कस्टम सेटिंग का इस्तेमाल करके, Windows 10 या 11 डिवाइसों पर ऐप्लिकेशन ब्लॉक करना

इस सुविधा के साथ काम करने वाले वर्शन: Frontline Starter, Frontline Standard, और Frontline Plus; Business Plus; Enterprise Standard और Enterprise Plus; Education Standard, Education Plus, और Endpoint Education Upgrade; Enterprise Essentials और Enterprise Essentials Plus; Cloud Identity Premium.  अपने वर्शन की तुलना करें

Windows डिवाइस मैनेजमेंट की मदद से, अपनी कंपनी या संगठन के Windows डिवाइसों को मैनेज किया जा सकता है. साथ ही, Google Admin console में कस्टम सेटिंग जोड़कर, यह तय किया जा सकता है कि उन डिवाइसों पर कौनसे ऐप्लिकेशन इस्तेमाल किए जा सकते हैं. आपको एक एक्सएमएल फ़ाइल में उन ऐप्लिकेशन की जानकारी देनी होती है जिन्हें कस्टम सेटिंग की वैल्यू के तौर पर अपलोड किया जाता है. आपके पास किसी एक ऐप्लिकेशन या किसी खास टाइप की सभी ऐप्लिकेशन फ़ाइलों (जैसे, EXE या MSI फ़ाइलें) को ब्लॉक करने का विकल्प होता है.

पहला चरण: एक्सएमएल फ़ाइल में, अनुमति वाले और ब्लॉक किए गए ऐप्लिकेशन की जानकारी देना

एक्सएमएल फ़ाइल बनाने के लिए, PowerShell में कमांड लाइन या Windows Group Policy Editor में जीयूआई का इस्तेमाल किया जा सकता है. इन निर्देशों में, एक नीति बनाने का तरीका बताया गया है. हालांकि, एक ही फ़ाइल टाइप वाले ऐप्लिकेशन के लिए, एक से ज़्यादा नीतियां एक ही एक्सएमएल फ़ाइल में जोड़ी जा सकती हैं. उदाहरण देखें.

अहम जानकारी: अलग-अलग टाइप की ऐप्लिकेशन फ़ाइलों (EXE, MSI, स्क्रिप्ट, StoreApps, और DLL) को ब्लॉक करने के लिए, आपको अलग-अलग कस्टम सेटिंग बनानी होंगी.

पहला विकल्प—कमांड लाइन (PowerShell)

  1. रैंडम जीयूआईडी पाने के लिए, ऑनलाइन जीयूआईडी जनरेटर का इस्तेमाल करें. अहम जानकारी: किसी सर्च इंजन में, online GUID generator खोजें.
  2. अगर आपको कोई खास ऐप्लिकेशन ब्लॉक करना है, तो उसकी जानकारी पाएं. अगर आपको किसी खास फ़ाइल टाइप वाले सभी ऐप्लिकेशन ब्लॉक करने हैं, तो यह चरण छोड़ दें.
    1. Windows डिवाइस पर, उस ऐप्लिकेशन की एक्ज़ीक्यूटेबल फ़ाइल (जो .exe से खत्म होती है) डाउनलोड करें जिसे आपको ब्लॉक या अनुमति देनी है.
    2. PowerShell खोलें.
    3. Get-AppLockerFileInformation -path PathToExe | format-list चलाएं. इसमें, PathToExe एक्ज़ीक्यूटेबल फ़ाइल का पाथ है.
    4. जवाब में, Publisher लाइन में मौजूद वैल्यू ढूंढें और उन्हें रिकॉर्ड करें. वैल्यू इस फ़ॉर्मैट में होती हैं और ये एक्सएमएल में इस्तेमाल की जाने वाली वैल्यू से मेल खाती हैं:

      PublisherNameProductNameBinaryName,BinaryVersion

      पब्लिशर का नाम एक लंबी स्ट्रिंग होती है. जैसे, O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. आपको पूरी स्ट्रिंग शामिल करनी होगी.

  3. नीचे दी गई एक्सएमएल को किसी टेक्स्ट एडिटर में कॉपी करें:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. प्लेसहोल्डर को उनकी वैल्यू से बदलने के लिए, एक्सएमएल में बदलाव करें. इस्तेमाल के खास उदाहरणों के लिए, जैसे कि एक से ज़्यादा नीतियों को एक फ़ाइल में ग्रुप करना, उदाहरण देखें.
    प्लेसहोल्डर वैल्यू
    Type

    ऐप्लिकेशन फ़ाइल का टाइप. यह ओएमए-यूआरआई से मेल खाना चाहिए:

    • EXE फ़ाइलों के लिए, "Exe" डालें
    • MSI फ़ाइलों के लिए, "Msi" डालें
    • स्क्रिप्ट फ़ाइलों के लिए, "Script" डालें
    • DLL फ़ाइलों के लिए, "Dll" डालें
    • Microsoft Store के ऐप्लिकेशन के लिए, "Appx" डालें
    GUID वह जीयूआईडी जो आपने पहले चरण में जनरेट किया है
    PolicyName नीति के लिए कोई नाम. कोई भी स्ट्रिंग इस्तेमाल की जा सकती है.
    PolicyDescription नीति का ब्यौरा
    UserOrGroupSid वे उपयोगकर्ता या ग्रुप जिन पर नीति लागू होती है:
    • डिवाइस पर मौजूद सभी उपयोगकर्ताओं पर नीति लागू करने के लिए, S-1-1-0 डालें.
    • किसी खास उपयोगकर्ता पर नीति लागू करने के लिए, उसका एसआईडी डालें. एसआईडी पाने के लिए, कमांड लाइन में यह चलाएं:

      wmic username get name,sid

      इसमें, username डिवाइस पर मौजूद उपयोगकर्ता का उपयोगकर्ता नाम है. अगर आपको उपयोगकर्ता नाम नहीं पता है, तो यह चलाकर डिवाइस पर मौजूद सभी उपयोगकर्ताओं की सूची पाएं:

      wmic useraccount get name,sid

    • सिर्फ़ एक उपयोगकर्ता नाम डाला जा सकता है. ज़्यादा उपयोगकर्ताओं पर नीति लागू करने के लिए, या तो उपयोगकर्ताओं को किसी ग्रुप में डालें या नीति को कॉपी करके नाम अपडेट करें.

    • किसी खास ग्रुप पर नीति लागू करने के लिए, उसका एसआईडी डालें. ग्रुप का एसआईडी पाने के लिए, कमांड लाइन में यह चलाएं:

      wmic groupName get name,sid

      इसमें, groupName डिवाइस पर मौजूद ग्रुप का नाम है. अगर आपको ग्रुप का नाम नहीं पता है, तो यह चलाकर डिवाइस पर मौजूद सभी ग्रुप की सूची पाएं:

      wmic group get name,sid
    Allow|Deny इस नीति के लिए कोई कार्रवाई चुनें. इससे तय होगा कि नीति में बताए गए ऐप्लिकेशन ब्लॉक किए जाएंगे या उन्हें अनुमति दी जाएगी
    PublisherName ऐप्लिकेशन के पब्लिशर का नाम (दूसरे चरण में मौजूद PublisherName). आप * वाइल्डकार्ड का इस्तेमाल कर सकते हैं. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड काम नहीं करते.
    BinaryName

    बाइनरी का फ़ाइल नाम (दूसरे चरण में मौजूद BinaryName). आप * वाइल्डकार्ड का इस्तेमाल कर सकते हैं. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड काम नहीं करते.

    उदाहरण के लिए, सभी EXE फ़ाइलों को ब्लॉक करने के लिए, * डालें. इसके बाद, कस्टम सेटिंग जोड़ते समय, वह ओएमए-यूआरआई चुनें जो /EXE/Policy से खत्म होता है.
    ProductName प्रॉडक्ट का नाम (दूसरे चरण में मौजूद ProductName). आप * वाइल्डकार्ड का इस्तेमाल कर सकते हैं. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड काम नहीं करते.
    latestVersion ऐप्लिकेशन का वह नया वर्शन जिस पर यह नीति लागू होती है. ऐप्लिकेशन के सभी वर्शन ब्लॉक करने के लिए, * डालें.
    earliestVersion ऐप्लिकेशन का वह पुराना वर्शन जिस पर यह नीति लागू होती है. ऐप्लिकेशन के सभी वर्शन ब्लॉक करने के लिए, * डालें.

  5. फ़ाइल सेव करें.

दूसरा विकल्प–जीयूआई (Windows Group Policy Editor)

  1. Microsoft लेख के "एक्सएमएल जनरेट करना" सेक्शन में दिए गए निर्देशों का पालन करें. "नीति बनाना" सेक्शन पर पहुंचने के बाद, निर्देशों का पालन करना बंद कर दें.

    ध्यान दें: इन निर्देशों में, डिवाइस पर इंस्टॉल किए गए ऐप्लिकेशन के लिए नीति बनाने का तरीका बताया गया है. डिवाइस पर इंस्टॉल नहीं किए गए ऐप्लिकेशन के लिए नीति बनाने के लिए, छठे चरण में पैकेज किए गए ऐप्लिकेशन इंस्टॉलर को रेफ़रंस के तौर पर इस्तेमाल करें को चुनें.

  2. एक्सएमएल फ़ाइल एक्सपोर्ट करने के बाद, Group Policy Editor में बनाई गई नीति हटाएं. ऐसा न करने पर, डिवाइस पर नीति लागू हो जाएगी.

दूसरा चरण: कस्टम सेटिंग जोड़ना

  1. Google Admin console में, मेन्यू इसके बाद डिवाइस इसके बाद मोबाइल और एंडपॉइंट इसके बाद सेटिंग इसके बाद Windows पर जाएं.

    इसके लिए, आपके पास सेवाओं और डिवाइसों से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. कस्टम सेटिंग पर क्लिक करें.
  3. कस्टम सेटिंग जोड़ें पर क्लिक करें.

  4. कस्टम सेटिंग कॉन्फ़िगर करें:

    1. ओएमए-यूआरआई फ़ील्ड में, ApplicationLaunchRestriction डालें. इसके बाद, नीति में मौजूद ऐप्लिकेशन के फ़ाइल टाइप से मेल खाने वाला ओएमए-यूआरआई चुनें:

      • EXE फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy चुनें.
      • Microsoft Store में उपलब्ध ऐप्लिकेशन के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy चुनें
      • MSI फ़ाइलों के लिए, **./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy** चुनें
      • PowerShell स्क्रिप्ट के लिए, **./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy** चुनें

      • DLL फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy चुनें

        ज़्यादा जानकारी के लिए, Microsoft AppLocker CSP का दस्तावेज़ देखें.

    2. ओएमए-यूआरआई में, <Enter Grouping> को किसी ऐसे रैंडम अल्फ़ान्यूमेरिक स्ट्रिंग से बदलें जो हर कस्टम सेटिंग के लिए यूनीक हो. उदाहरण के लिए, अगर आपको EXE फ़ाइलों को ब्लॉक करने के लिए एक कस्टम सेटिंग और MSI फ़ाइलों को ब्लॉक करने के लिए दूसरी सेटिंग जोड़नी है, तो हर कस्टम सेटिंग के लिए अलग-अलग वैल्यू का इस्तेमाल करें.

    3. ओएमए-यूआरआई चुनने पर, नाम फ़ील्ड "नीति" में अपडेट हो जाता है. कोई यूनीक नाम डालें, ताकि कस्टम सेटिंग की सूची में इसकी पहचान की जा सके.

    4. डेटा टाइप के लिए, स्ट्रिंग (एक्सएमएल) चुनें. इसके बाद, एक्सएमएल अपलोड करें पर क्लिक करें. अब पहले सेक्शन में बनाई गई एक्सएमएल कॉन्फ़िगरेशन फ़ाइल चुनें.

    5. (ज़रूरी नहीं) कोई ऐसा ब्यौरा डालें जिसमें कस्टम सेटिंग की कार्रवाई और यह बताया गया हो कि यह किस पर लागू होती है.

  5. आगे बढ़ने और वह संगठन की इकाई चुनने के लिए, जिस पर कस्टम सेटिंग लागू होती है, आगे बढ़ें पर क्लिक करें. कोई दूसरी कस्टम सेटिंग जोड़ने के लिए, एक और जोड़ें पर क्लिक करें. जब तक आगे बढ़ें पर क्लिक करके संगठन की इकाई नहीं चुनी जाती, तब तक संगठन की इकाई पर अन्य नीतियां लागू नहीं होतीं.

  6. वह संगठन की इकाई चुनें जिस पर नीति लागू करनी है.

  7. लागू करें पर क्लिक करें.

अगर संगठन की इकाई में मौजूद कोई उपयोगकर्ता, अपने Windows डिवाइस पर ब्लॉक किया गया कोई ऐप्लिकेशन इंस्टॉल या खोलता है, तो उसे गड़बड़ी का एक मैसेज मिलता है. इसमें बताया जाता है कि सिस्टम एडमिन ने यह ऐप्लिकेशन ब्लॉक कर दिया है.

एक्सएमएल फ़ाइलों के उदाहरण

सिर्फ़ साइन किए गए ऐप्लिकेशन को अनुमति देना (बिना साइन किए गए सभी ऐप्लिकेशन ब्लॉक करना)

इस नीति के तहत, उपयोगकर्ता सिर्फ़ साइन किए गए ऐप्लिकेशन इंस्टॉल कर सकते हैं. इससे, ओएमए-यूआरआई में बताए गए फ़ाइल टाइप वाले बिना साइन किए गए ऐप्लिकेशन इंस्टॉल करने से भी उपयोगकर्ताओं को रोका जा सकता है.

सभी फ़ाइल टाइप के लिए, बिना साइन किए गए सभी ऐप्लिकेशन ब्लॉक करने के लिए, हर फ़ाइल टाइप के लिए एक कस्टम सेटिंग जोड़ें. साथ ही, वैल्यू के लिए नीचे दी गई एक्सएमएल का इस्तेमाल करें.

ध्यान दें: RuleCollection में, Type ऐप्लिकेशन के फ़ाइल टाइप से मेल खाना चाहिए. वैल्यू, EXE फ़ाइलों के लिए "Exe", MSI फ़ाइलों के लिए "Msi", स्क्रिप्ट फ़ाइलों के लिए "Script", DLL फ़ाइलों के लिए "Dll", या StoreApps के लिए "Appx" हो सकती है. FilePublisherRule में, GUID को किसी ऐसे रैंडम जीयूआईडी से बदलें जो आपको ऑनलाइन जीयूआईडी जनरेटर से मिलता है. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

चुनिंदा ऐप्लिकेशन ब्लॉक करना

ऐप्लिकेशन ब्लॉक करने के लिए, आपको एक <FilePublisherRule> सेक्शन शामिल करना होगा. इसमें, ऐप्लिकेशन को अनुमति देने और ब्लॉक करने के लिए, हर ऐप्लिकेशन के लिए <FilePublisherRule> ब्लॉक शामिल करने होंगे.

इसका सामान्य फ़ॉर्मैट यह है:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 ध्यान दें: RuleCollection में, Type ऐप्लिकेशन के फ़ाइल टाइप से मेल खाना चाहिए. वैल्यू, EXE फ़ाइलों के लिए "Exe", MSI फ़ाइलों के लिए "Msi", स्क्रिप्ट फ़ाइलों के लिए "Script", DLL फ़ाइलों के लिए "Dll", या StoreApps के लिए "Appx" हो सकती है. FilePublisherRule में, GUID को किसी ऐसे रैंडम जीयूआईडी से बदलें जो आपको ऑनलाइन जीयूआईडी जनरेटर से मिलता है.

उदाहरण के लिए, इस नीति के तहत, उपयोगकर्ता "ऐप्लिकेशन A" और "ऐप्लिकेशन B" दोनों को नहीं चला सकते. ये दोनों EXE फ़ाइलें हैं:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Windows ऑपरेटिंग सिस्टम में बंडल किए गए ऐप्लिकेशन ब्लॉक करना

यह सैंपल, Microsoft के दस्तावेज़ में दिए गए उदाहरण पर आधारित है. इससे, उपयोगकर्ता Windows Mail का इस्तेमाल नहीं कर पाएंगे. इसका इस्तेमाल करने से पहले, GUID को किसी ऐसे रैंडम जीयूआईडी से बदलें जो आपको ऑनलाइन जीयूआईडी जनरेटर से मिलता है.

ध्यान दें: यह ऐप्लिकेशन फ़ाइल, Microsoft Store का ऐप्लिकेशन है. इसलिए, ओएमए-यूआरआई ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy होना चाहिए.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace, और इनसे जुड़े निशान और लोगो, Google LLC के ट्रेडमार्क हैं. _अन्य सभी कंपनियों और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हुए हैं.