Включение приложений Win32 на устройствах S-режима

Режим S Windows 10 — это заблокированная операционная система, которая запускает только приложения Магазина. По умолчанию устройства windows S-режима не разрешают установку и выполнение приложений Win32. К этим устройствам относится одна базовая политика Win 10S, которая блокирует запуск любых приложений Win32 на устройстве в S-режиме. Однако путем создания и использования дополнительной политики режима S в Intune можно устанавливать и запускать приложения Win32 на управляемых устройствах Windows 10 S. С помощью средств PowerShell для управления приложениями в Microsoft Defender (WDAC) можно создать одну или несколько дополнительных политик для режима Windows S. Дополнительные политики необходимо подписать с помощью службы подписи Device Guard (DGSS) или с помощьюSignTool.exe , а затем отправить и распространить политики через Intune. В качестве альтернативы вы можете подписать дополнительные политики с помощью сертификата codesigning из вашей организации, однако предпочтительный метод — использовать DGSS. В экземпляре, который используется сертификат codesigning из организации, корневой сертификат, к которому связан сертификат с кодом, должен присутствовать на устройстве.

Назначив дополнительную политику S-режима в Intune, вы позволяете устройству сделать исключение из существующей политики S-режима устройства, что позволяет отправить соответствующий подписанный каталог приложений. Политика задает список разрешенных приложений (каталог приложений), которые можно использовать на устройстве S-режима.

Ниже приведены шаги, чтобы разрешить запуск приложений Win32 на устройстве с Windows 10 в S-режиме.

1. Включите устройства S-режима через Intune в рамках процесса регистрации Windows 10 S.
2. Создайте дополнительную политику, чтобы разрешить приложения Win32:
   • Для создания дополнительной политики можно использовать средства управления приложениями в Microsoft Defender (WDAC ). Идентификатор базовой политики в политике должен соответствовать идентификатору базовой политики S-режима (который жестко запрограммирован на клиенте). Кроме того, убедитесь, что версия политики выше предыдущей версии.
   • Вы используете DGSS для подписания дополнительной политики. Дополнительные сведения см. в разделе Подписывание политики целостности кода с помощью подписи Device Guard.
   • Вы отправляете подписанную дополнительную политику в Intune, создав дополнительную политику режима Windows 10 S (см. ниже).
3. Вы разрешаете каталоги приложений Win32 через Intune:
   • Вы создаете файлы каталога (по одному для каждого приложения) и подписываете их с помощью DGSS или другой инфраструктуры сертификатов.
   • Подписанный каталог упаковывается в intunewin-файл с помощью средства подготовки содержимого Microsoft Win32. При создании файла каталога с помощью средства подготовки содержимого Microsoft Win32 ограничения на именование отсутствуют. При создании intunewin-файла из указанной исходной папки и файла установки можно предоставить отдельную папку, содержащую только файлы каталога, с помощью параметра -a cmdline. Дополнительные сведения см. в разделе Управление приложениями Win32. Подготовка содержимого приложения Win32 для отправки.
   • Intune применяет подписанный каталог приложений, чтобы установить приложение Win32 на устройстве S-режима с помощью расширения управления Intune.

Чтобы создать дополнительную политику режима S в Windows 10, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Приложения>Дополнительные политики> S-режимаСоздать политику.

3. Перед добавлением файла политики необходимо создать и подписать его. Дополнительные сведения см. в разделе:

   • Создание политики WDAC с помощью средств PowerShell и преобразование ее в двоичный формат
   • Подписывание с помощью службы подписывания Device Guard(рекомендуется)

4. На странице Основные добавьте следующие значения.

   Значение	Описание
   Файл политики	Файл, содержащий политику WDAC.
   Имя	Имя этой политики.
   Описание	[Необязательно] Описание этой политики.

5. Выберите Далее: теги области.
   На странице Теги области можно при необходимости настроить теги области, чтобы определить, кто может просматривать политику приложения в Intune. Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей и тегов области для распределенных ИТ-систем.

6. Выберите Далее: назначения.
   На странице Назначения можно назначить политику пользователям и устройствам. Важно отметить, что вы можете назначить политику устройству независимо от того, управляется ли устройство Intune.

7. Выберите Далее: просмотр и создание , чтобы просмотреть значения, введенные для профиля.

8. По завершении нажмите кнопку Создать , чтобы создать дополнительную политику S-режима в Intune.

После создания политики вы увидите, что она будет добавлена в список дополнительных политик S-режима в Intune. После назначения политики политика развертывается на устройствах. Обратите внимание, что приложение необходимо развернуть в той же группе безопасности, что и дополнительная политика. Вы можете начать нацеливание и назначение приложений этим устройствам. Это позволит конечным пользователям устанавливать и выполнять приложения на устройствах S-режима.

Удаление политики S-режима

В настоящее время, чтобы удалить дополнительную политику S-режима с устройства, необходимо назначить и развернуть пустую политику для перезаписи существующей дополнительной политики режима S.

Отчеты о политиках

Дополнительная политика S-режима, которая применяется на уровне устройства, содержит только отчеты на уровне устройства. Отчеты на уровне устройства доступны для успешного выполнения и ошибок.

Значения отчетов, отображаемые в Центре администрирования Microsoft Intune для политик отчетов в режиме S:

• Успешно. Действует дополнительная политика S-режима.
• Неизвестно: состояние дополнительной политики режима S неизвестно.
• TokenError: дополнительная политика режима S является структурно нормальной, но при авторизации маркера возникает ошибка.
• NotAuthorizedByToken: маркер не разрешает эту дополнительную политику режима S.
• PolicyNotFound: дополнительная политика режима S не найдена.

Дальнейшие действия

• Дополнительные сведения см. в разделе Приложения Win32 в режиме s.
• Дополнительные сведения о добавлении приложений в Intune см. в разделе Добавление приложений в Microsoft Intune.
• Дополнительные сведения о приложениях Win32 см. в разделе Управление приложениями Win32 в Intune.