Use o WDAC e o Windows PowerShell para permitir ou bloquear aplicativos em dispositivos do HoloLens 2 com o Microsoft Intune

  • Artigo

Os dispositivos do Microsoft HoloLens 2 são compatíveis com o CSP do WDAC (Controle de Aplicativos do Windows Defender), que substitui o CSP do AppLocker.

Com o Windows PowerShell e o Microsoft Intune, você pode usar o CSP do WDAC para permitir ou impedir que aplicativos específicos sejam abertos em dispositivos do Microsoft HoloLens 2. Por exemplo, poderá querer permitir ou impedir que uma aplicação seja aberta em dispositivos HoloLens 2 na sua organização.

Esse recurso aplica-se a:

  • Dispositivos do HoloLens 2 que executam o Windows Holographic for Business
  • Windows 10/11

O CSP do WDAC é baseado no recurso WDAC (Controle de Aplicativos do Windows Defender). Você também pode usar várias políticas do WDAC.

Este artigo mostra como:

  1. Usar o Windows PowerShell para criar políticas do WDAC.
  2. Use o Windows PowerShell para converter as regras de política do WDAC em XML, atualizar o XML e, finalmente, converter o XML em um arquivo binário.
  3. No Microsoft Intune, criar um perfil de configuração de dispositivo personalizado, adicionar esse arquivo binário de política do WDAC e aplicar a política aos seus dispositivos de HoloLens 2.

No Intune, você deve criar um perfil de configuração personalizado para usar o CSP do WDAC (Controle de Aplicativos do Windows Defender).

Use as etapas neste artigo como um modelo para permitir ou negar que aplicativos específicos sejam abertos em dispositivos do HoloLens 2.

Pré-requisitos

Passo 1 – Criar a política WDAC com o Windows PowerShell

Este exemplo usa o Windows PowerShell para criar uma política do WDAC (Controle de Aplicativos do Windows Defender). A política impede que aplicativos específicos sejam abertos.

  1. No seu computador desktop, abra o aplicativo Windows PowerShell.

  2. Obtenha informações sobre o pacote de aplicativos instalados no seu computador desktop e HoloLens:

    $package1 = Get-AppxPackage -name *<applicationname>*

    Por exemplo, digite:

    $package1 = Get-AppxPackage -name Microsoft.MicrosoftEdge

    Em seguida, confirme se o pacote tem atributos de aplicativo:

    $package1

    São apresentados detalhes da aplicação semelhantes aos seguintes atributos:

    Name              : Microsoft.MicrosoftEdge
Publisher         : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Architecture      : Neutral
ResourceId        :
Version           : 44.20190.1000.0
PackageFullName   : Microsoft.MicrosoftEdge_44.20190.1000.0_neutral__8wekyb3d8bbwe
InstallLocation   : C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe
IsFramework       : False
PackageFamilyName : Microsoft.MicrosoftEdge_8wekyb3d8bbwe
PublisherId       : 8wekyb3d8bbwe
IsResourcePackage : False
IsBundle          : False
IsDevelopmentMode : False
NonRemovable      : True
IsPartiallyStaged : False
SignatureKind     : System
Status            : Ok

  3. Crie uma política do WDAC e adicione o pacote do aplicativo à regra NEGAR:

    $rule = New-CIPolicyRule -Package $package1 -Deny

  4. Repita as etapas 2 e 3 para todos os outros aplicativos que você deseja NEGAR:

    $rule += New-CIPolicyRule -Package $package<2..n> -Deny

    Por exemplo, digite:

    $package2 = Get-AppxPackage -name *windowsstore*
$rule += New-CIPolicyRule -Package $package<2..n>  -Deny

  5. Converta a política do WDAC em newPolicy.xml:

    Observação

    Você pode bloquear aplicativos que são instalados somente em dispositivos HoloLens. Para obter mais informações, aceda a empacotar nomes de família para aplicações no HoloLens.

    New-CIPolicy -rules $rule -f .\newPolicy.xml -UserPEs

    Para destinar a todas as versões de um aplicativo, no newPolicy.xml, coloque PackageVersion="65535.65535.65535.65535" no nó Negar:

    <Deny ID="ID_DENY_D_1" FriendlyName="Microsoft.WindowsStore_8wekyb3d8bbwe FileRule" PackageFamilyName="Microsoft.WindowsStore_8wekyb3d8bbwe" PackageVersion="65535.65535.65535.65535" />

    Para PackageFamilyNameRules, você pode usar as seguintes versões:

    • Permitir: insira PackageVersion, 0.0.0.0, que significa "Permitir esta versão e superiores".
    • Negar: insira PackageVersion, 65535.65535.65535.65535, que significa "Negar esta versão e inferiores".

  6. Se você planeja implantar e executar qualquer aplicativo que não se originou do Microsoft Store, como aplicativos de linha de negócios (confira Gerenciamento de Aplicativos), permita explicitamente esses aplicativos adicionando o signatário deles à política WDAC.

    Observação

    No momento, o uso de aplicativos WDAC e LOB só está disponível em recursos do Windows Insiders para HoloLens.

    Por exemplo, você planeja implantar ATestApp.msix. ATestApp.msix é assinado pelo certificado TestCert.cer. Use o seguinte script do Windows PowerShell para adicionar o signatário à política do WDAC:

    Add-SignerRule -FilePath .\newPolicy.xml -CertificatePath .\TestCert.cer -User

  7. Mescle newPolicy.xml com a política padrão em seu computador desktop. Essa etapa cria mergedPolicy.xml. Por exemplo, permita que o Windows, os drivers assinados do WHQL e os aplicativos assinados da Store sejam executados:

    Merge-CIPolicy -PolicyPaths .\newPolicy.xml,C:\Windows\Schemas\codeintegrity\examplepolicies\DefaultWindows_Audit.xml -o mergedPolicy.xml

  8. Desabilite a regra Modo de auditoria no mergedPolicy.xml. Quando você mescla, o modo de auditoria é automaticamente ativado:

    Set-RuleOption -o 3 -Delete .\mergedPolicy.xml

  9. Habilite a regra InvalidateEAs em uma reinicialização no mergedPolicy.xml:

    Set-RuleOption -o 15 .\mergedPolicy.xml

    Para obter informações sobre estas regras, aceda a Compreender as regras de política do WDAC e as regras de ficheiros.

  10. Converta mergedPolicy.xml em formato binário. Essa etapa cria compiledPolicy.bin. No Passo 2 – Criar uma política do Intune e implementar a política em dispositivos HoloLens 2, adicione este compiledPolicy.bin ficheiro binário a uma política do Intune.

    ConvertFrom-CIPolicy .\mergedPolicy.xml .\compiledPolicy.bin

Passo 2 – Criar uma política do Intune e implementar a política em dispositivos HoloLens 2

Neste passo, vai criar um perfil de configuração de dispositivo personalizado no Intune. Na política personalizada, adicione o ficheiro binário compiledPolicy.bin que criou no Passo 1 – Criar a política WDAC com o Windows PowerShell. Em seguida, use o Intune para implantar a política em dispositivos do HoloLens 2.

  1. No centro de administração do Microsoft Intune, crie um perfil de configuração de dispositivo personalizado do Windows.

    Para obter os passos específicos, aceda a Criar um perfil personalizado com o OMA-URI no Intune.

  2. Ao criar o perfil, insira as seguintes configurações:

    • OMA-URI: insira ./Vendor/MSFT/ApplicationControl/Policies/<PolicyGUID>/Policy. Substitua <PolicyGUID> pelo nó PolicyTypeID no arquivo mergedPolicy.xml criado na etapa 6.

      Usando nosso exemplo, digite ./Vendor/MSFT/ApplicationControl/Policies/A244370E-44C9-4C06-B551-F6016E563076/Policy.

      O GUID de política deve corresponder ao nó PolicyTypeID no arquivo mergedPolicy.xml (criado na etapa 6).

      O OMA-URI usa o CSP do ApplicationControl. Para obter informações sobre os nós neste CSP, aceda a ApplicationControl CSP.

    • Tipo de dados: defina como arquivo Base64. Isso converte automaticamente o arquivo de bin em base64.

    • Ficheiro de certificado: carregue o ficheiro binário compiledPolicy.bin (criado no passo 10).

    Suas configurações serão semelhantes às seguintes:

    Adicione um OMA-URI personalizado para configurar o CSP ApplicationControl no Microsoft Intune.

  3. Quando o perfil for atribuído ao grupo do HoloLens 2, verifique o status do perfil. Depois que o perfil for aplicado com êxito, reinicialize os dispositivos do HoloLens 2.