Use o WDAC e o Windows PowerShell para permitir ou bloquear aplicativos em dispositivos do HoloLens 2 com o Microsoft Intune
Os dispositivos do Microsoft HoloLens 2 são compatíveis com o CSP do WDAC (Controle de Aplicativos do Windows Defender), que substitui o CSP do AppLocker.
Com o Windows PowerShell e o Microsoft Intune, você pode usar o CSP do WDAC para permitir ou impedir que aplicativos específicos sejam abertos em dispositivos do Microsoft HoloLens 2. Por exemplo, você pode querer permitir ou impedir que um aplicativo abra em dispositivos HoloLens 2 em sua organização.
Esse recurso aplica-se a:
- Dispositivos do HoloLens 2 que executam o Windows Holographic for Business
O CSP do WDAC é baseado no recurso WDAC (Controle de Aplicativos do Windows Defender). Você também pode usar várias políticas do WDAC.
Este artigo mostra como:
- Usar o Windows PowerShell para criar políticas do WDAC.
- Use o Windows PowerShell para converter as regras de política do WDAC em XML, atualizar o XML e, finalmente, converter o XML em um arquivo binário.
- No Microsoft Intune, criar um perfil de configuração de dispositivo personalizado, adicionar esse arquivo binário de política do WDAC e aplicar a política aos seus dispositivos de HoloLens 2.
No Intune, você deve criar um perfil de configuração personalizado para usar o CSP do WDAC (Controle de Aplicativos do Windows Defender).
Use as etapas neste artigo como um modelo para permitir ou negar que aplicativos específicos sejam abertos em dispositivos do HoloLens 2.
Pré-requisitos
Ter familiaridade com o Windows PowerShell.
Entrar no Intune como um membro de:
Função de Gerente de Política e Perfil ou Administrador de Função do Intune do Intune
OU
Função de administrador global ou administrador de serviço do Intune Microsoft Entra
Para obter mais informações sobre funções do Intune, acesse RBAC (controle de acesso baseado em função) com o Intune.
Criar um grupo de usuários ou um grupo de dispositivos com seus dispositivos do HoloLens 2. Para obter mais informações sobre grupos, acesse Grupos de usuários versus grupos de dispositivos.
Exemplo
Este exemplo usa o Windows PowerShell para criar uma política do WDAC (Controle de Aplicativos do Windows Defender). A política impede que aplicativos específicos sejam abertos. Em seguida, use o Intune para implantar a política em dispositivos do HoloLens 2.
No seu computador desktop, abra o aplicativo Windows PowerShell.
Obtenha informações sobre o pacote de aplicativos instalados no seu computador desktop e HoloLens:
$package1 = Get-AppxPackage -name *<applicationname>*
Por exemplo, digite:
$package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
Em seguida, confirme se o pacote tem atributos de aplicativo:
$package1
Detalhes do aplicativo semelhantes aos seguintes atributos são mostrados:
Name : Microsoft.MicrosoftEdge Publisher : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US Architecture : Neutral ResourceId : Version : 44.20190.1000.0 PackageFullName : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe InstallLocation : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe IsFramework : False PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe PublisherId : 8wekyb3d8bbwe IsResourcePackage : False IsBundle : False IsDevelopmentMode : False NonRemovable : True IsPartiallyStaged : False SignatureKind : System Status : Ok
Crie uma política do WDAC e adicione o pacote do aplicativo à regra NEGAR:
$rule = New-CIPolicyRule -Package $package1 -Deny
Repita as etapas 2 e 3 para todos os outros aplicativos que você deseja NEGAR:
$rule += New-CIPolicyRule -Package $package<2..n> -Deny
Por exemplo, digite:
$package2 = Get-AppxPackage -name *windowsstore* $rule += New-CIPolicyRule -Package $package<2..n> -Deny
Converta a política do WDAC em newPolicy.xml:
Observação
Você pode bloquear aplicativos que são instalados somente em dispositivos HoloLens. Para obter mais informações, acesse empacotar nomes de família para aplicativos no HoloLens.
New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
Para destinar a todas as versões de um aplicativo, no newPolicy.xml, coloque
PackageVersion="65535.65535.65535.65535"
no nó Negar:<Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
Para
PackageFamilyNameRules
, você pode usar as seguintes versões:- Permitir: insira
PackageVersion, 0.0.0.0
, que significa "Permitir esta versão e superiores". - Negar: insira
PackageVersion, 65535.65535.65535.65535
, que significa "Negar esta versão e inferiores".
- Permitir: insira
Se você planeja implantar e executar qualquer aplicativo que não se originou do Microsoft Store, como aplicativos de linha de negócios (confira Gerenciamento de Aplicativos), permita explicitamente esses aplicativos adicionando o signatário deles à política WDAC.
Observação
No momento, o uso de aplicativos WDAC e LOB só está disponível em recursos do Windows Insiders para HoloLens.
Por exemplo, você planeja implantar
ATestApp.msix
.ATestApp.msix
é assinado pelo certificadoTestCert.cer
. Use o seguinte script do Windows PowerShell para adicionar o signatário à política do WDAC:Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
Mescle newPolicy.xml com a política padrão em seu computador desktop. Essa etapa cria mergedPolicy.xml. Por exemplo, permita que o Windows, os drivers assinados do WHQL e os aplicativos assinados da Store sejam executados:
Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
Desabilite a regra Modo de auditoria no mergedPolicy.xml. Quando você mescla, o modo de auditoria é automaticamente ativado:
Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
Habilite a regra InvalidateEAs em uma reinicialização no mergedPolicy.xml:
Set-RuleOption -o 15 .\mergedPolicy.xml
Para obter mais informações sobre essas regras, acesse Entender regras de política do WDAC e regras de arquivo.
Converta mergedPolicy.xml em formato binário. Essa etapa cria compiledPolicy.bin. Em uma etapa posterior, você adicionará este arquivo binário compiledPolicy.bin ao Intune.
ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
Crie o perfil de configuração de dispositivo personalizado no Intune:
No centro de administração Microsoft Intune, crie um perfil de configuração de dispositivo personalizado Windows 10/11.
Para as etapas específicas, acesse Criar um perfil personalizado usando OMA-URI no Intune.
Ao criar o perfil, insira as seguintes configurações:
OMA-URI: insira
./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy
. Substitua<PolicyGUID>
pelo nó PolicyTypeID no arquivo mergedPolicy.xml criado na etapa 6.Usando nosso exemplo, digite
./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy
.O GUID de política deve corresponder ao nó PolicyTypeID no arquivo mergedPolicy.xml (criado na etapa 6).
O OMA-URI usa o CSP do ApplicationControl. Para obter mais informações sobre os nós neste CSP, acesse CSP do ApplicationControl.
Tipo de dados: defina como arquivo Base64. Isso converte automaticamente o arquivo de bin em base64.
Arquivo de certificado: carregue o arquivo binário compiledPolicy.bin (criado na etapa 10).
Suas configurações serão semelhantes às seguintes:
Quando o perfil for atribuído ao grupo do HoloLens 2, verifique o status do perfil. Depois que o perfil for aplicado com êxito, reinicialize os dispositivos do HoloLens 2.
Próximas etapas
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de