WDAC와 Windows PowerShell을 사용하여 Microsoft Intune으로 HoloLens 2 디바이스에서 앱을 허용 또는 차단Use WDAC and Windows PowerShell to allow or blocks apps on HoloLens 2 devices with Microsoft Intune

Microsoft HoloLens 2 디바이스는 AppLocker CSP를 대체하는 WDAC(Windows Defender Application Control) CSP를 지원합니다.Microsoft HoloLens 2 devices support the Windows Defender Application Control (WDAC) CSP, which replaces the AppLocker CSP.

Windows PowerShell과 Microsoft Intune을 사용하면 WDAC CSP로 Microsoft HoloLens 2 디바이스에서 특정 앱이 열리도록 허용하거나 차단할 수 있습니다.Using Windows PowerShell and Microsoft Intune, you can use the WDAC CSP to allow or block specific apps from opening on Microsoft HoloLens 2 devices. 예를 들어 조직 내 HoloLens 2 디바이스에서 Cortana 앱이 열리도록 허용하거나 열리지 않게 할 수 있습니다.For example, you may want to allow or prevent the Cortana app from opening on HoloLens 2 devices in your organization.

이 기능은 다음에 적용됩니다.This feature applies to:

  • Windows Holographic for Business를 실행하는 HoloLens 2 디바이스HoloLens 2 devices running Windows Holographic for Business

WDAC CSP는 WDAC(Windows Defender Application Control) 기능을 기반으로 합니다.The WDAC CSP is based on the Windows Defender Application Control (WDAC) feature. 여러 WDAC 정책을 사용할 수도 있습니다.You can also use multiple WDAC policies.

이 문서에서는 다음 방법을 보여 줍니다.This article shows you how to:

  1. Windows PowerShell을 사용하여 WDAC 정책을 만듭니다.Use Windows PowerShell to create WDAC policies.
  2. Windows PowerShell을 사용하여 WDAC 정책 규칙을 XML로 변환하고 XML을 업데이트한 다음 XML을 이진 파일로 변환합니다.Use Windows PowerShell to convert the WDAC policy rules to XML, update the XML, and then convert the XML to a binary file.
  3. Microsoft Intune에서 사용자 지정 디바이스 구성 프로필을 만들고 이 WDAC 정책 이진 파일을 추가한 다음 HoloLens 2 디바이스에 정책을 적용합니다.In Microsoft Intune, create a custom device configuration profile, add this WDAC policy binary file, and apply the policy to your HoloLens 2 devices.

WDAC(Windows Defender Application Control) CSP를 사용하려면 Intune에서 사용자 지정 구성 프로필을 만들어야 합니다.In Intune, you must create a custom configuration profile to use the Windows Defender Application Control (WDAC) CSP.

이 문서에서 설명하는 단계를 템플릿으로 사용하여 HoloLens 2 디바이스에서 특정 앱이 열리도록 허용하거나 열리지 않게 합니다.Use the steps in this article as a template to allow or deny specific apps from opening on HoloLens 2 devices.

전제 조건Prerequisites

  • Windows PowerShell에 대해 알아봅니다.Be familiar with Windows PowerShell.

  • 다음 구성원으로 Intune에 로그인합니다.Sign in to Intune as a member of:

    • 정책 및 프로필 관리자 또는 Intune 역할 관리자 Intune 역할Policy and Profile Manager or Intune Role Administrator Intune role

      또는OR

    • 글로벌 관리자 또는 Intune 서비스 관리자 Azure AD 역할Global Administrator or Intune Service Administrator Azure AD role

    자세한 내용은 Intune을 통한 RBAC(역할 기반 액세스 제어)에서 확인할 수 있습니다.Role-based access control (RBAC) with Intune has more information.

  • HoloLens 2 디바이스를 사용하여 사용자 그룹이나 디바이스 그룹을 만듭니다.Create a user group or devices group with your HoloLens 2 devices. 자세한 내용은 사용자 그룹 및 디바이스 그룹을 참조하세요.For more information, see User groups vs. device groups.

예제Example

이 예제에서는 Windows PowerShell을 사용하여 WDAC(Windows Defender Application Control) 정책을 만듭니다.This example uses Windows PowerShell to create a Windows Defender Application Control (WDAC) policy. 이 정책은 특정 앱이 열리지 못하게 합니다.The policy prevents specific apps from opening. 그런 다음 Intune을 사용하여 HoloLens 2 디바이스에 정책을 배포합니다.Then, use Intune to deploy the policy to HoloLens 2 devices.

  1. 데스크톱 컴퓨터에서 Windows PowerShell 앱을 엽니다.On your desktop computer, open the Windows PowerShell app.

  2. 데스크톱 컴퓨터 및 HoloLens에서 설치된 애플리케이션 패키지에 대한 정보를 가져옵니다.Get information about the installed application package on your desktop computer and HoloLens:

    $package1 = Get-AppxPackage -name *<applicationname>*
    

    예를 들어 다음과 같이 입력합니다.For example, enter:

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
    

    그런 다음 패키지에 애플리케이션 특성이 있는지 확인합니다.Next, confirm the package has application attributes:

    $package1
    

    다음 앱 세부 정보와 비슷한 특성이 표시됩니다.You'll see attributes similar to the following app details:

    Name              : Microsoft.MicrosoftEdge
    Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
    Architecture      : Neutral
    ResourceId        :
    Version           : 44.20190.1000.0
    PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
    InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    IsFramework       : False
    PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    PublisherId       : 8wekyb3d8bbwe
    IsResourcePackage : False
    IsBundle          : False
    IsDevelopmentMode : False
    NonRemovable      : True
    IsPartiallyStaged : False
    SignatureKind     : System
    Status            : Ok
    
  3. WDAC 정책을 만들고 앱 패키지를 거부 규칙에 추가합니다.Create a WDAC policy, and add the app package to the DENY rule:

    $rule = New-CIPolicyRule -Package $package1 -Deny
    
  4. 거부할 다른 애플리케이션을 상대로 2~3단계를 반복합니다.Repeat steps 2 and 3 for any other applications you want to DENY:

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny
    

    예를 들어 다음과 같이 입력합니다.For example, enter:

    $package2 = Get-AppxPackage -name *windowsstore*
    $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
    
  5. WDAC 정책을 newPolicy.xml 로 변환합니다.Convert the WDAC policy to newPolicy.xml :

    참고

    HoloLens 디바이스에만 설치된 앱을 차단할 수 있습니다.You can block apps that are only installed on HoloLens devices. 자세한 내용은 HoloLens의 앱에 대한 패키지 제품군 이름을 참조하세요.For more information, see package family names for apps on HoloLens.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
    

    앱의 모든 버전을 대상으로 지정하려면 newPolicy.xml에서 PackageVersion="65535.65535.65535.65535"가 거부 노드에 있어야 합니다.To target all versions of an app, in newPolicy.xml, be sure PackageVersion="65535.65535.65535.65535" is in Deny node:

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
    

    PackageFamilyNameRules에는 다음 버전을 사용할 수 있습니다.For PackageFamilyNameRules, you can use the following versions:

    • 허용 : "이 버전 이상 허용"을 의미하는 PackageVersion, 0.0.0.0을 입력합니다.Allow : Enter PackageVersion, 0.0.0.0, which means "Allow this version and above".
    • 거부 : "이 버전 이하 거부"를 의미하는 PackageVersion, 65535.65535.65535.65535를 입력합니다.Deny : Enter PackageVersion, 65535.65535.65535.65535, which means "Deny this version and below".
  6. newPolicy.xml 을 데스크톱 컴퓨터에 있는 기본 정책과 병합합니다.Merge newPolicy.xml with the default policy that's on your desktop computer. 이 단계에서는 mergedPolicy.xml 을 생성합니다.This step creates mergedPolicy.xml. 예를 들어 Windows, WHQL 서명 드라이버, Microsoft Store 서명 앱 실행을 허용할 수 있습니다.For example, allow the Windows, WHQL signed drivers, and Store signed apps to run:

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
    
  7. mergedPolicy.xml 에서 감사 모드 를 사용하지 않도록 설정합니다.Disable the Audit mode rule in mergedPolicy.xml. 병합할 때는 감사 모드가 자동으로 설정됩니다.When you merge, audit mode is automatically turned on:

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
    
  8. mergedPolicy.xml 에서 InvalidateEAs on a reboot 규칙을 사용 설정합니다.Enable the InvalidateEAs on a reboot rule in mergedPolicy.xml :

    Set-RuleOption -o 15 .\mergedPolicy.xml
    

    이러한 규칙에 관한 자세한 내용은 WDAC 정책 규칙 및 파일 규칙 알아보기를 참조하세요.For more information on these rules, see Understand WDAC policy rules and file rules.

  9. mergedPolicy.xml 을 이진 형식으로 변환합니다.Convert mergedPolicy.xml to binary format. 이 단계에서는 compiledPolicy.bin 을 생성합니다.This step creates compiledPolicy.bin. 나중에 이 compiledPolicy.bin 이진 파일을 Intune에 추가합니다.You'll add this compiledPolicy.bin binary file to Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    
  10. Intune에서 사용자 지정 디바이스 구성 프로필 만들기:Create the custom device configuration profile in Intune:

    1. Microsoft Endpoint Manager 관리 센터에서 Windows 10 사용자 지정 디바이스 구성 프로필을 만듭니다.In the Microsoft Endpoint Manager admin center, create a Windows 10 custom device configuration profile.

      자세한 단계는 Intune에서 OMA-URI를 사용하여 사용자 지정 프로필 만들기를 참조하세요.For the specific steps, see Create a custom profile using OMA-URI in Intune.

    2. 프로필을 만들 때 다음 설정을 입력합니다.When you create the profile, enter the following settings:

    • OMA URI ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy를 입력합니다.OMA-URI : Enter ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. <PolicyGUID>를 6단계에서 만든 mergedPolicy.xml 파일의 PolicyTypeID 노드로 바꿉니다.Replace <PolicyGUID> with the PolicyTypeID node in the mergedPolicy.xml file you created in step 6.

      예제를 활용하여 ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy을 입력합니다.Using our example, enter ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

      정책 GUID가 (6단계에서 만든) mergedPolicy.xml 파일의 PolicyTypeID 노드와 일치해야 합니다.The policy GUID must match the PolicyTypeID node in the mergedPolicy.xml file (created in step 6).

      OMA-URI는 ApplicationControl CSP를 사용합니다.The OMA-URI uses the ApplicationControl CSP. 이 CSP의 노드에 대한 자세한 내용을 보려면 ApplicationControl CSP로 이동하세요.For more information on the nodes in this CSP, go to ApplicationControl CSP.

    • 데이터 형식 : Base64 파일 로 설정합니다.Data type : Set to Base64 file. 파일이 bin에서 base64로 자동으로 변환됩니다.It automatically converts the file from bin to base64.

    • 인증서 파일 : (9단계에서 만든) compiledPolicy.bin 이진 파일을 업로드합니다.Certificate file : Upload the compiledPolicy.bin binary file (created in step 9).

    설정이 다음 설정과 유사하게 표시됩니다.Your settings look similar to the following settings:

    사용자 지정 OMA-URI를 추가하여 Microsoft Intune에서 ApplicationControl CSP를 구성합니다.

  11. 프로필이 HoloLens 2 그룹에 할당되었다면 프로필 상태를 확인합니다.When the profile is assigned to your HoloLens 2 group, check the profile status. 프로필이 성공적으로 적용되었다면 HoloLens 2 디바이스를 다시 부팅합니다.After the profile successfully applies, reboot the HoloLens 2 devices.

다음 단계Next steps

프로필을 할당하고, 해당 상태를 모니터링합니다.Assign the profile, and monitor its status.

Intune의 사용자 지정 프로필에 대해 자세히 알아보세요.Learn more about custom profiles in Intune.