Freigeben über


Verwenden von WDAC und Windows PowerShell, um Apps auf HoloLens 2-Geräten mit Microsoft Intune zuzulassen oder zu blockieren

Microsoft HoloLens 2-Geräte unterstützen den WDAC-CSP (Windows Defender Application Control, Windows Defender-Anwendungssteuerung), der den AppLocker CSP ersetzt.

Mithilfe von Windows PowerShell und Microsoft Intune können Sie mithilfe den WDAC-CSP verwenden, um zuzulassen oder zu blockieren, dass bestimmte Apps auf Microsoft HoloLens 2-Geräten geöffnet werden. Sie können beispielsweise das Öffnen einer App auf HoloLens 2-Geräten in Ihrer Organisation zulassen oder verhindern.

Diese Funktion gilt für:

  • HoloLens 2-Geräte, auf denen Windows Holographic for Business ausgeführt wird
  • Windows 10/11

Der WDAC-CSP basiert auf der WDAC-Funktion (Windows Defender Application Control, Windows Defender-Anwendungssteuerung). Sie können auch mehrere WDAC-Richtlinien verwenden.

In diesem Artikel erfahren Sie, wie Sie Folgendes durchführen:

  1. Verwenden von Windows PowerShell, um WDAC-Richtlinien zu erstellen.
  2. Verwenden von Windows PowerShell zum Konvertieren der WDAC-Richtlinienregeln in XML, Aktualisieren des XML-Codes und anschließendes Konvertieren des XML-Codes in eine Binärdatei.
  3. Erstellen eines benutzerdefinierten Gerätekonfigurationsprofils in Microsoft Intune, Hinzufügen dieser WDAC-Richtlinienbinärdatei und Anwenden der Richtlinie auf Ihre HoloLens 2-Geräte.

In Intune müssen Sie ein benutzerdefiniertes Konfigurationsprofil erstellen, um den WDAC-CSP (Windows Defender Application Control, Windows Defender-Anwendungssteuerung) zu verwenden.

Verwenden Sie die Schritte in diesem Artikel als Vorlage, um das Öffnen bestimmter Anwendungen auf HoloLens 2-Geräten zuzulassen oder zu verweigern.

Voraussetzungen

Schritt 1: Erstellen der WDAC-Richtlinie mithilfe von Windows PowerShell

In diesem Beispiel wird Windows PowerShell verwendet, um eine WDAC-Richtlinie (Windows Defender Application Control, Windows Defender-Anwendungssteuerung) zu erstellen. Die Richtlinie verhindert, dass bestimmte Apps geöffnet werden.

  1. Öffnen Sie auf dem Desktopcomputer die App Windows PowerShell.

  2. Rufen Sie Informationen zum installierten Anwendungspaket auf Ihrem Desktopcomputer und HoloLens ab:

    $package1 = Get-AppxPackage -name *<applicationname>*
    

    Geben Sie z. B. Folgendes ein:

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
    

    Vergewissern Sie sich anschließend, dass das Paket über Anwendungsattribute verfügt:

    $package1
    

    App-Details, die den folgenden Attributen ähneln, werden angezeigt:

    Name              : Microsoft.MicrosoftEdge
    Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
    Architecture      : Neutral
    ResourceId        :
    Version           : 44.20190.1000.0
    PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
    InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    IsFramework       : False
    PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    PublisherId       : 8wekyb3d8bbwe
    IsResourcePackage : False
    IsBundle          : False
    IsDevelopmentMode : False
    NonRemovable      : True
    IsPartiallyStaged : False
    SignatureKind     : System
    Status            : Ok
    
  3. Erstellen Sie eine WDAC-Richtlinie, und fügen Sie das App-Paket der DENY-Regel hinzu:

    $rule = New-CIPolicyRule -Package $package1 -Deny
    
  4. Wiederholen Sie die Schritte 2 und 3 für alle anderen Anwendungen, die Sie verweigern möchten:

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny
    

    Geben Sie z. B. Folgendes ein:

    $package2 = Get-AppxPackage -name *windowsstore*
    $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
    
  5. Konvertieren Sie die WDAC-Richtlinie in newPolicy.xml:

    Hinweis

    Sie können Apps blockieren, die nur auf HoloLens-Geräten installiert sind. Weitere Informationen findest du unter Paketfamiliennamen für Apps auf HoloLens.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
    

    Um alle Versionen einer App als Ziel zu verwenden, stellen Sie in „newPolicy.xml“ sicher, dass sich PackageVersion="65535.65535.65535.65535" im Knoten „Verweigern“ befindet:

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
    

    Für PackageFamilyNameRules können Sie die folgenden Versionen verwenden:

    • Zulassen: Geben Sie PackageVersion, 0.0.0.0 ein („Diese Version und alle höheren Versionen zulassen“).
    • Verweigern: Geben Sie PackageVersion, 65535.65535.65535.65535 ein („Diese Version und alle früheren Versionen verweigern“).
  6. Wenn Sie Apps bereitstellen und ausführen möchten, die nicht aus dem Microsoft Store stammen, z. B. Branchen-Apps (siehe App-Verwaltung), lassen Sie diese Apps explizit zu, indem Sie der WDAC-Richtlinie ihren Signierer hinzufügen.

    Hinweis

    Die Verwendung von WDAC- und LOB-Apps ist derzeit nur in Windows Insider-Features für HoloLens verfügbar.

    Beispielsweise planen Sie die Bereitstellung von ATestApp.msix. ATestApp.msix wird vom Zertifikat TestCert.cer signiert. Verwenden Sie das folgende Windows PowerShell-Skript, um der WDAC-Richtlinie den Signierer hinzuzufügen:

    Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
    
  7. Führen Sie newPolicy.xml mit der Standardrichtlinie auf Ihrem Desktopcomputer zusammen. In diesem Schritt wird mergedPolicy.xml erstellt. Gestatten Sie z. B. das Ausführen von Windows-Apps, von WHQL-signierten Treibern und vom Store signierten Apps:

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
    
  8. Deaktivieren Sie die Regel Überwachungsmodus in mergedPolicy.xml. Wenn Sie mergen, wird der Überwachungsmodus automatisch aktiviert:

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
    
  9. Aktivieren Sie die Regel InvalidateEAs beim Neustart in mergedPolicy.xml:

    Set-RuleOption -o 15 .\mergedPolicy.xml
    

    Informationen zu diesen Regeln finden Sie unter Grundlegendes zu WDAC-Richtlinienregeln und Dateiregeln.

  10. Konvertieren Sie mergedPolicy.xml in das Binärformat. Mit diesem Schritt wird compiledPolicy.bin erstellt. In Schritt 2 – Erstellen einer Intune-Richtlinie und Bereitstellen der Richtlinie auf HoloLens 2-Geräten fügen Sie diese compiledPolicy.bin Binärdatei einer Intune-Richtlinie hinzu.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

Schritt 2: Erstellen einer Intune-Richtlinie und Bereitstellen der Richtlinie auf HoloLens 2-Geräten

In diesem Schritt erstellen Sie ein benutzerdefiniertes Gerätekonfigurationsprofil in Intune. In der benutzerdefinierten Richtlinie fügen Sie die compiledPolicy.bin Binärdatei hinzu, die Sie in Schritt 1 – Erstellen der WDAC-Richtlinie mithilfe von Windows PowerShell erstellt haben. Verwenden Sie anschließend Intune, um die Richtlinie für HoloLens 2-Geräte bereitzustellen.

  1. Erstellen Sie im Microsoft Intune Admin Center ein benutzerdefiniertes Windows-Gerätekonfigurationsprofil.

    Die spezifischen Schritte finden Sie unter Erstellen eines benutzerdefinierten Profils mithilfe von OMA-URI in Intune.

  2. Wenn Sie das Profil erstellen, geben Sie die folgenden Einstellungen ein:

    • OMA-URI: Geben Sie ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy ein. Ersetzen Sie <PolicyGUID> durch den Knoten „PolicyTypeID“ in der Datei mergedPolicy.xml, die Sie in Schritt 6 erstellt haben.

      Geben Sie in unserem Beispiel ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy ein.

      Die Richtlinien-GUID muss mit dem Knoten „PolicyTypeID“ in der Datei mergedPolicy.xml (die Sie in Schritt 6 erstellt haben) übereinstimmen.

      Der OMA-URI verwendet den ApplicationControl-CSP. Informationen zu den Knoten in diesem CSP findest du unter ApplicationControl CSP.

    • Datentyp: Auf Base64-Datei festgelegt. Die Datei wird automatisch aus „bin“ in „base64“ konvertiert.

    • Zertifikatdatei: Laden Sie die compiledPolicy.bin Binärdatei hoch (erstellt in Schritt 10).

    Ihre Einstellungen sehen ähnlich aus wie die folgenden:

    Fügen Sie einen benutzerdefinierten OMA-URI hinzu, um den ApplicationControl-CSP in Microsoft Intune zu konfigurieren.

  3. Wenn das Profil der Gruppe HoloLens 2 zugewiesen wird, überprüfen Sie den Profilstatus. Nachdem das Profil erfolgreich angewendet wurde, starten Sie die HoloLens 2-Geräte neu.