Activer les applications Win32 sur les appareils en mode S

Windows 10 mode S est un système d’exploitation verrouillé qui exécute uniquement les applications du Windows Store. Par défaut, les appareils en mode Windows S n’autorisent pas l’installation et l’exécution d’applications Win32. Ces appareils incluent une seule stratégie de base Win 10S, qui empêche l’appareil en mode S d’exécuter des applications Win32 sur celui-ci. Toutefois, en créant et en utilisant une stratégie supplémentaire en mode S dans Intune, vous pouvez installer et exécuter des applications Win32 sur des appareils gérés en mode Windows 10 S. À l’aide des outils PowerShell Microsoft Defender Contrôle d’application (WDAC), vous pouvez créer une ou plusieurs stratégies supplémentaires pour le mode S Windows. Vous devez signer les stratégies supplémentaires avec le service de signature Device Guard (DGSS) ou avec SignTool.exe, puis charger et distribuer les stratégies via Intune. Vous pouvez également signer les stratégies supplémentaires avec un certificat de signature de code à partir de votre organization, mais la méthode recommandée consiste à utiliser DGSS. Dans le instance que vous utilisez le certificat de signature de code de votre organization, le certificat racine auquel le certificat de signature de code est lié doit être présent sur l’appareil.

En affectant la stratégie supplémentaire en mode S dans Intune, vous autorisez l’appareil à faire une exception à la stratégie de mode S existante de l’appareil, ce qui autorise le téléchargement du catalogue d’applications signé correspondant. La stratégie définit une liste verte d’applications (le catalogue d’applications) qui peuvent être utilisées sur l’appareil en mode S.

Remarque

Les applications Win32 sur les appareils en mode S ne sont prises en charge que sur Windows 10 mise à jour de novembre 2019 (build 18363) ou versions ultérieures.

Les étapes permettant aux applications Win32 de s’exécuter sur un appareil Windows 10 en mode S sont les suivantes :

1. Activez les appareils en mode S via Intune dans le cadre du processus d’inscription Windows 10 S.
2. Créez une stratégie supplémentaire pour autoriser les applications Win32 :
   • Vous pouvez utiliser Microsoft Defender outils De contrôle d’application (WDAC) pour créer une stratégie supplémentaire. L’ID de stratégie de base dans la stratégie doit correspondre à l’ID de stratégie de base du mode S (qui est codé en dur sur le client). Vérifiez également que la version de la stratégie est supérieure à la version précédente.
   • Vous utilisez DGSS pour signer votre stratégie supplémentaire. Pour plus d’informations, consultez Stratégie d’intégrité du code de signature avec la signature Device Guard.
   • Vous chargez la stratégie supplémentaire signée sur Intune en créant une stratégie supplémentaire en mode Windows 10 S (voir ci-dessous).
3. Vous autorisez les catalogues d’applications Win32 via Intune :
   • Vous créez des fichiers catalogue (un pour chaque application) et vous les signez à l’aide de DGSS ou d’une autre infrastructure de certificats.
   • Vous empaquetez le catalogue connecté dans le fichier .intunewin à l’aide de l’outil de préparation de contenu Microsoft Win32. Il n’existe aucune restriction de nommage lors de la création d’un fichier catalogue à l’aide de l’outil de préparation de contenu Microsoft Win32. Lors de la génération du fichier .intunewin à partir du dossier source et du fichier d’installation spécifiés, vous pouvez fournir un dossier distinct contenant uniquement des fichiers catalogue à l’aide de l’option -a cmdline. Pour plus d’informations, consultez Gestion des applications Win32 - Préparer le contenu de l’application Win32 pour le chargement.
   • Intune applique le catalogue d’applications signé pour installer l’application Win32 sur l’appareil en mode S à l’aide de l’extension de gestion Intune.

Remarque

.appx Les offres métier et .appx les offres groupées sur Windows 10 mode S seront pris en charge via la signature Microsoft Store pour Entreprises (MSFB).

La stratégie supplémentaire en mode S pour les applications doit être fournie via l’extension de gestion Intune.

Les stratégies de mode S sont appliquées au niveau de l’appareil. Plusieurs stratégies ciblées seront fusionnées sur l’appareil. La stratégie fusionnée sera appliquée sur l’appareil.

Pour créer une stratégie supplémentaire en mode Windows 10 S, procédez comme suit :

1. Connectez-vous au centre d’administration Microsoft Intune.

2. Sélectionnez Stratégiessupplémentaires > dumode Applications> SCréer une stratégie.

3. Avant d’ajouter le fichier de stratégie, vous devez le créer et le signer. Pour plus d’informations, consultez l’article suivant :

   • Créer une stratégie WDAC à l’aide des outils PowerShell et la convertir au format binaire
   • Signer à l’aide du service de signature Device Guard(recommandé)

4. Dans la page De base, ajoutez les valeurs suivantes :

   Valeur	Description
   Fichier de stratégie	Fichier qui contient la stratégie WDAC.
   Nom	Nom de cette stratégie.
   Description	[Facultatif] Description de cette stratégie.

5. Sélectionnez Suivant : Balises d’étendue.
   Dans la page Balises d’étendue, vous pouvez éventuellement configurer des balises d’étendue pour déterminer qui peut voir la stratégie d’application dans Intune. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour l’informatique distribuée.

6. Sélectionnez Suivant : Affectations.
   La page Affectations vous permet d’affecter la stratégie aux utilisateurs et aux appareils. Il est important de noter que vous pouvez affecter une stratégie à un appareil, que l’appareil soit géré ou non par Intune.

7. Sélectionnez Suivant : Vérifier + créer pour passer en revue les valeurs que vous avez entrées pour le profil.

8. Lorsque vous avez terminé, sélectionnez Créer pour créer la stratégie supplémentaire en mode S dans Intune.

Une fois la stratégie créée, elle est ajoutée à la liste des stratégies supplémentaires en mode S dans Intune. Une fois la stratégie affectée, elle est déployée sur les appareils. Notez que vous devez déployer l’application dans le même groupe de sécurité que la stratégie supplémentaire. Vous pouvez commencer à cibler et à attribuer des applications à ces appareils. Cela permettra à vos utilisateurs finaux d’installer et d’exécuter les applications sur les appareils en mode S.

Suppression de la stratégie en mode S

Actuellement, pour supprimer la stratégie supplémentaire en mode S de l’appareil, vous devez affecter et déployer une stratégie vide pour remplacer la stratégie supplémentaire du mode S existante.

Rapports de stratégie

La stratégie supplémentaire en mode S, qui est appliquée au niveau de l’appareil, a uniquement des rapports au niveau de l’appareil. Les rapports au niveau de l’appareil sont disponibles pour les conditions de réussite et d’erreur.

Valeurs de création de rapports affichées dans le centre d’administration Microsoft Intune pour les stratégies de création de rapports en mode S :

• Réussite : la stratégie supplémentaire du mode S est en vigueur.
• Inconnu : la status de la stratégie supplémentaire en mode S n’est pas connue.
• TokenError : la stratégie supplémentaire en mode S est structurellement correcte, mais il existe une erreur lors de l’autorisation du jeton.
• NotAuthorizedByToken : le jeton n’autorise pas cette stratégie supplémentaire en mode S.
• PolicyNotFound : la stratégie supplémentaire du mode S est introuvable.

Prochaines étapes

• Pour plus d’informations, consultez Applications Win32 en mode s.
• Pour plus d’informations sur l’ajout d’applications à Intune, consultez Ajouter des applications à Microsoft Intune.
• Pour plus d’informations sur les applications Win32, consultez Intune gestion des applications Win32.