   Ad esempio, si prevede di distribuire ATestApp.msix. ATestApp.msix è firmato dal TestCert.cer certificato. Usare lo script di Windows PowerShell seguente per aggiungere il firmatario ai criteri WDAC:

   Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
   

7. Unire newPolicy.xml con i criteri predefiniti presenti nel computer desktop. Questo passaggio crea mergedPolicy.xml. Ad esempio, consentire l'esecuzione dei driver con firma Windows, WHQL e delle app firmate nello Store:

   Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
   

8. Disabilitare la regola della modalità di controllo in mergedPolicy.xml. Quando si esegue l'unione, la modalità di controllo viene attivata automaticamente:

   Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
   

9. Abilitare invalidateEAs in una regola di riavvio in mergedPolicy.xml:

   Set-RuleOption -o 15 .\mergedPolicy.xml
   

   Per altre informazioni su queste regole, vedere Informazioni sulle regole dei criteri WDAC e sulle regole dei file.

10. Convertire mergedPolicy.xml in formato binario. Questo passaggio crea compiledPolicy.bin. In un passaggio successivo si aggiunge questo file binario compiledPolicy.bin a Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

11. Creare il profilo di configurazione del dispositivo personalizzato in Intune:

    1. Nell'interfaccia di amministrazione Microsoft Intune creare un profilo di configurazione del dispositivo personalizzato Windows 10/11.

       Per i passaggi specifici, passare a Creare un profilo personalizzato usando l'URI OMA in Intune.

    2. Quando si crea il profilo, immettere le impostazioni seguenti:

    • URI OMA: immettere ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. Sostituire <PolicyGUID> con il nodo PolicyTypeID nel file mergedPolicy.xml creato nel passaggio 6.

      Usando l'esempio, immettere ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

      Il GUID dei criteri deve corrispondere al nodo PolicyTypeID nel file mergedPolicy.xml (creato nel passaggio 6).

      L'URI OMA usa il CSP ApplicationControl. Per altre informazioni sui nodi in questo CSP, passare a CSP ApplicationControl.

    • Tipo di dati: impostare su file Base64. Converte automaticamente il file da bin a base64.

    • File di certificato: caricare il file binario compiledPolicy.bin (creato nel passaggio 10).

    Al termine, le impostazioni saranno simili alle seguenti:

    

12. Quando il profilo viene assegnato al gruppo di HoloLens 2, controllare lo stato del profilo. Dopo aver applicato correttamente il profilo, riavviare i dispositivi HoloLens 2.

Passaggi successivi

Assegnare il profilo e monitorarne lo stato.

Altre informazioni sui profili personalizzati in Intune.