Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Am 14. Oktober 2025 hat Windows 10 das Ende des Supports erreicht und erhält keine Qualitäts- und Featureupdates. Windows 10 ist eine zulässige Version in Intune. Geräte, auf denen diese Version ausgeführt wird, können sich weiterhin bei Intune registrieren und berechtigte Features verwenden. Die Funktionalität wird jedoch nicht garantiert und kann variieren.
Windows S Modus ist ein gesperrtes Betriebssystem, auf dem nur Store-Apps ausgeführt werden. Standardmäßig lassen Geräte im Windows S-Modus die Installation und Ausführung von Win32-Apps nicht zu. Diese Geräte enthalten eine einzelne Win 10S-Basisrichtlinie, die das Gerät im S Modus daran hindert, Win32-Apps darauf auszuführen. Durch erstellen und verwenden Sie jedoch eine ergänzende S Modus-Richtlinie in Intune, um Win32-Apps auf verwalteten Windows S Modus-Geräten zu installieren und auszuführen. Mithilfe der PowerShell-Tools Microsoft Defender Application Control (WDAC) können Sie eine oder mehrere zusätzliche Richtlinien für den Windows S-Modus erstellen. Sie müssen die zusätzlichen Richtlinien mit dem Device Guard-Signaturdienst (Device Guard Signing Service, DGSS) oder mit SignTool.exe signieren und die Richtlinien dann über Intune hochladen und verteilen. Alternativ können Sie die ergänzenden Richtlinien mit einem codesigning-Zertifikat aus Ihrem organization signieren. Die bevorzugte Methode ist jedoch die Verwendung von DGSS. In der instance, die Sie das codesigning-Zertifikat aus Ihrem organization verwenden, muss das Stammzertifikat, mit dem das codesignierende Zertifikat verkettet ist, auf dem Gerät vorhanden sein.
Indem Sie die ergänzende S-Modus-Richtlinie in Intune zuweisen, ermöglichen Sie dem Gerät, eine Ausnahme von der vorhandenen S-Modus-Richtlinie des Geräts zu machen, die den hochgeladenen entsprechenden signierten App-Katalog zulässt. Die Richtlinie legt eine Positivliste von Apps (app-Katalog) fest, die auf dem Gerät im S Modus verwendet werden können.
Hinweis
Win32-Apps auf Geräten im S Modus werden nur ab Windows 10 Update vom November 2019 (Build 18363) oder höheren Versionen unterstützt.
Die Schritte, damit Win32-Apps auf einem Windows-Gerät im S Modus ausgeführt werden können, sind die folgenden:
- Aktivieren Sie Geräte im S-Modus über Intune als Teil des Windows S-Registrierungsprozesses.
- Erstellen Sie eine zusätzliche Richtlinie, um Win32-Apps zuzulassen:
- Sie können Microsoft Defender WDAC-Tools (Application Control) verwenden, um eine zusätzliche Richtlinie zu erstellen. Die Basisrichtlinien-ID in der Richtlinie muss mit der Basisrichtlinien-ID im S-Modus übereinstimmen (die auf dem Client hartcodiert ist). Stellen Sie außerdem sicher, dass die Richtlinienversion höher als die vorherige Version ist.
- Sie verwenden DGSS, um Ihre ergänzende Richtlinie zu unterzeichnen. Weitere Informationen finden Sie unter Signieren einer Codeintegritätsrichtlinie mit Device Guard-Signatur.
- Sie laden die signierte ergänzende Richtlinie in Intune hoch, indem Sie eine ergänzende Windows 10 S-Modus-Richtlinie erstellen (siehe unten).
- Sie lassen Win32-App-Kataloge über Intune zu:
- Sie erstellen Katalogdateien (eine für jede App) und signieren sie mithilfe von DGSS oder einer anderen Zertifikatinfrastruktur.
- Sie packen den signierten Katalog mithilfe des Microsoft Win32 Content Prep Tools in die INTUNEWIN-Datei. Beim Erstellen einer Katalogdatei mit dem Microsoft Win32 Content Prep Tool gibt es keine Benennungseinschränkungen. Beim Generieren der .intunewin-Datei aus dem angegebenen Quellordner und der angegebenen Setupdatei können Sie einen separaten Ordner bereitstellen, der nur Katalogdateien enthält, indem Sie die Cmdline-Option -a verwenden. Weitere Informationen finden Sie unter Win32-App-Verwaltung – Vorbereiten des Win32-App-Inhalts für den Upload.
- Intune wendet den signierten App-Katalog an, um die Win32-App mithilfe der Intune-Verwaltungserweiterung auf dem Gerät im S Modus zu installieren.
Hinweis
Die ergänzende S-Modus-Richtlinie für Apps muss über die Intune-Verwaltungserweiterung bereitgestellt werden.
Richtlinien im S-Modus werden auf Geräteebene erzwungen. Mehrere zielorientierte Richtlinien werden auf dem Gerät zusammengeführt. Die zusammengeführte Richtlinie wird auf dem Gerät erzwungen.
Führen Sie die folgenden Schritte aus, um eine ergänzende Richtlinie für den Windows S-Modus zu erstellen:
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Apps>S modus supplemental policies>Create policy (Richtlinie erstellen) aus.
Bevor Sie die Richtliniendatei hinzufügen, müssen Sie sie erstellen und signieren. Weitere Informationen finden Sie unter:
Fügen Sie auf der Seite Basics (Grundeinstellungen) die folgenden Werte hinzu:
Wert Beschreibung Richtliniendatei Die Datei, die die WDAC-Richtlinie enthält. Name Der Name dieser Richtlinie. Beschreibung [Optional] Die Beschreibung dieser Richtlinie. Wählen Sie Weiter: Bereichstags aus.
Auf der Seite Bereichstags können Sie optional Bereichstags konfigurieren, um zu bestimmen, wer die App-Richtlinie in Intune sehen kann. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Use role-based access control and scope tags for distributed IT (Verwenden der rollenbasierten Zugriffssteuerung und von Bereichsmarkierungen für verteilte IT).Wählen Sie Weiter: Aufgabenaus.
Auf der Seite Zuweisungen können Sie die Richtlinie Benutzern und Geräten zuweisen. Es ist wichtig zu beachten, dass Sie einem Gerät eine Richtlinie zuweisen können, unabhängig davon, ob das Gerät von Intune verwaltet wird oder nicht.Wählen Sie Weiter: Überprüfen + erstellen aus, um die Werte zu überprüfen, die Sie für das Profil eingegeben haben.
Wenn Sie fertig sind, wählen Sie Erstellen aus, um die ergänzende S Modus-Richtlinie in Intune zu erstellen.
Nachdem die Richtlinie erstellt wurde, wird sie der Liste der ergänzenden S Modus-Richtlinien in Intune hinzugefügt. Sobald die Richtlinie zugewiesen wurde, wird sie auf den Geräten bereitgestellt. Beachten Sie, dass Sie die App in derselben Sicherheitsgruppe wie die ergänzende Richtlinie bereitstellen müssen. Sie können damit beginnen, apps als Ziel zu verwenden und diesen Geräten zuzuweisen. Dadurch können Ihre Endbenutzer die Apps auf den Geräten im S Modus installieren und ausführen.
Entfernen der S-Modus-Richtlinie
Um die ergänzende S-Modus-Richtlinie vom Gerät zu entfernen, müssen Sie derzeit eine leere Richtlinie zuweisen und bereitstellen, um die vorhandene ergänzende S-Modus-Richtlinie zu überschreiben.
Richtlinienberichterstellung
Die ergänzende S-Modus-Richtlinie, die auf Geräteebene erzwungen wird, enthält nur Berichte auf Geräteebene. Berichte auf Geräteebene sind für Erfolgs- und Fehlerbedingungen verfügbar.
Berichtswerte, die im Microsoft Intune Admin Center für Berichtsrichtlinien im S Modus angezeigt werden:
- Erfolg: Die ergänzende S-Modus-Richtlinie ist in Kraft.
- Unbekannt: Die status der ergänzenden Richtlinie für den S-Modus ist nicht bekannt.
- TokenError: Die ergänzende S-Modus-Richtlinie ist strukturell in Ordnung, aber es liegt ein Fehler beim Autorisieren des Tokens vor.
- NotAuthorizedByToken: Das Token autorisiert diese ergänzende S Modus-Richtlinie nicht.
- PolicyNotFound: Die ergänzende S-Modus-Richtlinie wurde nicht gefunden.
Nächste Schritte
- Weitere Informationen finden Sie unter Win32-Apps im s-Modus.
- Weitere Informationen zum Hinzufügen von Apps zu Intune finden Sie unter Hinzufügen von Apps zu Microsoft Intune.
- Weitere Informationen zu Win32-Apps finden Sie unter Intune Win32-App-Verwaltung.