Delen via


WDAC en Windows PowerShell gebruiken om apps toe te staan of te blokkeren op HoloLens 2-apparaten met Microsoft Intune

Microsoft HoloLens 2-apparaten ondersteunen de Windows Defender Application Control (WDAC) CSP, die de AppLocker-CSP vervangt.

Met Windows PowerShell en Microsoft Intune kunt u de WDAC-CSP gebruiken om het openen van specifieke apps op Microsoft HoloLens 2-apparaten toe te staan of te blokkeren. U wilt bijvoorbeeld toestaan of voorkomen dat een app wordt geopend op HoloLens 2-apparaten in uw organisatie.

Deze functie is van toepassing op:

  • HoloLens 2-apparaten met Windows Holographic for Business
  • Windows 10/11

De WDAC-CSP is gebaseerd op de functie Windows Defender Application Control (WDAC). U kunt ook meerdere WDAC-beleidsregels gebruiken.

In dit artikel wordt beschreven hoe u het volgende kunt doen:

  1. Gebruik Windows PowerShell om WDAC-beleid te maken.
  2. Gebruik Windows PowerShell om de WDAC-beleidsregels te converteren naar XML, de XML bij te werken en vervolgens de XML te converteren naar een binair bestand.
  3. Maak in Microsoft Intune een aangepast apparaatconfiguratieprofiel, voeg dit binaire BESTAND voor WDAC-beleid toe en pas het beleid toe op uw HoloLens 2-apparaten.

In Intune moet u een aangepast configuratieprofiel maken om de WINDOWS Defender Application Control (WDAC) CSP te gebruiken.

Gebruik de stappen in dit artikel als sjabloon om het openen van specifieke apps op HoloLens 2-apparaten toe te staan of te weigeren.

Vereisten

Stap 1: het WDAC-beleid maken met Windows PowerShell

In dit voorbeeld wordt Windows PowerShell gebruikt om een WDAC-beleid (Windows Defender Application Control) te maken. Het beleid voorkomt dat specifieke apps worden geopend.

  1. Open de Windows PowerShell-app op uw desktopcomputer.

  2. Informatie over het geïnstalleerde toepassingspakket op uw desktopcomputer en HoloLens:

    $package1 = Get-AppxPackage -name *<applicationname>*
    

    Voer bijvoorbeeld het volgende in:

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
    

    Controleer vervolgens of het pakket toepassingskenmerken heeft:

    $package1
    

    App-details die vergelijkbaar zijn met de volgende kenmerken worden weergegeven:

    Name              : Microsoft.MicrosoftEdge
    Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
    Architecture      : Neutral
    ResourceId        :
    Version           : 44.20190.1000.0
    PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
    InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    IsFramework       : False
    PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    PublisherId       : 8wekyb3d8bbwe
    IsResourcePackage : False
    IsBundle          : False
    IsDevelopmentMode : False
    NonRemovable      : True
    IsPartiallyStaged : False
    SignatureKind     : System
    Status            : Ok
    
  3. Maak een WDAC-beleid en voeg het app-pakket toe aan de REGEL DENY:

    $rule = New-CIPolicyRule -Package $package1 -Deny
    
  4. Herhaal stap 2 en 3 voor andere toepassingen die u wilt WEIGEREN:

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny
    

    Voer bijvoorbeeld het volgende in:

    $package2 = Get-AppxPackage -name *windowsstore*
    $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
    
  5. Converteer het WDAC-beleid naar newPolicy.xml:

    Opmerking

    U kunt apps blokkeren die alleen op HoloLens-apparaten zijn geïnstalleerd. Ga voor meer informatie naar pakketfamilienamen voor apps op HoloLens.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
    

    Als u alle versies van een app wilt targeten, moet u PackageVersion="65535.65535.65535.65535" in newPolicy.xml het knooppunt Weigeren:

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
    

    Voor PackageFamilyNameRuleskunt u de volgende versies gebruiken:

    • Toestaan: Voer in PackageVersion, 0.0.0.0, wat betekent 'Deze versie en hoger toestaan'.
    • Weigeren: Voer in PackageVersion, 65535.65535.65535.65535, wat betekent 'Deze versie en lager weigeren'.
  6. Als u van plan bent om apps te implementeren en uit te voeren die niet afkomstig zijn van de Microsoft Store, zoals Line-Of-Business-apps (zie AppBeheer), staat u deze apps expliciet toe door hun ondertekenaar toe te voegen aan het WDAC-beleid.

    Opmerking

    Het gebruik van WDAC- en LOB-apps is momenteel alleen beschikbaar in Windows Insiders-functies voor HoloLens.

    U bent bijvoorbeeld van plan om te ATestApp.msiximplementeren. ATestApp.msix is ondertekend door het TestCert.cer certificaat. Gebruik het volgende Windows PowerShell-script om de ondertekenaar toe te voegen aan het WDAC-beleid:

    Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
    
  7. Voeg newPolicy.xml samen met het standaardbeleid op uw desktopcomputer. Met deze stap maakt umergedPolicy.xml. Sta bijvoorbeeld de windows-, WHQL-ondertekende stuurprogramma's en Store-ondertekende apps toe om uit te voeren:

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
    
  8. Schakel de regel controlemodus uit in mergedPolicy.xml. Wanneer u samenvoegt, wordt de controlemodus automatisch ingeschakeld:

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
    
  9. Schakel de regel InvalidateEAs in op een herstartregel in mergedPolicy.xml:

    Set-RuleOption -o 15 .\mergedPolicy.xml
    

    Ga naar Informatie over WDAC-beleidsregels en bestandsregels voor informatie over deze regels.

  10. Converteer mergedPolicy.xml naar binaire indeling. Met deze stap maakt u compiledPolicy.bin. In Stap 2: een Intune-beleid maken en het beleid implementeren op HoloLens 2-apparaten, voegt u dit compiledPolicy.bin binaire bestand toe aan een Intune-beleid.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

Stap 2: Een Intune-beleid maken en het beleid implementeren op HoloLens 2-apparaten

In deze stap maakt u een aangepast apparaatconfiguratieprofiel in Intune. In het aangepaste beleid voegt u het compiledPolicy.bin binaire bestand toe dat u hebt gemaakt in Stap 1: het WDAC-beleid maken met Windows PowerShell. Gebruik vervolgens Intune om het beleid te implementeren op HoloLens 2-apparaten.

  1. Maak in het Microsoft Intune-beheercentrum een aangepast apparaatconfiguratieprofiel voor Windows.

    Ga voor de specifieke stappen naar Een aangepast profiel maken met behulp van OMA-URI in Intune.

  2. Wanneer u het profiel maakt, voert u de volgende instellingen in:

    • OMA-URI: voer in ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. Vervang door <PolicyGUID> het knooppunt PolicyTypeID in het mergedPolicy.xml-bestand dat u in stap 6 hebt gemaakt.

      Voer in ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policyons voorbeeld in.

      De beleids-GUID moet overeenkomen met het knooppunt PolicyTypeID in het mergedPolicy.xml-bestand (gemaakt in stap 6).

      De OMA-URI maakt gebruik van de ApplicationControl-CSP. Ga naar ApplicationControl CSP voor informatie over de knooppunten in deze CSP.

    • Gegevenstype: stel in op Base64-bestand. Het bestand wordt automatisch geconverteerd van bin naar base64.

    • Certificaatbestand: upload het binaire compiledPolicy.bin bestand (gemaakt in stap 10).

    Uw instellingen zien er ongeveer uit als de volgende instellingen:

    Voeg een aangepaste OMA-URI toe om ApplicationControl CSP te configureren in Microsoft Intune.

  3. Wanneer het profiel is toegewezen aan uw HoloLens 2-groep, controleert u de profielstatus. Nadat het profiel is toegepast, start u de HoloLens 2-apparaten opnieuw op.