A WDAC és a Windows PowerShell használatával engedélyezheti vagy letilthatja az alkalmazásokat HoloLens 2 eszközökön a Microsoft Intune

Microsoft HoloLens 2 eszköz támogatja a Windows Defender alkalmazásvezérlő (WDAC) CSP-t, amely felváltja az AppLocker CSP-t.

A Windows PowerShell és a Microsoft Intune használatával a WDAC CSP-vel engedélyezheti vagy letilthatja bizonyos alkalmazások megnyitását Microsoft HoloLens 2 eszközön. Előfordulhat például, hogy engedélyezni vagy megakadályozni szeretné, hogy egy alkalmazás megnyíljon a szervezet HoloLens 2 eszközein.

Ez a funkció az alábbiakra vonatkozik:

• HoloLens 2 Windows Holographic for Business-t futtató eszközök
• Windows 10/11

A WDAC CSP a Windows Defender alkalmazásvezérlési (WDAC) funkcióján alapul. Több WDAC-házirendet is használhat.

Ez a cikk a következőkhöz nyújt útmutatást:

1. WDAC-szabályzatok létrehozása Windows PowerShell használatával.
2. A Windows PowerShell használatával konvertálhatja a WDAC-házirendszabályokat XML-fájllá, frissítheti az XML-t, majd bináris fájllá alakíthatja az XML-t.
3. A Microsoft Intune hozzon létre egy egyéni eszközkonfigurációs profilt, adja hozzá ezt a WDAC-házirend bináris fájlját, és alkalmazza a szabályzatot a HoloLens 2-eszközökre.

A Intune létre kell hoznia egy egyéni konfigurációs profilt a Windows Defender alkalmazásvezérlő (WDAC) CSP használatához.

A cikkben szereplő lépéseket sablonként használva engedélyezheti vagy letilthatja bizonyos alkalmazások megnyitását HoloLens 2 eszközökön.

Előfeltételek

• Ismerkedjen meg a Windows PowerShell. A végrehajtási szabályzat beállításairól további információt a Windows PowerShell about_Execution_Policies című témakörben talál.

• A Intune szabályzat konfigurálásához legalább jelentkezzen be a Intune Felügyeleti központba a Beépített Szabályzat- és profilkezelő Intune szerepkör tagjaként.

  A Intune beépített szerepkörökről és azok elvégezhetőségéről a következő helyen talál információt:

  • Szerepköralapú hozzáférés-vezérlés (RBAC) Microsoft Intune
  • Beépített szerepkör-engedélyek a Microsoft Intune

• Hozzon létre egy felhasználói csoportot vagy eszközcsoportot a HoloLens 2 eszközeivel. A csoportokról további információt a Felhasználói csoportok és eszközcsoportok című témakörben talál.

1. lépés – A WDAC-szabályzat létrehozása Windows PowerShell

Ez a példa Windows PowerShell használ a Windows Defender alkalmazásvezérlési (WDAC) szabályzatának létrehozásához. A szabályzat megakadályozza bizonyos alkalmazások megnyitását.

1. Nyissa meg az asztali számítógépen a Windows PowerShell alkalmazást.

2. Az asztali számítógépen és a HoloLensen telepített alkalmazáscsomag adatainak lekérése:

   $package1 = Get-AppxPackage -name *<applicationname>*
   

   Írja be például a következőt:

   $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
   

   Ezután ellenőrizze, hogy a csomag rendelkezik-e alkalmazásattribútumokkal:

   $package1
   

   Az alábbi attribútumokhoz hasonló alkalmazásadatok jelennek meg:

   Name              : Microsoft.MicrosoftEdge
   Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
   Architecture      : Neutral
   ResourceId        :
   Version           : 44.20190.1000.0
   PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
   InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   IsFramework       : False
   PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   PublisherId       : 8wekyb3d8bbwe
   IsResourcePackage : False
   IsBundle          : False
   IsDevelopmentMode : False
   NonRemovable      : True
   IsPartiallyStaged : False
   SignatureKind     : System
   Status            : Ok
   

3. Hozzon létre egy WDAC-szabályzatot, és adja hozzá az alkalmazáscsomagot a DENY szabályhoz:

   $rule = New-CIPolicyRule -Package $package1 -Deny
   

4. Ismételje meg a 2. és a 3. lépést minden olyan alkalmazás esetében, amelyet megtagadni szeretne:

   $rule += New-CIPolicyRule -Package $package<2..n> -Deny
   

   Írja be például a következőt:

   $package2 = Get-AppxPackage -name *windowsstore*
   $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
   

5. Konvertálja a WDAC-szabályzatot newPolicy.xml:

   Megjegyzés:

   Letilthatja azokat az alkalmazásokat, amelyek csak HoloLens-eszközökön vannak telepítve. További információt a Családnevek csomagolása alkalmazásokhoz a HoloLensben című témakörben talál.

   New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
   

   Az alkalmazás összes verziójának megcélzásához a newPolicy.xml győződjön meg arról, hogy PackageVersion="65535.65535.65535.65535" a Megtagadás csomópontban van:

   <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
   

   A esetében PackageFamilyNameRulesa következő verziókat használhatja:

   • Engedélyezés: Írja be PackageVersion, 0.0.0.0a következőt: , ami azt jelenti, hogy "Ez a verzió és újabb verzió engedélyezése".
   • Megtagadás: Írja be PackageVersion, 65535.65535.65535.65535a következőt: , ami azt jelenti, hogy "A verzió megtagadása és az alábbi".

6. Ha olyan alkalmazásokat kíván üzembe helyezni és futtatni, amelyek nem a Microsoft Store-ból származnak, például üzletági alkalmazásokat (lásd : Alkalmazáskezelés), akkor explicit módon engedélyezze ezeket az alkalmazásokat úgy, hogy hozzáadja az aláíróját a WDAC-szabályzathoz.

   Megjegyzés:

   A WDAC- és LOB-alkalmazások használata jelenleg csak a HoloLens Windows Insiderek funkcióiban érhető el.

   Például a üzembe helyezését ATestApp.msixtervezi. ATestApp.msix a tanúsítvány írta TestCert.cer alá. Az aláíró WDAC-szabályzathoz való hozzáadásához használja az alábbi Windows PowerShell szkriptet:

   Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
   

7. Egyesítse newPolicy.xml az asztali számítógépen található alapértelmezett házirenddel. Ez a lépés mergedPolicy.xmlhoz létre. Engedélyezheti például a Windows, WHQL által aláírt illesztőprogramok és az Áruház által aláírt alkalmazások futtatását:

   Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
   

8. Tiltsa le a naplózási mód szabályát azmergedPolicy.xml-ben . Az egyesítéskor a naplózási mód automatikusan be van kapcsolva:

   Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
   

9. Engedélyezze az InvalidateEA-kat egy újraindítási szabályon a következőben:mergedPolicy.xml:

   Set-RuleOption -o 15 .\mergedPolicy.xml
   

   Ezekről a szabályokról további információt a WDAC-házirendszabályok és -fájlszabályok ismertetése című témakörben talál.

10. Konvertálja amergedPolicy.xml bináris formátumra. Ez a lépés compiledPolicy.bin hoz létre. A 2. lépésben – Hozzon létre egy Intune házirendet, és telepítse a szabályzatot HoloLens 2 eszközökön, ezt a compiledPolicy.bin bináris fájlt egy Intune szabályzathoz kell hozzáadnia.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

2. lépés – Intune-szabályzat létrehozása és a szabályzat üzembe helyezése HoloLens 2 eszközökön

Ebben a lépésben létrehoz egy egyéni eszközkonfigurációs profilt Intune. Az egyéni házirendben az 1. lépés – WDAC-szabályzat létrehozása Windows PowerShell használatával létrehozott compiledPolicy.bin bináris fájlt kell hozzáadnia. Ezután a Intune használatával helyezze üzembe a szabályzatot HoloLens 2 eszközökön.

1. A Microsoft Intune Felügyeleti központban hozzon létre egy egyéni Windows-eszközkonfigurációs profilt.

   A konkrét lépésekért tekintse meg az Egyéni profil létrehozása OMA-URI használatával a Intune-ben című témakört.

2. A profil létrehozásakor adja meg a következő beállításokat:

   • OMA-URI: Írja be a következőt ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy: . Cserélje le <PolicyGUID> a elemet a 6. lépésben létrehozott mergedPolicy.xml fájl PolicyTypeID csomópontjára.

     A példánkban írja be a következőt ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy: .

     A szabályzat GUID azonosítójának meg kell egyeznie a (6. lépésben létrehozott )mergedPolicy.xml fájl PolicyTypeID csomópontjának.

     Az OMA-URI az ApplicationControl CSP-t használja. A CSP csomópontjaival kapcsolatos információkért lépjen az ApplicationControl CSP webhelyre.

   • Adattípus: Állítsa Base64-fájlra. Automatikusan konvertálja a fájlt a bin-ből base64-be.

   • Tanúsítványfájl: Töltse fel a compiledPolicy.bin bináris fájlt (amelyet a 10. lépésben hozott létre).

   A beállítások az alábbi beállításokhoz hasonlóan néznek ki:

   

3. Ha a profil hozzá van rendelve a HoloLens 2 csoporthoz, ellenőrizze a profil állapotát. A profil sikeres alkalmazása után indítsa újra az HoloLens 2 eszközöket.

Kapcsolódó cikkek

• Rendelje hozzá a profilt, és figyelje az állapotát.
• További információ a Intune egyéni profiljairól.