S modu cihazlarında Win32 uygulamalarını etkinleştirme

Windows 10 S modu, yalnızca Mağaza uygulamalarını çalıştıran kilitli bir işletim sistemidir. Varsayılan olarak, Windows S modu cihazları Win32 uygulamalarının yüklenmesine ve yürütülmesine izin vermez. Bu cihazlar, S modu cihazının üzerinde herhangi bir Win32 uygulamasını çalıştırmasını engelleyen tek bir Win 10S temel ilkesi içerir. Ancak, Intune'da S modu ek ilkesi oluşturup kullanarak Win32 uygulamalarını Windows 10 S modunda yönetilen cihazlara yükleyebilir ve çalıştırabilirsiniz. Microsoft Defender Uygulama Denetimi (WDAC) PowerShell araçlarını kullanarak Windows S modu için bir veya daha fazla ek ilke oluşturabilirsiniz. Ek ilkeleri Device Guard İmzalama Hizmeti (DGSS) veya SignTool.exe ile imzalamanız ve ardından ilkeleri Intune aracılığıyla karşıya yükleyip dağıtmanız gerekir. Alternatif olarak, ek ilkeleri kuruluşunuzdan bir birlikte tasarlama sertifikasıyla imzalayabilirsiniz, ancak tercih edilen yöntem DGSS kullanmaktır. Kuruluşunuzdan gelen birlikte tasarlama sertifikasını kullandığınız örnekte, birlikte tasarlanan sertifikanın bağlı olduğu kök sertifikanın cihazda mevcut olması gerekir.

Intune'da S modu ek ilkesini atayarak, cihazın mevcut S modu ilkesinde özel durum oluşturmasını sağlarsınız ve bu da karşıya yüklenen ilgili imzalı uygulama kataloğuna izin verir. İlke, S modu cihazında kullanılabilecek uygulamaların izin verilenler listesini (uygulama kataloğu) ayarlar.

Not

S modu cihazlarında Win32 uygulamaları yalnızca Windows 10 Kasım 2019 Güncelleştirmesi (derleme 18363) veya sonraki sürümlerde desteklenir.

Win32 uygulamalarının S modunda Windows 10 bir cihazda çalışmasına izin verme adımları şunlardır:

1. Windows 10 S kayıt işleminin bir parçası olarak Intune aracılığıyla S modu cihazlarını etkinleştirin.
2. Win32 uygulamalarına izin vermek için ek bir ilke oluşturun:
   • Ek bir ilke oluşturmak için Microsoft Defender Uygulama Denetimi (WDAC) araçlarını kullanabilirsiniz. İlke içindeki temel ilke kimliği, S modu temel ilke kimliğiyle (istemcide sabit kodlanmış) eşleşmelidir. Ayrıca, ilke sürümünün önceki sürümden daha yüksek olduğundan emin olun.
   • Ek ilkenizi imzalamak için DGSS kullanırsınız. Daha fazla bilgi için bkz. Device Guard imzalama ile kod bütünlüğü ilkesini imzalama.
   • Windows 10 S modu ek ilkesi oluşturarak imzalı ek ilkeyi Intune'a yüklersiniz (aşağıya bakın).
3. Intune aracılığıyla Win32 uygulama kataloglarına izin verirsiniz:
   • Katalog dosyaları (her uygulama için bir tane) oluşturur ve DGSS veya diğer sertifika altyapısını kullanarak imzalarsınız.
   • Microsoft Win32 İçerik Hazırlama Aracı'nı kullanarak imzalı kataloğu .intunewin dosyasına paketleyebilirsiniz. Microsoft Win32 İçerik Hazırlama Aracı'nı kullanarak katalog dosyası oluştururken adlandırma kısıtlaması yoktur. Belirtilen kaynak klasörden ve kurulum dosyasından .intunewin dosyasını oluştururken, -a cmdline seçeneğini kullanarak yalnızca katalog dosyalarını içeren ayrı bir klasör sağlayabilirsiniz. Daha fazla bilgi için bkz. Win32 uygulama yönetimi - Win32 uygulama içeriğini karşıya yükleme için hazırlama.
   • Intune, Intune Yönetim Uzantısı'nı kullanarak S modu cihazına Win32 uygulamasını yüklemek için imzalı uygulama kataloğunu uygular.

Not

Windows 10 S modundaki iş kolu (LOB) .appx ve .appx paketler İş İçin Microsoft Store (MSFB) imzalama yoluyla desteklenecektir.

Uygulamalar için S modu ek ilkesi Intune Yönetim Uzantısı aracılığıyla teslim edilmelidir.

S modu ilkeleri cihaz düzeyinde zorlanır. Cihazda birden çok hedeflenen ilke birleştirilir. Birleştirilmiş ilke cihazda zorunlu kılınacaktır.

Windows 10 S modu ek ilkesi oluşturmak için aşağıdaki adımları kullanın:

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Uygulamalar>S modu ek ilkeleri>İlke oluştur'u seçin.

3. İlke dosyasını eklemeden önce oluşturup imzalamanız gerekir. Daha fazla bilgi için bkz.:

   • PowerShell araçlarını kullanarak WDAC ilkesi oluşturma ve bunu ikili biçime dönüştürme
   • Device Guard İmzalama Hizmeti'ni kullanarak imzalama(önerilen)

4. Temel Bilgiler sayfasında aşağıdaki değerleri ekleyin:

   Değer	Açıklama
   İlke dosyası	WDAC ilkesini içeren dosya.
   Name	Bu ilkenin adı.
   Açıklama	[İsteğe bağlı] Bu ilkenin açıklaması.

5. İleri: Kapsam etiketleri'ne tıklayın.
   Kapsam etiketleri sayfasında, Intune'da uygulama ilkesini kimlerin görebileceğini belirlemek için kapsam etiketlerini isteğe bağlı olarak yapılandırabilirsiniz. Kapsam etiketleri hakkında daha fazla bilgi için bkz. Dağıtılmış BT için rol tabanlı erişim denetimi ve kapsam etiketlerini kullanma.

6. İleri: Ödevler'i seçin.
   Atamalar sayfası, ilkeyi kullanıcılara ve cihazlara atamanızı sağlar. Cihazın Intune tarafından yönetilip yönetilmediğine bakılmaksızın cihaza ilke atayabileceğinizi unutmayın.

7. Profil için girdiğiniz değerleri gözden geçirmek için İleri: Gözden geçir + oluştur'u seçin.

8. İşiniz bittiğinde Oluştur'u seçerek Intune'da S modu ek ilkesini oluşturun.

İlke oluşturulduktan sonra, Intune S modu ek ilkeleri listesine eklendiğini görürsünüz. İlke atandıktan sonra ilke cihazlara dağıtılır. Uygulamayı ek ilkeyle aynı güvenlik grubuna dağıtmanız gerektiğini unutmayın. Uygulamaları hedeflemeye ve bu cihazlara atamaya başlayabilirsiniz. Bu, son kullanıcılarınızın uygulamaları S modu cihazlarında yüklemesine ve yürütmesine olanak tanır.

S modu ilkesini kaldırma

Şu anda S modu ek ilkesini cihazdan kaldırmak için mevcut S modu ek ilkesinin üzerine yazmak için boş bir ilke atamanız ve dağıtmanız gerekir.

İlke Raporlama

Cihaz düzeyinde uygulanan S modu ek ilkesi yalnızca cihaz düzeyinde raporlamaya sahiptir. Cihaz düzeyinde raporlama, başarı ve hata koşulları için kullanılabilir.

S modu raporlama ilkeleri için Microsoft Intune yönetim merkezinde gösterilen raporlama değerleri:

• Başarı: S modu ek ilkesi etkindir.
• Bilinmiyor: S modu ek ilkesinin durumu bilinmiyor.
• TokenError: S modu ek ilkesi yapısal olarak tamamdır, ancak belirtecin yetkilenmesiyle ilgili bir hata vardır.
• NotAuthorizedByToken: Belirteç bu S modu ek ilkesini yetkilendirmez.
• policyNotFound: S modu ek ilkesi bulunamadı.

Sonraki adımlar

• Daha fazla bilgi için bkz. s modunda Win32 uygulamaları.
• Intune uygulama ekleme hakkında daha fazla bilgi için bkz. Microsoft Intune uygulama ekleme.
• Win32 uygulamaları hakkında daha fazla bilgi için bkz. Win32 uygulama yönetimi Intune.