Utilize o WDAC e Windows PowerShell para permitir ou bloquear aplicações em HoloLens 2 dispositivos com Microsoft Intune

Microsoft HoloLens 2 dispositivos suportam o CSP do Controlo de Aplicações Windows Defender (WDAC),que substitui o CSP AppLocker.

Utilizando Windows PowerShell e Microsoft Intune, pode utilizar o CSP WDAC para permitir ou bloquear a abertura de aplicações específicas em Microsoft HoloLens 2 dispositivos. Por exemplo, pode querer permitir ou impedir que a aplicação Cortana abra HoloLens 2 dispositivos na sua organização.

Esta funcionalidade aplica-se a:

• HoloLens 2 dispositivos em execução Windows Holographic for Business

O WDAC CSP baseia-se na função Windows Defender Application Control (WDAC). Também pode utilizar várias políticas WDAC.

Este artigo mostra-lhe como:

1. Utilize Windows PowerShell para criar políticas WDAC.
2. Utilize Windows PowerShell para converter as regras de política do WDAC em XML, atualize o XML e, em seguida, converta o XML num ficheiro binário.
3. Em Microsoft Intune, crie um perfil de configuração do dispositivo personalizado, adicione este ficheiro binário de política WDAC e aplique a política nos seus HoloLens 2 dispositivos.

No Intune, tem de criar um perfil de configuração personalizado para utilizar o CSP do Controlo de Aplicações Windows Defender (WDAC).

Utilize os passos deste artigo como um modelo para permitir ou negar que aplicações específicas abram em HoloLens 2 dispositivos.

Pré-requisitos

• Conheça Windows PowerShell.

• Inscreva-se na Intune como membro de:

  • Gestor de Políticas e Perfis ou Administrador de Função Intune

    OU

  • Papel de Administrador Global ou Administrador de Serviço Intune Azure AD

  O controlo de acesso baseado em funções (RBAC) com o Intune tem mais informações.

• Crie um grupo de utilizadores ou dispositivos com os seus HoloLens 2 dispositivos. Para obter mais informações, consulte grupos de utilizadores vs grupos de dispositivos.

Exemplo

Este exemplo utiliza Windows PowerShell para criar uma política de controlo de aplicações Windows Defender (WDAC). A política impede a abertura de aplicações específicas. Em seguida, utilize o Intune para implementar a política para HoloLens 2 dispositivos.

1. No seu computador de secretária, abra a aplicação Windows PowerShell.

2. Obtenha informações sobre o pacote de aplicações instalado no seu computador de secretária e HoloLens:

   $package1 = Get-AppxPackage -name *<applicationname>*
   

   Por exemplo, introduza:

   $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
   

   Em seguida, confirme que o pacote tem atributos de aplicação:

   $package1
   

   Verá atributos semelhantes aos seguintes detalhes da aplicação:

   Name              : Microsoft.MicrosoftEdge
   Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
   Architecture      : Neutral
   ResourceId        :
   Version           : 44.20190.1000.0
   PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
   InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   IsFramework       : False
   PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   PublisherId       : 8wekyb3d8bbwe
   IsResourcePackage : False
   IsBundle          : False
   IsDevelopmentMode : False
   NonRemovable      : True
   IsPartiallyStaged : False
   SignatureKind     : System
   Status            : Ok
   

3. Crie uma política WDAC e adicione o pacote de aplicações à regra DENY:

   $rule = New-CIPolicyRule -Package $package1 -Deny
   

4. Repita os passos 2 e 3 para quaisquer outras aplicações que pretenda negar:

   $rule += New-CIPolicyRule -Package $package<2..n> -Deny
   

   Por exemplo, introduza:

   $package2 = Get-AppxPackage -name *windowsstore*
   $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
   

5. Converter a política do WDAC emnewPolicy.xml:

   Nota

   Pode bloquear aplicações que só são instaladas em dispositivos HoloLens. Para mais informações, consulte os nomes da família do pacote para aplicações HoloLens.

   New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
   

   Para direcionar todas as versões de uma aplicação, em newPolicy.xml, certifique-se PackageVersion="65535.65535.65535.65535" de que está no nó Deny:

   <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
   

   Para PackageFamilyNameRules , pode utilizar as seguintes versões:

   • Permitir: PackageVersion, 0.0.0.0 Insira , que significa "Permitir esta versão e acima".
   • Negar: Entrar PackageVersion, 65535.65535.65535.65535 , que significa "Negar esta versão e abaixo".

6. Se planeia implementar e executar quaisquer aplicações que não tenham origem no Microsoft Store, como a linha de aplicações empresariais (ver App Management),então permita explicitamente estas aplicações adicionando o seu signatário à política do WDAC.

   Nota

   A utilização de aplicações WDAC e LOB só está disponível em funcionalidades Windows Insiders para HoloLens.

   Por exemplo, planeia ATestApp.msix implementar. ATestApp.msix é assinado pelo TestCert.cer certificado. Utilize o seguinte Windows PowerShell script para adicionar o signatário à política do WDAC:

   Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
   

7. Misture newPolicy.xml com a política padrão que está no seu computador de secretária. Este passo cria mergedPolicy.xml. Por exemplo, permitir que os Windows, os motoristas assinados pela WHQL e as aplicações assinadas pela Store para executar:

   Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
   

8. Desative a regra do modo de Auditoria em mergedPolicy.xml. Quando se funde, o modo de auditoria é automaticamente ligado:

   Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
   

9. Ativar os InvalidateEAs numa regra de reinício emmergedPolicy.xml:

   Set-RuleOption -o 15 .\mergedPolicy.xml
   

   Para obter mais informações sobre estas regras, consulte as regras de política do WDAC e as regras de ficheiros.

10. Converta mergedPolicy.xml em formato binário. Este passo cria a política compilada.bin. Vai adicionar este ficheiro binário .bin Política compilada ao Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

11. Crie o perfil de configuração do dispositivo personalizado no Intune:

    1. No centro de administração Microsoft Endpoint Manager,crie um perfil de configuração do dispositivo personalizado Windows 10.

       Para os passos específicos, consulte Criar um perfil personalizado utilizando o OMA-URI em Intune.

    2. Quando criar o perfil, introduza as seguintes definições:

    • OMA-URI: introduza ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. <PolicyGUID>Substitua-o pelo nó PolicyTypeID no ficheiro mergedPolicy.xml que criou no passo 6.

      Usando o nosso exemplo, ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy insira.

      A política GUID deve coincidir com o nó PolicyTypeID no ficheiro mergedPolicy.xml (criado no passo 6).

      O OMA-URI utiliza o CSP Do Controlo de Aplicações. Para obter mais informações sobre os nós neste CSP, aceda ao ApplicationControl CSP.

    • Tipo de dados: Definir para o ficheiro Base64. Converte automaticamente o ficheiro do caixote do lixo para a base64.

    • Arquivo de certificado: Carreve o ficheiro binário compiladoPolicy.bin (criado no passo 9).

    As suas definições são semelhantes às seguintes definições:

    

12. Quando o perfil for atribuído ao seu grupo HoloLens 2, verifique o estado do perfil. Depois de o perfil se aplicar com sucesso, reinicie os HoloLens 2 dispositivos.

Passos seguintes

Atribua o perfile monitorize o seu estado.

Saiba mais sobre perfis personalizados no Intune.