Blokkeer apps op Windows 10- of 11-apparaten met aangepaste instellingen.

Ondersteunde edities voor deze functie: Frontline Starter, Frontline Standard en Frontline Plus; Business Plus; Enterprise Standard en Enterprise Plus; Education Standard, Education Plus en Endpoint Education Upgrade; Enterprise Essentials en Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Wanneer u Windows-apparaten in uw organisatie beheert met Windows-apparaatbeheer, kunt u beperken welke apps op die apparaten zijn toegestaan ​​door aangepaste instellingen toe te voegen in de Google Admin-console. U specificeert de apps in een XML-bestand dat u uploadt als waarde van de aangepaste instelling. U kunt individuele apps blokkeren of alle app-bestanden die overeenkomen met een bepaald type, zoals EXE- of MSI-bestanden.

Stap 1: Specificeer de toegestane en geblokkeerde apps in een XML-bestand.

Om het XML-bestand te maken, kunt u de opdrachtregel in PowerShell of de grafische interface in de Windows Groepsbeleid-editor gebruiken. Deze instructies laten zien hoe u één beleid maakt, maar u kunt gerelateerde beleidsregels voor apps met hetzelfde bestandstype combineren in één XML-bestand. Zie de voorbeelden .

Belangrijk : Om verschillende soorten app-bestanden (EXE, MSI, scripts, StoreApps en DLL's) te blokkeren, moet u aparte aangepaste instellingen maken.

Optie 1: Opdrachtregel (PowerShell)

  1. Gebruik een online GUID-generator om een ​​willekeurige GUID te krijgen. Tip : Zoek in een zoekmachine naar online GUID generator .
  2. Als je een specifieke app wilt blokkeren, vraag dan de app-informatie op. Als je alle apps met een bepaald bestandstype wilt blokkeren, kun je deze stap overslaan.
    1. Download op een Windows-apparaat het uitvoerbare bestand van de app (het bestand dat eindigt op .exe) dat u wilt blokkeren of toestaan.
    2. Open PowerShell.
    3. Voer de volgende opdracht uit: `Get-AppLockerFileInformation -path PathToExe | format-list ,` waarbij `PathToExe` het pad naar het uitvoerbare bestand is.
    4. Zoek in het antwoord de waarden in de regel Publisher en noteer deze. De waarden hebben het volgende formaat en komen overeen met de waarden die u in de XML zult gebruiken:

      Uitgevernaam Productnaam Binaire naam , Binaire versie

      De naam van de uitgever is een lange tekenreeks, zoals O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US , en u moet de volledige tekenreeks opnemen.

  3. Kopieer de volgende XML naar een teksteditor:

    <RuleCollection Type=" Type " EnforcementMode="Enabled">
    <FilePublisherRule Id= GUID Name= PolicyName Description= PolicyDescription UserOrGroupSid= UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName= PublisherName BinaryName= BinaryName ProductName= ProductName >
    <BinaryVersionRange HighSection= latestVersion LowSection= earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. Bewerk de XML om de plaatsaanduidingen te vervangen door hun waarden. Zie de voorbeelden voor specifieke gebruikssituaties, zoals het groeperen van meerdere beleidsregels in één bestand.
    Plaatsaanduiding Waarde
    Type

    Het app-bestandstype (moet overeenkomen met de OMA-URI):

    • Voor EXE-bestanden typt u "Exe"
    • Voor MSI-bestanden typt u "Msi"
    • Voor scriptbestanden typt u "Script" .
    • Voor DLL-bestanden typt u "Dll"
    • Voor apps uit de Microsoft Store typt u "Appx"
    GUID De GUID die je in stap 1 hebt gegenereerd.
    Beleidsnaam Een naam voor het beleid. Je kunt elke willekeurige tekenreeks gebruiken.
    Beleidsbeschrijving Een beschrijving van het beleid
    UserOrGroupSid De gebruikers of groepen waarop het beleid van toepassing is:
    • Om het beleid op alle gebruikers van het apparaat toe te passen, voert u S-1-1-0 in.
    • Om het beleid op een specifieke gebruiker toe te passen, voert u diens SID in. Om de SID te achterhalen, voert u in de opdrachtregel het volgende commando uit:

      wmic username get name,sid

      waarbij username de gebruikersnaam van de gebruiker op het apparaat is. Als je de gebruikersnaam niet weet, kun je een lijst van alle gebruikers op het apparaat opvragen door het volgende commando uit te voeren:

      wmic useraccount get name,sid

    • U kunt slechts één gebruikersnaam invoeren. Om het beleid op meerdere gebruikers toe te passen, kunt u de gebruikers in een groep plaatsen of het beleid kopiëren en de naam aanpassen.

    • Om het beleid op een specifieke groep toe te passen, voert u de SID van de groep in. Om de SID van de groep te achterhalen, voert u het volgende commando uit in de opdrachtregel:

      wmic groupName get name,sid

      waarbij groupName de naam van de groep op het apparaat is. Als u de naam van de groep niet weet, kunt u een lijst van alle groepen op het apparaat opvragen door het volgende commando uit te voeren:

      wmic group get name,sid

    Toestaan|Weigeren Selecteer de actie voor dit beleid: of het de opgegeven apps blokkeert of toestaat.
    Naam van de uitgever De naam van de uitgever van de app (PublisherName uit stap 2). Je kunt het jokerteken * gebruiken, maar reguliere expressies en jokertekens voor voor- of achtervoegsels worden niet ondersteund.
    BinaryName

    De bestandsnaam van het binaire bestand (BinaryName uit stap 2). Je kunt het jokerteken * gebruiken, maar reguliere expressies en jokertekens voor voor- of achtervoegsels worden niet ondersteund.

    Om bijvoorbeeld alle EXE-bestanden te blokkeren, voert u * in en selecteert u bij het toevoegen van de aangepaste instelling de OMA-URI die eindigt op /EXE/Policy .

    Productnaam De productnaam (ProductName uit stap 2). Je kunt het jokerteken * gebruiken, maar reguliere expressies en jokertekens voor voor- of achtervoegsels worden niet ondersteund.
    nieuwste versie Het meest recente versienummer van de app waarop dit beleid van toepassing is. Om alle versies van de app te blokkeren, voert u * in.
    vroegste versie Het vroegste versienummer van de app waarop dit beleid van toepassing is. Om alle versies van de app te blokkeren, voert u * in.

  5. Sla het bestand op.

Optie 2 – Grafische gebruikersinterface (Windows Groepsbeleid-editor)

  1. Volg de instructies in het gedeelte 'De XML genereren' van dit Microsoft-artikel . Stop met het volgen van de instructies wanneer u bij het gedeelte 'Het beleid maken' komt.

    Opmerking: Deze instructies beschrijven hoe u een beleid maakt voor een app die op het apparaat is geïnstalleerd. Om een ​​beleid te maken voor een app die niet op het apparaat is geïnstalleerd, selecteert u in stap 6 ' Een app-installatieprogramma als referentie gebruiken '.

  2. Nadat u het XML-bestand hebt geëxporteerd, verwijdert u in de Groepsbeleid-editor het beleid dat u hebt gemaakt. Anders wordt het beleid op het apparaat afgedwongen.

Stap 2: Voeg de aangepaste instelling toe

  1. Ga in de Google Admin-console naar Menu. en dan Apparaten en dan Mobiel & eindpunten en dan Instellingen en dan Windows .

    Hiervoor is beheerdersrechten voor services en apparaten vereist.

  2. Klik op Aangepaste instellingen.
  3. Klik op ' Een aangepaste instelling toevoegen'.

  4. Configureer de aangepaste instelling:

    1. Voer in het veld OMA-URI ApplicationLaunchRestriction in en selecteer de OMA-URI die overeenkomt met het bestandstype van de app in het beleid:

      • Voor EXE-bestanden selecteert u ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/EXE/Policy .
      • Voor apps die beschikbaar zijn in de Microsoft Store, selecteer ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/AppStore/Policy
      • Voor MSI-bestanden selecteert u ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/MSI/Policy
      • Voor PowerShell-scripts selecteert u ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/Script/Policy

      • Voor DLL-bestanden selecteert u ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/DLL/Policy

        Voor meer informatie kunt u de Microsoft AppLocker CSP-documentatie raadplegen.

    2. Vervang in de OMA-URI <Enter Grouping> door een willekeurige alfanumerieke tekenreeks die uniek is voor elke aangepaste instelling. Als u bijvoorbeeld een aangepaste instelling toevoegt om EXE-bestanden te blokkeren en een andere instelling om MSI-bestanden te blokkeren, gebruikt u een andere waarde voor elke aangepaste instelling.

    3. Wanneer u de OMA-URI selecteert, wordt het veld Naam bijgewerkt naar 'Beleid'. Voer een unieke naam in om deze te kunnen herkennen in de lijst met aangepaste instellingen.

    4. Selecteer bij Gegevenstype de optie Tekst (XML) , klik op XML uploaden en selecteer het XML-configuratiebestand dat u in het eerste gedeelte hebt gemaakt.

    5. (Optioneel) Voer een beschrijving in die de werking van de aangepaste instelling omschrijft en voor wie deze bedoeld is.

  5. Klik op Volgende om verder te gaan en de organisatie-eenheid te selecteren waarop de aangepaste instelling van toepassing is, of klik op Nog een toevoegen om een ​​nieuwe te starten. Aanvullende beleidsregels worden pas op een organisatie-eenheid toegepast nadat u op Volgende hebt geklikt en de organisatie-eenheid hebt geselecteerd.

  6. Kies de organisatie-eenheid waarop het beleid van toepassing is.

  7. Klik op Toepassen .

Als een gebruiker binnen de organisatie-eenheid een geblokkeerde app probeert te installeren of te openen op zijn of haar Windows-apparaat, krijgt hij of zij een foutmelding dat de app is geblokkeerd door de systeembeheerder.

Voorbeelden van XML-bestanden

Sta alleen ondertekende apps toe (blokkeer alle niet-ondertekende apps)

Dit beleid staat gebruikers alleen toe om ondertekende apps te installeren, en voorkomt tevens dat gebruikers niet-ondertekende apps installeren met het bestandstype dat is gespecificeerd in de OMA-URI.

Om alle niet-ondertekende apps voor alle bestandstypen te blokkeren, voegt u een aangepaste instelling toe voor elk bestandstype en gebruikt u de volgende XML als waarde.

Opmerking: In RuleCollection moet Type overeenkomen met het bestandstype van de app. De waarde kan "Exe" zijn voor EXE-bestanden, "Msi" voor MSI-bestanden, "Script" voor scriptbestanden, "Dll" voor DLL-bestanden of "Appx" voor StoreApps. In FilePublisherRule vervangt u GUID door een willekeurige GUID die u verkrijgt via een online GUID-generator.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

Blokkeer specifieke apps

Om apps te blokkeren, moet u een <FilePublisherRule> -sectie toevoegen die apps toestaat en <FilePublisherRule> -blokken voor elke app die u wilt blokkeren.

De algemene opzet is:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>

Opmerking: In RuleCollection moet Type overeenkomen met het bestandstype van de app. De waarde kan "Exe" zijn voor EXE-bestanden, "Msi" voor MSI-bestanden, "Script" voor scriptbestanden, "Dll" voor DLL-bestanden of "Appx" voor StoreApps. In FilePublisherRule vervangt u GUID door een willekeurige GUID die u verkrijgt via een online GUID-generator.

Deze beleidsregel voorkomt bijvoorbeeld dat gebruikers zowel "App A" als "App B" kunnen uitvoeren, wat EXE-bestanden zijn:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Blokkeer apps die standaard in het Windows-besturingssysteem zijn opgenomen.

Dit voorbeeld, gebaseerd op het voorbeeld in de Microsoft-documentatie , voorkomt dat gebruikers Windows Mail kunnen gebruiken. Vervang voordat u het gebruikt de GUID door een willekeurige GUID die u verkrijgt via een online GUID-generator.

Opmerking: Dit app-bestand is een Microsoft Store-app, dus de OMA-URI moet ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/AppStore/Policy zijn.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.