Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

कस्टम सेटिंग का इस्तेमाल करके, Windows 10 या 11 डिवाइसों पर ऐप्लिकेशन ब्लॉक करना

इस सुविधा के साथ काम करने वाले वर्शन: Frontline Starter, Frontline Standard, और Frontline Plus; Business Plus; Enterprise Standard और Enterprise Plus; Education Standard, Education Plus, और Endpoint Education Upgrade; Enterprise Essentials और Enterprise Essentials Plus; Cloud Identity Premium. अपने वर्शन की तुलना करें

Windows डिवाइस मैनेजमेंट की मदद से, अपनी कंपनी में Windows डिवाइसों को मैनेज किया जा सकता है. Google Admin console में कस्टम सेटिंग जोड़कर, यह तय किया जा सकता है कि उन डिवाइसों पर किन ऐप्लिकेशन को इस्तेमाल करने की अनुमति दी जाए. आपको एक एक्सएमएल फ़ाइल में उन ऐप्लिकेशन के बारे में बताना होगा जिन्हें इस्तेमाल करने की अनुमति देनी है. इस फ़ाइल को कस्टम सेटिंग की वैल्यू के तौर पर अपलोड करना होगा. आपके पास अलग-अलग ऐप्लिकेशन या किसी खास टाइप की सभी ऐप्लिकेशन फ़ाइलों को ब्लॉक करने का विकल्प होता है. जैसे, EXE या MSI फ़ाइलें.

पहला चरण: एक्सएमएल फ़ाइल में, अनुमति वाले और ब्लॉक किए गए ऐप्लिकेशन की जानकारी देना

एक्सएमएल फ़ाइल बनाने के लिए, PowerShell में कमांड लाइन या Windows Group Policy Editor में जीयूआई का इस्तेमाल किया जा सकता है. इन निर्देशों में, एक नीति बनाने का तरीका बताया गया है. हालांकि, एक ही फ़ाइल टाइप वाले ऐप्लिकेशन के लिए, एक से ज़्यादा नीतियां एक ही एक्सएमएल फ़ाइल में जोड़ी जा सकती हैं. उदाहरण देखें.

अहम जानकारी: अलग-अलग टाइप की ऐप्लिकेशन फ़ाइलों (EXE, MSI, स्क्रिप्ट, StoreApps, और DLL) को ब्लॉक करने के लिए, आपको अलग-अलग कस्टम सेटिंग बनानी होंगी.

पहला विकल्प—कमांड लाइन (PowerShell)

रैंडम जीयूआईडी पाने के लिए, ऑनलाइन जीयूआईडी जनरेटर का इस्तेमाल करें. अहम जानकारी: किसी सर्च इंजन में, online GUID generator खोजें.
अगर आपको कोई खास ऐप्लिकेशन ब्लॉक करना है, तो उसकी जानकारी पाएं. अगर आपको किसी खास फ़ाइल टाइप के सभी ऐप्लिकेशन ब्लॉक करने हैं, तो यह चरण छोड़ दें.
1. Windows डिवाइस पर, उस ऐप्लिकेशन की एक्ज़ीक्यूटेबल फ़ाइल (जो .exe से खत्म होती है) डाउनलोड करें जिसे आपको ब्लॉक या अनुमति देनी है.
2. PowerShell खोलें.
3. Get-AppLockerFileInformation -path PathToExe | format-list चलाएं. इसमें PathToExe, एक्ज़ीक्यूटेबल फ़ाइल का पाथ है.
4. जवाब में, Publisher लाइन में मौजूद वैल्यू ढूंढें और उन्हें रिकॉर्ड करें. वैल्यू इस फ़ॉर्मैट में होती हैं और ये एक्सएमएल में इस्तेमाल की जाने वाली वैल्यू से मेल खाती हैं:
  PublisherNameProductNameBinaryName,BinaryVersion
  
  पब्लिशर का नाम एक लंबी स्ट्रिंग होती है. जैसे, O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. आपको पूरी स्ट्रिंग शामिल करनी होगी.
नीचे दिए गए एक्सएमएल को किसी टेक्स्ट एडिटर में कॉपी करें:
<RuleCollection Type="Type" EnforcementMode="Enabled"> <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]> <Conditions> <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName> <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion /> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection>

प्लेसहोल्डर को उनकी वैल्यू से बदलने के लिए, एक्सएमएल में बदलाव करें. इस्तेमाल के खास उदाहरणों के लिए, जैसे कि एक से ज़्यादा नीतियों को एक फ़ाइल में ग्रुप करना, उदाहरण देखें.

प्लेसहोल्डर	वैल्यू
Type	ऐप्लिकेशन फ़ाइल का टाइप (यह ओएमए-यूआरआई से मेल खाना चाहिए): EXE फ़ाइलों के लिए, `"Exe"` डालें MSI फ़ाइलों के लिए, `"Msi"` डालें स्क्रिप्ट फ़ाइलों के लिए, `"Script"` डालें DLL फ़ाइलों के लिए, `"Dll"` डालें Microsoft Store के ऐप्लिकेशन के लिए, `"Appx"` डालें
GUID	वह जीयूआईडी जो आपने पहले चरण में जनरेट किया था
PolicyName	नीति के लिए कोई नाम. कोई भी स्ट्रिंग इस्तेमाल की जा सकती है.
PolicyDescription	नीति का ब्यौरा
UserOrGroupSid	वे उपयोगकर्ता या ग्रुप जिन पर नीति लागू होती है: डिवाइस के सभी उपयोगकर्ताओं पर नीति लागू करने के लिए, S-1-1-0 डालें. किसी खास उपयोगकर्ता पर नीति लागू करने के लिए, उसका एसआईडी डालें. उसका एसआईडी पाने के लिए, कमांड लाइन में यह चलाएं: *wmic username* get name,sid** इसमें username , डिवाइस पर उपयोगकर्ता का उपयोगकर्ता नाम है. अगर आपको उपयोगकर्ता नाम नहीं पता है, तो डिवाइस पर मौजूद सभी उपयोगकर्ताओं की सूची पाने के लिए, यह चलाएं: wmic useraccount get name,sid सिर्फ़ एक उपयोगकर्ता नाम डाला जा सकता है. ज़्यादा उपयोगकर्ताओं पर नीति लागू करने के लिए, या तो उपयोगकर्ताओं को किसी ग्रुप में डालें या नीति को कॉपी करके नाम अपडेट करें. किसी खास ग्रुप पर नीति लागू करने के लिए, उसका एसआईडी डालें. ग्रुप का एसआईडी पाने के लिए, कमांड लाइन में यह चलाएं: *wmic groupName* get name,sid** इसमें groupName , डिवाइस पर ग्रुप का नाम है. अगर आपको ग्रुप का नाम नहीं पता है, तो डिवाइस पर मौजूद सभी ग्रुप की सूची पाने के लिए, यह चलाएं: wmic group get name,sid
Allow\|Deny	इस नीति के लिए कोई कार्रवाई चुनें. इससे यह तय होगा कि नीति में बताए गए ऐप्लिकेशन ब्लॉक किए जाएंगे या उन्हें इस्तेमाल करने की अनुमति दी जाएगी
PublisherName	ऐप्लिकेशन के पब्लिशर का नाम (दूसरे चरण में PublisherName). आप * वाइल्डकार्ड का इस्तेमाल कर सकते हैं. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड इस्तेमाल नहीं किए जा सकते.
BinaryName	बाइनरी का फ़ाइल नाम (दूसरे चरण में BinaryName). आप * वाइल्डकार्ड का इस्तेमाल कर सकते हैं. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड इस्तेमाल नहीं किए जा सकते. उदाहरण के लिए, सभी EXE फ़ाइलों को ब्लॉक करने के लिए, * डालें. इसके बाद, कस्टम सेटिंग जोड़ते समय, वह ओएमए-यूआरआई चुनें जो /EXE/Policy से खत्म होता है.
ProductName	प्रॉडक्ट का नाम (दूसरे चरण में ProductName). आप * वाइल्डकार्ड का इस्तेमाल कर सकते हैं. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड इस्तेमाल नहीं किए जा सकते.
latestVersion	ऐप्लिकेशन का वह नया वर्शन जिस पर यह नीति लागू होती है. ऐप्लिकेशन के सभी वर्शन ब्लॉक करने के लिए, * डालें.
earliestVersion	ऐप्लिकेशन का वह पुराना वर्शन जिस पर यह नीति लागू होती है. ऐप्लिकेशन के सभी वर्शन ब्लॉक करने के लिए, * डालें.

फ़ाइल सेव करें.

दूसरा विकल्प–जीयूआई (Windows Group Policy Editor)

Microsoft लेख के "एक्सएमएल जनरेट करना" सेक्शन में दिए गए निर्देशों का पालन करें. "नीति बनाना" सेक्शन पर पहुंचने के बाद, निर्देशों का पालन करना बंद कर दें.
ध्यान दें: इन निर्देशों में, डिवाइस पर इंस्टॉल किए गए ऐप्लिकेशन के लिए नीति बनाने का तरीका बताया गया है. डिवाइस पर इंस्टॉल नहीं किए गए ऐप्लिकेशन के लिए नीति बनाने के लिए, छठे चरण में पैकेज किए गए ऐप्लिकेशन इंस्टॉलर को रेफ़रंस के तौर पर इस्तेमाल करें को चुनें.
एक्सएमएल फ़ाइल एक्सपोर्ट करने के बाद, Group Policy Editor में, बनाई गई नीति हटाएं. ऐसा न करने पर, नीति डिवाइस पर लागू हो जाएगी.

दूसरा चरण: कस्टम सेटिंग जोड़ना

Google Admin console में, मेन्यू डिवाइस मोबाइल और एंडपॉइंट सेटिंग Windows पर जाएं.

Windows पर जाएं

इसके लिए, आपके पास सेवाओं और डिवाइसों से जुड़ा एडमिन का अधिकार होना चाहिए.
कस्टम सेटिंग पर क्लिक करें.
कस्टम सेटिंग जोड़ें पर क्लिक करें.
कस्टम सेटिंग कॉन्फ़िगर करें:
1. ओएमए-यूआरआई फ़ील्ड में, ApplicationLaunchRestriction डालें. इसके बाद, नीति में मौजूद ऐप्लिकेशन के फ़ाइल टाइप से मेल खाने वाला ओएमए-यूआरआई चुनें:
  - EXE फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy चुनें.
  - Microsoft Store में उपलब्ध ऐप्लिकेशन के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy चुनें
  - MSI फ़ाइलों के लिए, **./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy** चुनें
  - PowerShell स्क्रिप्ट के लिए, **./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy** चुनें
  - DLL फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy चुनें
    
    ज़्यादा जानकारी के लिए, Microsoft AppLocker CSP का दस्तावेज़ देखें.
2. ओएमए-यूआरआई में, <Enter Grouping> को किसी रैंडम अल्फ़ान्यूमेरिक स्ट्रिंग से बदलें. यह स्ट्रिंग, हर कस्टम सेटिंग के लिए यूनीक होनी चाहिए. उदाहरण के लिए, अगर आपको EXE फ़ाइलों को ब्लॉक करने के लिए एक कस्टम सेटिंग और MSI फ़ाइलों को ब्लॉक करने के लिए दूसरी सेटिंग जोड़नी है, तो हर कस्टम सेटिंग के लिए अलग-अलग वैल्यू का इस्तेमाल करें.
3. ओएमए-यूआरआई चुनने पर, नाम फ़ील्ड "नीति" में अपडेट हो जाता है. कोई यूनीक नाम डालें, ताकि कस्टम सेटिंग की सूची में इसकी पहचान की जा सके.
4. **डेटा टाइप** के लिए, **स्ट्रिंग (एक्सएमएल)** चुनें. इसके बाद, **एक्सएमएल अपलोड करें** पर क्लिक करें और पहले सेक्शन में बनाई गई एक्सएमएल कॉन्फ़िगरेशन फ़ाइल चुनें.
5. (ज़रूरी नहीं) कोई ऐसा ब्यौरा डालें जिसमें कस्टम सेटिंग की कार्रवाई और यह बताया गया हो कि यह किस पर लागू होती है.
आगे बढ़ने और वह संगठन की इकाई चुनने के लिए, जिस पर कस्टम सेटिंग लागू होती है, आगे बढ़ें पर क्लिक करें. इसके अलावा, कोई दूसरी सेटिंग शुरू करने के लिए, एक और जोड़ें पर क्लिक करें. जब तक आगे बढ़ें पर क्लिक करके संगठन की इकाई नहीं चुनी जाती, तब तक संगठन की इकाई पर अतिरिक्त नीतियां लागू नहीं होती हैं.
वह संगठन की इकाई चुनें जिस पर नीति लागू करनी है.
लागू करें पर क्लिक करें.

अगर संगठन की इकाई का कोई उपयोगकर्ता, अपने Windows डिवाइस पर ब्लॉक किया गया कोई ऐप्लिकेशन इंस्टॉल या खोलता है, तो उसे गड़बड़ी का एक मैसेज मिलता है. इसमें बताया जाता है कि उसके सिस्टम एडमिन ने यह ऐप्लिकेशन ब्लॉक कर दिया है.

एक्सएमएल फ़ाइलों के उदाहरण

सिर्फ़ साइन किए गए ऐप्लिकेशन को अनुमति देना (साइन नहीं किए गए सभी ऐप्लिकेशन ब्लॉक करना)

इस नीति के तहत, उपयोगकर्ता सिर्फ़ साइन किए गए ऐप्लिकेशन इंस्टॉल कर सकते हैं. इससे, ओएमए-यूआरआई में बताए गए फ़ाइल टाइप वाले, साइन नहीं किए गए ऐप्लिकेशन इंस्टॉल करने से भी उपयोगकर्ता ब्लॉक हो जाते हैं.

सभी फ़ाइल टाइप के लिए, साइन नहीं किए गए सभी ऐप्लिकेशन ब्लॉक करने के लिए, हर फ़ाइल टाइप के लिए एक कस्टम सेटिंग जोड़ें. साथ ही, वैल्यू के लिए यह एक्सएमएल इस्तेमाल करें.

ध्यान दें: RuleCollection में, Type , ऐप्लिकेशन फ़ाइल के टाइप से मेल खाना चाहिए. वैल्यू, EXE फ़ाइलों के लिए "Exe", MSI फ़ाइलों के लिए "Msi", स्क्रिप्ट फ़ाइलों के लिए "Script", DLL फ़ाइलों के लिए "Dll", या StoreApps के लिए "Appx" हो सकती है. FilePublisherRule में, GUID को किसी रैंडम जीयूआईडी से बदलें. यह जीयूआईडी, ऑनलाइन जीयूआईडी जनरेटर से मिलता है.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

चुनिंदा ऐप्लिकेशन ब्लॉक करना

ऐप्लिकेशन ब्लॉक करने के लिए, आपको एक <FilePublisherRule> सेक्शन शामिल करना होगा. इसमें, उन ऐप्लिकेशन के लिए <FilePublisherRule> ब्लॉक शामिल करने होंगे जिन्हें आपको ब्लॉक करना है.

इसका सामान्य फ़ॉर्मैट यह है:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>

उदाहरण के लिए, इस नीति के तहत, उपयोगकर्ता "ऐप्लिकेशन A" और "ऐप्लिकेशन B" दोनों को नहीं चला सकते. ये दोनों EXE फ़ाइलें हैं:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Windows ऑपरेटिंग सिस्टम में बंडल किए गए ऐप्लिकेशन ब्लॉक करना

यह सैंपल, Microsoft के दस्तावेज़ में दिए गए उदाहरण पर आधारित है. इससे, उपयोगकर्ता Windows Mail का इस्तेमाल नहीं कर पाएंगे. इसका इस्तेमाल करने से पहले, GUID को किसी रैंडम जीयूआईडी से बदलें. यह जीयूआईडी, ऑनलाइन जीयूआईडी जनरेटर से मिलता है.

ध्यान दें: यह ऐप्लिकेशन फ़ाइल, Microsoft Store का ऐप्लिकेशन है. इसलिए, ओएमए-यूआरआई ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy होना चाहिए.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

Google, Google Workspace, और इनसे जुड़े निशान और लोगो, Google LLC के ट्रेडमार्क हैं. _अन्य सभी कंपनियों और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हुए हैं.