Use o WDAC e o Windows PowerShell para permitir ou bloquear aplicativos em dispositivos do HoloLens 2 com o Microsoft Intune

Os dispositivos do Microsoft HoloLens 2 são compatíveis com o CSP do WDAC (Controle de Aplicativos do Windows Defender), que substitui o CSP do AppLocker.

Com o Windows PowerShell e o Microsoft Intune, você pode usar o CSP do WDAC para permitir ou impedir que aplicativos específicos sejam abertos em dispositivos do Microsoft HoloLens 2. Por exemplo, você pode querer permitir ou impedir que um aplicativo abra em dispositivos HoloLens 2 em sua organização.

Esse recurso aplica-se a:

• Dispositivos do HoloLens 2 que executam o Windows Holographic for Business

O CSP do WDAC é baseado no recurso WDAC (Controle de Aplicativos do Windows Defender). Você também pode usar várias políticas do WDAC.

Este artigo mostra como:

1. Usar o Windows PowerShell para criar políticas do WDAC.
2. Use o Windows PowerShell para converter as regras de política do WDAC em XML, atualizar o XML e, finalmente, converter o XML em um arquivo binário.
3. No Microsoft Intune, criar um perfil de configuração de dispositivo personalizado, adicionar esse arquivo binário de política do WDAC e aplicar a política aos seus dispositivos de HoloLens 2.

No Intune, você deve criar um perfil de configuração personalizado para usar o CSP do WDAC (Controle de Aplicativos do Windows Defender).

Use as etapas neste artigo como um modelo para permitir ou negar que aplicativos específicos sejam abertos em dispositivos do HoloLens 2.

Pré-requisitos

• Ter familiaridade com o Windows PowerShell.

• Entrar no Intune como um membro de:

  • Função de Gerente de Política e Perfil ou Administrador de Função do Intune do Intune

    OU

  • Função de administrador global ou administrador de serviço do Intune Microsoft Entra

  Para obter mais informações sobre funções do Intune, acesse RBAC (controle de acesso baseado em função) com o Intune.

• Criar um grupo de usuários ou um grupo de dispositivos com seus dispositivos do HoloLens 2. Para obter mais informações sobre grupos, acesse Grupos de usuários versus grupos de dispositivos.

Exemplo

Este exemplo usa o Windows PowerShell para criar uma política do WDAC (Controle de Aplicativos do Windows Defender). A política impede que aplicativos específicos sejam abertos. Em seguida, use o Intune para implantar a política em dispositivos do HoloLens 2.

1. No seu computador desktop, abra o aplicativo Windows PowerShell.

2. Obtenha informações sobre o pacote de aplicativos instalados no seu computador desktop e HoloLens:

   $package1 = Get-AppxPackage -name *<applicationname>*
   

   Por exemplo, digite:

   $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
   

   Em seguida, confirme se o pacote tem atributos de aplicativo:

   $package1
   

   Detalhes do aplicativo semelhantes aos seguintes atributos são mostrados:

   Name              : Microsoft.MicrosoftEdge
   Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
   Architecture      : Neutral
   ResourceId        :
   Version           : 44.20190.1000.0
   PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
   InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   IsFramework       : False
   PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   PublisherId       : 8wekyb3d8bbwe
   IsResourcePackage : False
   IsBundle          : False
   IsDevelopmentMode : False
   NonRemovable      : True
   IsPartiallyStaged : False
   SignatureKind     : System
   Status            : Ok
   

3. Crie uma política do WDAC e adicione o pacote do aplicativo à regra NEGAR:

   $rule = New-CIPolicyRule -Package $package1 -Deny
   

4. Repita as etapas 2 e 3 para todos os outros aplicativos que você deseja NEGAR:

   $rule += New-CIPolicyRule -Package $package<2..n> -Deny
   

   Por exemplo, digite:

   $package2 = Get-AppxPackage -name *windowsstore*
   $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
   

5. Converta a política do WDAC em newPolicy.xml:

   Observação

   Você pode bloquear aplicativos que são instalados somente em dispositivos HoloLens. Para obter mais informações, acesse empacotar nomes de família para aplicativos no HoloLens.

   New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
   

   Para destinar a todas as versões de um aplicativo, no newPolicy.xml, coloque PackageVersion="65535.65535.65535.65535" no nó Negar:

   <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
   

   Para PackageFamilyNameRules, você pode usar as seguintes versões:

   • Permitir: insira PackageVersion, 0.0.0.0, que significa "Permitir esta versão e superiores".
   • Negar: insira PackageVersion, 65535.65535.65535.65535, que significa "Negar esta versão e inferiores".

6. Se você planeja implantar e executar qualquer aplicativo que não se originou do Microsoft Store, como aplicativos de linha de negócios (confira Gerenciamento de Aplicativos), permita explicitamente esses aplicativos adicionando o signatário deles à política WDAC.

   Observação

   No momento, o uso de aplicativos WDAC e LOB só está disponível em recursos do Windows Insiders para HoloLens.

   Por exemplo, você planeja implantar ATestApp.msix. ATestApp.msix é assinado pelo certificado TestCert.cer. Use o seguinte script do Windows PowerShell para adicionar o signatário à política do WDAC:

   Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
   

7. Mescle newPolicy.xml com a política padrão em seu computador desktop. Essa etapa cria mergedPolicy.xml. Por exemplo, permita que o Windows, os drivers assinados do WHQL e os aplicativos assinados da Store sejam executados:

   Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
   

8. Desabilite a regra Modo de auditoria no mergedPolicy.xml. Quando você mescla, o modo de auditoria é automaticamente ativado:

   Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
   

9. Habilite a regra InvalidateEAs em uma reinicialização no mergedPolicy.xml:

   Set-RuleOption -o 15 .\mergedPolicy.xml
   

   Para obter mais informações sobre essas regras, acesse Entender regras de política do WDAC e regras de arquivo.

10. Converta mergedPolicy.xml em formato binário. Essa etapa cria compiledPolicy.bin. Em uma etapa posterior, você adicionará este arquivo binário compiledPolicy.bin ao Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

11. Crie o perfil de configuração de dispositivo personalizado no Intune:

    1. No centro de administração Microsoft Intune, crie um perfil de configuração de dispositivo personalizado Windows 10/11.

       Para as etapas específicas, acesse Criar um perfil personalizado usando OMA-URI no Intune.

    2. Ao criar o perfil, insira as seguintes configurações:

    • OMA-URI: insira ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. Substitua <PolicyGUID> pelo nó PolicyTypeID no arquivo mergedPolicy.xml criado na etapa 6.

      Usando nosso exemplo, digite ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

      O GUID de política deve corresponder ao nó PolicyTypeID no arquivo mergedPolicy.xml (criado na etapa 6).

      O OMA-URI usa o CSP do ApplicationControl. Para obter mais informações sobre os nós neste CSP, acesse CSP do ApplicationControl.

    • Tipo de dados: defina como arquivo Base64. Isso converte automaticamente o arquivo de bin em base64.

    • Arquivo de certificado: carregue o arquivo binário compiledPolicy.bin (criado na etapa 10).

    Suas configurações serão semelhantes às seguintes:

    

12. Quando o perfil for atribuído ao grupo do HoloLens 2, verifique o status do perfil. Depois que o perfil for aplicado com êxito, reinicialize os dispositivos do HoloLens 2.

Próximas etapas

Atribuir o perfil e monitorar o status dele.

Saiba mais sobre perfis personalizados no Intune.