Använd WDAC och Windows PowerShell för att tillåta eller blockera appar på HoloLens 2 enheter med Microsoft Intune
Microsoft HoloLens 2 enheter stöder CSP:n Windows Defender Application Control (WDAC), som ersätter AppLocker CSP.
Med hjälp av Windows PowerShell och Microsoft Intune kan du använda WDAC CSP för att tillåta eller blockera specifika appar från att öppnas på Microsoft HoloLens 2 enheter. Du kanske till exempel vill tillåta eller förhindra att en app öppnas på HoloLens 2 enheter i din organisation.
Den här funktionen gäller för:
- HoloLens 2 enheter som kör Windows Holographic for Business
WDAC CSP baseras på funktionen Windows Defender Application Control (WDAC). Du kan också använda flera WDAC-principer.
Den här artikeln visar hur du:
- Använd Windows PowerShell för att skapa WDAC-principer.
- Använd Windows PowerShell för att konvertera WDAC-principreglerna till XML, uppdatera XML-koden och konvertera sedan XML-filen till en binär fil.
- I Microsoft Intune skapar du en anpassad enhetskonfigurationsprofil, lägger till den här binära WDAC-principfilen och tillämpar principen på dina HoloLens 2 enheter.
I Intune måste du skapa en anpassad konfigurationsprofil för att använda CSP:n Windows Defender Application Control (WDAC).
Använd stegen i den här artikeln som en mall för att tillåta eller neka specifika appar från att öppnas på HoloLens 2 enheter.
Förhandskrav
Bekanta dig med Windows PowerShell.
Logga in på Intune som medlem i:
Intune-rollen Princip- och profilhanterare eller Intune-rolladministratör
ELLER
Rollen Global administratör eller Intune-tjänstadministratör Microsoft Entra
Mer information om Intune-roller finns i Rollbaserad åtkomstkontroll (RBAC) med Intune.
Skapa en användargrupp eller enhetsgrupp med dina HoloLens 2 enheter. Mer information om grupper finns i Användargrupper jämfört med enhetsgrupper.
Exempel
I det här exemplet används Windows PowerShell för att skapa en Windows Defender WDAC-princip (Application Control). Principen förhindrar att specifika appar öppnas. Använd sedan Intune för att distribuera principen för att HoloLens 2 enheter.
Öppna Windows PowerShell-appen på din stationära dator.
Hämta information om det installerade programpaketet på din stationära dator och HoloLens:
$package1 = Get-AppxPackage -name *<applicationname>*
Ange till exempel:
$package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
Bekräfta sedan att paketet har programattribut:
$package1
Appinformation som liknar följande attribut visas:
Name : Microsoft.MicrosoftEdge Publisher : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US Architecture : Neutral ResourceId : Version : 44.20190.1000.0 PackageFullName : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe InstallLocation : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe IsFramework : False PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe PublisherId : 8wekyb3d8bbwe IsResourcePackage : False IsBundle : False IsDevelopmentMode : False NonRemovable : True IsPartiallyStaged : False SignatureKind : System Status : Ok
Skapa en WDAC-princip och lägg till appaketet i REGELN NEKA:
$rule = New-CIPolicyRule -Package $package1 -Deny
Upprepa steg 2 och 3 för andra program som du vill NEKA:
$rule += New-CIPolicyRule -Package $package<2..n> -Deny
Ange till exempel:
$package2 = Get-AppxPackage -name *windowsstore* $rule += New-CIPolicyRule -Package $package<2..n> -Deny
Konvertera WDAC-principen till newPolicy.xml:
Obs!
Du kan blockera appar som bara är installerade på HoloLens-enheter. Mer information finns i Paketera familjenamn för appar på HoloLens.
New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
Om du vill rikta in dig på alla versioner av en app i newPolicy.xml ska du se till att
PackageVersion="65535.65535.65535.65535"
finns i Noden Neka:<Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
För
PackageFamilyNameRules
kan du använda följande versioner:- Tillåt: Ange
PackageVersion, 0.0.0.0
, vilket betyder "Tillåt den här versionen och senare". - Neka: Ange
PackageVersion, 65535.65535.65535.65535
, vilket betyder "Neka den här versionen och nedan".
- Tillåt: Ange
Om du planerar att distribuera och köra appar som inte kommer från Microsoft Store, till exempel verksamhetsspecifika appar (se Apphantering), tillåter du dessa appar uttryckligen genom att lägga till deras undertecknare i WDAC-principen.
Obs!
Användning av WDAC- och LOB-appar är för närvarande endast tillgängligt i Windows Insiders-funktioner för HoloLens.
Du planerar till exempel att
ATestApp.msix
distribuera .ATestApp.msix
signeras av certifikatetTestCert.cer
. Använd följande Windows PowerShell skript för att lägga till undertecknaren i WDAC-principen:Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
Sammanfoga newPolicy.xml med standardprincipen som finns på din stationära dator. Det här steget skapar mergedPolicy.xml. Låt till exempel Windows, WHQL-signerade drivrutiner och Store-signerade appar köras:
Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
Inaktivera regeln för granskningsläge i mergedPolicy.xml. När du sammanfogar aktiveras granskningsläget automatiskt:
Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
Aktivera regeln InvalidateEAs på en omstartsregel i mergedPolicy.xml:
Set-RuleOption -o 15 .\mergedPolicy.xml
Mer information om dessa regler finns i Förstå WDAC-principregler och filregler.
Konvertera mergedPolicy.xml till binärt format. Det här steget skapar compiledPolicy.bin. I ett senare steg lägger du till den här binära filen compiledPolicy.bin i Intune.
ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
Skapa den anpassade enhetskonfigurationsprofilen i Intune:
I Microsoft Intune administrationscenter skapar du en Windows 10/11 anpassad enhetskonfigurationsprofil.
De specifika stegen finns i Skapa en anpassad profil med OMA-URI i Intune.
När du skapar profilen anger du följande inställningar:
OMA-URI: Ange
./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy
. Ersätt<PolicyGUID>
med noden PolicyTypeID i mergedPolicy.xml-filen som du skapade i steg 6.I vårt exempel anger du
./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy
.Princip-GUID måste matcha noden PolicyTypeID i mergedPolicy.xml -filen (skapades i steg 6).
OMA-URI använder APPLICATIONControl CSP. Mer information om noderna i den här CSP:en finns i ApplicationControl CSP.
Datatyp: Ställ in på Base64-fil. Filen konverteras automatiskt från lagerplats till base64.
Certifikatfil: Ladda upp binärfilen compiledPolicy.bin (skapades i steg 10).
Dina inställningar ser ut ungefär som följande inställningar:
När profilen har tilldelats till din HoloLens 2 grupp kontrollerar du profilstatusen. När profilen har tillämpats startar du om HoloLens 2 enheter.
Nästa steg
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för