Partager via


Activer les applications Win32 sur les appareils en mode S

Le mode Windows 10 S est un système d’exploitation verrouillé qui exécute uniquement les applications du Windows Store. Par défaut, les appareils en mode Windows S n’autorisent pas l’installation et l’exécution d’applications Win32. Ces appareils incluent une seule stratégie de base Win 10S, qui empêche l’appareil en mode S d’exécuter des applications Win32 sur celui-ci. Toutefois, en créant et en utilisant une stratégie supplémentaire en mode S dans Intune, vous pouvez installer et exécuter des applications Win32 sur des appareils gérés en mode Windows 10 S. À l’aide des outils PowerShell De Microsoft Defender Application Control (WDAC), vous pouvez créer une ou plusieurs stratégies supplémentaires pour le mode Windows S. Vous devez signer les stratégies supplémentaires avec le service de signature Device Guard (DGSS) ou avec SignTool.exe , puis charger et distribuer les stratégies via Intune. Vous pouvez également signer les stratégies supplémentaires avec un certificat de signature de code de votre organisation, mais la méthode recommandée consiste à utiliser DGSS. Dans le cas où vous utilisez le certificat de signature de code de votre organisation, le certificat racine auquel le certificat de signature de code est lié doit être présent sur l’appareil.

En affectant la stratégie supplémentaire en mode S dans Intune, vous autorisez l’appareil à faire une exception à la stratégie de mode S existante de l’appareil, ce qui autorise le téléchargement du catalogue d’applications signé correspondant. La stratégie définit une liste verte d’applications (le catalogue d’applications) qui peuvent être utilisées sur l’appareil en mode S.

Remarque

Les applications Win32 sur les appareils en mode S sont uniquement prises en charge sur la mise à jour de novembre 2019 de Windows 10 (build 18363) ou les versions ultérieures.

Les étapes permettant aux applications Win32 de s’exécuter sur un appareil Windows 10 en mode S sont les suivantes :

  1. Activez les appareils en mode S via Intune dans le cadre du processus d’inscription windows 10 S.
  2. Créez une stratégie supplémentaire pour autoriser les applications Win32 :
    • Vous pouvez utiliser les outils WDAC (Microsoft Defender Application Control) pour créer une stratégie supplémentaire. L’ID de stratégie de base dans la stratégie doit correspondre à l’ID de stratégie de base du mode S (qui est codé en dur sur le client). Vérifiez également que la version de la stratégie est supérieure à la version précédente.
    • Vous utilisez DGSS pour signer votre stratégie supplémentaire. Pour plus d’informations, consultez Stratégie d’intégrité du code de signature avec la signature Device Guard.
    • Vous chargez la stratégie supplémentaire signée dans Intune en créant une stratégie supplémentaire en mode Windows 10 S (voir ci-dessous).
  3. Vous autorisez les catalogues d’applications Win32 via Intune :

Remarque

La stratégie supplémentaire en mode S pour les applications doit être fournie via l’extension de gestion Intune.

Les stratégies de mode S sont appliquées au niveau de l’appareil. Plusieurs stratégies ciblées seront fusionnées sur l’appareil. La stratégie fusionnée sera appliquée sur l’appareil.

Pour créer une stratégie supplémentaire en mode Windows 10 S, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Stratégiessupplémentaires > dumode Applications> SCréer une stratégie.

  3. Avant d’ajouter le fichier de stratégie, vous devez le créer et le signer. Pour plus d’informations, reportez-vous aux rubriques suivantes :

  4. Dans la page De base, ajoutez les valeurs suivantes :

    Valeur Description
    Fichier de stratégie Fichier qui contient la stratégie WDAC.
    Nom Nom de cette stratégie.
    Description [Facultatif] Description de cette stratégie.
  5. Sélectionnez Suivant : Balises d’étendue.
    Dans la page Balises d’étendue , vous pouvez éventuellement configurer des balises d’étendue pour déterminer qui peut voir la stratégie d’application dans Intune. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour l’informatique distribuée.

  6. Sélectionnez Suivant : Affectations.
    La page Affectations vous permet d’affecter la stratégie aux utilisateurs et aux appareils. Il est important de noter que vous pouvez attribuer une stratégie à un appareil, que l’appareil soit géré ou non par Intune.

  7. Sélectionnez Suivant : Vérifier + créer pour passer en revue les valeurs que vous avez entrées pour le profil.

  8. Lorsque vous avez terminé, sélectionnez Créer pour créer la stratégie supplémentaire en mode S dans Intune.

Une fois la stratégie créée, elle est ajoutée à la liste des stratégies supplémentaires en mode S dans Intune. Une fois la stratégie affectée, elle est déployée sur les appareils. Notez que vous devez déployer l’application dans le même groupe de sécurité que la stratégie supplémentaire. Vous pouvez commencer à cibler et à attribuer des applications à ces appareils. Cela permettra à vos utilisateurs finaux d’installer et d’exécuter les applications sur les appareils en mode S.

Suppression de la stratégie en mode S

Actuellement, pour supprimer la stratégie supplémentaire en mode S de l’appareil, vous devez affecter et déployer une stratégie vide pour remplacer la stratégie supplémentaire du mode S existante.

Rapports de stratégie

La stratégie supplémentaire en mode S, qui est appliquée au niveau de l’appareil, a uniquement des rapports au niveau de l’appareil. Les rapports au niveau de l’appareil sont disponibles pour les conditions de réussite et d’erreur.

Valeurs de création de rapports affichées dans le Centre d’administration Microsoft Intune pour les stratégies de création de rapports en mode S :

  • Réussite : la stratégie supplémentaire du mode S est en vigueur.
  • Inconnu : l’état de la stratégie supplémentaire en mode S n’est pas connu.
  • TokenError : la stratégie supplémentaire du mode S est structurellement OK, mais il existe une erreur lors de l’autorisation du jeton.
  • NotAuthorizedByToken : le jeton n’autorise pas cette stratégie supplémentaire en mode S.
  • PolicyNotFound : la stratégie supplémentaire du mode S est introuvable.

Étapes suivantes