Win32-apps inschakelen op S-modusapparaten

Windows 10 S-modus is een vergrendeld besturingssysteem waarop alleen Store-apps worden uitgevoerd. Windows S-modusapparaten staan standaard geen installatie en uitvoering van Win32-apps toe. Deze apparaten bevatten één Win 10S-basisbeleid, waardoor het S-modusapparaat geen Win32-apps op het apparaat kan uitvoeren. Door echter een aanvullend beleid voor de S-modus in Intune te maken en te gebruiken, kunt u Win32-apps installeren en uitvoeren op beheerde apparaten in de Windows 10 S-modus. Met behulp van de PowerShell-hulpprogramma's van Microsoft Defender Application Control (WDAC) kunt u een of meer aanvullende beleidsregels maken voor de Windows S-modus. U moet het aanvullende beleid ondertekenen met de Device Guard Signing Service (DGSS) of met SignTool.exe en vervolgens het beleid uploaden en distribueren via Intune. Als alternatief kunt u het aanvullende beleid ondertekenen met een codesigning-certificaat van uw organisatie, maar de voorkeursmethode is om DGSS te gebruiken. In het geval dat u het codesigning-certificaat van uw organisatie gebruikt, moet het basiscertificaat waarnaar het codesigning-certificaat is gekoppeld, aanwezig zijn op het apparaat.

Door het aanvullende beleid voor S-modus toe te wijzen in Intune, kunt u het apparaat in staat stellen om een uitzondering te maken op het bestaande S-modusbeleid van het apparaat, waardoor de geüploade bijbehorende ondertekende app-catalogus kan worden toegestaan. Het beleid stelt een acceptatielijst in van apps (de app-catalogus) die kunnen worden gebruikt op het S-modusapparaat.

Opmerking

Win32-apps op apparaten in de S-modus worden alleen ondersteund in de Windows 10-update van november 2019 (build 18363) of latere versies.

De stappen om Win32-apps uit te voeren op een Windows 10-apparaat in de S-modus zijn als volgt:

1. Schakel apparaten in de S-modus in via Intune als onderdeel van het windows 10 S-inschrijvingsproces.
2. Maak een aanvullend beleid om Win32-apps toe te staan:
   • U kunt hulpprogramma's van Microsoft Defender Application Control (WDAC) gebruiken om een aanvullend beleid te maken. De basisbeleids-id binnen het beleid moet overeenkomen met de basisbeleids-id van de S-modus (deze is vastgelegd op de client). Zorg er ook voor dat de beleidsversie hoger is dan de vorige versie.
   • U gebruikt DGSS om uw aanvullende beleid te ondertekenen. Zie Code-integriteitsbeleid ondertekenen met Device Guard-ondertekening voor meer informatie.
   • U uploadt het ondertekende aanvullende beleid naar Intune door een aanvullend windows 10 S-modusbeleid te maken (zie hieronder).
3. U staat Win32-app-catalogi toe via Intune:
   • U maakt catalogusbestanden (één voor elke app) en ondertekent deze met behulp van DGSS of een andere certificaatinfrastructuur.
   • U verpakt de ondertekende catalogus in het .intunewin-bestand met behulp van het Microsoft Win32-hulpprogramma voor het voorbereiden van inhoud. Er gelden geen naambeperkingen bij het maken van een catalogusbestand met behulp van het Microsoft Win32-hulpprogramma voor het voorbereiden van inhoud. Wanneer u het .intunewin-bestand genereert vanuit de opgegeven bronmap en het installatiebestand, kunt u een afzonderlijke map opgeven die alleen catalogusbestanden bevat met behulp van de optie -a cmdline. Zie Win32-app-beheer - De inhoud van de Win32-app voorbereiden voor uploaden voor meer informatie.
   • Intune past de ondertekende app-catalogus toe om de Win32-app te installeren op het S-modusapparaat met behulp van de Intune-beheerextensie.

Opmerking

Aanvullend S-modusbeleid voor apps moet worden geleverd via de Intune-beheerextensie.

S-modusbeleid wordt afgedwongen op apparaatniveau. Meerdere gerichte beleidsregels worden samengevoegd op het apparaat. Het samengevoegde beleid wordt afgedwongen op het apparaat.

Voer de volgende stappen uit om een aanvullend beleid voor windows 10 S-modus te maken:

1. Meld je aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Apps>S-modus aanvullend beleid>Beleid maken.

3. Voordat u het beleidsbestand toevoegt, moet u het maken en ondertekenen. Zie voor meer informatie:

   • Een WDAC-beleid maken met behulp van PowerShell-hulpprogramma's en dit converteren naar een binaire indeling
   • Ondertekenen met device guard-ondertekeningsservice(aanbevolen)

4. Voeg op de pagina Basisinformatie de volgende waarden toe:

   Waarde	Beschrijving
   Beleidsbestand	Het bestand dat het WDAC-beleid bevat.
   Naam	De naam van dit beleid.
   Beschrijving	[Optioneel] De beschrijving van dit beleid.

5. Selecteer Volgende: Bereiktags.
   Op de pagina Bereiktags kunt u optioneel bereiktags configureren om te bepalen wie het app-beleid in Intune kan zien. Zie Op rollen gebaseerd toegangsbeheer en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

6. Selecteer Volgende: Toewijzingen.
   Op de pagina Toewijzingen kunt u het beleid toewijzen aan gebruikers en apparaten. Het is belangrijk om te weten dat u een beleid kunt toewijzen aan een apparaat, ongeacht of het apparaat wordt beheerd door Intune.

7. Selecteer Volgende: Controleren en maken om de waarden te controleren die u hebt ingevoerd voor het profiel.

8. Wanneer u klaar bent, selecteert u Maken om het aanvullende S-modusbeleid in Intune te maken.

Zodra het beleid is gemaakt, wordt het toegevoegd aan de lijst met aanvullende S-modusbeleid in Intune. Zodra het beleid is toegewezen, wordt het beleid geïmplementeerd op de apparaten. Houd er rekening mee dat u de app moet implementeren in dezelfde beveiligingsgroep als het aanvullende beleid. U kunt beginnen met het richten en toewijzen van apps aan die apparaten. Hierdoor kunnen uw eindgebruikers de apps installeren en uitvoeren op de S-modusapparaten.

S-modusbeleid verwijderen

Als u momenteel het aanvullende beleid voor de S-modus van het apparaat wilt verwijderen, moet u een leeg beleid toewijzen en implementeren om het bestaande aanvullende S-modusbeleid te overschrijven.

Beleidsrapportage

Het aanvullende S-modusbeleid, dat wordt afgedwongen op apparaatniveau, heeft alleen rapportage op apparaatniveau. Rapportage op apparaatniveau is beschikbaar voor geslaagde en foutvoorwaarden.

Rapportagewaarden die worden weergegeven in het Microsoft Intune-beheercentrum voor rapportagebeleid voor S-modus:

• Geslaagd: het aanvullende beleid voor de S-modus is van kracht.
• Onbekend: de status van het aanvullende S-modusbeleid is niet bekend.
• TokenError: het aanvullende beleid voor de S-modus is structureel in orde, maar er is een fout opgetreden bij het autoriseren van het token.
• NotAuthorizedByToken: het token autoriseert dit aanvullende S-modusbeleid niet.
• PolicyNotFound: het aanvullende beleid voor de S-modus is niet gevonden.

Volgende stappen

• Zie Win32-apps in s-modus voor meer informatie.
• Zie Apps toevoegen aan Microsoft Intune voor meer informatie over het toevoegen van apps aan Intune.
• Zie Intune Win32-appbeheer voor meer informatie over Win32-apps.