Aracılığıyla paylaş

Microsoft Intune HoloLens 2 cihazlarda uygulamalara izin vermek veya uygulamaları engellemek için WDAC ve Windows PowerShell kullanma

  • Makale

Microsoft HoloLens 2 cihaz, AppLocker CSP'nin yerini alan Windows Defender Uygulama Denetimi (WDAC) CSP'yi destekler.

Windows PowerShell ve Microsoft Intune kullanarak, belirli uygulamaların Microsoft HoloLens 2 cihazda açılmasına izin vermek veya bunları engellemek için WDAC CSP'yi kullanabilirsiniz. Örneğin, kuruluşunuzdaki HoloLens 2 cihazlarda bir uygulamanın açılmasına izin vermek veya uygulamayı engellemek isteyebilirsiniz.

Bu özellik şu platformlarda geçerlidir:

  • Windows Holographic for Business çalıştıran cihazları HoloLens 2
  • Windows 10/11

WDAC CSP, Windows Defender Uygulama Denetimi (WDAC) özelliğini temel alır. Birden çok WDAC ilkesi de kullanabilirsiniz.

Bu makale, şunları nasıl yapacağınızı gösterir:

  1. WDAC ilkeleri oluşturmak için Windows PowerShell kullanın.
  2. WDAC ilke kurallarını XML'ye dönüştürmek, XML'yi güncelleştirmek ve ardından XML'yi ikili dosyaya dönüştürmek için Windows PowerShell kullanın.
  3. Microsoft Intune özel bir cihaz yapılandırma profili oluşturun, bu WDAC ilkesi ikili dosyasını ekleyin ve ilkeyi HoloLens 2 cihazlarınıza uygulayın.

Intune'da, Windows Defender Uygulama Denetimi (WDAC) CSP'sini kullanmak için özel bir yapılandırma profili oluşturmanız gerekir.

Belirli uygulamaların HoloLens 2 cihazlarda açılmasına izin vermek veya bunları reddetmek için bu makaledeki adımları şablon olarak kullanın.

Önkoşullar

1. Adım - Windows PowerShell kullanarak WDAC ilkesini oluşturma

Bu örnekte windows defender uygulama denetimi (WDAC) ilkesi oluşturmak için Windows PowerShell kullanılır. İlke belirli uygulamaların açılmasını engeller.

  1. Masaüstü bilgisayarınızda Windows PowerShell uygulamasını açın.

  2. Masaüstü bilgisayarınızda ve HoloLens'te yüklü uygulama paketi hakkında bilgi edinin:

    $package1 = Get-AppxPackage -name *<applicationname>*

    Örneğin, şunu girin:

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge

    Ardından, paketin uygulama özniteliklerine sahip olduğunu onaylayın:

    $package1

    Aşağıdaki özniteliklere benzer uygulama ayrıntıları gösterilir:

    Name              : Microsoft.MicrosoftEdge
Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Architecture      : Neutral
ResourceId        :
Version           : 44.20190.1000.0
PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
IsFramework       : False
PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
PublisherId       : 8wekyb3d8bbwe
IsResourcePackage : False
IsBundle          : False
IsDevelopmentMode : False
NonRemovable      : True
IsPartiallyStaged : False
SignatureKind     : System
Status            : Ok

  3. WDAC ilkesi oluşturun ve uygulama paketini REDDET kuralına ekleyin:

    $rule = New-CIPolicyRule -Package $package1 -Deny

  4. REDDETMEK istediğiniz diğer uygulamalar için 2. ve 3. adımları yineleyin:

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny

    Örneğin, şunu girin:

    $package2 = Get-AppxPackage -name *windowsstore*
$rule += New-CIPolicyRule -Package $package<2..n>  -Deny

  5. WDAC ilkesini newPolicy.xmldönüştürün:

    Not

    Yalnızca HoloLens cihazlarında yüklü olan uygulamaları engelleyebilirsiniz. Daha fazla bilgi için HoloLens'te uygulamalar için aile adlarını paketleme bölümüne gidin.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs

    Bir uygulamanın tüm sürümlerini hedeflemek için, newPolicy.xml Reddet düğümünde olduğundan emin olun PackageVersion="65535.65535.65535.65535" :

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />

    için PackageFamilyNameRulesaşağıdaki sürümleri kullanabilirsiniz:

    • İzin Ver: "Bu sürüme ve üzeri sürüme izin ver" anlamına gelen değerini girin PackageVersion, 0.0.0.0.
    • Reddet: "Bu sürümü reddet ve aşağıda" anlamına gelen değerini girin PackageVersion, 65535.65535.65535.65535.

  6. İş kolu uygulamaları gibi Microsoft Store'dan alınmamış uygulamaları dağıtmayı ve çalıştırmayı planlıyorsanız (bkz. Uygulama Yönetimi), imzalayanlarını WDAC ilkesine ekleyerek bu uygulamalara açıkça izin verin.

    Not

    WDAC ve LOB uygulamalarının kullanılması şu anda yalnızca HoloLens için Windows Insider özelliklerinde kullanılabilir.

    Örneğin, dağıtım yapmayı ATestApp.msixplanlıyorsunuz. ATestApp.msix sertifika tarafından imzalanır TestCert.cer . İmzalayanı WDAC ilkesine eklemek için aşağıdaki Windows PowerShell betiğini kullanın:

    Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User

  7. newPolicy.xml masaüstü bilgisayarınızda bulunan varsayılan ilkeyle birleştirin. Bu adım mergedPolicy.xmloluşturur. Örneğin, Windows, WHQL imzalı sürücüler ve Mağaza imzalı uygulamalarının çalışmasına izin verin:

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml

  8. mergedPolicy.xmliçinde Denetim modu kuralını devre dışı bırakın. Birleştirdiğinizde denetim modu otomatik olarak açılır:

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml

  9. mergedPolicy.xmlbir yeniden başlatma kuralında InvalidateEA'ları etkinleştirin:

    Set-RuleOption -o 15 .\mergedPolicy.xml

    Bu kurallar hakkında bilgi için WDAC ilke kurallarını ve dosya kurallarını anlama konusuna gidin.

  10. mergedPolicy.xml ikili biçime dönüştürün. Bu adım compiledPolicy.bin oluşturur. 2. Adım : Intune ilkesi oluşturma ve ilkeyi HoloLens 2 cihazlara dağıtma bölümünde, bu compiledPolicy.bin ikili dosyasını bir Intune ilkesine eklersiniz.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin

2. Adım : Intune ilkesi oluşturma ve ilkeyi HoloLens 2 cihazlara dağıtma

Bu adımda, Intune'de özel bir cihaz yapılandırma profili oluşturursunuz. Özel ilkede, 1. Adım - Windows PowerShell kullanarak WDAC ilkesi oluşturma bölümünde oluşturduğunuz compiledPolicy.bin ikili dosyasını eklersiniz. Ardından Intune kullanarak ilkeyi HoloLens 2 cihazlara dağıtın.

  1. Microsoft Intune yönetim merkezinde bir Windows özel cihaz yapılandırma profili oluşturun.

    Belirli adımlar için Intune'de OMA-URI kullanarak özel profil oluşturma bölümüne gidin.

  2. Profili oluştururken aşağıdaki ayarları girin:

    • OMA-URI: girin ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. değerini, 6. adımda oluşturduğunuz mergedPolicy.xml dosyasındaki PolicyTypeID düğümüyle değiştirin<PolicyGUID>.

      Örneğimizi kullanarak girin ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

      İlke GUID'sinin mergedPolicy.xml dosyasındaki PolicyTypeID düğümüyle eşleşmesi gerekir (6. adımda oluşturulur).

      OMA-URI , ApplicationControl CSP'yi kullanır. Bu CSP'deki düğümler hakkında bilgi için ApplicationControl CSP'ye gidin.

    • Veri türü: Base64 dosyası olarak ayarlayın. Dosyayı otomatik olarak bölmeden base64'e dönüştürür.

    • Sertifika dosyası: compiledPolicy.bin ikili dosyasını karşıya yükleyin (10. adımda oluşturulur).

    Ayarlarınız aşağıdaki ayarlara benzer:

    applicationcontrol CSP'yi Microsoft Intune yapılandırmak için özel bir OMA-URI ekleyin.

  3. Profil HoloLens 2 grubunuz için atandığında profil durumunu denetleyin. Profil başarıyla uygulandıktan sonra HoloLens 2 cihazları yeniden başlatın.