Ativar aplicações Win32 em dispositivos do modo S

Windows 10 modo S é um sistema operativo bloqueado que apenas executa aplicações da Loja. Por predefinição, Windows dispositivos do modo S não permitem a instalação e execução de aplicações Win32. Estes dispositivos incluem uma única política base win 10S, que impede o dispositivo do modo S de executar quaisquer aplicações Win32 no mesmo. No entanto, ao criar e utilizar uma política suplementar de modo S no Intune, pode instalar e executar aplicações Win32 em dispositivos geridos Windows 10 modo S. Ao utilizar as ferramentas PowerShell do Microsoft Defender Application Control (WDAC), pode criar uma ou mais políticas suplementares para Windows modo S. Deve assinar as políticas suplementares com o Serviço de Assinatura da Guarda de Dispositivos (DGSS) ou com SignTool.exe e, em seguida, fazer o upload e distribuir as políticas através do Intune. Como alternativa, pode assinar as políticas suplementares com um certificado de codesigning da sua organização, no entanto o método preferido é utilizar a DGSS. No caso de utilizar o certificado de code-design da sua organização, o certificado de raiz que o certificado de code-design acordá-lo deve estar presente no dispositivo.

Ao atribuir a política suplementar do modo S no Intune, permite que o dispositivo abriu uma exceção à política de modo S existente do dispositivo, que permite o catálogo de aplicações assinado correspondente ao carregamento. A política define uma lista de aplicações (o catálogo de aplicações) que podem ser usadas no dispositivo do modo S.

Nota

As aplicações Win32 em dispositivos do modo S só são suportadas em Windows 10 novembro de 2019 Update (build 18363) ou versões posteriores.

Os passos para permitir que as aplicações Win32 sejam executadas num dispositivo Windows 10 no modo S são as seguintes:

1. Ativar os dispositivos do modo S através do Intune como parte do processo de inscrição Windows 10 S.
2. Crie uma política suplementar para permitir aplicações Win32:
   • Pode utilizar as ferramentas Microsoft Defender Application Control (WDAC) para criar uma política suplementar. O ID da política de base dentro da apólice deve coincidir com o Id de base do modo S (que é codificado duramente no cliente). Além disso, certifique-se de que a versão política é superior à versão anterior.
   • Utiliza a DGSS para assinar a sua política suplementar. Para obter mais informações, consulte a política de integridade do código de sinais com a assinatura da Proteção de Dispositivos.
   • Você carrega a política suplementar assinada para Intune criando uma política suplementar Windows 10 modo S (ver abaixo).
3. Você permite catálogos de aplicativos Win32 através do Intune:
   • Cria ficheiros de catálogo (1 para cada app) e assina-os utilizando a DGSS ou outra infraestrutura de certificados.
   • Embale o catálogo assinado no ficheiro .intunewin utilizando a Ferramenta de Preparação de Conteúdos Microsoft Win32. Não existem restrições de nomeação ao criar um ficheiro de catálogo utilizando a Ferramenta de Preparação de Conteúdos Microsoft Win32. Ao gerar o ficheiro .intunewin a partir da pasta de origem especificada e do ficheiro de configuração, pode fornecer uma pasta separada que contenha apenas ficheiros de catálogo utilizando a opção -um cmdline. Para obter mais informações, consulte a gestão da aplicação Win32 - Prepare o conteúdo da aplicação Win32 para o upload.
   • A Intune aplica o catálogo de aplicações assinado para instalar a aplicação Win32 no dispositivo do modo S utilizando a Extensão de Gestão Intune.

Nota

A linha de negócios (LOB) .appx e .appx os pacotes no modo S Windows 10 serão suportados através da assinatura Microsoft Store para Empresas (MSFB).

A política suplementar do modo S para apps deve ser entregue através da Extensão de Gestão intune.

As políticas do modo S são aplicadas ao nível do dispositivo. Várias políticas direcionadas serão fundidas no dispositivo. A política de fusão será aplicada no dispositivo.

Para criar uma política suplementar Windows 10 modo S, utilize os seguintes passos:

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione > políticas suplementares do modo Apps S Criar > política.

3. Antes de adicionar o ficheiro Política, deve criá-lo e assiná-lo. Para obter mais informações, consulte:

   • Crie uma política WDAC utilizando ferramentas PowerShell e converta-a num formato binário
   • Assine usando o serviço de assinatura da proteção do dispositivo (recomendado)

4. Na página Basics, adicione os seguintes valores:

   Valor	Descrição
   Arquivo de política	O ficheiro que contém a política do WDAC.
   Name	O nome desta apólice.
   Description	[Opcional] A descrição desta política.

5. Clique em seguida: Etiquetas de âmbito.
   Na página de tags Scope pode configurar opcionalmente etiquetas de âmbito para determinar quem pode ver a política da aplicação no Intune. Para obter mais informações sobre etiquetas de âmbito, consulte use o controlo de acesso baseado em funções e etiquetas de âmbito para TI distribuídos.

6. Clique em Seguinte: Atribuições.
   A página Atribuições permite atribuir a política aos utilizadores e dispositivos. É importante notar que pode atribuir uma apólice a um dispositivo, quer o dispositivo seja ou não gerido pela Intune.

7. Clique em Seguinte: Revê + criar para rever os valores introduzidos para o perfil.

8. Quando terminar, clique em Criar para criar a política suplementar do modo S no Intune.

Uma vez criada a política, verá que será adicionada à lista de políticas suplementares do modo S no Intune. Uma vez atribuída a apólice, a política é implementada para os dispositivos. Note que deve implementar a aplicação para o mesmo grupo de segurança que a política suplementar. Pode começar a direcionar e atribuir aplicações a esses dispositivos. Isto permitirá aos seus utilizadores finais instalar e executar as aplicações nos dispositivos do modo S.

Remoção da política do modo S

Atualmente, para remover a política suplementar do modo S do dispositivo, tem de atribuir e implementar uma política vazia para substituir a política suplementar do modo S existente.

Relatórios de Política

A política suplementar do modo S, que é aplicada ao nível do dispositivo, tem apenas relatórios de nível do dispositivo. O relatório do nível do dispositivo está disponível para condições de sucesso e erro.

Valores de reporte que são mostrados na consola Intune para polícias de reporte de modo S:

• Sucesso: A política suplementar do modo S está em vigor.
• Desconhecido: O estado da política suplementar do modo S não é conhecido.
• TokenError: A política suplementar do modo S é estruturalmente boa, mas há um erro ao autorizar o token.
• NotAuthorizedByToken: O token não autoriza esta política suplementar do modo S.
• PolicyNotFound: A política suplementar do modo S não é encontrada.

Passos seguintes

• Para obter mais informações, consulte as aplicações Win32 no modo s.
• Para obter mais informações sobre como adicionar aplicações ao Intune, veja Adicionar aplicações ao Microsoft Intune.
• Para mais informações sobre as aplicações Win32, consulte a gestão de aplicações Intune Win32.