Usare WDAC e Windows PowerShell per consentire o bloccare le app nei dispositivi HoloLens 2 con Microsoft Intune
Microsoft HoloLens 2 dispositivi supportano il CSP WDAC (Application Control) Windows Defender, che sostituisce il CSP AppLocker.
Usando Windows PowerShell e Microsoft Intune, è possibile usare WDAC CSP per consentire o bloccare l'apertura di app specifiche in Microsoft HoloLens 2 dispositivi. Ad esempio, è possibile consentire o impedire l'apertura di un'app nei dispositivi HoloLens 2 dell'organizzazione.
Questa funzionalità si applica a:
- HoloLens 2 dispositivi che eseguono Windows Holographic for Business
WDAC CSP si basa sulla funzionalità WDAC (Application Control) Windows Defender. È anche possibile usare più criteri WDAC.
Questo articolo illustra come:
- Usare Windows PowerShell per creare criteri WDAC.
- Usare Windows PowerShell per convertire le regole dei criteri WDAC in XML, aggiornare il codice XML e quindi convertire il codice XML in un file binario.
- In Microsoft Intune creare un profilo di configurazione del dispositivo personalizzato, aggiungere questo file binario dei criteri WDAC e applicare i criteri ai dispositivi HoloLens 2.
In Intune è necessario creare un profilo di configurazione personalizzato per usare il provider di servizi di configurazione WDAC (Windows Defender Application Control).
Usare la procedura descritta in questo articolo come modello per consentire o negare l'apertura di app specifiche nei dispositivi HoloLens 2.
Prerequisiti
Acquisire familiarità con Windows PowerShell.
Accedere a Intune come membro di:
Ruolo Intune amministratore dei criteri e dei profili o amministratore del ruolo di Intune
OPPURE
Ruolo Microsoft Entra Amministratore globale o Amministratore del servizio Intune
Per altre informazioni sui ruoli di Intune, vedere Controllo degli accessi in base al ruolo con Intune.
Creare un gruppo di utenti o dispositivi con i dispositivi HoloLens 2. Per altre informazioni sui gruppi, vedere Gruppi di utenti e gruppi di dispositivi.
Esempio
Questo esempio usa Windows PowerShell per creare un criterio WDAC (Application Control) Windows Defender. Il criterio impedisce l'apertura di app specifiche. Usare quindi Intune per distribuire i criteri ai dispositivi HoloLens 2.
Nel computer desktop aprire l'app Windows PowerShell.
Ottenere informazioni sul pacchetto dell'applicazione installato nel computer desktop e in HoloLens:
$package1 = Get-AppxPackage -name *<applicationname>*
Ad esempio, immettere:
$package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
Verificare quindi che il pacchetto abbia attributi dell'applicazione:
$package1
Vengono visualizzati dettagli dell'app simili agli attributi seguenti:
Name : Microsoft.MicrosoftEdge Publisher : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US Architecture : Neutral ResourceId : Version : 44.20190.1000.0 PackageFullName : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe InstallLocation : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe IsFramework : False PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe PublisherId : 8wekyb3d8bbwe IsResourcePackage : False IsBundle : False IsDevelopmentMode : False NonRemovable : True IsPartiallyStaged : False SignatureKind : System Status : Ok
Creare un criterio WDAC e aggiungere il pacchetto dell'app alla regola DENY:
$rule = New-CIPolicyRule -Package $package1 -Deny
Ripetere i passaggi 2 e 3 per tutte le altre applicazioni che si desidera NEGARE:
$rule += New-CIPolicyRule -Package $package<2..n> -Deny
Ad esempio, immettere:
$package2 = Get-AppxPackage -name *windowsstore* $rule += New-CIPolicyRule -Package $package<2..n> -Deny
Convertire i criteri WDAC in newPolicy.xml:
Nota
È possibile bloccare le app installate solo nei dispositivi HoloLens. Per altre informazioni, vedere i nomi delle famiglie di pacchetti per le app in HoloLens.
New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
Per impostare come destinazione tutte le versioni di un'app, in newPolicy.xml assicurarsi che
PackageVersion="65535.65535.65535.65535"
sia nel nodo Deny:<Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
Per
PackageFamilyNameRules
è possibile usare le versioni seguenti:- Consenti: immettere
PackageVersion, 0.0.0.0
, che significa "Consenti questa versione e versioni successive". - Nega: immettere
PackageVersion, 65535.65535.65535.65535
, che significa "Nega questa versione e versioni successive".
- Consenti: immettere
Se si prevede di distribuire ed eseguire app che non hanno origine da Microsoft Store, ad esempio app line-of-business (vedere Gestione app), consentire in modo esplicito queste app aggiungendo il firmatario ai criteri WDAC.
Nota
L'uso di app WDAC e LOB è attualmente disponibile solo nelle funzionalità di Windows Insiders per HoloLens.
Ad esempio, si prevede di distribuire
ATestApp.msix
.ATestApp.msix
è firmato dalTestCert.cer
certificato. Usare lo script di Windows PowerShell seguente per aggiungere il firmatario ai criteri WDAC:Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
Unire newPolicy.xml con i criteri predefiniti presenti nel computer desktop. Questo passaggio crea mergedPolicy.xml. Ad esempio, consentire l'esecuzione dei driver con firma Windows, WHQL e delle app firmate nello Store:
Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
Disabilitare la regola della modalità di controllo in mergedPolicy.xml. Quando si esegue l'unione, la modalità di controllo viene attivata automaticamente:
Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
Abilitare invalidateEAs in una regola di riavvio in mergedPolicy.xml:
Set-RuleOption -o 15 .\mergedPolicy.xml
Per altre informazioni su queste regole, vedere Informazioni sulle regole dei criteri WDAC e sulle regole dei file.
Convertire mergedPolicy.xml in formato binario. Questo passaggio crea compiledPolicy.bin. In un passaggio successivo si aggiunge questo file binario compiledPolicy.bin a Intune.
ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
Creare il profilo di configurazione del dispositivo personalizzato in Intune:
Nell'interfaccia di amministrazione Microsoft Intune creare un profilo di configurazione del dispositivo personalizzato Windows 10/11.
Per i passaggi specifici, passare a Creare un profilo personalizzato usando l'URI OMA in Intune.
Quando si crea il profilo, immettere le impostazioni seguenti:
URI OMA: immettere
./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy
. Sostituire<PolicyGUID>
con il nodo PolicyTypeID nel file mergedPolicy.xml creato nel passaggio 6.Usando l'esempio, immettere
./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy
.Il GUID dei criteri deve corrispondere al nodo PolicyTypeID nel file mergedPolicy.xml (creato nel passaggio 6).
L'URI OMA usa il CSP ApplicationControl. Per altre informazioni sui nodi in questo CSP, passare a CSP ApplicationControl.
Tipo di dati: impostare su file Base64. Converte automaticamente il file da bin a base64.
File di certificato: caricare il file binario compiledPolicy.bin (creato nel passaggio 10).
Al termine, le impostazioni saranno simili alle seguenti:
Quando il profilo viene assegnato al gruppo di HoloLens 2, controllare lo stato del profilo. Dopo aver applicato correttamente il profilo, riavviare i dispositivi HoloLens 2.
Passaggi successivi
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per