Blockera appar på Windows 10- eller 11-enheter med anpassade inställningar

Utgåvor som stöds för den här funktionen: Frontline Starter, Frontline Standard och Frontline Plus; Business Plus; Enterprise Standard och Enterprise Plus; Education Standard, Education Plus och Endpoint Education Upgrade; Enterprise Essentials och Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

När du hanterar Windows-enheter i din organisation med Windows-enhetshantering kan du begränsa vilka appar som är tillåtna på dessa enheter genom att lägga till anpassade inställningar i Googles administratörskonsol. Du anger apparna i en XML-fil som du laddar upp som värdet för den anpassade inställningen. Du kan blockera enskilda appar eller alla appfiler som matchar en viss typ, till exempel EXE- eller MSI-filer.

Steg 1: Ange tillåtna och blockerade appar i en XML-fil

För att skapa XML-filen kan du använda kommandoraden i PowerShell eller det grafiska gränssnittet i Windows grupprincipredigerare. Dessa instruktioner visar hur du skapar en enda princip, men du kan kombinera relaterade principer för appar med samma filtyp i en XML-fil. Se exemplen .

Viktigt : För att blockera olika typer av appfiler (EXE, MSI, Script, StoreApps och DLL-filer) måste du skapa separata anpassade inställningar.

Alternativ 1—Kommandoraden (PowerShell)

  1. Använd en GUID-generator online för att få ett slumpmässigt GUID. Tips : Sök efter online GUID generator i en sökmotor.
  2. Om du vill blockera en specifik app, hämta appinformationen. Om du vill blockera alla appar med en viss filtyp kan du hoppa över det här steget.
    1. På en Windows-enhet laddar du ner den körbara filen för appen (den som slutar på .exe) som du vill blockera eller tillåta.
    2. Öppna PowerShell.
    3. Kör Get-AppLockerFileInformation -path PathToExe | format-list , där PathToExe är sökvägen till den körbara filen.
    4. I svaret, hitta och registrera värdena på raden Publisher . Värdena har följande format och motsvarar värden som du kommer att använda i XML:n:

      Utgivaresnamn Produktnamn Binärnamn , Binärversion

      Utgivarens namn är en lång sträng, till exempel O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US och du måste inkludera hela strängen.

  3. Kopiera följande XML till en textredigerare:

    <RuleCollection Type=" Type " EnforcementMode="Enabled">
    <FilePublisherRule Id= GUID Name= PolicyName Description= PolicyDescription UserOrGroupSid= UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName= PublisherName BinaryName= BinaryName ProductName= ProductName >
    <BinaryVersionRange HighSection= latestVersion LowSection= earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. Redigera XML-filen för att ersätta platshållarna med deras värden. För specifika användningsfall, som att gruppera flera policyer i en fil, se exemplen .
    Platshållare Värde
    Typ

    Appens filtyp (måste matcha OMA-URI:n):

    • För EXE-filer, ange "Exe"
    • För MSI-filer, ange "Msi"
    • För skriptfiler, ange "Script"
    • För DLL-filer, ange "Dll"
    • För Microsoft Store-appar, ange "Appx"
    GUID GUID:t du genererade i steg 1
    Policynamn Ett namn för policyn. Du kan använda valfri sträng.
    Policybeskrivning En beskrivning av policyn
    AnvändareEllerGruppSid De användare eller grupper som policyn gäller för:
    • För att tillämpa policyn på alla användare på enheten, ange S-1-1-0 .
    • För att tillämpa policyn på en specifik användare, ange deras SID. För att hämta deras SID, kör följande i kommandoraden:

      wmic användarnamn hämta namn, sid

      där användarnamn är användarnamnet för användaren på enheten. Om du inte vet användarnamnet kan du få en lista över alla användare på enheten genom att köra:

      wmic användarkonto hämta namn, sid

    • Du kan bara ange ett användarnamn. Om du vill tillämpa policyn på fler användare kan du antingen placera användarna i en grupp eller kopiera policyn och uppdatera namnet.

    • För att tillämpa policyn på en specifik grupp, ange dess SID. För att hämta gruppens SID, kör följande i kommandoraden:

      wmic gruppnamn hämta namn, sid

      där groupName är namnet på gruppen på enheten. Om du inte vet gruppens namn kan du få en lista över alla grupper på enheten genom att köra:

      wmic-grupp få namn, sid

    Tillåt|Neka Välj åtgärden för den här policyn, om den blockerar eller tillåter de angivna apparna
    Utgivarens namn Namnet på appens utgivare (PublisherName från steg 2). Du kan använda jokertecknet * , men matchning av reguljära uttryck och jokertecken för prefix eller suffix stöds inte.
    Binärt namn

    Filnamnet på den binära filen (BinaryName från steg 2). Du kan använda jokertecknet * , men matchning av reguljära uttryck och jokertecken för prefix eller suffix stöds inte.

    Om du till exempel vill blockera alla EXE-filer anger du * och när du lägger till den anpassade inställningen väljer du den OMA-URI som slutar med /EXE/Policy .

    Produktnamn Produktens namn (ProductName från steg 2). Du kan använda jokertecknet * , men matchning av reguljära uttryck och jokertecken för prefix eller suffix stöds inte.
    senaste versionen Det senaste versionsnumret för appen som denna policy gäller för. Om du vill blockera alla versioner av appen anger du * .
    tidigaste versionen Det tidigaste versionsnumret av appen som denna policy gäller för. Om du vill blockera alla versioner av appen anger du *.

  5. Spara filen.

Alternativ 2 – GUI (Windows Groups Policy Editor)

  1. Följ instruktionerna i avsnittet "Generera XML" i den här Microsoft-artikeln . Sluta följa instruktionerna när du kommer till avsnittet "Skapa policyn".

    Obs! Dessa instruktioner beskriver hur du skapar en policy för en app som är installerad på enheten. Om du vill skapa en policy för en app som inte är installerad på enheten väljer du Använd ett paketerat appinstallationsprogram som referens i steg 6.

  2. När du har exporterat XML-filen tar du bort den policy du skapade i grupppolicyredigeraren. Annars tillämpas policyn på enheten.

Steg 2: Lägg till den anpassade inställningen

  1. I Googles administratörskonsol, gå till Meny och sedan Enheter och sedan Mobil och slutpunkter och sedan Inställningar och sedan Fönster .

    Kräver administratörsbehörighet för tjänster och enheter .

  2. Klicka på Anpassade inställningar.
  3. Klicka på Lägg till en anpassad inställning.

  4. Konfigurera den anpassade inställningen:

    1. I fältet OMA-URI anger du ApplicationLaunchRestriction och väljer den OMA-URI som motsvarar appens filtyp i policyn:

      • För EXE-filer, välj ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Ange gruppering>/EXE/Policy .
      • För appar som är tillgängliga i Microsoft Store väljer du ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Ange gruppering>/AppStore/Policy
      • För MSI-filer, välj ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Ange gruppering>/MSI/Policy
      • För PowerShell-skript, välj ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy

      • För DLL-filer, välj ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Ange gruppering>/DLL/Policy

        Mer information finns i dokumentationen för Microsoft AppLocker CSP .

    2. I OMA-URI:n ersätter du <Enter Grouping> med en slumpmässig alfanumerisk sträng som är unik för varje anpassad inställning. Om du till exempel lägger till en anpassad inställning för att blockera EXE-filer och en annan inställning för att blockera MSI-filer, använd ett annat värde för varje anpassad inställning.

    3. När du väljer OMA-URI uppdateras namnfältet till "Policy". Ange ett unikt namn som hjälper dig att identifiera det i listan över anpassade inställningar.

    4. För Datatyp väljer du Sträng (XML) , klickar på Ladda upp XML och väljer XML-konfigurationsfilen som du skapade i det första avsnittet.

    5. (Valfritt) Ange en beskrivning som beskriver åtgärden för den anpassade inställningen och vem den gäller för.

  5. Klicka på Nästa för att gå vidare och välja den organisationsenhet som den anpassade inställningen gäller för, eller klicka på Lägg till ytterligare en för att starta en annan. Ytterligare policyer tillämpas inte på en organisationsenhet förrän du klickar på Nästa och väljer organisationsenheten.

  6. Välj den organisationsenhet som policyn ska tillämpas på.

  7. Klicka på Verkställ .

Om en användare i organisationsenheten försöker installera eller öppna en blockerad app på sin Windows-enhet får de ett felmeddelande om att appen har blockerats av systemadministratören.

Exempel på XML-filer

Tillåt endast signerade appar (Blockera alla osignerade appar)

Den här policyn tillåter användare att endast installera signerade appar, vilket också blockerar användare från att installera osignerade appar med den filtyp som anges i OMA-URI:n.

För att blockera alla osignerade appar för alla filtyper, lägg till en anpassad inställning för varje filtyp och använd följande XML för värdet.

Obs! I RuleCollection måste Type matcha appens filtyp. Värdet kan vara "Exe" för EXE-filer, "Msi" för MSI-filer, "Script" för Script-filer, "Dll" för DLL-filer eller "Appx" för StoreApps. I FilePublisherRule ersätter du GUID med ett slumpmässigt GUID som du får från en GUID-generator online.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

Blockera specifika appar

För att blockera appar måste du inkludera ett <FilePublisherRule> -avsnitt som tillåter appar och <FilePublisherRule> -blockeringar för varje app du vill blockera.

Det allmänna formatet är:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>

Obs! I RuleCollection måste Type matcha appens filtyp. Värdet kan vara "Exe" för EXE-filer, "Msi" för MSI-filer, "Script" för Script-filer, "Dll" för DLL-filer eller "Appx" för StoreApps. I FilePublisherRule ersätter du GUID med ett slumpmässigt GUID som du får från en GUID-generator online.

Till exempel blockerar den här policyn användare från att köra både "App A" och "App B", vilka är EXE-filer:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Blockera appar som ingår i Windows operativsystem

Det här exemplet, baserat på exemplet i Microsofts dokumentation , blockerar användare från att använda Windows Mail. Innan du använder det, ersätt GUID med ett slumpmässigt GUID som du får från en GUID-generator online.

Obs! Den här appfilen är en Microsoft Store-app, så OMA-URI:n måste vara ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy .

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.