Włączanie aplikacji Win32 na urządzeniach w trybie S

Tryb Windows 10 S to zablokowany system operacyjny, który uruchamia tylko aplikacje ze Sklepu. Domyślnie urządzenia w trybie Systemu Windows nie zezwalają na instalację i wykonywanie aplikacji Win32. Urządzenia te obejmują pojedyncze zasady podstawowe systemu Win 10S, które uniemożliwiają urządzeniu w trybie S uruchamianie dowolnych aplikacji Win32. Jednak tworząc i używając zasad uzupełniających trybu S w usłudze Intune, możesz instalować i uruchamiać aplikacje Win32 na urządzeniach zarządzanych w trybie Windows 10 S. Za pomocą narzędzi programu PowerShell microsoft defender application control (WDAC) można utworzyć co najmniej jedną zasadę uzupełniającą dla trybu S systemu Windows. Zasady uzupełniające należy podpisać za pomocą usługi podpisywania funkcji Device Guard (DGSS) lub za pomocąSignTool.exe , a następnie przekazać i rozpowszechnić zasady za pośrednictwem usługi Intune. Alternatywnie można podpisać zasady uzupełniające przy użyciu certyfikatu codesigning z organizacji, jednak preferowaną metodą jest użycie usługi DGSS. W przypadku, gdy używasz certyfikatu codesigning z organizacji, certyfikat główny, do którego jest dołączany kodowanie certyfikatu, musi być obecny na urządzeniu.

Przypisując zasady uzupełniające trybu S w usłudze Intune, możesz włączyć na urządzeniu wyjątek od istniejących zasad trybu S urządzenia, co umożliwia przekazanie odpowiedniego podpisanego wykazu aplikacji. Zasady ustawiają listę dozwolonych aplikacji (wykaz aplikacji), których można używać na urządzeniu w trybie S.

Uwaga

Aplikacje Win32 na urządzeniach w trybie S są obsługiwane tylko w systemie Windows 10 listopada 2019 Update (kompilacja 18363) lub nowszych wersjach.

Kroki umożliwiające uruchamianie aplikacji Win32 na urządzeniu z systemem Windows 10 w trybie S są następujące:

1. Włączanie urządzeń w trybie S za pośrednictwem usługi Intune w ramach procesu rejestracji systemu Windows 10 S.
2. Utwórz zasady uzupełniające, aby zezwolić na aplikacje Win32:
   • Aby utworzyć zasady uzupełniające, możesz użyć narzędzi kontroli aplikacji usługi Microsoft Defender (WDAC ). Identyfikator zasad podstawowych w ramach zasad musi być zgodny z podstawowym identyfikatorem zasad trybu S (który jest zakodowany na kliencie). Upewnij się również, że wersja zasad jest wyższa niż poprzednia wersja.
   • Do podpisania zasad uzupełniających służy usługa DGSS. Aby uzyskać więcej informacji, zobacz Podpisywanie zasad integralności kodu przy użyciu podpisywania funkcji Device Guard.
   • Podpisane zasady uzupełniające są przekazywane do usługi Intune przez utworzenie zasad uzupełniających trybu Windows 10 S (zobacz poniżej).
3. Możesz zezwolić na katalogi aplikacji Win32 za pośrednictwem usługi Intune:
   • Tworzysz pliki wykazu (po jednym dla każdej aplikacji) i podpisujesz je przy użyciu usługi DGSS lub innej infrastruktury certyfikatów.
   • Podpisany wykaz należy spakować do pliku intunewin przy użyciu narzędzia Microsoft Win32 Content Prep Tool. Nie ma żadnych ograniczeń nazewnictwa podczas tworzenia pliku wykazu przy użyciu narzędzia Microsoft Win32 Content Prep Tool. Podczas generowania pliku intunewin z określonego folderu źródłowego i pliku instalacyjnego można podać oddzielny folder zawierający tylko pliki wykazu przy użyciu opcji -a cmdline. Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami Win32 — przygotowywanie zawartości aplikacji Win32 do przekazania.
   • Usługa Intune stosuje podpisany wykaz aplikacji w celu zainstalowania aplikacji Win32 na urządzeniu w trybie S przy użyciu rozszerzenia do zarządzania usługi Intune.

Uwaga

Zasady uzupełniające trybu S dla aplikacji muszą być dostarczane za pośrednictwem rozszerzenia do zarządzania usługi Intune.

Zasady trybu S są wymuszane na poziomie urządzenia. Na urządzeniu zostanie scalonych wiele zasad docelowych. Scalone zasady zostaną wymuszone na urządzeniu.

Aby utworzyć zasady uzupełniające trybu Windows 10 S, wykonaj następujące kroki:

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz kolejno pozycje Zasady uzupełniające>trybu Saplikacji >Utwórz zasady.

3. Przed dodaniem pliku zasad należy go utworzyć i podpisać. Więcej informacji można znaleźć w następujących artykułach:

   • Tworzenie zasad WDAC przy użyciu narzędzi programu PowerShell i konwertowanie ich na format binarny
   • Podpisywanie przy użyciu usługi podpisywania Device Guard(zalecane)

4. Na stronie Podstawy dodaj następujące wartości:

   Value	Opis
   Plik zasad	Plik zawierający zasady WDAC.
   Name (Nazwa)	Nazwa tych zasad.
   Opis	[Opcjonalnie] Opis tych zasad.

5. Wybierz pozycję Dalej: Tagi zakresu.
   Na stronie Tagi zakresu możesz opcjonalnie skonfigurować tagi zakresu, aby określić, kto może wyświetlać zasady aplikacji w usłudze Intune. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonego it.

6. Wybierz pozycję Dalej: Przypisania.
   Strona Przypisania umożliwia przypisywanie zasad do użytkowników i urządzeń. Należy pamiętać, że do urządzenia można przypisać zasady, niezależnie od tego, czy urządzenie jest zarządzane przez usługę Intune.

7. Wybierz pozycję Dalej: Przejrzyj i utwórz , aby przejrzeć wartości wprowadzone dla profilu.

8. Po zakończeniu wybierz pozycję Utwórz , aby utworzyć zasady uzupełniające trybu S w usłudze Intune.

Po utworzeniu zasad zostanie ona dodana do listy zasad uzupełniających trybu S w usłudze Intune. Po przypisaniu zasad zasady zostaną wdrożone na urządzeniach. Należy pamiętać, że należy wdrożyć aplikację w tej samej grupie zabezpieczeń co zasady uzupełniające. Możesz rozpocząć określanie wartości docelowej i przypisywanie aplikacji do tych urządzeń. Umożliwi to użytkownikom końcowym instalowanie i wykonywanie aplikacji na urządzeniach w trybie S.

Usuwanie zasad trybu S

Obecnie, aby usunąć zasady uzupełniające trybu S z urządzenia, należy przypisać i wdrożyć puste zasady w celu zastąpienia istniejących zasad uzupełniających trybu S.

Raportowanie zasad

Zasady uzupełniające trybu S, które są wymuszane na poziomie urządzenia, mają tylko raportowanie na poziomie urządzenia. Raportowanie na poziomie urządzenia jest dostępne dla warunków powodzenia i błędów.

Wartości raportowania wyświetlane w centrum administracyjnym usługi Microsoft Intune dla zasad raportowania trybu S:

• Powodzenie: obowiązują zasady uzupełniające trybu S.
• Nieznane: stan zasad uzupełniających trybu S nie jest znany.
• TokenError: Zasady uzupełniające trybu S są strukturalnie w porządku, ale wystąpił błąd podczas autoryzowania tokenu.
• NotAuthorizedByToken: token nie autoryzuje zasad uzupełniających trybu S.
• PolicyNotFound: nie można odnaleźć zasad uzupełniających trybu S.

Następne kroki

• Aby uzyskać więcej informacji, zobacz Aplikacje Win32 w trybie s.
• Aby uzyskać więcej informacji na temat dodawania aplikacji do usługi Intune, zobacz Dodawanie aplikacji do usługi Microsoft Intune.
• Aby uzyskać więcej informacji na temat aplikacji Win32, zobacz Zarządzanie aplikacjami Win32 w usłudze Intune.