Win32-alkalmazások engedélyezése S módú eszközökön
Windows 10 S mód egy zárolt operációs rendszer, amely csak Store-alkalmazásokat futtat. Alapértelmezés szerint a Windows S módú eszközök nem engedélyezik a Win32-alkalmazások telepítését és végrehajtását. Ezek az eszközök egyetlen Win 10S alapszabályzatot tartalmaznak, amely zárolja az S módú eszközt, hogy bármilyen Win32-alkalmazást futtasson rajta. Ha azonban S módú kiegészítő szabályzatot hoz létre és használ Intune, win32-alkalmazásokat telepíthet és futtathat Windows 10 S módú felügyelt eszközökön. A Microsoft Defender Application Control (WDAC) PowerShell-eszközökkel egy vagy több kiegészítő házirendet hozhat létre a Windows S módhoz. A kiegészítő szabályzatokat alá kell írnia a Device Guard aláíró szolgáltatással (DGSS) vagy SignTool.exe, majd fel kell töltenie és el kell osztania a szabályzatokat Intune keresztül. Alternatív megoldásként aláírhatja a kiegészítő szabályzatokat a szervezetétől származó, egységesítő tanúsítvánnyal, de az előnyben részesített módszer a DGSS használata. Abban a példányban, amelyben a szervezetétől származó, a codesigning tanúsítványt használja, az eszközön jelen kell lennie annak a főtanúsítványnak, amelybe a codesigning tanúsítvány láncba van állítva.
Az S mód kiegészítő szabályzatának Intune való hozzárendelésével lehetővé teszi, hogy az eszköz kivételt tegyen az eszköz meglévő S módú szabályzata alól, amely lehetővé teszi a feltöltött aláírt alkalmazáskatalógust. A szabályzat beállítja az S módú eszközön használható alkalmazások engedélyezési listáját (az alkalmazáskatalógust).
Megjegyzés:
Az S módú eszközökön futó Win32-alkalmazások csak a 2019. novemberi frissítés (18363-es build) vagy újabb verziók Windows 10 támogatottak.
A Win32-alkalmazások S módban való futtatásának Windows 10 eszközén a következő lépések szükségesek:
- Engedélyezze az S módú eszközöket Intune keresztül Windows 10 S regisztrációs folyamat részeként.
- Hozzon létre egy kiegészítő szabályzatot a Win32-alkalmazások engedélyezéséhez:
- A Microsoft Defender Application Control (WDAC) eszközeivel kiegészítő szabályzatot hozhat létre. A szabályzaton belüli alapházirend-azonosítónak meg kell egyeznie az S mód alapházirend-azonosítójával (amely az ügyfélen nem módosítható). Győződjön meg arról is, hogy a szabályzat verziója magasabb, mint az előző verzió.
- A kiegészítő szabályzat aláírásához a DGSS-t kell használnia. További információ: Kódintegritási szabályzat aláírása a Device Guard aláírásával.
- Az aláírt kiegészítő szabályzatot egy Windows 10 S módú kiegészítő szabályzat létrehozásával töltheti fel Intune (lásd alább).
- A Win32-alkalmazáskatalógusokat a Intune keresztül engedélyezheti:
- Katalógusfájlokat hozhat létre (minden alkalmazáshoz egyet), és aláírhatja őket a DGSS vagy más tanúsítványinfrastruktúra használatával.
- Az aláírt katalógust a Microsoft Win32 Tartalom-előkészítő eszközzel csomagolhatja be az .intunewin fájlba. A Katalógusfájlok Microsoft Win32 Tartalom-előkészítő eszközzel történő létrehozásakor nincsenek elnevezési korlátozások. Amikor létrehozza az .intunewin-fájlt a megadott forrásmappából és a telepítőfájlból, az -a parancsmaggal megadhat egy külön mappát, amely csak katalógusfájlokat tartalmaz. További információ: Win32-alkalmazáskezelés – A Win32-alkalmazás tartalmának előkészítése feltöltésre.
- Intune az aláírt alkalmazáskatalógust alkalmazza a Win32-alkalmazás S módú eszközre való telepítéséhez a Intune Felügyeleti bővítmény használatával.
Megjegyzés:
Az alkalmazások S módú kiegészítő szabályzatát Intune felügyeleti bővítményen keresztül kell kézbesíteni.
Az S módú szabályzatok az eszköz szintjén vannak kényszerítve. A rendszer több célzott szabályzatot egyesít az eszközön. Az egyesített szabályzat kényszerítve lesz az eszközön.
Windows 10 S módú kiegészítő szabályzat létrehozásához kövesse az alábbi lépéseket:
Jelentkezzen be a Microsoft Intune felügyeleti központba.
Válassza az Alkalmazások>S mód kiegészítő szabályzatok>Szabályzat létrehozása lehetőséget.
A Házirend fájl hozzáadása előtt létre kell hoznia és alá kell írnia. További információ:
Az Alapvető beállítások lapon adja hozzá a következő értékeket:
Érték Leírás Szabályzatfájl A WDAC-szabályzatot tartalmazó fájl. Name (Név) A szabályzat neve. Leírás [Nem kötelező] A szabályzat leírása. Válassza a Tovább: Hatókörcímkék lehetőséget.
A Hatókörcímkék lapon igény szerint konfigurálhatja a hatókörcímkéket annak meghatározásához, hogy ki láthatja az alkalmazásszabályzatot Intune. További információ a hatókörcímkékről: Szerepköralapú hozzáférés-vezérlés és hatókörcímkék használata elosztott informatikai eszközökhöz.Válassza a Tovább: Hozzárendelések lehetőséget.
A Hozzárendelések lapon hozzárendelheti a szabályzatot a felhasználókhoz és az eszközökhöz. Fontos megjegyezni, hogy hozzárendelhet egy szabályzatot egy eszközhöz, függetlenül attól, hogy az eszközt Intune kezeli-e.Válassza a Tovább: Áttekintés + létrehozás lehetőséget a profilhoz megadott értékek áttekintéséhez.
Ha végzett, válassza a Létrehozás lehetőséget az S mód kiegészítő szabályzatának létrehozásához a Intune.
A szabályzat létrehozása után megjelenik az S módú kiegészítő szabályzatok listájában Intune. A szabályzat hozzárendelése után a szabályzat üzembe lesz helyezve az eszközökön. Vegye figyelembe, hogy az alkalmazást ugyanabban a biztonsági csoportban kell üzembe helyeznie, mint a kiegészítő szabályzatot. Megkezdheti az alkalmazások célzását és hozzárendelését ezekhez az eszközökhöz. Így a végfelhasználók telepíthetik és futtathatják az alkalmazásokat az S módú eszközökön.
Az S módú szabályzat eltávolítása
Jelenleg az S mód kiegészítő szabályzatának eszközről való eltávolításához ki kell osztania és üzembe kell helyeznie egy üres szabályzatot a meglévő S módú kiegészítő szabályzat felülírásához.
Szabályzatjelentés
Az S mód kiegészítő szabályzata, amely eszközszinten van kényszerítve, csak eszközszintű jelentéskészítéssel rendelkezik. Az eszközszintű jelentéskészítés sikeres és hibafeltételekhez érhető el.
Az S módú jelentéskészítési szabályzatok Microsoft Intune Felügyeleti központban megjelenő jelentési értékek:
- Sikeres: Az S mód kiegészítő szabályzata érvényben van.
- Ismeretlen: Az S mód kiegészítő szabályzatának állapota nem ismert.
- TokenError: Az S mód kiegészítő szabályzata szerkezetileg rendben van, de hiba történt a jogkivonat engedélyezésekor.
- NotAuthorizedByToken: A jogkivonat nem engedélyezi ezt az S módú kiegészítő szabályzatot.
- PolicyNotFound: Az S mód kiegészítő szabályzata nem található.
Következő lépések
- További információ: Win32-alkalmazások s módban.
- További információ az alkalmazások Intune való hozzáadásáról: Alkalmazások hozzáadása Microsoft Intune.
- További információ a Win32-alkalmazásokról: Intune Win32-alkalmazások kezelése.