Windows Defender 应用程序控制 - WDAC

概述

WDAC 允许配置 HoloLens 以阻止应用启动。这与展台模式不同，UI 隐藏应用，但仍可以启动它们。使用 WDAC，可以看到应用，但无法启动它们。

注意

当最终用户尝试在 HoloLens 上启动 WDAC 阻止的应用时，他们不会收到无法启动应用的通知。

可以为设备分配多个 WDAC 策略。如果在系统上设置了多个 WDAC 策略，则限制性最大的策略将生效。

下面是一个指导用户了解如何使用 WDAC 和 Windows PowerShell 在具有 Microsoft Intune的 HoloLens 2 设备上允许或阻止应用。

当用户使用第一个示例步骤搜索在其 Windows 10 电脑上安装的应用时，他们可能需要尝试一些缩小结果范围。

$package1 = Get-AppxPackage -name *<applicationname>*

如果不知道包的全名，可能需要多次运行“Get-AppxPackage -name *YourBestGuess*”才能找到它。然后，一旦名称运行“$package 1 = Get-AppxPackage -name Actual.PackageName”

例如，为 Microsoft Edge 运行以下代码将返回多个结果，但从该列表中可以确定所需的全名是 Microsoft.MicrosoftEdge。

Get-AppxPackage -name *edge*

在上面链接的指南中，可以手动编辑 newPolicy.xml，并为仅在 HoloLens 上安装的应用程序添加规则及其程序包系列名称。有时，你可能使用的应用不在要添加到策略的桌面电脑上。

下面是 HoloLens 2 设备的常用和 In-Box 应用的列表。

应用名称	包系列名称
3D 查看器	`Microsoft.Microsoft3DViewer_8wekyb3d8bbwe`
应用安装程序	`Microsoft.DesktopAppInstaller_8wekyb3d8bbwe` ¹
日历	`microsoft.windowscommunicationsapps_8wekyb3d8bbwe`
照相机	`HoloCamera_cw5n1h2txyewy`
Cortana	`Microsoft.549981C3F5F10_8wekyb3d8bbwe`
Dynamics 365 指南	`Microsoft.Dynamics365.Guides_8wekyb3d8bbwe`
Dynamics 365 Remote Assist	`Microsoft.MicrosoftRemoteAssist_8wekyb3d8bbwe`
反馈中心	`Microsoft.WindowsFeedbackHub_8wekyb3d8bbwe`
文件资源管理器	`c5e2524a-ea46-4f67-841f-6a9465d9d515_cw5n1h2txyewy`
邮件	`microsoft.windowscommunicationsapps_8wekyb3d8bbwe`
Microsoft应用商店	`Microsoft.WindowsStore_8wekyb3d8bbwe`
电影 & 电视	`Microsoft.ZuneVideo_8wekyb3d8bbwe`
OneDrive	`microsoft.microsoftskydrive_8wekyb3d8bbwe`
照片	`Microsoft.Windows.Photos_8wekyb3d8bbwe`
设置	`HolographicSystemSettings_cw5n1h2txyewy`
技巧	`Microsoft.HoloLensTips_8wekyb3d8bbwe`

对于希望更新其 WDAC 策略的 IT 管理员，若要阻止新的 Microsoft Edge 应用，需要将以下内容添加到策略。

<Deny ID="ID_DENY_D_3_0" FriendlyName="C:\Data\Programs FileRule" PackageVersion="65535.65535.65535.65535" FileName="msedge.exe" />

如果某个应用未在此列表中，则用户可以使用设备门户（连接到已安装希望阻止的应用的 HoloLens 2）来确定 PackageRelativeID，并从那里获取 PackageFamilyName。