WDAC ve Windows PowerShell 2 cihaz üzerinde uygulamalara izin vermek veya HoloLens için WDAC ve Microsoft Intune

Microsoft HoloLens 2 cihaz AppLocker CSP Windows Defender nin yerini alan Windows Defender Application Control (WDAC) CSP'sini destekler.

WDAC CSP'Windows PowerShell Microsoft Intune, belirli uygulamaların 2 cihaz üzerinde açılmasına izin vermek veya bu Microsoft HoloLens engellemek için kullanabilirsiniz. Örneğin, Cortana uygulamasının HoloLens 2 cihaz üzerinde açılmasına izin vermek veya engellemek istiyor olabilirsiniz.

Bu özellik şu platformlarda geçerlidir:

• HoloLens 2 cihaz Windows Holographic for Business

WDAC CSP'de, Windows Defender Denetimi (WDAC) özelliği temel alındı. Ayrıca, birden çok WDAC ilkeleri de kullanabilirsiniz.

Bu makale, şunları nasıl yapacağınızı gösterir:

1. WDAC Windows PowerShell için bu bilgileri kullanın.
2. WDAC Windows PowerShell kurallarını XML'ye dönüştürmek, XML'yi güncelleştirmek ve sonra da XML'yi ikili dosyaya dönüştürmek için bu kuralları kullanın.
3. Daha Microsoft Intune bir cihaz yapılandırma profili oluşturun,bu WDAC ilkesi ikili dosyasını ekleyin ve ilkeyi HoloLens 2 cihazınıza ekleyin.

Intune'da, Windows Defender Application Control (WDAC) CSP'lerini kullanmak için özel bir yapılandırma profili oluşturmanız gerekir.

Bu makaledeki adımları, belirli uygulamaların 2 farklı cihazlarda açılmasına izin vermek veya HoloLens kullanın.

Önkoşullar

• Diğer e-Windows PowerShell.

• Intune'da şu üyenin üyesi olarak oturum açma:

  • İlke ve Profil Yöneticisi veya Intune Rol Yöneticisi Intune rolü

    VEYA

  • Genel Yönetici veya Intune Hizmet Yöneticisi Azure AD rolü

  Intune ile rol tabanlı erişim denetimi (RBAC) daha fazla bilgi içerir.

• 2 cihazı kullanarak bir kullanıcı grubu veya HoloLens grubu oluşturun. Daha fazla bilgi için bkz. Kullanıcı grupları - cihaz grupları.

Örnek

Bu örnekte, Windows PowerShell Denetimi (WDAC) Windows Defender bir ilke oluşturmak için Windows Defender kullanımına son ver. İlke, belirli uygulamaların açılmasını engelleyen bir uygulamadır. Ardından, Intune'ı kullanarak ilkeyi HoloLens 2 cihaza dağıtın.

1. Masaüstü bilgisayarınızda, Windows PowerShell açın.

2. Masaüstü bilgisayarınıza yüklenmiş uygulama paketi hakkında bilgi edinebilir ve şunları HoloLens:

   $package1 = Get-AppxPackage -name *<applicationname>*
   

   Örneğin, şunları girin:

   $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge
   

   Ardından, paketin uygulama özniteliklerine sahip olduğunu onaylayın:

   $package1
   

   Aşağıdaki uygulama ayrıntılarına benzer öznitelikler vardır:

   Name              : Microsoft.MicrosoftEdge
   Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
   Architecture      : Neutral
   ResourceId        :
   Version           : 44.20190.1000.0
   PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
   InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   IsFramework       : False
   PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
   PublisherId       : 8wekyb3d8bbwe
   IsResourcePackage : False
   IsBundle          : False
   IsDevelopmentMode : False
   NonRemovable      : True
   IsPartiallyStaged : False
   SignatureKind     : System
   Status            : Ok
   

3. WDAC ilkesi oluşturun ve uygulama paketini REDDET kuralına ekleyin:

   $rule = New-CIPolicyRule -Package $package1 -Deny
   

4. REDDET'i istediğiniz diğer tüm uygulamalar için 2. ve 3. adımları yinelayın:

   $rule += New-CIPolicyRule -Package $package<2..n> -Deny
   

   Örneğin, şunları girin:

   $package2 = Get-AppxPackage -name *windowsstore*
   $rule += New-CIPolicyRule -Package $package<2..n>  -Deny
   

5. WDAC ilkesine dönüştürme newPolicy.xml:

   Not

   Yalnızca HoloLens cihaza yüklenmiş olan HoloLens engelleyebilirsiniz. Daha fazla bilgi için bkz. Aile aile adlarını HoloLens.

   New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs
   

   Uygulamanın tüm sürümlerini hedeflemek için, newPolicy.xml'de PackageVersion="65535.65535.65535.65535" Reddet düğümünde olduğundan emin olun:

   <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />
   

   PackageFamilyNameRulesiçin, aşağıdaki sürümleri kullanabilirsiniz:

   • İzin Ver: Enter PackageVersion, 0.0.0.0 , "Bu sürüme ve üzeri sürümlere izin ver" anlamına gelir.
   • Reddet: Enter PackageVersion, 65535.65535.65535.65535 tarak ile "Bu sürümü ve aşağıda reddet" anlamına gelir.

6. İş hattı uygulamaları (bkz. Uygulama Yönetimi) gibi Microsoft Store'den kaynaklandırılmaksızın bu uygulamaları dağıtmayı ve çalıştırmayı planlıyorsanız, WDAC ilkesine imzayı ekleyerek söz konusu uygulamalara açıkça izin verin.

   Not

   WDAC ve LOB uygulamaları şu anda yalnızca Windows Insider özelliklerinin kullanımına HoloLens.

   Örneğin, dağıtmayı ATestApp.msix planlıyoruz. ATestApp.msix sertifikayla TestCert.cer imzalanmıştır. İmzacıyı WDAC Windows PowerShell eklemek için aşağıdaki aşağıdaki adımları kullanın:

   Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User
   

7. Adres newPolicy.xml masaüstü bilgisayarınızda var olan varsayılan ilkeyle birleştirin. Bu adım, mergedPolicy.xml. Örneğin, sürücü, WHQL Windows ve Store imzalı uygulamaların çalışmasına izin verin:

   Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml
   

8. Denetim modu kuralını devre dışı mergedPolicy.xml. Birleştirme sırasında denetim modu otomatik olarak açılır:

   Set-RuleOption -o 3 -Delete .\mergedPolicy.xml
   

9. Yeni bir başlatma kuralında InvalidateEA'ları mergedPolicy.xml:

   Set-RuleOption -o 15 .\mergedPolicy.xml
   

   Bu kurallar hakkında daha fazla bilgi için bkz. WDAC ilke kurallarını ve dosya kurallarını anlama.

10. İkilik mergedPolicy.xml biçimine dönüştürebilirsiniz. Bu adım compiledPolicy.bin oluşturur. Bu compiledPolicy.bin ikili dosyasını Intune'a ekleyebilirsiniz.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin
    

11. Intune'da özel cihaz yapılandırma profili oluşturun:

    1. Microsoft Endpoint Manager merkezinde11/11 Windows 10 bir özel cihaz yapılandırma profili oluşturun.

       Belirli adımlar için bkz. Intune'da OMA-URI kullanarak özel profil oluşturma.

    2. Profili oluşturdukta, aşağıdaki ayarları girin:

    • OMA-URI: Enter ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy . <PolicyGUID>6. adımda oluşturduğunuzmergedPolicy.xml PolicyTypeID düğümüyle değiştirin.

      Örneğimizi kullanarak, ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy girin.

      İlke GUID'si, ilk dosyanın PolicyTypeIDmergedPolicy.xml eşleşmeli (6. adımda oluşturulmuş).

      OMA-URI, ApplicationControl CSP'yi kullanır. Bu CSP'nin düğümleri hakkında daha fazla bilgi için ApplicationControl CSP 'ye gidin.

    • Veri türü: Base64 dosyasına ayarlanır. Dosyayı otomatik olarak ikili taban64'e dönüştürür.

    • Sertifika dosyası: Upload Policy.bin ikili dosyasını görüntüler (9. adımda oluşturulur).

    Ayarlarınız aşağıdaki ayarlara benzer:

    

12. Profil HoloLens 2 grubunuza atandığı zaman, profil durumunu kontrol edin. Profil başarıyla uygulandığında 2 cihazı HoloLens yeniden başlatın.

Sonraki adımlar

Profili atarak durumunu izleyebilirsiniz.

Intune'daki özel profiller hakkında daha fazla bilgi edinmek için: