Povolení aplikací Win32 na zařízeních v režimu S

Režim Windows 10 S je uzamčený operační systém, ve kterém běží jenom aplikace pro Store. Zařízení v režimu Windows S ve výchozím nastavení neumožňují instalaci a spouštění aplikací Win32. Tato zařízení zahrnují jednu základní zásadu Win 10S, která zařízení v režimu S zamkne, aby na něm běžely aplikace Win32. Když ale v Intune vytvoříte a použijete doplňkové zásady v režimu S , můžete instalovat a spouštět aplikace Win32 na zařízeních spravovaných v režimu Windows 10 S. Pomocí nástrojů PowerShellu pro řízení aplikací v programu Microsoft Defender (WDAC) můžete vytvořit jednu nebo více doplňkových zásad pro režim Windows S. Doplňkové zásady musíte podepsat pomocí služby DGSS (Device Guard Signing Service) nebo SignTool.exe a pak tyto zásady nahrát a distribuovat přes Intune. Jako alternativu můžete doplňkové zásady podepsat certifikátem pro návrh od vaší organizace, ale upřednostňovanou metodou je použít DGSS. V případě, že používáte certifikát pro návrh z vaší organizace, musí být na zařízení kořenový certifikát, na který se zřetězí spoludesignující certifikát.

Přiřazením doplňkových zásad režimu S v Intune povolíte zařízení, aby udělalo výjimku ze stávajících zásad režimu S zařízení, což umožňuje nahrání odpovídajícího podepsaného katalogu aplikací. Zásady nastaví seznam povolených aplikací (katalog aplikací), které se dají použít na zařízení v režimu S.

Postup povolení spouštění aplikací Win32 na zařízení s Windows 10 v režimu S je následující:

1. Povolte zařízení v režimu S prostřednictvím Intune v rámci procesu registrace Windows 10 S.
2. Vytvořte doplňkové zásady, které povolí aplikace Win32:
   • K vytvoření doplňkových zásad můžete použít nástroje Řízení aplikací v programu Microsoft Defender (WDAC ). ID základní zásady v rámci zásad se musí shodovat s ID základní zásady v režimu S (které je pevně zakódované v klientovi). Také se ujistěte, že je verze zásad vyšší než předchozí verze.
   • K podepsání doplňkových zásad používáte službu DGSS. Další informace najdete v tématu Podepisování zásad integrity kódu podepisováním v ochraně Device Guard.
   • Podepsané doplňkové zásady nahrajete do Intune vytvořením doplňkové zásady v režimu Windows 10 S (viz níže).
3. Katalogy aplikací Win32 povolíte prostřednictvím Intune:
   • Vytvoříte soubory katalogu (jeden pro každou aplikaci) a podepíšete je pomocí služby DGSS nebo jiné infrastruktury certifikátů.
   • Podepsaný katalog zabalíte do souboru .intunewin pomocí nástroje Microsoft Win32 Content Prep Tool. Při vytváření souboru katalogu pomocí nástroje Microsoft Win32 Content Prep Tool neexistují žádná omezení pro vytváření názvů. Při generování souboru .intunewin ze zadané zdrojové složky a instalačního souboru můžete pomocí možnosti -a cmdline poskytnout samostatnou složku obsahující pouze soubory katalogu. Další informace najdete v tématu Správa aplikací Win32 – Příprava obsahu aplikace Win32 k nahrání.
   • Intune použije podepsaný katalog aplikací k instalaci aplikace Win32 na zařízení v režimu S pomocí rozšíření Intune Management Extension.

Pokud chcete vytvořit doplňkové zásady v režimu Windows 10 S, postupujte následovně:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Doplňkové> zásady >aplikace v režimu SVytvořit zásadu.

3. Před přidáním souboru zásad ho musíte vytvořit a podepsat. Další informace najdete tady:

   • Vytvoření zásady WDAC pomocí nástrojů PowerShellu a jejich převod do binárního formátu
   • Podepisování pomocí podpisové služby Device Guard(doporučeno)

4. Na stránce Základy přidejte následující hodnoty:

   Hodnota	Popis
   Soubor zásad	Soubor, který obsahuje zásady WDAC.
   Name (Název)	Název této zásady.
   Popis	[Volitelné] Popis této zásady

5. Vyberte Další: Značky oboru.
   Na stránce Značky oboru můžete volitelně nakonfigurovat značky oboru a určit, kdo může zobrazit zásady aplikace v Intune. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role a značek oboru pro distribuované IT.

6. Vyberte Další: Přiřazení.
   Stránka Přiřazení umožňuje přiřazovat zásady uživatelům a zařízením. Je důležité si uvědomit, že zásady můžete přiřadit k zařízení bez ohledu na to, jestli je zařízení spravované službou Intune.

7. Vyberte Další: Zkontrolovat a vytvořit a zkontrolujte hodnoty, které jste zadali pro profil.

8. Až budete hotovi, vyberte Vytvořit a vytvořte v Intune doplňkové zásady v režimu S.

Po vytvoření se zásada přidá do seznamu doplňkových zásad v režimu S v Intune. Po přiřazení zásady se nasadí do zařízení. Upozorňujeme, že aplikaci musíte nasadit do stejné skupiny zabezpečení jako doplňkové zásady. Můžete začít cílit a přiřazovat aplikace k těmto zařízením. To umožní koncovým uživatelům instalovat a spouštět aplikace na zařízeních v režimu S.

Odebrání zásad režimu S

Chcete-li v současné době odebrat doplňkové zásady režimu S ze zařízení, musíte přiřadit a nasadit prázdné zásady, aby se přepsaly stávající doplňkové zásady režimu S.

Generování sestav zásad

Doplňkové zásady režimu S, které se vynucují na úrovni zařízení, mají jenom sestavy na úrovni zařízení. Generování sestav na úrovni zařízení je k dispozici pro úspěšné a chybové podmínky.

Hodnoty sestav, které se zobrazují v Centru pro správu Microsoft Intune pro zásady generování sestav v režimu S:

• Úspěch: Platí doplňkové zásady režimu S.
• Neznámé: Stav doplňkových zásad režimu S není známý.
• TokenError: Doplňkové zásady režimu S jsou strukturálně v pořádku, ale při autorizaci tokenu došlo k chybě.
• NotAuthorizedByToken: Token neautorizuje tuto doplňkovou zásadu v režimu S.
• PolicyNotFound:Doplňková zásada režimu S se nenašla.

Další kroky

• Další informace najdete v tématu Aplikace Win32 v režimu s.
• Další informace o přidávání aplikací do Intune najdete v tématu Přidání aplikací do Microsoft Intune.
• Další informace o aplikacích Win32 najdete v tématu Správa aplikací Win32 v Intune.