Utilize o WDAC e Windows PowerShell para permitir ou bloquear aplicações em HoloLens 2 dispositivos com Microsoft Intune
Microsoft HoloLens 2 dispositivos suportam o CSP do Controlo de Aplicações Windows Defender (WDAC),que substitui o CSP AppLocker.
Utilizando Windows PowerShell e Microsoft Intune, pode utilizar o CSP WDAC para permitir ou bloquear a abertura de aplicações específicas em Microsoft HoloLens 2 dispositivos. Por exemplo, pode querer permitir ou impedir que a aplicação Cortana abra HoloLens 2 dispositivos na sua organização.
Esta funcionalidade aplica-se a:
- HoloLens 2 dispositivos em execução Windows Holographic for Business
O WDAC CSP baseia-se na função Windows Defender Application Control (WDAC). Também pode utilizar várias políticas WDAC.
Este artigo mostra-lhe como:
- Utilize Windows PowerShell para criar políticas WDAC.
- Utilize Windows PowerShell para converter as regras de política do WDAC em XML, atualize o XML e, em seguida, converta o XML num ficheiro binário.
- Em Microsoft Intune, crie um perfil de configuração do dispositivo personalizado, adicione este ficheiro binário de política WDAC e aplique a política nos seus HoloLens 2 dispositivos.
No Intune, tem de criar um perfil de configuração personalizado para utilizar o CSP do Controlo de Aplicações Windows Defender (WDAC).
Utilize os passos deste artigo como um modelo para permitir ou negar que aplicações específicas abram em HoloLens 2 dispositivos.
Pré-requisitos
Conheça Windows PowerShell.
Inscreva-se na Intune como membro de:
Gestor de Políticas e Perfis ou Administrador de Função Intune
OU
Papel de Administrador Global ou Administrador de Serviço Intune Azure AD
O controlo de acesso baseado em funções (RBAC) com o Intune tem mais informações.
Crie um grupo de utilizadores ou dispositivos com os seus HoloLens 2 dispositivos. Para obter mais informações, consulte grupos de utilizadores vs grupos de dispositivos.
Exemplo
Este exemplo utiliza Windows PowerShell para criar uma política de controlo de aplicações Windows Defender (WDAC). A política impede a abertura de aplicações específicas. Em seguida, utilize o Intune para implementar a política para HoloLens 2 dispositivos.
No seu computador de secretária, abra a aplicação Windows PowerShell.
Obtenha informações sobre o pacote de aplicações instalado no seu computador de secretária e HoloLens:
$package1 = Get-AppxPackage -name *<applicationname>*
Por exemplo, introduza:
$package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
Em seguida, confirme que o pacote tem atributos de aplicação:
$package1
Verá atributos semelhantes aos seguintes detalhes da aplicação:
Name : Microsoft.MicrosoftEdge Publisher : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US Architecture : Neutral ResourceId : Version : 44.20190.1000.0 PackageFullName : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe InstallLocation : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe IsFramework : False PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe PublisherId : 8wekyb3d8bbwe IsResourcePackage : False IsBundle : False IsDevelopmentMode : False NonRemovable : True IsPartiallyStaged : False SignatureKind : System Status : Ok
Crie uma política WDAC e adicione o pacote de aplicações à regra DENY:
$rule = New-CIPolicyRule -Package $package1 -Deny
Repita os passos 2 e 3 para quaisquer outras aplicações que pretenda negar:
$rule += New-CIPolicyRule -Package $package<2..n> -Deny
Por exemplo, introduza:
$package2 = Get-AppxPackage -name *windowsstore* $rule += New-CIPolicyRule -Package $package<2..n> -Deny
Converter a política do WDAC emnewPolicy.xml:
Nota
Pode bloquear aplicações que só são instaladas em dispositivos HoloLens. Para mais informações, consulte os nomes da família do pacote para aplicações HoloLens.
New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
Para direcionar todas as versões de uma aplicação, em newPolicy.xml, certifique-se
PackageVersion="65535.65535.65535.65535"
de que está no nó Deny:<Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
Para
PackageFamilyNameRules
, pode utilizar as seguintes versões:- Permitir:
PackageVersion, 0.0.0.0
Insira , que significa "Permitir esta versão e acima". - Negar: Entrar
PackageVersion, 65535.65535.65535.65535
, que significa "Negar esta versão e abaixo".
- Permitir:
Se planeia implementar e executar quaisquer aplicações que não tenham origem no Microsoft Store, como a linha de aplicações empresariais (ver App Management),então permita explicitamente estas aplicações adicionando o seu signatário à política do WDAC.
Nota
A utilização de aplicações WDAC e LOB só está disponível em funcionalidades Windows Insiders para HoloLens.
Por exemplo, planeia
ATestApp.msix
implementar.ATestApp.msix
é assinado peloTestCert.cer
certificado. Utilize o seguinte Windows PowerShell script para adicionar o signatário à política do WDAC:Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
Misture newPolicy.xml com a política padrão que está no seu computador de secretária. Este passo cria mergedPolicy.xml. Por exemplo, permitir que os Windows, os motoristas assinados pela WHQL e as aplicações assinadas pela Store para executar:
Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
Desative a regra do modo de Auditoria em mergedPolicy.xml. Quando se funde, o modo de auditoria é automaticamente ligado:
Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
Ativar os InvalidateEAs numa regra de reinício emmergedPolicy.xml:
Set-RuleOption -o 15 .\mergedPolicy.xml
Para obter mais informações sobre estas regras, consulte as regras de política do WDAC e as regras de ficheiros.
Converta mergedPolicy.xml em formato binário. Este passo cria a política compilada.bin. Vai adicionar este ficheiro binário .bin Política compilada ao Intune.
ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
Crie o perfil de configuração do dispositivo personalizado no Intune:
No centro de administração Microsoft Endpoint Manager,crie um perfil de configuração do dispositivo personalizado Windows 10.
Para os passos específicos, consulte Criar um perfil personalizado utilizando o OMA-URI em Intune.
Quando criar o perfil, introduza as seguintes definições:
OMA-URI: introduza
./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy
.<PolicyGUID>
Substitua-o pelo nó PolicyTypeID no ficheiro mergedPolicy.xml que criou no passo 6.Usando o nosso exemplo,
./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy
insira.A política GUID deve coincidir com o nó PolicyTypeID no ficheiro mergedPolicy.xml (criado no passo 6).
O OMA-URI utiliza o CSP Do Controlo de Aplicações. Para obter mais informações sobre os nós neste CSP, aceda ao ApplicationControl CSP.
Tipo de dados: Definir para o ficheiro Base64. Converte automaticamente o ficheiro do caixote do lixo para a base64.
Arquivo de certificado: Carreve o ficheiro binário compiladoPolicy.bin (criado no passo 9).
As suas definições são semelhantes às seguintes definições:
Quando o perfil for atribuído ao seu grupo HoloLens 2, verifique o estado do perfil. Depois de o perfil se aplicar com sucesso, reinicie os HoloLens 2 dispositivos.