WDAC와 Windows PowerShell을 사용하여 Microsoft Intune으로 HoloLens 2 디바이스에서 앱을 허용 또는 차단

Microsoft HoloLens 2 디바이스는 AppLocker CSP를 대체하는 WDAC(Windows Defender Application Control) CSP를 지원합니다.

Windows PowerShell과 Microsoft Intune을 사용하면 WDAC CSP로 Microsoft HoloLens 2 디바이스에서 특정 앱이 열리도록 허용하거나 차단할 수 있습니다. 예를 들어 조직의 HoloLens 2 디바이스에서 앱이 열리도록 허용하거나 차단할 수 있습니다.

이 기능은 다음에 적용됩니다.

• Windows Holographic for Business를 실행하는 HoloLens 2 디바이스
• Windows 10/11

WDAC CSP는 WDAC(Windows Defender Application Control) 기능을 기반으로 합니다. 여러 WDAC 정책을 사용할 수도 있습니다.

이 문서에서는 다음 방법을 보여 줍니다.

1. Windows PowerShell을 사용하여 WDAC 정책을 만듭니다.
2. Windows PowerShell을 사용하여 WDAC 정책 규칙을 XML로 변환하고 XML을 업데이트한 다음 XML을 이진 파일로 변환합니다.
3. Microsoft Intune에서 사용자 지정 디바이스 구성 프로필을 만들고 이 WDAC 정책 이진 파일을 추가한 다음 HoloLens 2 디바이스에 정책을 적용합니다.

WDAC(Windows Defender Application Control) CSP를 사용하려면 Intune에서 사용자 지정 구성 프로필을 만들어야 합니다.

이 문서에서 설명하는 단계를 템플릿으로 사용하여 HoloLens 2 디바이스에서 특정 앱이 열리도록 허용하거나 열리지 않게 합니다.

필수 구성 요소

• Windows PowerShell에 대해 알아봅니다. 실행 정책 옵션에 대한 자세한 내용은 Windows PowerShell about_Execution_Policies.

• Intune 정책을 구성하려면 최소한 Intune 관리 센터에 정책 및 프로필 관리자 기본 제공 Intune 역할의 멤버로 로그인합니다.

  Intune 기본 제공 역할 및 수행할 수 있는 작업에 대한 자세한 내용은 다음을 참조하세요.

  • Microsoft Intune으로 RBAC(역할 기반 액세스 제어)
  • Microsoft Intune에 대한 기본 제공 역할 권한

• HoloLens 2 디바이스를 사용하여 사용자 그룹이나 디바이스 그룹을 만듭니다. 그룹에 대한 자세한 내용은 사용자 그룹 및 디바이스 그룹으로 이동합니다.

1단계 - Windows PowerShell을 사용하여 WDAC 정책 만들기

이 예제에서는 Windows PowerShell을 사용하여 WDAC(Windows Defender Application Control) 정책을 만듭니다. 이 정책은 특정 앱이 열리지 못하게 합니다.

1. 데스크톱 컴퓨터에서 Windows PowerShell 앱을 엽니다.

2. 데스크톱 컴퓨터 및 HoloLens에서 설치된 애플리케이션 패키지에 대한 정보를 가져옵니다.

   $package1 = Get-AppxPackage -name *<applicationname>*
   

   예를 들어 다음과 같이 입력합니다.

   $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
   

   그런 다음 패키지에 애플리케이션 특성이 있는지 확인합니다.

   $package1
   

   다음 특성과 유사한 앱 세부 정보가 표시됩니다.

   Name              : Microsoft.MicrosoftEdge
   Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
   Architecture      : Neutral
   ResourceId        :
   Version           : 44.20190.1000.0
   PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
   InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   IsFramework       : False
   PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   PublisherId       : 8wekyb3d8bbwe
   IsResourcePackage : False
   IsBundle          : False
   IsDevelopmentMode : False
   NonRemovable      : True
   IsPartiallyStaged : False
   SignatureKind     : System
   Status            : Ok
   

3. WDAC 정책을 만들고 앱 패키지를 거부 규칙에 추가합니다.

   $rule = New-CIPolicyRule -Package $package1 -Deny
   

4. 거부할 다른 애플리케이션을 상대로 2~3단계를 반복합니다.

   $rule += New-CIPolicyRule -Package $package<2..n> -Deny
   

   예를 들어 다음과 같이 입력합니다.

   $package2 = Get-AppxPackage -name *windowsstore*
   $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
   

5. WDAC 정책을 newPolicy.xml로 변환합니다.

   참고

   HoloLens 디바이스에만 설치된 앱을 차단할 수 있습니다. 자세한 내용은 HoloLens에서 앱에 대한 패키지 패밀리 이름을 참조하세요.

   New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
   

   앱의 모든 버전을 대상으로 지정하려면 newPolicy.xml에서 PackageVersion="65535.65535.65535.65535"가 거부 노드에 있어야 합니다.

   <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
   

   PackageFamilyNameRules에는 다음 버전을 사용할 수 있습니다.

   • 허용: "이 버전 이상 허용"을 의미하는 PackageVersion, 0.0.0.0을 입력합니다.
   • 거부: "이 버전 이하 거부"를 의미하는 PackageVersion, 65535.65535.65535.65535를 입력합니다.

6. 업무용 앱(앱 관리 참조)과 같이 Microsoft Store가 출처가 아닌 앱을 배포하고 실행하려는 경우 WDAC 정책에 서명자를 추가하여 이러한 앱을 명시적으로 허용합니다.

   참고

   WDAC 및 LOB 앱 사용은 현재 HoloLens용 Windows 참가자 기능에서만 사용할 수 있습니다.

   예를 들어 ATestApp.msix를 배포하려고 합니다. ATestApp.msix는 TestCert.cer 인증서로 서명되어 있습니다. 다음 Windows PowerShell 스크립트를 사용하여 서명자를 WDAC 정책에 추가합니다.

   Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
   

7. newPolicy.xml을 데스크톱 컴퓨터에 있는 기본 정책과 병합합니다. 이 단계에서는 mergedPolicy.xml을 생성합니다. 예를 들어 Windows, WHQL 서명 드라이버, Microsoft Store 서명 앱 실행을 허용할 수 있습니다.

   Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
   

8. mergedPolicy.xml에서 감사 모드를 사용하지 않도록 설정합니다. 병합할 때는 감사 모드가 자동으로 설정됩니다.

   Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
   

9. mergedPolicy.xml에서 InvalidateEAs on a reboot 규칙을 사용 설정합니다.

   Set-RuleOption -o 15 .\mergedPolicy.xml
   

   이러한 규칙에 대한 자세한 내용은 WDAC 정책 규칙 및 파일 규칙 이해를 참조하세요.

10. mergedPolicy.xml을 이진 형식으로 변환합니다. 이 단계에서는 compiledPolicy.bin을 생성합니다. 2단계 - Intune 정책을 만들고 HoloLens 2 디바이스에 정책을 배포할 때 이 compiledPolicy.bin 이진 파일을 Intune 정책에 추가합니다.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

2단계 - Intune 정책 만들기 및 HoloLens 2 디바이스에 정책 배포

이 단계에서는 Intune에서 사용자 지정 디바이스 구성 프로필을 만듭니다. 사용자 지정 정책에서 1단계 - Windows PowerShell을 사용하여 WDAC 정책 만들기에서 만든 compiledPolicy.bin 이진 파일을 추가합니다. 그런 다음 Intune을 사용하여 HoloLens 2 디바이스에 정책을 배포합니다.

1. Microsoft Intune 관리 센터에서 Windows 사용자 지정 디바이스 구성 프로필을 만듭니다.

   특정 단계는 Intune에서 OMA-URI를 사용하여 사용자 지정 프로필 만들기로 이동합니다.

2. 프로필을 만들 때 다음 설정을 입력합니다.

   • OMA URI: ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy를 입력합니다. <PolicyGUID>를 6단계에서 만든 mergedPolicy.xml 파일의 PolicyTypeID 노드로 바꿉니다.

     예제를 활용하여 ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy을 입력합니다.

     정책 GUID가 (6단계에서 만든) mergedPolicy.xml 파일의 PolicyTypeID 노드와 일치해야 합니다.

     OMA-URI는 ApplicationControl CSP를 사용합니다. 이 CSP의 노드에 대한 자세한 내용은 ApplicationControl CSP로 이동합니다.

   • 데이터 형식: Base 64 인코딩 파일을 선택합니다. 파일이 bin에서 base64로 자동으로 변환됩니다.

   • 인증서 파일: 10단계에서 만든 compiledPolicy.bin 이진 파일을 업로드합니다.

   설정이 다음 설정과 유사하게 표시됩니다.

   

3. 프로필이 HoloLens 2 그룹에 할당되었다면 프로필 상태를 확인합니다. 프로필이 성공적으로 적용되었다면 HoloLens 2 디바이스를 다시 부팅합니다.

관련 문서

• 프로필을 할당하고, 해당 상태를 모니터링합니다.
• Intune의 사용자 지정 프로필에 대해 자세히 알아보세요.