Abilitare le app Win32 nei dispositivi in modalità S

La modalità Windows 10 S è un sistema operativo bloccato che esegue solo app dello Store. Per impostazione predefinita, i dispositivi in modalità S di Windows non consentono l'installazione e l'esecuzione di app Win32. Questi dispositivi includono un singolo criterio di base Win 10S, che blocca il dispositivo in modalità S dall'esecuzione di qualsiasi app Win32. Tuttavia, creando e usando criteri supplementari in modalità S in Intune, è possibile installare ed eseguire app Win32 nei dispositivi gestiti in modalità Windows 10 S. Usando gli strumenti di PowerShell di Microsoft Defender Application Control (WDAC), è possibile creare uno o più criteri supplementari per la modalità Windows S. È necessario firmare i criteri supplementari con il servizio di firma di Device Guard (DGSS) o con SignTool.exe e quindi caricare e distribuire i criteri tramite Intune. In alternativa, è possibile firmare i criteri supplementari con un certificato di progettazione condivisa dell'organizzazione, tuttavia il metodo preferito consiste nell'usare DGSS. Nell'istanza in cui si usa il certificato di progettazione condivisa dell'organizzazione, il certificato radice a cui il certificato di progettazione condivisa si concatena deve essere presente nel dispositivo.

Assegnando i criteri supplementari della modalità S in Intune, si abilita il dispositivo per fare un'eccezione ai criteri di modalità S esistenti del dispositivo, che consente il catalogo app firmato corrispondente caricato. I criteri impostano un elenco di app consentite (il catalogo app) che possono essere usate nel dispositivo in modalità S.

Nota

Le app Win32 nei dispositivi in modalità S sono supportate solo in Windows 10 Novembre 2019 Update (build 18363) o versioni successive.

I passaggi per consentire l'esecuzione di app Win32 in un dispositivo Windows 10 in modalità S sono i seguenti:

  1. Abilitare i dispositivi in modalità S tramite Intune come parte del processo di registrazione di Windows 10 S.
  2. Creare un criterio supplementare per consentire le app Win32:
    • È possibile usare gli strumenti WDAC (Microsoft Defender Application Control) per creare un criterio supplementare. L'ID dei criteri di base all'interno del criterio deve corrispondere all'ID del criterio di base della modalità S (codificato nel client). Assicurarsi inoltre che la versione dei criteri sia superiore alla versione precedente.
    • Si usa DGSS per firmare i criteri supplementari. Per altre informazioni, vedere Firmare i criteri di integrità del codice con la firma di Device Guard.
    • Si caricano i criteri supplementari firmati in Intune creando un criterio supplementare in modalità Windows 10 S (vedere di seguito).
  3. È possibile consentire i cataloghi di app Win32 tramite Intune:

Nota

I criteri supplementari della modalità S per le app devono essere recapitati tramite l'estensione di gestione di Intune.

I criteri della modalità S vengono applicati a livello di dispositivo. Nel dispositivo verranno uniti più criteri di destinazione. I criteri uniti verranno applicati nel dispositivo.

Per creare un criterio supplementare per la modalità Windows 10 S, seguire questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Criterisupplementari >della modalità Sapp >Crea criterio.

  3. Prima di aggiungere il file criteri, è necessario crearlo e firmarlo. Per altre informazioni, vedere:

  4. Nella pagina Nozioni di base aggiungere i valori seguenti:

    Valore Descrizione
    File di criteri File che contiene i criteri WDAC.
    Nome Nome di questo criterio.
    Descrizione [Facoltativo] Descrizione di questo criterio.
  5. Selezionare Avanti: Tag ambito.
    Nella pagina Tag ambito è possibile configurare facoltativamente i tag di ambito per determinare chi può visualizzare i criteri dell'app in Intune. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

  6. Seleziona Avanti: attività.
    La pagina Assegnazioni consente di assegnare i criteri a utenti e dispositivi. È importante notare che è possibile assegnare un criterio a un dispositivo indipendentemente dal fatto che il dispositivo sia gestito o meno da Intune.

  7. Selezionare Avanti: Rivedi e crea per esaminare i valori immessi per il profilo.

  8. Al termine, selezionare Crea per creare i criteri supplementari della modalità S in Intune.

Dopo aver creato il criterio, verrà aggiunto all'elenco dei criteri supplementari in modalità S in Intune. Dopo l'assegnazione dei criteri, i criteri vengono distribuiti ai dispositivi. Si noti che è necessario distribuire l'app nello stesso gruppo di sicurezza dei criteri supplementari. È possibile iniziare a scegliere come destinazione e assegnare app a tali dispositivi. In questo modo gli utenti finali potranno installare ed eseguire le app nei dispositivi in modalità S.

Rimozione dei criteri della modalità S

Attualmente, per rimuovere i criteri supplementari della modalità S dal dispositivo, è necessario assegnare e distribuire un criterio vuoto per sovrascrivere i criteri supplementari della modalità S esistenti.

Creazione di report sui criteri

I criteri supplementari della modalità S, applicati a livello di dispositivo, hanno solo la creazione di report a livello di dispositivo. La creazione di report a livello di dispositivo è disponibile per le condizioni di esito positivo e di errore.

Creazione di report dei valori visualizzati nell'interfaccia di amministrazione di Microsoft Intune per i criteri di report in modalità S:

  • Operazione riuscita: i criteri supplementari della modalità S sono attivi.
  • Sconosciuto: lo stato dei criteri supplementari della modalità S non è noto.
  • TokenError: il criterio supplementare della modalità S è strutturalmente corretto, ma si è verificato un errore durante l'autorizzazione del token.
  • NotAuthorizedByToken: il token non autorizza questo criterio supplementare in modalità S.
  • PolicyNotFound: i criteri supplementari della modalità S non sono stati trovati.

Passaggi successivi