Use o WDAC e o Windows PowerShell para permitir ou bloquear aplicativos em dispositivos do HoloLens 2 com o Microsoft Intune

Os dispositivos do Microsoft HoloLens 2 são compatíveis com o CSP do WDAC (Controle de Aplicativos do Windows Defender), que substitui o CSP do AppLocker.

Com o Windows PowerShell e o Microsoft Intune, você pode usar o CSP do WDAC para permitir ou impedir que aplicativos específicos sejam abertos em dispositivos do Microsoft HoloLens 2. Por exemplo, pode ser interessante permitir ou impedir que o aplicativo Cortana seja aberto em dispositivos do HoloLens 2 em sua organização.

Esse recurso aplica-se a:

  • Dispositivos do HoloLens 2 que executam o Windows Holographic for Business

O CSP do WDAC é baseado no recurso WDAC (Controle de Aplicativos do Windows Defender). Você também pode usar várias políticas do WDAC.

Este artigo mostra como:

  1. Usar o Windows PowerShell para criar políticas do WDAC.
  2. Use o Windows PowerShell para converter as regras de política do WDAC em XML, atualizar o XML e, finalmente, converter o XML em um arquivo binário.
  3. No Microsoft Intune, criar um perfil de configuração de dispositivo personalizado, adicionar esse arquivo binário de política do WDAC e aplicar a política aos seus dispositivos de HoloLens 2.

No Intune, você deve criar um perfil de configuração personalizado para usar o CSP do WDAC (Controle de Aplicativos do Windows Defender).

Use as etapas neste artigo como um modelo para permitir ou negar que aplicativos específicos sejam abertos em dispositivos do HoloLens 2.

Pré-requisitos

  • Ter familiaridade com o Windows PowerShell.

  • Entrar no Intune como um membro de:

    • Função de Gerente de Política e Perfil ou Administrador de Função do Intune do Intune

      OU

    • Função de Administrador global ou Administrador de serviços do Intune do Azure AD

    Veja RBAC (controle de acesso baseado em função) com o Intune para mais informações.

  • Criar um grupo de usuários ou um grupo de dispositivos com seus dispositivos do HoloLens 2. Para obter mais informações, confira Grupos de usuários vs. grupos de dispositivos.

Exemplo

Este exemplo usa o Windows PowerShell para criar uma política do WDAC (Controle de Aplicativos do Windows Defender). A política impede que aplicativos específicos sejam abertos. Em seguida, use o Intune para implantar a política em dispositivos do HoloLens 2.

  1. No seu computador desktop, abra o aplicativo Windows PowerShell.

  2. Obtenha informações sobre o pacote de aplicativos instalados no seu computador desktop e HoloLens:

    $package1 = Get-AppxPackage -name *<applicationname>*
    

    Por exemplo, digite:

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
    

    Em seguida, confirme se o pacote tem atributos de aplicativo:

    $package1
    

    Você verá atributos semelhantes aos seguintes detalhes de aplicativo:

    Name              : Microsoft.MicrosoftEdge
    Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
    Architecture      : Neutral
    ResourceId        :
    Version           : 44.20190.1000.0
    PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
    InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    IsFramework       : False
    PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
    PublisherId       : 8wekyb3d8bbwe
    IsResourcePackage : False
    IsBundle          : False
    IsDevelopmentMode : False
    NonRemovable      : True
    IsPartiallyStaged : False
    SignatureKind     : System
    Status            : Ok
    
  3. Crie uma política do WDAC e adicione o pacote do aplicativo à regra NEGAR:

    $rule = New-CIPolicyRule -Package $package1 -Deny
    
  4. Repita as etapas 2 e 3 para todos os outros aplicativos que você deseja NEGAR:

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny
    

    Por exemplo, digite:

    $package2 = Get-AppxPackage -name *windowsstore*
    $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
    
  5. Converta a política do WDAC em newPolicy.xml:

    Observação

    Você pode bloquear aplicativos que são instalados somente em dispositivos HoloLens. Para obter mais informações, confira os nomes da família de pacotes para aplicativos no HoloLens.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
    

    Para destinar a todas as versões de um aplicativo, no newPolicy.xml, coloque PackageVersion="65535.65535.65535.65535" no nó Negar:

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
    

    Para PackageFamilyNameRules, você pode usar as seguintes versões:

    • Permitir: insira PackageVersion, 0.0.0.0, que significa "Permitir esta versão e superiores".
    • Negar: insira PackageVersion, 65535.65535.65535.65535, que significa "Negar esta versão e inferiores".
  6. Se você planeja implantar e executar qualquer aplicativo que não se originou do Microsoft Store, como aplicativos de linha de negócios (confira Gerenciamento de Aplicativos), permita explicitamente esses aplicativos adicionando o signatário deles à política WDAC.

    Observação

    No momento, o uso de aplicativos WDAC e LOB só está disponível em recursos do Windows Insiders para HoloLens.

    Por exemplo, você planeja implantar ATestApp.msix. ATestApp.msix é assinado pelo certificado TestCert.cer. Use o seguinte script do Windows PowerShell para adicionar o signatário à política do WDAC:

    Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
    
  7. Mescle newPolicy.xml com a política padrão em seu computador desktop. Essa etapa cria mergedPolicy.xml. Por exemplo, permita que o Windows, os drivers assinados do WHQL e os aplicativos assinados da Store sejam executados:

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
    
  8. Desabilite a regra Modo de auditoria no mergedPolicy.xml. Quando você mescla, o modo de auditoria é automaticamente ativado:

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
    
  9. Habilite a regra InvalidateEAs em uma reinicialização no mergedPolicy.xml:

    Set-RuleOption -o 15 .\mergedPolicy.xml
    

    Para obter mais informações sobre essas regras, consulte Entender regras de política do WDAC e regras de arquivo.

  10. Converta mergedPolicy.xml em formato binário. Essa etapa cria compiledPolicy.bin. Você adicionará esse arquivo binário compiledPolicy.bin ao Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    
  11. Crie o perfil de configuração de dispositivo personalizado no Intune:

    1. No Centro de administração do Microsoft Endpoint Manager, crie um perfil de configuração de dispositivo personalizado do Windows 10.

      Para saber as etapas específicas, consulte Criar um perfil personalizado usando OMA-URI no Intune.

    2. Ao criar o perfil, insira as seguintes configurações:

    • OMA-URI: insira ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. Substitua <PolicyGUID> pelo nó PolicyTypeID no arquivo mergedPolicy.xml criado na etapa 6.

      Usando nosso exemplo, digite ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

      O GUID de política deve corresponder ao nó PolicyTypeID no arquivo mergedPolicy.xml (criado na etapa 6).

      O OMA-URI usa o CSP do ApplicationControl. Para obter mais informações sobre os nós neste CSP, acesse CSP do ApplicationControl.

    • Tipo de dados: defina como arquivo Base64. Isso converte automaticamente o arquivo de bin em base64.

    • Arquivo de certificado: caregue o arquivo binário compiledPolicy.bin (criado na etapa 9).

    Suas configurações serão semelhantes às seguintes:

    Adicione um OMA-URI personalizado para configurar o CSP ApplicationControl no Microsoft Intune.

  12. Quando o perfil for atribuído ao grupo do HoloLens 2, verifique o status do perfil. Depois que o perfil for aplicado com êxito, reinicialize os dispositivos do HoloLens 2.

Próximas etapas

Atribuir o perfil e monitorar o status dele.

Saiba mais sobre perfis personalizados no Intune.