Použití WDAC a Windows PowerShellu k povolení nebo blokování aplikací na zařízeních s HoloLensem 2 v Microsoft Intune

Zařízení Microsoft HoloLens 2 podporují CSP pro Řízení aplikací v programu Windows Defender (WDAC), který nahrazuje poskytovatele CSP AppLockeru.

Pomocí Windows PowerShellu a Microsoft Intune můžete pomocí programu WDAC CSP povolit nebo zablokovat otevírání konkrétních aplikací na zařízeních Microsoft HoloLens 2. Můžete například chtít povolit nebo zakázat otevření aplikace na zařízeních HoloLens 2 ve vaší organizaci.

Tato funkce platí pro:

• Zařízení HoloLens 2 s Windows Holographic for Business
• Windows 10/11

Program WDAC CSP je založený na funkci Řízení aplikací v programu Windows Defender (WDAC). Můžete také použít více zásad WDAC.

V tomto článku se dozvíte, jak:

1. K vytvoření zásad WDAC použijte Windows PowerShell.
2. Pomocí Windows PowerShellu převeďte pravidla zásad WDAC na XML, aktualizujte XML a pak převeďte XML na binární soubor.
3. V Microsoft Intune vytvořte vlastní konfigurační profil zařízení, přidejte tento binární soubor zásad WDAC a použijte zásadu pro zařízení HoloLens 2.

V Intune musíte vytvořit vlastní konfigurační profil pro použití programu Řízení aplikací v programu Windows Defender (WDAC) CSP.

Kroky v tomto článku použijte jako šablonu, která povolí nebo zakáže otevírání konkrétních aplikací na zařízeních s HoloLensem 2.

Požadavky

• Seznamte se s Prostředím Windows PowerShell. Informace o možnostech zásad spouštění najdete v about_Execution_Policies Windows PowerShellu.

• Pokud chcete nakonfigurovat zásady Intune, přihlaste se minimálně do Centra pro správu Intune jako člen integrované role Správce zásad a profilů v Intune.

  Informace o předdefinovaných rolích Intune a o tom, co můžou dělat, najdete tady:

  • Řízení přístupu na základě role (RBAC) v Microsoft Intune
  • Předdefinovaná oprávnění rolí pro Microsoft Intune

• Vytvořte skupinu uživatelů nebo skupinu zařízení se zařízeními HoloLens 2. Informace o skupinách najdete v tématu Skupiny uživatelů a skupiny zařízení.

Krok 1 – Vytvoření zásady WDAC pomocí Windows PowerShellu

Tento příklad používá Windows PowerShell k vytvoření zásady Řízení aplikací v programu Windows Defender (WDAC). Zásady brání otevření konkrétních aplikací.

1. Na stolním počítači otevřete aplikaci Windows PowerShell .

2. Získejte informace o nainstalovaném balíčku aplikace na stolním počítači a HoloLensu:

   $package1 = Get-AppxPackage -name *<applicationname>*
   

   Zadejte například:

   $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
   

   Dále ověřte, že balíček obsahuje atributy aplikace:

   $package1
   

   Zobrazí se podrobnosti o aplikaci podobné následujícím atributům:

   Name              : Microsoft.MicrosoftEdge
   Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
   Architecture      : Neutral
   ResourceId        :
   Version           : 44.20190.1000.0
   PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
   InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   IsFramework       : False
   PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   PublisherId       : 8wekyb3d8bbwe
   IsResourcePackage : False
   IsBundle          : False
   IsDevelopmentMode : False
   NonRemovable      : True
   IsPartiallyStaged : False
   SignatureKind     : System
   Status            : Ok
   

3. Vytvořte zásadu WDAC a přidejte balíček aplikace do pravidla ODEPŘÍT:

   $rule = New-CIPolicyRule -Package $package1 -Deny
   

4. Opakujte kroky 2 a 3 pro všechny ostatní aplikace, které chcete ZAKÁZAT:

   $rule += New-CIPolicyRule -Package $package<2..n> -Deny
   

   Zadejte například:

   $package2 = Get-AppxPackage -name *windowsstore*
   $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
   

5. Převeďte zásady WDAC na newPolicy.xml:

   Poznámka

   Můžete blokovat aplikace, které jsou nainstalované jenom na zařízeních HoloLens. Další informace najdete v tématu Názvy rodinných balíčků pro aplikace na HoloLensu.

   New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
   

   Pokud chcete cílit na všechny verze aplikace, v newPolicy.xml se ujistěte, že PackageVersion="65535.65535.65535.65535" je v uzlu Odepřít:

   <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
   

   Pro PackageFamilyNameRulesmůžete použít následující verze:

   • Povolit: Zadejte PackageVersion, 0.0.0.0, což znamená "Povolit tuto verzi a vyšší".
   • Odepřít: Zadejte PackageVersion, 65535.65535.65535.65535, což znamená Odepřít tuto a nižší verzi.

6. Pokud plánujete nasadit a spustit všechny aplikace, které nepocházejí z Microsoft Storu, například obchodní aplikace (viz Správa aplikací), explicitně tyto aplikace povolte přidáním podepisujícího uživatele do zásad WDAC.

   Poznámka

   Používání WDAC a obchodních aplikací je v současné době dostupné jenom ve funkcích programu Windows Insider pro HoloLens.

   Plánujete například nasazení ATestApp.msix. ATestApp.msix je podepsaný certifikátem TestCert.cer . K přidání podepisujícího uživatele do zásad WDAC použijte následující skript Prostředí Windows PowerShell:

   Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
   

7. Sloučit newPolicy.xml s výchozí zásadou, která je na vašem stolním počítači. Tento krok vytvoří mergedPolicy.xml. Například povolte spouštění aplikací podepsaných systémem Windows, WHQL a aplikacím podepsaným službou Store:

   Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
   

8. Zakažte pravidlo režimu auditování v mergedPolicy.xml. Při sloučení se režim auditování automaticky zapne:

   Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
   

9. Povolte invalidateEAs v pravidle restartování v mergedPolicy.xml:

   Set-RuleOption -o 15 .\mergedPolicy.xml
   

   Informace o těchto pravidlech najdete v tématu Vysvětlení pravidel zásad WDAC a pravidel souborů.

10. Převeďte mergedPolicy.xml na binární formát. Tento krok vytvoří compiledPolicy.bin. V kroku 2 – Vytvoření zásady Intune a nasazení zásady do zařízení s HoloLensem 2 přidáte tento compiledPolicy.bin binární soubor do zásad Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

Krok 2 – Vytvoření zásady Intune a jejich nasazení do zařízení s HoloLensem 2

V tomto kroku vytvoříte vlastní profil konfigurace zařízení v Intune. Do vlastních zásad přidáte compiledPolicy.bin binární soubor, který jste vytvořili v kroku 1 – Vytvoření zásady WDAC pomocí Windows PowerShellu. Pak pomocí Intune nasaďte zásadu na zařízení s HoloLensem 2.

1. V Centru pro správu Microsoft Intune vytvořte vlastní profil konfigurace zařízení s Windows.

   Konkrétní kroky najdete v tématu Vytvoření vlastního profilu pomocí OMA-URI v Intune.

2. Při vytváření profilu zadejte následující nastavení:

   • OMA-URI: Zadejte ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. Nahraďte <PolicyGUID> uzlem PolicyTypeID v souboru mergedPolicy.xml , který jste vytvořili v kroku 6.

     V našem příkladu zadejte ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

     Identifikátor GUID zásad se musí shodovat s uzlem PolicyTypeID v souboru mergedPolicy.xml (vytvořeném v kroku 6).

     OMA-URI používá ApplicationControl CSP. Informace o uzlech v tomto zprostředkovateli CSP najdete v tématu ApplicationControl CSP.

   • Datový typ: Nastavte na soubor Base64. Automaticky převede soubor z přihrádky na base64.

   • Soubor certifikátu: Nahrajte compiledPolicy.bin binární soubor (vytvořený v kroku 10).

   Vaše nastavení vypadají podobně jako následující nastavení:

   

3. Po přiřazení profilu ke skupině HoloLens 2 zkontrolujte stav profilu. Po úspěšném použití profilu restartujte zařízení HoloLens 2.

Související články

• Přiřaďte profil a sledujte jeho stav.
• Přečtěte si další informace o vlastních profilech v Intune.