Win32-alkalmazások engedélyezése S módú eszközökön

Windows 10 S mód egy zárolt operációs rendszer, amely csak Store-alkalmazásokat futtat. Alapértelmezés szerint a Windows S módú eszközök nem engedélyezik a Win32-alkalmazások telepítését és végrehajtását. Ezek az eszközök egyetlen Win 10S alapszabályzatot tartalmaznak, amely zárolja az S módú eszközt, hogy bármilyen Win32-alkalmazást futtasson rajta. Ha azonban S módú kiegészítő szabályzatot hoz létre és használ Intune, win32-alkalmazásokat telepíthet és futtathat Windows 10 S módú felügyelt eszközökön. A Microsoft Defender Application Control (WDAC) PowerShell-eszközökkel egy vagy több kiegészítő házirendet hozhat létre a Windows S módhoz. A kiegészítő szabályzatokat alá kell írnia a Device Guard aláíró szolgáltatással (DGSS) vagy SignTool.exe, majd fel kell töltenie és el kell osztania a szabályzatokat Intune keresztül. Alternatív megoldásként aláírhatja a kiegészítő szabályzatokat a szervezetétől származó, egységesítő tanúsítvánnyal, de az előnyben részesített módszer a DGSS használata. Abban a példányban, amelyben a szervezetétől származó, a codesigning tanúsítványt használja, az eszközön jelen kell lennie annak a főtanúsítványnak, amelybe a codesigning tanúsítvány láncba van állítva.

Az S mód kiegészítő szabályzatának Intune való hozzárendelésével lehetővé teszi, hogy az eszköz kivételt tegyen az eszköz meglévő S módú szabályzata alól, amely lehetővé teszi a feltöltött aláírt alkalmazáskatalógust. A szabályzat beállítja az S módú eszközön használható alkalmazások engedélyezési listáját (az alkalmazáskatalógust).

A Win32-alkalmazások S módban való futtatásának Windows 10 eszközén a következő lépések szükségesek:

1. Engedélyezze az S módú eszközöket Intune keresztül Windows 10 S regisztrációs folyamat részeként.
2. Hozzon létre egy kiegészítő szabályzatot a Win32-alkalmazások engedélyezéséhez:
   • A Microsoft Defender Application Control (WDAC) eszközeivel kiegészítő szabályzatot hozhat létre. A szabályzaton belüli alapházirend-azonosítónak meg kell egyeznie az S mód alapházirend-azonosítójával (amely az ügyfélen nem módosítható). Győződjön meg arról is, hogy a szabályzat verziója magasabb, mint az előző verzió.
   • A kiegészítő szabályzat aláírásához a DGSS-t kell használnia. További információ: Kódintegritási szabályzat aláírása a Device Guard aláírásával.
   • Az aláírt kiegészítő szabályzatot egy Windows 10 S módú kiegészítő szabályzat létrehozásával töltheti fel Intune (lásd alább).
3. A Win32-alkalmazáskatalógusokat a Intune keresztül engedélyezheti:
   • Katalógusfájlokat hozhat létre (minden alkalmazáshoz egyet), és aláírhatja őket a DGSS vagy más tanúsítványinfrastruktúra használatával.
   • Az aláírt katalógust a Microsoft Win32 Tartalom-előkészítő eszközzel csomagolhatja be az .intunewin fájlba. A Katalógusfájlok Microsoft Win32 Tartalom-előkészítő eszközzel történő létrehozásakor nincsenek elnevezési korlátozások. Amikor létrehozza az .intunewin-fájlt a megadott forrásmappából és a telepítőfájlból, az -a parancsmaggal megadhat egy külön mappát, amely csak katalógusfájlokat tartalmaz. További információ: Win32-alkalmazáskezelés – A Win32-alkalmazás tartalmának előkészítése feltöltésre.
   • Intune az aláírt alkalmazáskatalógust alkalmazza a Win32-alkalmazás S módú eszközre való telepítéséhez a Intune Felügyeleti bővítmény használatával.

Windows 10 S módú kiegészítő szabályzat létrehozásához kövesse az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

2. Válassza az Alkalmazások>S mód kiegészítő szabályzatok>Szabályzat létrehozása lehetőséget.

3. A Házirend fájl hozzáadása előtt létre kell hoznia és alá kell írnia. További információ:

   • WDAC-szabályzat létrehozása PowerShell-eszközökkel, majd konvertálása bináris formátumra
   • Aláírás a Device Guard aláíró szolgáltatással(ajánlott)

4. Az Alapvető beállítások lapon adja hozzá a következő értékeket:

   Érték	Leírás
   Szabályzatfájl	A WDAC-szabályzatot tartalmazó fájl.
   Name (Név)	A szabályzat neve.
   Leírás	[Nem kötelező] A szabályzat leírása.

5. Válassza a Tovább: Hatókörcímkék lehetőséget.
   A Hatókörcímkék lapon igény szerint konfigurálhatja a hatókörcímkéket annak meghatározásához, hogy ki láthatja az alkalmazásszabályzatot Intune. További információ a hatókörcímkékről: Szerepköralapú hozzáférés-vezérlés és hatókörcímkék használata elosztott informatikai eszközökhöz.

6. Válassza a Tovább: Hozzárendelések lehetőséget.
   A Hozzárendelések lapon hozzárendelheti a szabályzatot a felhasználókhoz és az eszközökhöz. Fontos megjegyezni, hogy hozzárendelhet egy szabályzatot egy eszközhöz, függetlenül attól, hogy az eszközt Intune kezeli-e.

7. Válassza a Tovább: Áttekintés + létrehozás lehetőséget a profilhoz megadott értékek áttekintéséhez.

8. Ha végzett, válassza a Létrehozás lehetőséget az S mód kiegészítő szabályzatának létrehozásához a Intune.

A szabályzat létrehozása után megjelenik az S módú kiegészítő szabályzatok listájában Intune. A szabályzat hozzárendelése után a szabályzat üzembe lesz helyezve az eszközökön. Vegye figyelembe, hogy az alkalmazást ugyanabban a biztonsági csoportban kell üzembe helyeznie, mint a kiegészítő szabályzatot. Megkezdheti az alkalmazások célzását és hozzárendelését ezekhez az eszközökhöz. Így a végfelhasználók telepíthetik és futtathatják az alkalmazásokat az S módú eszközökön.

Az S módú szabályzat eltávolítása

Jelenleg az S mód kiegészítő szabályzatának eszközről való eltávolításához ki kell osztania és üzembe kell helyeznie egy üres szabályzatot a meglévő S módú kiegészítő szabályzat felülírásához.

Szabályzatjelentés

Az S mód kiegészítő szabályzata, amely eszközszinten van kényszerítve, csak eszközszintű jelentéskészítéssel rendelkezik. Az eszközszintű jelentéskészítés sikeres és hibafeltételekhez érhető el.

Az S módú jelentéskészítési szabályzatok Microsoft Intune Felügyeleti központban megjelenő jelentési értékek:

• Sikeres: Az S mód kiegészítő szabályzata érvényben van.
• Ismeretlen: Az S mód kiegészítő szabályzatának állapota nem ismert.
• TokenError: Az S mód kiegészítő szabályzata szerkezetileg rendben van, de hiba történt a jogkivonat engedélyezésekor.
• NotAuthorizedByToken: A jogkivonat nem engedélyezi ezt az S módú kiegészítő szabályzatot.
• PolicyNotFound: Az S mód kiegészítő szabályzata nem található.

Következő lépések

• További információ: Win32-alkalmazások s módban.
• További információ az alkalmazások Intune való hozzáadásáról: Alkalmazások hozzáadása Microsoft Intune.
• További információ a Win32-alkalmazásokról: Intune Win32-alkalmazások kezelése.