Aktivera Win32-appar på S-lägesenheter

Windows 10 S-läget är ett låst operativsystem som bara kör Store-appar. Windows S-lägesenheter tillåter som standard inte installation och körning av Win32-appar. Dessa enheter innehåller en enda Win 10S-basprincip som låser S-lägesenheten från att köra win32-appar på den. Men genom att skapa och använda en tilläggsprincip för S-läge i Intune kan du installera och köra Win32-appar på hanterade enheter i Windows 10 S-läge. Genom att använda PowerShell-verktygen för Microsoft Defender Application Control (WDAC) kan du skapa en eller flera kompletterande principer för Windows S-läge. Du måste signera tilläggsprinciperna med Device Guard Signing Service (DGSS) eller med SignTool.exe och sedan ladda upp och distribuera principerna via Intune. Alternativt kan du signera tilläggsprinciperna med ett codesigncertifikat från din organisation, men den bästa metoden är att använda DGSS. I det fall du använder codesigncertifikatet från din organisation måste det rotcertifikat som codesigncertifikatet är kedjat till finnas på enheten.

Genom att tilldela tilläggsprincipen för S-läge i Intune gör du det möjligt för enheten att göra ett undantag till enhetens befintliga S-lägesprincip, vilket tillåter den uppladdade motsvarande signerade appkatalogen. Principen anger en lista över tillåtna appar (appkatalogen) som kan användas på S-lägesenheten.

Stegen för att låta Win32-appar köras på en Windows 10-enhet i S-läge är följande:

1. Aktivera S-lägesenheter via Intune som en del av registreringsprocessen för Windows 10 S.
2. Skapa en tilläggsprincip som tillåter Win32-appar:
   • Du kan använda WDAC-verktyg (Microsoft Defender Application Control) för att skapa en kompletterande princip. Basprincip-ID:t i principen måste matcha basprincip-ID:t för S-läge (som är hårdkodat på klienten). Kontrollera också att principversionen är högre än den tidigare versionen.
   • Du använder DGSS för att signera din kompletterande princip. Mer information finns i Signera kodintegritetsprincip med Device Guard-signering.
   • Du laddar upp den signerade tilläggsprincipen till Intune genom att skapa en tilläggsprincip för Windows 10 S-läge (se nedan).
3. Du tillåter Win32-appkataloger via Intune:
   • Du skapar katalogfiler (en för varje app) och signerar dem med hjälp av DGSS eller annan certifikatinfrastruktur.
   • Du paketerar den signerade katalogen i .intunewin-filen med hjälp av Microsoft Win32 Content Prep Tool. Det finns inga namngivningsbegränsningar när du skapar en katalogfil med hjälp av Förberedelseverktyget för Microsoft Win32-innehåll. När du genererar .intunewin-filen från den angivna källmappen och installationsfilen kan du ange en separat mapp som endast innehåller katalogfiler med hjälp av alternativet -a cmdline. Mer information finns i Win32-apphantering – Förbereda Win32-appinnehållet för uppladdning.
   • Intune tillämpar den signerade appkatalogen för att installera Win32-appen på S-lägesenheten med hjälp av Intune-hanteringstillägget.

Använd följande steg för att skapa en tilläggsprincip för Windows 10 S-läge:

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Tilläggsprinciper> för App >S-lägeSkapa princip.

3. Innan du lägger till principfilen måste du skapa och signera den. Mer information finns i:

   • Skapa en WDAC-princip med PowerShell-verktyg och konvertera den till ett binärt format
   • Signera med Device Guard-signeringstjänsten(rekommenderas)

4. På sidan Grundläggande lägger du till följande värden:

   Värde	Beskrivning
   Principfil	Filen som innehåller WDAC-principen.
   Namn	Namnet på den här principen.
   Beskrivning	[Valfritt] Beskrivningen av den här principen.

5. Välj Nästa: Omfångstaggar.
   På sidan Omfångstaggar kan du välja att konfigurera omfångstaggar för att avgöra vem som kan se appprincipen i Intune. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll och omfångstaggar för distribuerad IT.

6. Välj Nästa: Tilldelningar.
   På sidan Tilldelningar kan du tilldela principen till användare och enheter. Observera att du kan tilldela en princip till en enhet oavsett om enheten hanteras av Intune eller inte.

7. Välj Nästa: Granska + skapa för att granska de värden som du angav för profilen.

8. När du är klar väljer du Skapa för att skapa tilläggsprincipen för S-läge i Intune.

När principen har skapats ser du att den har lagts till i listan över tilläggsprinciper för S-läge i Intune. När principen har tilldelats distribueras principen till enheterna. Observera att du måste distribuera appen till samma säkerhetsgrupp som den kompletterande principen. Du kan börja rikta in dig på och tilldela appar till dessa enheter. På så sätt kan slutanvändarna installera och köra apparna på S-lägesenheterna.

Borttagning av S-lägesprincip

För närvarande måste du tilldela och distribuera en tom princip för att skriva över den befintliga tilläggsprincipen för S-läge för att ta bort tilläggsprincipen för S-läge från enheten.

Principrapportering

Tilläggsprincipen för S-läge, som tillämpas på enhetsnivå, har bara rapportering på enhetsnivå. Rapportering på enhetsnivå är tillgängligt för framgångs- och felvillkor.

Rapporteringsvärden som visas i Microsoft Intune-administrationscentret för rapporteringsprinciper för S-läge:

• Lyckades: Tilläggsprincipen för S-läge tillämpas.
• Okänd: Status för tilläggsprincipen för S-läge är inte känd.
• TokenError: Tilläggsprincipen för S-läge är strukturellt okej, men det finns ett fel med att auktorisera token.
• NotAuthorizedByToken: Token auktoriserar inte den här tilläggsprincipen för S-läge.
• PolicyNotFound: Tilläggsprincipen för S-läge hittades inte.

Nästa steg

• Mer information finns i Win32-appar i s-läge.
• Mer information om hur du lägger till appar i Intune finns i Lägga till appar i Microsoft Intune.
• Mer information om Win32-appar finns i Intune Win32-apphantering.