Włączanie obsługi aplikacji Win32 na urządzeniach w trybie SEnable Win32 apps on S mode devices

Tryb S systemu Windows 10 to zablokowany system operacyjny, który uruchamia tylko aplikacje ze Sklepu.Windows 10 S mode is a locked-down operating system that only runs Store apps. Domyślnie urządzenia w trybie S systemu Windows nie zezwalają na instalowanie i wykonywanie aplikacji Win32.By default, Windows S mode devices do not allow installation and execution of Win32 apps. Te urządzenia zawierają jedną zasadę podstawową systemu Win 10S, która blokuje na urządzeniu w trybie S uruchamianie jakichkolwiek aplikacji Win32.These devices include a single Win 10S base policy, which locks the S mode device from running any Win32 apps on it. Jednak dzięki utworzeniu i zastosowaniu zasad uzupełniających trybu S w usłudze Intune można instalować i uruchamiać aplikacje Win32 na urządzeniach zarządzanych w trybie S systemu Windows 10.However, by creating and using an S mode supplemental policy in Intune, you can install and run Win32 apps on Windows 10 S mode managed devices. Używając narzędzi programu PowerShell dla Kontroli aplikacji usługi Microsoft Defender (WDAC), można utworzyć jedną lub kilka zasad uzupełniających dla trybu S systemu Windows.By using the Microsoft Defender Application Control (WDAC) PowerShell tools, you can create one or more supplemental policies for Windows S mode. Należy podpisać zasady uzupełniające za pomocą usługi Device Guard — podpisywanie (DGSS) lub narzędzia SignTool.exe, a następnie przekazać i rozpowszechnić zasady za pośrednictwem usługi Intune.You must sign the supplemental policies with the Device Guard Signing Service (DGSS) or with SignTool.exe and then upload and distribute the policies via Intune. Alternatywnie zasady uzupełniające można podpisać przy użyciu certyfikatu podpisywania kodu swojej organizacji, jednak preferowaną metodą jest użycie usługi DGSS.As an alternative, you can sign the supplemental policies with a codesigning certificate from your organization, however the preferred method is to use DGSS. W przypadku korzystania z certyfikatu podpisywania kodu swojej organizacji certyfikat główny, do którego jest dowiązany certyfikat podpisywania kodu, musi znajdować się na urządzeniu.In the instance that you use the codesigning certificate from your organization, the root certificate that the codesigning certificate chains up to, must be present on the device.

Ważne

Usługa Device Guard — podpisywanie w wersji 2 (DGSS v2) będzie dostępna w połowie września 2020 r., a do końca grudnia 2020 r. konieczne będzie przejście na tę usługę.Device Guard Signing Service v2 will be available for consumption starting mid-September 2020, and you will have until the end of December 2020 to transition to DGSS v2. Na koniec grudnia 2020 r. istniejące mechanizmy oparte na Internecie funkcjonujące w bieżącej wersji usługi DGSS zostaną wycofane i nie będą już dostępne do użycia.At the end of December 2020, the existing web-based mechanisms for the current version of the DGSS service will be retired and will no longer be available for use. Zaplanuj migrację do nowej wersji usługi między wrześniem i grudniem 2020 r.You must make plans to migrate to the new version of the service between September and December 2020. Aby uzyskać więcej informacji, wyślij wiadomość e-mail na adres DGSSMigration@Microsoft.com.For more information, please contact DGSSMigration@Microsoft.com.

Przypisując zasady uzupełniające trybu S w usłudze Intune, umożliwiasz urządzeniu zastosowanie wyjątku dla istniejących zasad trybu S urządzenia, co pozwala na przekazanie odpowiedniego podpisanego wykazu aplikacji.By assigning the S mode supplemental policy in Intune, you enable the device to make an exception to the device's existing S mode policy, which allows the uploaded corresponding signed app catalog. Zasady te określają listę dozwolonych aplikacji (wykaz aplikacji), które mogą być używane na urządzeniu w trybie S.The policy sets an allow list of apps (the app catalog) that can be used on the S mode device.

Uwaga

Aplikacje Win32 na urządzeniach w trybie S są obsługiwane tylko w aktualizacji systemu Windows 10 z listopada 2019 r. (kompilacja 18363) i w nowszych wersjach.Win32 apps on S mode devices are only supported on Windows 10 November 2019 Update (build 18363) or later versions.

Kroki umożliwiające uruchamianie aplikacji Win32 na urządzeniu z systemem Windows 10 w trybie S są następujące:The steps to allow Win32 apps to run on a Windows 10 device in S mode are the following:

  1. Włącz urządzenia w trybie S za pośrednictwem usługi Intune w ramach procesu rejestracji systemu Windows 10 S.Enable S mode devices through Intune as part of Windows 10 S enrollment process.
  2. Utwórz zasady uzupełniające, aby zezwolić na aplikacje Win32:Create a supplemental policy to allow Win32 apps:
    • Aby utworzyć zasady uzupełniające, możesz użyć narzędzi Kontroli aplikacji usługi Microsoft Defender (WDAC).You can use Microsoft Defender Application Control (WDAC) tools to create a supplemental policy. Identyfikator zasad podstawowych w obrębie tych zasad musi być zgodny z identyfikatorem zasad podstawowych trybu S (który jest na stałe zakodowany na kliencie).The base policy Id within the policy must match the S mode base policy Id (which is hard coded on the client). Upewnij się również, że wersja zasad jest wyższa niż poprzednia wersja.Also, make sure that the policy version is higher than the previous version.
    • Użyj usługi DGSS, aby podpisać zasady uzupełniające.You use DGSS to sign your supplemental policy. Aby uzyskać więcej informacji, zobacz Podpisywanie zasad integralności kodu przy użyciu usługi Device Guard — podpisywanie.For more information, see Sign code integrity policy with Device Guard signing.
    • Aby przekazać podpisane zasady uzupełniające do usługi Intune, należy utworzyć zasady uzupełniające trybu S systemu Windows 10 (zobacz poniżej).You upload the signed supplemental policy to Intune by creating a Windows 10 S mode supplemental policy (see below).
  3. Aby zezwolić na wykazy aplikacji Win32, należy użyć usługi Intune:You allow Win32 app catalogs through Intune:

Uwaga

Aplikacje biznesowe .appx i pakiety .appx w trybie S systemu Windows 10 będą obsługiwane za pośrednictwem funkcji podpisywania sklepu Microsoft Store dla Firm (MSFB).Line-of-business (LOB) .appx and .appx bundles on Windows 10 S mode will be supported via Microsoft Store for Business (MSFB) signing.

Zasady uzupełniające trybu S dla aplikacji muszą zostać dostarczone za pośrednictwem rozszerzenia do zarządzania usługi Intune.S mode supplemental policy for apps must be delivered via Intune Management Extension.

Zasady trybu S są wymuszane na poziomie urządzenia.S mode policies are enforced at the device level. Na urządzeniu zostanie scalonych wiele zasad docelowych.Multiple targeted policies will be merged on the device. Scalone zasady zostaną wymuszone na urządzeniu.The merged policy will be enforced on the device.

Aby utworzyć zasady uzupełniające trybu S systemu Windows 10, wykonaj następujące czynności:To create a Windows 10 S mode supplemental policy, use the following steps:

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wybierz kolejno pozycje Aplikacje > Zasady uzupełniające trybu S > Utwórz zasady.Select Apps > S mode supplemental policies > Create policy.

  3. Przed dodaniem pliku zasad należy go utworzyć i podpisać.Before adding the Policy file, you must create and sign it. Aby uzyskać więcej informacji, zobacz:For more information, see:

  4. Na stronie Podstawowe dodaj następujące wartości:On the Basics page, add the following values:

    WartośćValue OpisDescription
    Plik zasadPolicy file Plik, który zawiera zasady WDAC.The the file that contains the WDAC policy.
    NazwaName Nazwa tych zasad.The name of this policy.
    OpisDescription [Opcjonalnie] Opis tych zasad.[Optional] The description of this policy.
  5. Kliknij przycisk Dalej: Tagi zakresu.Click Next: Scope tags.
    Na stronie Tagi zakresu można opcjonalnie skonfigurować tagi zakresu, aby określić, kto może zobaczyć zasady aplikacji w usłudze Intune.On the Scope tags page you can optionally configure scope tags to determine who can see the app policy in Intune. Więcej informacji na temat tagów zakresu można znaleźć w artykule Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu w rozproszonej infrastrukturze informatycznej.For more information about scope tags, see Use role-based access control and scope tags for distributed IT.

  6. Kliknij przycisk Dalej: Przypisania.Click Next: Assignments.
    Strona Przypisania umożliwia przypisanie zasad do użytkowników i urządzeń.The Assignments page allows you can assign the policy to users and devices. Ważne jest, aby pamiętać, że zasady można przypisać do urządzenia bez względu na to, czy jest ono zarządzane przez usługę Intune.It is important to note that you can assign a policy to a device whether or not the device is managed by Intune.

  7. Kliknij przycisk Dalej: Przeglądanie + tworzenie, aby przejrzeć wartości wprowadzone dla profilu.Click Next: Review + create to review the values you entered for the profile.

  8. Gdy skończysz, kliknij pozycję Utwórz, aby utworzyć zasady uzupełniające trybu S w usłudze Intune.When you are done, click Create to create the S mode supplemental policy in Intune.

Po utworzeniu zasad zobaczysz, że zostaną one dodane do listy zasad uzupełniających trybu S w usłudze Intune.Once the policy is created, you will see it added to the list of S mode supplemental policies in Intune. Po przypisaniu zasad zostaną one wdrożone na urządzeniach.Once the policy is assigned, the policy gets deployed to the devices. Należy pamiętać, że aplikacja musi zostać wdrożona w tej samej grupie zabezpieczeń, co zasady uzupełniające.Note that you must deploy the app to same security group as the supplemental policy. Możesz zacząć kierować i przypisywać aplikacje do tych urządzeń.You can start targeting and assigning apps to those devices. Dzięki temu użytkownicy końcowi będą mogli instalować i uruchamiać aplikacje na urządzeniach w trybie S.This will allow your end users to install and execute the apps on the S mode devices.

Usuwanie zasad trybu SRemoval of S mode policy

Obecnie, aby usunąć zasady uzupełniające trybu S z urządzenia, należy przypisać i wdrożyć puste zasady w celu zastąpienia istniejących zasad uzupełniających trybu S.Currently, to remove the S mode supplemental policy from the device, you must assign and deploy an empty policy to overwrite the existing S mode supplemental policy.

Raportowanie zasadPolicy Reporting

Zasady uzupełniające trybu S, które są wymuszane na poziomie urządzenia, mają tylko raportowanie na poziomie urządzenia.The S mode supplemental policy, which is enforced at device level, only has device level reporting. Raportowanie na poziomie urządzenia jest dostępne dla warunków powodzenia i błędów.Device level reporting is available for success and error conditions.

Raportowane wartości, które są wyświetlane w konsoli usługi Intune dla zasad raportowania trybu S:Reporting values that are shown in the Intune console for S mode reporting polices:

  • Powodzenie: Zasady uzupełniające trybu S obowiązują.Success: The S mode supplemental policy is in effect.
  • Nieznane: Stan zasad uzupełniających trybu S jest nieznany.Unknown: The status of the S mode supplemental policy is not known.
  • TokenError: Zasady uzupełniające trybu S są strukturalnie dobre, ale wystąpił błąd podczas autoryzowania tokenu.TokenError: The S mode supplemental policy is structurally okay but there is an error with authorizing the token.
  • NotAuthorizedByToken: Token nie autoryzuje tych zasad uzupełniających trybu S.NotAuthorizedByToken: The token does not authorize this S mode supplemental policy.
  • PolicyNotFound: Zasady uzupełniające trybu S nie zostały odnalezione.PolicyNotFound: The S mode supplemental policy is not found.

Następne krokiNext steps