在 S 模式设备上启用 Win32 应用

Windows 10 S 模式 是一种锁定的操作系统，仅运行应用商店应用。 默认情况下，Windows S 模式设备不允许安装和执行 Win32 应用。 这些设备包括单个 Win 10S 基础策略，该策略可锁定 S 模式设备，使其不运行任何 Win32 应用。 但是，通过在 Intune 中创建和使用 S 模式补充策略 ，可以在 Windows 10 S 模式托管设备上安装和运行 Win32 应用。 通过使用 Microsoft Defender 应用程序控制 (WDAC) PowerShell 工具，可以为 Windows S 模式创建一个或多个补充策略。 必须使用 Device Guard 签名服务 (DGSS) 或 SignTool.exe 签署补充策略，然后通过 Intune 上传和分发策略。 作为替代方法，可以使用组织的代码签名证书对补充策略进行签名，但首选方法是使用 DGSS。 在使用组织的代码签名证书的实例中，设备上必须存在代码签名证书链接到的根证书。

通过在 Intune 中分配 S 模式补充策略，使设备能够对设备的现有 S 模式策略发出异常，该策略允许上传的相应已签名应用目录。 该策略 (可在 S 模式设备上使用的应用目录) 设置应用允许列表。

注意

S 模式设备上的 Win32 应用仅在 Windows 10 2019 年 11 月更新 (内部版本 18363) 或更高版本上受支持。

允许 Win32 应用在 Windows 10 设备上以 S 模式运行的步骤如下：

1. 在 Windows 10 S 注册过程中，通过 Intune 启用 S 模式设备。
2. 创建补充策略以允许 Win32 应用：
   • 可以使用 Microsoft Defender 应用程序控制 (WDAC) 工具来创建补充策略。 策略中的基本策略 ID 必须与在客户端) 上硬编码的 S 模式基本策略 ID (匹配。 此外，请确保策略版本高于以前的版本。
   • 使用 DGSS 签署补充策略。 有关详细信息，请参阅 使用 Device Guard 签名对代码完整性策略进行签名。
   • 通过创建 Windows 10 S 模式补充策略，将签名的补充策略上传到 Intune (请参阅以下) 。
3. 允许通过 Intune 创建 Win32 应用目录：
   • 为每个) 的应用创建 (一个目录文件，并使用 DGSS 或其他证书基础结构对其进行签名。
   • 使用 Microsoft Win32 内容准备工具将签名的目录打包到 .intunewin 文件中。 使用 Microsoft Win32 内容准备工具创建目录文件时没有命名限制。 从指定的源文件夹和安装程序文件生成 .intunewin 文件时，可以使用 -a cmdline 选项提供仅包含目录文件的单独文件夹。 有关详细信息，请参阅 Win32 应用管理 - 准备要上传的 Win32 应用内容。
   • Intune 应用已签名的应用目录，以使用 Intune 管理扩展在 S 模式设备上安装 Win32 应用。

注意

应用的 S 模式补充策略必须通过 Intune 管理扩展传递。

S 模式策略在设备级别强制执行。 设备上将合并多个目标策略。 合并的策略将在设备上强制实施。

若要创建 Windows 10 S 模式补充策略，请使用以下步骤：

1. 登录到 Microsoft Intune 管理中心。

2. 选择 “应用>S 模式补充策略>”“创建策略”。

3. 在添加 策略文件之前，必须创建并对其进行签名。 有关更多信息，请参阅：

   • 使用 PowerShell 工具创建 WDAC 策略并将其转换为二进制格式
   • 建议使用 Device Guard 签名服务进行签名 ()

4. 在“基本信息”页上，添加以下值：

   值	说明
   策略文件	包含 WDAC 策略的文件。
   名称	此策略的名称。
   说明	[可选]此策略的说明。

5. 选择“ 下一步：范围标记”。
   在 “作用域标记 ”页上，可以选择配置范围标记，以确定谁可以在 Intune 中查看应用策略。 有关范围标记的详细信息，请参阅 为分布式 IT 使用基于角色的访问控制和范围标记。

6. 选择“下一步：分配”。
   “ 分配 ”页允许将策略分配给用户和设备。 请务必注意，无论设备是否由 Intune 管理，都可以将策略分配给设备。

7. 选择“ 下一步：查看 + 创建 ”，查看为配置文件输入的值。

8. 完成后，选择“ 创建 ”，在 Intune 中创建 S 模式补充策略。

创建策略后，你将看到它已添加到 Intune 中的 S 模式补充策略列表中。 分配策略后，策略将部署到设备。 请注意，必须将应用部署到补充策略所在的安全组。 你可以开始定位应用并将其分配给这些设备。 这将允许最终用户在 S 模式设备上安装和执行应用。

删除 S 模式策略

目前，若要从设备中删除 S 模式补充策略，必须分配并部署空策略以覆盖现有的 S 模式补充策略。

策略报告

S 模式补充策略（在设备级别强制实施）仅具有设备级别报告。 设备级别报告适用于成功和错误条件。

Microsoft Intune 管理中心中为 S 模式报告策略显示的报告值：

• 成功：S 模式补充策略生效。
• 未知：S 模式补充策略的状态未知。
• TokenError：S 模式补充策略在结构上正常，但授权令牌时出错。
• NotAuthorizedByToken：令牌不授权此 S 模式补充策略。
• PolicyNotFound：找不到 S 模式补充策略。

后续步骤

• 有关详细信息，请参阅 s 模式下的 Win32 应用。
• 有关向 Intune 添加应用的详细信息，请参阅 向 Microsoft Intune 添加应用。
• 有关 Win32 应用的详细信息，请参阅 Intune Win32 应用管理。