Använd WDAC och Windows PowerShell för att tillåta eller blockera appar på HoloLens 2 enheter med Microsoft Intune

  • Artikel

Microsoft HoloLens 2 enheter stöder CSP:n Windows Defender Application Control (WDAC), som ersätter AppLocker CSP.

Med hjälp av Windows PowerShell och Microsoft Intune kan du använda WDAC CSP för att tillåta eller blockera specifika appar från att öppnas på Microsoft HoloLens 2 enheter. Du kanske till exempel vill tillåta eller förhindra att en app öppnas på HoloLens 2 enheter i din organisation.

Den här funktionen gäller för:

  • HoloLens 2 enheter som kör Windows Holographic for Business

WDAC CSP baseras på funktionen Windows Defender Application Control (WDAC). Du kan också använda flera WDAC-principer.

Den här artikeln visar hur du:

  1. Använd Windows PowerShell för att skapa WDAC-principer.
  2. Använd Windows PowerShell för att konvertera WDAC-principreglerna till XML, uppdatera XML-koden och konvertera sedan XML-filen till en binär fil.
  3. I Microsoft Intune skapar du en anpassad enhetskonfigurationsprofil, lägger till den här binära WDAC-principfilen och tillämpar principen på dina HoloLens 2 enheter.

I Intune måste du skapa en anpassad konfigurationsprofil för att använda CSP:n Windows Defender Application Control (WDAC).

Använd stegen i den här artikeln som en mall för att tillåta eller neka specifika appar från att öppnas på HoloLens 2 enheter.

Förhandskrav

  • Bekanta dig med Windows PowerShell.

  • Logga in på Intune som medlem i:

    • Intune-rollen Princip- och profilhanterare eller Intune-rolladministratör

      ELLER

    • Rollen Global administratör eller Intune-tjänstadministratör Microsoft Entra

    Mer information om Intune-roller finns i Rollbaserad åtkomstkontroll (RBAC) med Intune.

  • Skapa en användargrupp eller enhetsgrupp med dina HoloLens 2 enheter. Mer information om grupper finns i Användargrupper jämfört med enhetsgrupper.

Exempel

I det här exemplet används Windows PowerShell för att skapa en Windows Defender WDAC-princip (Application Control). Principen förhindrar att specifika appar öppnas. Använd sedan Intune för att distribuera principen för att HoloLens 2 enheter.

  1. Öppna Windows PowerShell-appen på din stationära dator.

  2. Hämta information om det installerade programpaketet på din stationära dator och HoloLens:

    $package1 = Get-AppxPackage -name *<applicationname>*

    Ange till exempel:

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge

    Bekräfta sedan att paketet har programattribut:

    $package1

    Appinformation som liknar följande attribut visas:

    Name              : Microsoft.MicrosoftEdge
Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Architecture      : Neutral
ResourceId        :
Version           : 44.20190.1000.0
PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
IsFramework       : False
PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
PublisherId       : 8wekyb3d8bbwe
IsResourcePackage : False
IsBundle          : False
IsDevelopmentMode : False
NonRemovable      : True
IsPartiallyStaged : False
SignatureKind     : System
Status            : Ok

  3. Skapa en WDAC-princip och lägg till appaketet i REGELN NEKA:

    $rule = New-CIPolicyRule -Package $package1 -Deny

  4. Upprepa steg 2 och 3 för andra program som du vill NEKA:

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny

    Ange till exempel:

    $package2 = Get-AppxPackage -name *windowsstore*
$rule += New-CIPolicyRule -Package $package<2..n>  -Deny

  5. Konvertera WDAC-principen till newPolicy.xml:

    Obs!

    Du kan blockera appar som bara är installerade på HoloLens-enheter. Mer information finns i Paketera familjenamn för appar på HoloLens.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs

    Om du vill rikta in dig på alla versioner av en app i newPolicy.xml ska du se till att PackageVersion="65535.65535.65535.65535" finns i Noden Neka:

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />

    För PackageFamilyNameRuleskan du använda följande versioner:

    • Tillåt: Ange PackageVersion, 0.0.0.0, vilket betyder "Tillåt den här versionen och senare".
    • Neka: Ange PackageVersion, 65535.65535.65535.65535, vilket betyder "Neka den här versionen och nedan".

  6. Om du planerar att distribuera och köra appar som inte kommer från Microsoft Store, till exempel verksamhetsspecifika appar (se Apphantering), tillåter du dessa appar uttryckligen genom att lägga till deras undertecknare i WDAC-principen.

    Obs!

    Användning av WDAC- och LOB-appar är för närvarande endast tillgängligt i Windows Insiders-funktioner för HoloLens.

    Du planerar till exempel att ATestApp.msixdistribuera . ATestApp.msix signeras av certifikatet TestCert.cer . Använd följande Windows PowerShell skript för att lägga till undertecknaren i WDAC-principen:

    Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User

  7. Sammanfoga newPolicy.xml med standardprincipen som finns på din stationära dator. Det här steget skapar mergedPolicy.xml. Låt till exempel Windows, WHQL-signerade drivrutiner och Store-signerade appar köras:

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml

  8. Inaktivera regeln för granskningsläge i mergedPolicy.xml. När du sammanfogar aktiveras granskningsläget automatiskt:

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml

  9. Aktivera regeln InvalidateEAs på en omstartsregel i mergedPolicy.xml:

    Set-RuleOption -o 15 .\mergedPolicy.xml

    Mer information om dessa regler finns i Förstå WDAC-principregler och filregler.

  10. Konvertera mergedPolicy.xml till binärt format. Det här steget skapar compiledPolicy.bin. I ett senare steg lägger du till den här binära filen compiledPolicy.bin i Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin

  11. Skapa den anpassade enhetskonfigurationsprofilen i Intune:

    1. I Microsoft Intune administrationscenter skapar du en Windows 10/11 anpassad enhetskonfigurationsprofil.

      De specifika stegen finns i Skapa en anpassad profil med OMA-URI i Intune.

    2. När du skapar profilen anger du följande inställningar:

    • OMA-URI: Ange ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. Ersätt <PolicyGUID> med noden PolicyTypeID i mergedPolicy.xml-filen som du skapade i steg 6.

      I vårt exempel anger du ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

      Princip-GUID måste matcha noden PolicyTypeID i mergedPolicy.xml -filen (skapades i steg 6).

      OMA-URI använder APPLICATIONControl CSP. Mer information om noderna i den här CSP:en finns i ApplicationControl CSP.

    • Datatyp: Ställ in på Base64-fil. Filen konverteras automatiskt från lagerplats till base64.

    • Certifikatfil: Ladda upp binärfilen compiledPolicy.bin (skapades i steg 10).

    Dina inställningar ser ut ungefär som följande inställningar:

    Lägg till en anpassad OMA-URI för att konfigurera ApplicationControl CSP i Microsoft Intune.

  12. När profilen har tilldelats till din HoloLens 2 grupp kontrollerar du profilstatusen. När profilen har tillämpats startar du om HoloLens 2 enheter.

Nästa steg

Tilldela profilen och övervaka dess status.

Läs mer om anpassade profiler i Intune.