Ativar aplicações Win32 em dispositivos do modo S

O modo Windows 10 S é um sistema operativo bloqueado que executa apenas aplicações da Loja. Por predefinição, os dispositivos do modo Windows S não permitem a instalação e execução de aplicações Win32. Estes dispositivos incluem uma única política base win 10S, que impede o dispositivo do modo S de executar quaisquer aplicações Win32 na mesma. No entanto, ao criar e utilizar uma política suplementar do modo S no Intune, pode instalar e executar aplicações Win32 em dispositivos geridos no modo Windows 10 S. Ao utilizar as ferramentas do PowerShell do Controlo de Aplicações do Microsoft Defender (WDAC), pode criar uma ou mais políticas suplementares para o modo Windows S. Tem de assinar as políticas suplementares com o Serviço de Assinatura do Device Guard (DGSS) ou com SignTool.exe e, em seguida, carregar e distribuir as políticas através do Intune. Como alternativa, pode assinar as políticas suplementares com um certificado de atribuição de código da sua organização. No entanto, o método preferencial é utilizar o DGSS. Na instância em que utiliza o certificado de atribuição de código da sua organização, o certificado de raiz ao qual o certificado de atribuição de código está ligado tem de estar presente no dispositivo.

Ao atribuir a política suplementar do modo S no Intune, permite que o dispositivo exceda a política de modo S existente do dispositivo, que permite o catálogo de aplicações assinado correspondente carregado. A política define uma lista de permissões de aplicações (o catálogo de aplicações) que podem ser utilizadas no dispositivo do modo S.

Observação

As aplicações Win32 em dispositivos do modo S só são suportadas na Atualização de Novembro de 2019 do Windows 10 (compilação 18363) ou versões posteriores.

Os passos para permitir que as aplicações Win32 sejam executadas num dispositivo Windows 10 no modo S são os seguintes:

1. Ative os dispositivos do modo S através do Intune como parte do processo de inscrição do Windows 10 S.
2. Crie uma política suplementar para permitir aplicações Win32:
   • Pode utilizar ferramentas do Controlo de Aplicações do Microsoft Defender (WDAC) para criar uma política suplementar. O ID da política de base na política tem de corresponder ao ID da política base do modo S (que está codificado no cliente). Além disso, certifique-se de que a versão da política é superior à versão anterior.
   • Utilize a DGSS para assinar a sua política suplementar. Para obter mais informações, veja Assinar política de integridade do código com a assinatura do Device Guard.
   • Carregue a política suplementar assinada para o Intune ao criar uma política suplementar do modo Windows 10 S (ver abaixo).
3. Permite catálogos de aplicações Win32 através do Intune:
   • Cria ficheiros de catálogo (um para cada aplicação) e assina-os com o DGSS ou outra infraestrutura de certificados.
   • Empacota o catálogo assinado no ficheiro .intunewin com a Ferramenta de Preparação de Conteúdos do Microsoft Win32. Não existem restrições de nomenclatura ao criar um ficheiro de catálogo com a Ferramenta de Preparação de Conteúdos do Microsoft Win32. Ao gerar o ficheiro .intunewin a partir da pasta de origem especificada e do ficheiro de configuração, pode fornecer uma pasta separada que contenha apenas ficheiros de catálogo através da opção -a cmdline. Para obter mais informações, veja Gestão de aplicações Win32 – Preparar o conteúdo da aplicação Win32 para carregamento.
   • O Intune aplica o catálogo de aplicações assinado para instalar a aplicação Win32 no dispositivo do modo S com a Extensão de Gestão do Intune.

Observação

A política suplementar do modo S para aplicações tem de ser fornecida através da Extensão de Gestão do Intune.

As políticas do modo S são impostas ao nível do dispositivo. Várias políticas direcionadas serão intercaladas no dispositivo. A política intercalada será imposta no dispositivo.

Para criar uma política suplementar do modo Windows 10 S, utilize os seguintes passos:

1. Entre no Centro de administração do Microsoft Intune.

2. SelecionePolíticas suplementares do modo S aplicações>>Criar política.

3. Antes de adicionar o ficheiro De política, tem de o criar e assinar. Para saber mais, confira:

   • Criar uma política WDAC com ferramentas do PowerShell e convertê-la num formato binário
   • Iniciar sessão com o Serviço de Assinatura do Device Guard(recomendado)

4. Na página Conceitos Básicos, adicione os seguintes valores:

   Valor	Descrição
   Ficheiro de política	O ficheiro que contém a política WDAC.
   Nome	O nome desta política.
   Descrição	[Opcional] A descrição desta política.

5. Selecione Seguinte: Etiquetas de âmbito.
   Na página Etiquetas de âmbito , opcionalmente, pode configurar etiquetas de âmbito para determinar quem pode ver a política de aplicações no Intune. Para obter mais informações sobre marcas de escopo, veja o artigo Usar controle de acesso baseado em função e marcas de escopo para TI distribuída.

6. Selecione Avançar: Atribuições.
   A página Atribuições permite-lhe atribuir a política a utilizadores e dispositivos. É importante ter em atenção que pode atribuir uma política a um dispositivo, quer o dispositivo seja ou não gerido pelo Intune.

7. Selecione Seguinte: Rever + criar para rever os valores que introduziu para o perfil.

8. Quando terminar, selecione Criar para criar a política suplementar do modo S no Intune.

Assim que a política for criada, irá vê-la adicionada à lista de políticas suplementares do modo S no Intune. Assim que a política for atribuída, a política é implementada nos dispositivos. Tenha em atenção que tem de implementar a aplicação no mesmo grupo de segurança que a política suplementar. Pode começar a filtrar e atribuir aplicações a esses dispositivos. Isto permitirá que os utilizadores finais instalem e executem as aplicações nos dispositivos do modo S.

Remoção da política do modo S

Atualmente, para remover a política suplementar do modo S do dispositivo, tem de atribuir e implementar uma política vazia para substituir a política suplementar do modo S existente.

Relatórios de Políticas

A política suplementar do modo S, que é imposta ao nível do dispositivo, tem apenas relatórios ao nível do dispositivo. Os relatórios ao nível do dispositivo estão disponíveis para as condições de êxito e de erro.

Valores de relatórios apresentados no centro de administração do Microsoft Intune para políticas de relatórios do modo S:

• Êxito: a política suplementar do modo S está em vigor.
• Desconhecido: o estado da política suplementar do modo S não é conhecido.
• TokenError: a política suplementar do modo S está estruturalmente bem, mas existe um erro ao autorizar o token.
• NotAuthorizedByToken: o token não autoriza esta política suplementar do modo S.
• PolicyNotFound: a política suplementar do modo S não foi encontrada.

Próximas etapas

• Para obter mais informações, veja Aplicações Win32 no modo s.
• Para obter mais informações sobre como adicionar aplicativos ao Intune, confira Adicionar aplicativos ao Microsoft Intune.
• Para obter mais informações sobre as aplicações Win32, veja Gestão de aplicações Win32 do Intune.