Megosztás a következőn keresztül:


Win32-alkalmazások engedélyezése S módú eszközökön

Windows 10 S mód egy zárolt operációs rendszer, amely csak Store-alkalmazásokat futtat. Alapértelmezés szerint a Windows S módú eszközök nem engedélyezik a Win32-alkalmazások telepítését és végrehajtását. Ezek az eszközök egyetlen Win 10S alapszabályzatot tartalmaznak, amely zárolja az S módú eszközt, hogy bármilyen Win32-alkalmazást futtasson rajta. Ha azonban S módú kiegészítő szabályzatot hoz létre és használ Intune, win32-alkalmazásokat telepíthet és futtathat Windows 10 S módú felügyelt eszközökön. A Microsoft Defender Application Control (WDAC) PowerShell-eszközökkel egy vagy több kiegészítő házirendet hozhat létre a Windows S módhoz. A kiegészítő szabályzatokat alá kell írnia a Device Guard aláíró szolgáltatással (DGSS) vagy SignTool.exe, majd fel kell töltenie és el kell osztania a szabályzatokat Intune keresztül. Alternatív megoldásként aláírhatja a kiegészítő szabályzatokat a szervezetétől származó, egységesítő tanúsítvánnyal, de az előnyben részesített módszer a DGSS használata. Abban a példányban, amelyben a szervezetétől származó, a codesigning tanúsítványt használja, az eszközön jelen kell lennie annak a főtanúsítványnak, amelybe a codesigning tanúsítvány láncba van állítva.

Az S mód kiegészítő szabályzatának Intune való hozzárendelésével lehetővé teszi, hogy az eszköz kivételt tegyen az eszköz meglévő S módú szabályzata alól, amely lehetővé teszi a feltöltött aláírt alkalmazáskatalógust. A szabályzat beállítja az S módú eszközön használható alkalmazások engedélyezési listáját (az alkalmazáskatalógust).

Megjegyzés:

Az S módú eszközökön futó Win32-alkalmazások csak a 2019. novemberi frissítés (18363-es build) vagy újabb verziók Windows 10 támogatottak.

A Win32-alkalmazások S módban való futtatásának Windows 10 eszközén a következő lépések szükségesek:

  1. Engedélyezze az S módú eszközöket Intune keresztül Windows 10 S regisztrációs folyamat részeként.
  2. Hozzon létre egy kiegészítő szabályzatot a Win32-alkalmazások engedélyezéséhez:
    • A Microsoft Defender Application Control (WDAC) eszközeivel kiegészítő szabályzatot hozhat létre. A szabályzaton belüli alapházirend-azonosítónak meg kell egyeznie az S mód alapházirend-azonosítójával (amely az ügyfélen nem módosítható). Győződjön meg arról is, hogy a szabályzat verziója magasabb, mint az előző verzió.
    • A kiegészítő szabályzat aláírásához a DGSS-t kell használnia. További információ: Kódintegritási szabályzat aláírása a Device Guard aláírásával.
    • Az aláírt kiegészítő szabályzatot egy Windows 10 S módú kiegészítő szabályzat létrehozásával töltheti fel Intune (lásd alább).
  3. A Win32-alkalmazáskatalógusokat a Intune keresztül engedélyezheti:

Megjegyzés:

Az alkalmazások S módú kiegészítő szabályzatát Intune felügyeleti bővítményen keresztül kell kézbesíteni.

Az S módú szabályzatok az eszköz szintjén vannak kényszerítve. A rendszer több célzott szabályzatot egyesít az eszközön. Az egyesített szabályzat kényszerítve lesz az eszközön.

Windows 10 S módú kiegészítő szabályzat létrehozásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Válassza az Alkalmazások>S mód kiegészítő szabályzatok>Szabályzat létrehozása lehetőséget.

  3. A Házirend fájl hozzáadása előtt létre kell hoznia és alá kell írnia. További információ:

  4. Az Alapvető beállítások lapon adja hozzá a következő értékeket:

    Érték Leírás
    Szabályzatfájl A WDAC-szabályzatot tartalmazó fájl.
    Name (Név) A szabályzat neve.
    Leírás [Nem kötelező] A szabályzat leírása.
  5. Válassza a Tovább: Hatókörcímkék lehetőséget.
    A Hatókörcímkék lapon igény szerint konfigurálhatja a hatókörcímkéket annak meghatározásához, hogy ki láthatja az alkalmazásszabályzatot Intune. További információ a hatókörcímkékről: Szerepköralapú hozzáférés-vezérlés és hatókörcímkék használata elosztott informatikai eszközökhöz.

  6. Válassza a Tovább: Hozzárendelések lehetőséget.
    A Hozzárendelések lapon hozzárendelheti a szabályzatot a felhasználókhoz és az eszközökhöz. Fontos megjegyezni, hogy hozzárendelhet egy szabályzatot egy eszközhöz, függetlenül attól, hogy az eszközt Intune kezeli-e.

  7. Válassza a Tovább: Áttekintés + létrehozás lehetőséget a profilhoz megadott értékek áttekintéséhez.

  8. Ha végzett, válassza a Létrehozás lehetőséget az S mód kiegészítő szabályzatának létrehozásához a Intune.

A szabályzat létrehozása után megjelenik az S módú kiegészítő szabályzatok listájában Intune. A szabályzat hozzárendelése után a szabályzat üzembe lesz helyezve az eszközökön. Vegye figyelembe, hogy az alkalmazást ugyanabban a biztonsági csoportban kell üzembe helyeznie, mint a kiegészítő szabályzatot. Megkezdheti az alkalmazások célzását és hozzárendelését ezekhez az eszközökhöz. Így a végfelhasználók telepíthetik és futtathatják az alkalmazásokat az S módú eszközökön.

Az S módú szabályzat eltávolítása

Jelenleg az S mód kiegészítő szabályzatának eszközről való eltávolításához ki kell osztania és üzembe kell helyeznie egy üres szabályzatot a meglévő S módú kiegészítő szabályzat felülírásához.

Szabályzatjelentés

Az S mód kiegészítő szabályzata, amely eszközszinten van kényszerítve, csak eszközszintű jelentéskészítéssel rendelkezik. Az eszközszintű jelentéskészítés sikeres és hibafeltételekhez érhető el.

Az S módú jelentéskészítési szabályzatok Microsoft Intune Felügyeleti központban megjelenő jelentési értékek:

  • Sikeres: Az S mód kiegészítő szabályzata érvényben van.
  • Ismeretlen: Az S mód kiegészítő szabályzatának állapota nem ismert.
  • TokenError: Az S mód kiegészítő szabályzata szerkezetileg rendben van, de hiba történt a jogkivonat engedélyezésekor.
  • NotAuthorizedByToken: A jogkivonat nem engedélyezi ezt az S módú kiegészítő szabályzatot.
  • PolicyNotFound: Az S mód kiegészítő szabályzata nem található.

Következő lépések