Habilitar aplicativos Win32 em dispositivos de modo S

  • Artigo

O modo S do Windows 10 é um sistema operacional bloqueado que executa apenas aplicativos store. Por padrão, os dispositivos de modo S do Windows não permitem a instalação e a execução de aplicativos Win32. Esses dispositivos incluem uma única política base do Win 10S, que bloqueia o dispositivo de modo S de executar qualquer aplicativo Win32 nele. No entanto, criando e usando uma política suplementar do modo S em Intune, você pode instalar e executar aplicativos Win32 em dispositivos gerenciados do modo S do Windows 10. Usando as ferramentas do WDAC (Controle de Aplicativo) do Microsoft Defender, você pode criar uma ou mais políticas complementares para o modo Windows S. Você deve assinar as políticas complementares com o DGSS (Serviço de Assinatura do Device Guard) ou com SignTool.exe e carregar e distribuir as políticas por meio de Intune. Como alternativa, você pode assinar as políticas suplementares com um certificado de codificação de sua organização, no entanto, o método preferido é usar o DGSS. Na instância em que você usa o certificado de codificação de sua organização, o certificado raiz ao qual o certificado de codificação é conectado deve estar presente no dispositivo.

Ao atribuir a política suplementar do modo S em Intune, você permite que o dispositivo faça uma exceção à política de modo S existente do dispositivo, que permite o catálogo de aplicativos assinados correspondente carregado. A política define uma lista de permissões de aplicativos (o catálogo de aplicativos) que podem ser usados no dispositivo de modo S.

Observação

Os aplicativos Win32 em dispositivos de modo S só têm suporte na Atualização do Windows 10 de novembro de 2019 (build 18363) ou em versões posteriores.

As etapas para permitir que aplicativos Win32 sejam executados em um dispositivo Windows 10 no modo S são as seguintes:

  1. Habilitar dispositivos de modo S por meio de Intune como parte do processo de registro do Windows 10 S.
  2. Crie uma política complementar para permitir aplicativos Win32:
    • Você pode usar Microsoft Defender ferramentas do WDAC (Controle de Aplicativo) para criar uma política complementar. A ID da política base dentro da política deve corresponder à ID da política de base do modo S (que é codificada com código rígido no cliente). Além disso, verifique se a versão da política é maior que a versão anterior.
    • Você usa o DGSS para assinar sua política suplementar. Para obter mais informações, consulte Assinar política de integridade de código com a assinatura do Device Guard.
    • Você carrega a política suplementar assinada para Intune criando uma política complementar do modo S do Windows 10 (confira abaixo).
  3. Você permite catálogos de aplicativos Win32 por meio de Intune:

Observação

O LOB (line-of-business) .appx e .appx os pacotes no modo S do Windows 10 terão suporte por meio da assinatura de Microsoft Store para Empresas (MSFB).

A política complementar de modo S para aplicativos deve ser entregue por meio da Extensão de Gerenciamento Intune.

As políticas de modo S são impostas no nível do dispositivo. Várias políticas de destino serão mescladas no dispositivo. A política mesclada será imposta no dispositivo.

Para criar uma política complementar do modo S do Windows 10, use as seguintes etapas:

  1. Entre no centro de administração Microsoft Intune.

  2. Selecione Políticas complementares>do modo Aplicativos> SCriar política.

  3. Antes de adicionar o arquivo Policy, você deve criá-lo e assiná-lo. Para saber mais, veja:

  4. Na página Conceitos Básicos, adicione os seguintes valores:

    Valor Descrição
    Arquivo de política O arquivo que contém a política WDAC.
    Nome O nome dessa política.
    Descrição [Opcional] A descrição dessa política.

  5. Selecione Avançar: Marcas de escopo.
    Na página Marcas de escopo, opcionalmente, você pode configurar marcas de escopo para determinar quem pode ver a política do aplicativo no Intune. Para obter mais informações sobre marcas de escopo, veja o artigo Usar controle de acesso baseado em função e marcas de escopo para TI distribuída.

  6. Selecione Avançar: Atribuições.
    A página Atribuições permite que você possa atribuir a política a usuários e dispositivos. É importante observar que você pode atribuir uma política a um dispositivo se o dispositivo é gerenciado ou não por Intune.

  7. Selecione Avançar: Examinar + criar para examinar os valores inseridos para o perfil.

  8. Quando terminar, selecione Criar para criar a política complementar do modo S no Intune.

Depois que a política for criada, você a verá adicionada à lista de políticas suplementares do modo S em Intune. Depois que a política é atribuída, a política é implantada nos dispositivos. Observe que você deve implantar o aplicativo no mesmo grupo de segurança que a política complementar. Você pode começar a direcionar e atribuir aplicativos a esses dispositivos. Isso permitirá que os usuários finais instalem e executem os aplicativos nos dispositivos de modo S.

Remoção da política de modo S

Atualmente, para remover a política suplementar do modo S do dispositivo, você deve atribuir e implantar uma política vazia para substituir a política complementar de modo S existente.

Relatório de Política

A política complementar do modo S, que é imposta no nível do dispositivo, só tem relatórios de nível de dispositivo. O relatório de nível do dispositivo está disponível para condições de sucesso e erro.

Relatórios de valores mostrados no centro de administração Microsoft Intune para políticas de relatório de modo S:

  • Êxito: a política suplementar do modo S está em vigor.
  • Desconhecido: o status da política suplementar do modo S não é conhecido.
  • TokenError: a política suplementar do modo S está estruturalmente bem, mas há um erro ao autorizar o token.
  • NotAuthorizedByToken: o token não autoriza essa política complementar do modo S.
  • PolicyNotFound: a política suplementar do modo S não é encontrada.

Próximas etapas