在 S 模式裝置上啟用 Win32 應用程式

Windows 10 S 模式是鎖定的作系統，只會執行市集應用程式。 根據預設，Windows S 模式裝置不允許安裝和執行 Win32 應用程式。 這些裝置包含單一 Win 10S 基底原則，可鎖定 S 模式裝置，使其無法在其中執行任何 Win32 應用程式。 不過，藉由在 Intune 中建立和使用 S 模式補充原則，您可以在 Windows 10 S 模式受管理的裝置上安裝和執行 Win32 應用程式。 藉由使用 Microsoft Defender 應用程控 (WDAC) PowerShell 工具，您可以為 Windows S 模式建立一或多個補充原則。 您必須使用 Device Guard 簽署服務簽署補充原則 (DGSS) 或使用SignTool.exe，然後透過 Intune 上傳和散發原則。 或者，您可以使用組織的程式代碼簽署憑證來簽署補充原則，但慣用的方法是使用 DGSS。 在您使用組織的程式代碼簽署憑證的實例中，簽署憑證所鏈結的跟證書必須存在於裝置上。

藉由在 Intune 中指派 S 模式補充原則，您可讓裝置對裝置現有的 S 模式原則進行例外狀況，以允許上傳的對應已簽署應用程式目錄。 原則會設定應用程式目錄 (應用程式目錄) 的允許清單，這些應用程式可在 S 模式裝置上使用。

注意事項

只有 2019 年 11 月更新 Windows 10 (組建 18363) 或更新版本才支援 S 模式裝置上的 Win32 應用程式。

允許 Win32 應用程式在 S 模式 Windows 10 裝置上執行的步驟如下：

1. 透過 Intune 啟用 S 模式裝置，作為 Windows 10 S 註冊程式的一部分。
2. 建立補充原則以允許 Win32 應用程式：
   • 您可以使用 Microsoft Defender 應用程控 (WDAC) 工具來建立補充原則。 原則內的基底原則標識碼必須符合在用戶端) 上硬式編碼的S模式基底原則標識碼 (。 此外，請確定原則版本高於先前的版本。
   • 您可以使用 DGSS 來簽署補充原則。 如需詳細資訊，請 參閱使用Device Guard 簽署簽署程式代碼完整性原則。
   • 您可以建立 Windows 10 S 模式補充原則，將已簽署的補充原則上傳至 Intune， (請參閱下) 。
3. 您可以透過下 Intune 來允許 Win32 應用程式目錄：
   • 您 (每個應用程式) 建立一個類別目錄檔案，並使用 DGSS 或其他憑證基礎結構簽署它們。
   • 您可以使用 Microsoft Win32 內容準備工具，將已簽署的目錄封裝到 .intunewin 檔案中。 使用 Microsoft Win32 內容準備工具建立類別目錄檔案時，沒有任何命名限制。 從指定的源資料夾和安裝程式檔案產生 .intunewin 檔案時，您可以使用 -a cmdline 選項，提供僅包含目錄檔案的個別資料夾。 如需詳細資訊，請參閱 Win32 應用程式管理 - 準備要上傳的 Win32 應用程式內容。
   • Intune 套用已簽署的應用程式目錄，以使用 Intune 管理延伸模組，在 S 模式裝置上安裝 Win32 應用程式。

注意事項

應用程式的 S 模式補充原則必須透過 Intune 管理延伸模組來傳遞。

S 模式原則會在裝置層級強制執行。 裝置上將會合併多個目標原則。 合併的原則將會在裝置上強制執行。

若要建立 Windows 10 S 模式補充原則，請使用下列步驟：

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [應用程式>S 模式補充原則>] [建立原則]。

3. 新增原則 檔案之前，您必須先建立並簽署它。 如需詳細資訊，請參閱：

   • 使用 PowerShell 工具建立 WDAC 原則，並將其轉換成二進位格式
   • 使用 Device Guard 簽署服務進行簽署 (建議的)

4. 在 [ 基本] 頁面上，新增下列值：

   值	描述
   原則檔案	包含 WDAC 原則的檔案。
   名稱	此原則的名稱。
   描述	[選擇性]此原則的描述。

5. 選 取 [下一步：範圍卷標]。
   在 [範圍卷標] 頁面上，您可以選擇性地設定範圍卷標，以判斷誰可以在 Intune 中看到應用程式原則。 如需範圍標籤的詳細資訊，請 參閱針對分散式IT使用角色型訪問控制和範圍標籤。

6. 選取 [下一步：指派]。
   [ 指派] 頁面可讓您將原則指派給用戶和裝置。 請務必注意，無論裝置是否由 Intune 管理，您都可以將原則指派給裝置。

7. 選 取 [下一步：檢閱 + 建立] 以檢閱您為配置檔輸入的值。

8. 當您完成時，請選取 [建立] 以在 Intune 中建立 S 模式補充原則。

建立原則之後，您會看到它新增至 Intune 中的 S 模式補充原則清單。 指派原則之後，原則就會部署到裝置。 請注意，您必須將應用程式部署到與補充原則相同的安全組。 您可以開始將目標設定為目標，並將應用程式指派給這些裝置。 這可讓您的終端使用者在 S 模式裝置上安裝和執行應用程式。

拿掉 S 模式原則

目前，若要從裝置移除 S 模式補充原則，您必須指派並部署空的原則，以覆寫現有的 S 模式補充原則。

原則報告

在裝置層級強制執行的 S 模式補充原則只有裝置層級報告。 裝置層級報告適用於成功和錯誤狀況。

報告 S 模式報告原則 Microsoft Intune 系統管理中心所顯示的值：

• 成功：S 模式補充原則已生效。
• 未知：不知道 S 模式補充原則的狀態。
• TokenError：S 模式補充原則在結構上沒問題，但授權令牌時發生錯誤。
• NotAuthorizedByToken：令牌不會授權此 S 模式補充原則。
• PolicyNotFound：找不到 S 模式補充原則。

後續步驟

• 如需詳細資訊，請參閱 模式上的 Win32 應用程式。
• 如需將應用程式新增至 Intune 的詳細資訊，請參閱將應用程式新增至 Microsoft Intune。
• 如需 Win32 應用程式的詳細資訊，請參閱 Intune Win32 應用程式管理。