Włączanie aplikacji Win32 na urządzeniach w trybie S

Windows 10 tryb S jest zablokowanym systemem operacyjnym, który uruchamia tylko aplikacje ze Sklepu. Domyślnie urządzenia w trybie Systemu Windows nie zezwalają na instalację i wykonywanie aplikacji Win32. Urządzenia te obejmują pojedyncze zasady podstawowe systemu Win 10S, które uniemożliwiają urządzeniu w trybie S uruchamianie dowolnych aplikacji Win32. Jednak tworząc i używając zasad uzupełniających trybu S w Intune, możesz instalować i uruchamiać aplikacje Win32 na urządzeniach zarządzanych w trybie Windows 10 S. Za pomocą narzędzi programu PowerShell Microsoft Defender Application Control (WDAC) można utworzyć co najmniej jedną zasadę uzupełniającą dla trybu S systemu Windows. Zasady uzupełniające należy podpisać za pomocą usługi podpisywania funkcji Device Guard (DGSS) lub za pomocąSignTool.exe, a następnie przekazać i rozpowszechnić zasady za pośrednictwem Intune. Alternatywnie można podpisać zasady uzupełniające przy użyciu certyfikatu codesigning z organizacji, jednak preferowaną metodą jest użycie usługi DGSS. W przypadku, gdy używasz certyfikatu codesigning z organizacji, certyfikat główny, do którego jest dołączany kodowanie certyfikatu, musi być obecny na urządzeniu.

Przypisując zasady uzupełniające trybu S w Intune, włączysz na urządzeniu wyjątek od istniejących zasad trybu S urządzenia, co umożliwia przekazanie odpowiedniego podpisanego wykazu aplikacji. Zasady ustawiają listę dozwolonych aplikacji (wykaz aplikacji), których można używać na urządzeniu w trybie S.

Uwaga

Aplikacje Win32 na urządzeniach w trybie S są obsługiwane tylko Windows 10 aktualizacji z listopada 2019 r. (kompilacja 18363) lub nowszych wersji.

Kroki umożliwiające uruchamianie aplikacji Win32 na urządzeniu Windows 10 w trybie S są następujące:

1. Włączanie urządzeń w trybie S za pośrednictwem Intune w ramach procesu rejestracji Windows 10 S.
2. Utwórz zasady uzupełniające, aby zezwolić na aplikacje Win32:
   • Aby utworzyć zasady uzupełniające, możesz użyć narzędzi Microsoft Defender Application Control (WDAC). Identyfikator zasad podstawowych w ramach zasad musi być zgodny z podstawowym identyfikatorem zasad trybu S (który jest zakodowany na kliencie). Upewnij się również, że wersja zasad jest wyższa niż poprzednia wersja.
   • Do podpisania zasad uzupełniających służy usługa DGSS. Aby uzyskać więcej informacji, zobacz Podpisywanie zasad integralności kodu przy użyciu podpisywania funkcji Device Guard.
   • Podpisane zasady uzupełniające są przekazywane do Intune przez utworzenie zasad uzupełniających trybu Windows 10 S (zobacz poniżej).
3. Wykazy aplikacji Win32 można zezwalać za pośrednictwem Intune:
   • Tworzysz pliki wykazu (po jednym dla każdej aplikacji) i podpisujesz je przy użyciu usługi DGSS lub innej infrastruktury certyfikatów.
   • Podpisany wykaz należy spakować do pliku intunewin przy użyciu narzędzia Microsoft Win32 Content Prep Tool. Nie ma żadnych ograniczeń nazewnictwa podczas tworzenia pliku wykazu przy użyciu narzędzia Microsoft Win32 Content Prep Tool. Podczas generowania pliku intunewin z określonego folderu źródłowego i pliku instalacyjnego można podać oddzielny folder zawierający tylko pliki wykazu przy użyciu opcji -a cmdline. Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami Win32 — przygotowywanie zawartości aplikacji Win32 do przekazania.
   • Intune stosuje podpisany wykaz aplikacji w celu zainstalowania aplikacji Win32 na urządzeniu w trybie S przy użyciu rozszerzenia Intune Management.

Uwaga

Pakiety biznesowe i .appx.appx pakiety w trybie Windows 10 S będą obsługiwane za pośrednictwem podpisywania Microsoft Store dla Firm (MSFB).

Zasady uzupełniające trybu S dla aplikacji muszą być dostarczane za pośrednictwem rozszerzenia Intune Management.

Zasady trybu S są wymuszane na poziomie urządzenia. Na urządzeniu zostanie scalonych wiele zasad docelowych. Scalone zasady zostaną wymuszone na urządzeniu.

Aby utworzyć zasady uzupełniające trybu Windows 10 S, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz kolejno pozycje Zasady uzupełniające>trybu Saplikacji >Utwórz zasady.

3. Przed dodaniem pliku zasad należy go utworzyć i podpisać. Więcej informacji można znaleźć w następujących artykułach:

   • Tworzenie zasad WDAC przy użyciu narzędzi programu PowerShell i konwertowanie ich na format binarny
   • Podpisywanie przy użyciu usługi podpisywania Device Guard(zalecane)

4. Na stronie Podstawy dodaj następujące wartości:

   Value	Opis
   Plik zasad	Plik zawierający zasady WDAC.
   Name (Nazwa)	Nazwa tych zasad.
   Opis	[Opcjonalnie] Opis tych zasad.

5. Wybierz pozycję Dalej: Tagi zakresu.
   Na stronie Tagi zakresu możesz opcjonalnie skonfigurować tagi zakresu, aby określić, kto może wyświetlać zasady aplikacji w Intune. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonego it.

6. Wybierz pozycję Dalej: Przypisania.
   Strona Przypisania umożliwia przypisywanie zasad do użytkowników i urządzeń. Należy pamiętać, że do urządzenia można przypisać zasady, niezależnie od tego, czy urządzenie jest zarządzane przez Intune.

7. Wybierz pozycję Dalej: Przejrzyj i utwórz , aby przejrzeć wartości wprowadzone dla profilu.

8. Po zakończeniu wybierz pozycję Utwórz, aby utworzyć zasady uzupełniające trybu S w Intune.

Po utworzeniu zasad zostanie ona dodana do listy zasad uzupełniających trybu S w Intune. Po przypisaniu zasad zasady zostaną wdrożone na urządzeniach. Należy pamiętać, że należy wdrożyć aplikację w tej samej grupie zabezpieczeń co zasady uzupełniające. Możesz rozpocząć określanie wartości docelowej i przypisywanie aplikacji do tych urządzeń. Umożliwi to użytkownikom końcowym instalowanie i wykonywanie aplikacji na urządzeniach w trybie S.

Usuwanie zasad trybu S

Obecnie, aby usunąć zasady uzupełniające trybu S z urządzenia, należy przypisać i wdrożyć puste zasady w celu zastąpienia istniejących zasad uzupełniających trybu S.

Raportowanie zasad

Zasady uzupełniające trybu S, które są wymuszane na poziomie urządzenia, mają tylko raportowanie na poziomie urządzenia. Raportowanie na poziomie urządzenia jest dostępne dla warunków powodzenia i błędów.

Wartości raportowania wyświetlane w centrum administracyjnym Microsoft Intune zasad raportowania trybu S:

• Powodzenie: obowiązują zasady uzupełniające trybu S.
• Nieznane: stan zasad uzupełniających trybu S nie jest znany.
• TokenError: Zasady uzupełniające trybu S są strukturalnie w porządku, ale wystąpił błąd podczas autoryzowania tokenu.
• NotAuthorizedByToken: token nie autoryzuje zasad uzupełniających trybu S.
• PolicyNotFound: nie można odnaleźć zasad uzupełniających trybu S.

Następne kroki

• Aby uzyskać więcej informacji, zobacz Aplikacje Win32 w trybie s.
• Aby uzyskać więcej informacji na temat dodawania aplikacji do Intune, zobacz Dodawanie aplikacji do Microsoft Intune.
• Aby uzyskać więcej informacji na temat aplikacji Win32, zobacz Intune Zarządzanie aplikacjami Win32.