分享方式:


在 S 模式裝置上啟用 Win32 應用程式

Windows 10 S 模式 是鎖定的作業系統,只會執行市集應用程式。 根據預設,Windows S 模式裝置不允許安裝和執行 Win32 應用程式。 這些裝置包含單一 Win 10S 基底原則,可鎖定 S 模式裝置,使其無法在其中執行任何 Win32 應用程式。 不過,藉由在 Intune 中建立和使用 S 模式補充原則 ,您可以在 Windows 10 S 模式受控裝置上安裝和執行 Win32 應用程式。 藉由使用 Microsoft Defender 應用程控 (WDAC) PowerShell 工具,您可以為 Windows S 模式建立一或多個補充原則。 您必須使用 Device Guard 簽署服務 (DGSS) 或使用 SignTool.exe 簽署補充原則,然後透過 Intune 上傳和散發原則。 或者,您可以使用組織的程式代碼簽署憑證來簽署補充原則,但慣用的方法是使用 DGSS。 在您使用組織的程式代碼簽署憑證的實例中,簽署憑證所鏈結的跟證書必須存在於裝置上。

藉由在 Intune 中指派 S 模式補充原則,您可以讓裝置對裝置現有的 S 模式原則進行例外狀況,以允許上傳對應的已簽署應用程式目錄。 原則會設定應用程式目錄 (應用程式目錄) 的允許清單,這些應用程式可在 S 模式裝置上使用。

注意事項

只有 Windows 10 2019 年 11 月更新 (組建 18363) 或更新版本才支援 S 模式裝置上的 Win32 應用程式。

允許 Win32 應用程式在 S 模式的 Windows 10 裝置上執行的步驟如下:

  1. 在 Windows 10 S 註冊程式中透過 Intune 啟用 S 模式裝置。
  2. 建立補充原則以允許 Win32 應用程式:
  3. 您可以透過 Intune 允許 Win32 應用程式目錄:

注意事項

應用程式的 S 模式補充原則必須透過 Intune 管理延伸模組傳遞。

S 模式原則會在裝置層級強制執行。 裝置上將會合併多個目標原則。 合併的原則將會在裝置上強制執行。

若要建立 Windows 10 S 模式補充原則,請使用下列步驟:

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [應用程式>S 模式補充原則>] [建立原則]

  3. 新增原則 檔案之前,您必須先建立並簽署它。 如需詳細資訊,請參閱:

  4. 在 [ 基本] 頁面上,新增下列值:

    描述
    原則檔案 包含 WDAC 原則的檔案。
    名稱 此原則的名稱。
    描述 [選擇性]此原則的描述。
  5. 取 [下一步:範圍卷標]
    在 [ 範圍卷標] 頁面上,您可以選擇性地設定範圍卷標,以判斷誰可以在 Intune 中看到應用程式原則。 如需範圍標籤的詳細資訊,請 參閱針對分散式IT使用角色型訪問控制和範圍標籤

  6. 選取 [下一步:指派]
    [ 指派] 頁面可讓您將原則指派給用戶和裝置。 請務必注意,無論裝置是否由 Intune 管理,您都可以將原則指派給裝置。

  7. 取 [下一步:檢閱 + 建立] 以檢閱您為配置檔輸入的值。

  8. 當您完成時,請選取 [建立] 以在 Intune 中建立 S 模式補充原則。

建立原則之後,您會看到該原則新增至 Intune 中的 S 模式補充原則清單。 指派原則之後,原則就會部署到裝置。 請注意,您必須將應用程式部署到與補充原則相同的安全組。 您可以開始將目標設定為目標,並將應用程式指派給這些裝置。 這可讓您的終端使用者在 S 模式裝置上安裝和執行應用程式。

拿掉 S 模式原則

目前,若要從裝置移除 S 模式補充原則,您必須指派並部署空的原則,以覆寫現有的 S 模式補充原則。

原則報告

在裝置層級強制執行的 S 模式補充原則只有裝置層級報告。 裝置層級報告適用於成功和錯誤狀況。

報告 S 模式報告原則Microsoft Intune 系統管理中心所顯示的值:

  • 成功:S 模式補充原則已生效。
  • 未知:不知道 S 模式補充原則的狀態。
  • TokenError:S 模式補充原則在結構上沒問題,但授權令牌時發生錯誤。
  • NotAuthorizedByToken:令牌不會授權此 S 模式補充原則。
  • PolicyNotFound:找不到 S 模式補充原則。

後續步驟