कस्टम सेटिंग का इस्तेमाल करके, Windows 10 या 11 डिवाइसों पर ऐप्लिकेशन ब्लॉक करना

इस सुविधा के साथ काम करने वाले वर्शन: Frontline Starter, Frontline Standard, और Frontline Plus; Business Plus; Enterprise Standard और Enterprise Plus; Education Standard, Education Plus, और Endpoint Education Upgrade; Enterprise Essentials और Enterprise Essentials Plus; Cloud Identity Premium.  अपने वर्शन की तुलना करें

Windows डिवाइस मैनेजमेंट की मदद से, अपनी कंपनी या संगठन के Windows डिवाइसों को मैनेज किया जा सकता है. साथ ही, Google Admin console में कस्टम सेटिंग जोड़कर, यह तय किया जा सकता है कि उन डिवाइसों पर किन ऐप्लिकेशन को इस्तेमाल करने की अनुमति दी जाए. आपको एक एक्सएमएल फ़ाइल में उन ऐप्लिकेशन के बारे में बताना होगा जिन्हें अनुमति देनी है. इस फ़ाइल को कस्टम सेटिंग की वैल्यू के तौर पर अपलोड करना होगा. आपके पास किसी एक ऐप्लिकेशन या किसी खास टाइप की सभी ऐप्लिकेशन फ़ाइलों को ब्लॉक करने का विकल्प होता है. जैसे, EXE या MSI फ़ाइलें.

पहला चरण: एक्सएमएल फ़ाइल में, अनुमति वाले और ब्लॉक किए गए ऐप्लिकेशन तय करना

एक्सएमएल फ़ाइल बनाने के लिए, PowerShell में कमांड लाइन या Windows Group Policy Editor में जीयूआई का इस्तेमाल किया जा सकता है. इन निर्देशों में, एक नीति बनाने का तरीका बताया गया है. हालांकि, एक ही फ़ाइल टाइप वाले ऐप्लिकेशन के लिए, एक ही एक्सएमएल फ़ाइल में, उनसे जुड़ी नीतियां जोड़ी जा सकती हैं. उदाहरण देखें.

अहम जानकारी: अलग-अलग टाइप की ऐप्लिकेशन फ़ाइलों (EXE, MSI, स्क्रिप्ट, StoreApps, और DLL) को ब्लॉक करने के लिए, आपको अलग-अलग कस्टम सेटिंग बनानी होंगी.

पहला विकल्प—कमांड लाइन (PowerShell)

  1. रैंडम GUID पाने के लिए, ऑनलाइन GUID जनरेटर का इस्तेमाल करें. अहम जानकारी: किसी सर्च इंजन में, online GUID generator खोजें.
  2. अगर आपको कोई खास ऐप्लिकेशन ब्लॉक करना है, तो उसकी जानकारी पाएं. अगर आपको किसी खास फ़ाइल टाइप वाले सभी ऐप्लिकेशन ब्लॉक करने हैं, तो यह चरण छोड़ दें.
    1. Windows डिवाइस पर, उस ऐप्लिकेशन की एक्ज़ीक्यूटेबल फ़ाइल (जो .exe से खत्म होती है) डाउनलोड करें जिसे आपको ब्लॉक या अनुमति देनी है.
    2. PowerShell खोलें.
    3. Get-AppLockerFileInformation -path PathToExe | format-list चलाएं. इसमें PathToExe, एक्ज़ीक्यूटेबल फ़ाइल का पाथ है.
    4. जवाब में, Publisher लाइन में मौजूद वैल्यू ढूंढें और उन्हें रिकॉर्ड करें. वैल्यू इस फ़ॉर्मैट में होती हैं और ये एक्सएमएल में इस्तेमाल की जाने वाली वैल्यू से मेल खाती हैं:

      PublisherNameProductNameBinaryName,BinaryVersion

      पब्लिशर का नाम एक लंबी स्ट्रिंग होती है. जैसे, O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. आपको पूरी स्ट्रिंग शामिल करनी होगी.

  3. नीचे दी गई एक्सएमएल को किसी टेक्स्ट एडिटर में कॉपी करें:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. प्लेसहोल्डर को उनकी वैल्यू से बदलने के लिए, एक्सएमएल में बदलाव करें. इस्तेमाल के खास उदाहरणों के लिए, जैसे कि एक फ़ाइल में कई नीतियां ग्रुप करना, उदाहरण देखें.
    प्लेसहोल्डर वैल्यू
    Type

    ऐप्लिकेशन फ़ाइल का टाइप (यह ओएमए-यूआरआई से मेल खाना चाहिए):

    • EXE फ़ाइलों के लिए, "Exe" डालें
    • MSI फ़ाइलों के लिए, "Msi" डालें
    • स्क्रिप्ट फ़ाइलों के लिए, "Script" डालें
    • DLL फ़ाइलों के लिए, "Dll" डालें
    • Microsoft Store के ऐप्लिकेशन के लिए, "Appx" डालें
    GUID वह GUID जो आपने पहले चरण में जनरेट किया है
    PolicyName नीति के लिए कोई नाम. कोई भी स्ट्रिंग इस्तेमाल की जा सकती है.
    PolicyDescription नीति का ब्यौरा
    UserOrGroupSid वे उपयोगकर्ता या ग्रुप जिन पर नीति लागू होती है:
    • डिवाइस पर मौजूद सभी उपयोगकर्ताओं पर नीति लागू करने के लिए, S-1-1-0 डालें.
    • किसी खास उपयोगकर्ता पर नीति लागू करने के लिए, उसका एसआईडी डालें. एसआईडी पाने के लिए, कमांड लाइन में यह चलाएं:

      wmic username get name,sid

      यहां username , डिवाइस पर मौजूद उपयोगकर्ता का उपयोगकर्ता नाम है. अगर आपको उपयोगकर्ता नाम नहीं पता है, तो यह चलाकर डिवाइस पर मौजूद सभी उपयोगकर्ताओं की सूची पाएं:

      wmic useraccount get name,sid

    • सिर्फ़ एक उपयोगकर्ता नाम डाला जा सकता है. ज़्यादा उपयोगकर्ताओं पर नीति लागू करने के लिए, या तो उपयोगकर्ताओं को किसी ग्रुप में डालें या नीति को कॉपी करके नाम अपडेट करें.

    • किसी खास ग्रुप पर नीति लागू करने के लिए, उसका एसआईडी डालें. ग्रुप का एसआईडी पाने के लिए, कमांड लाइन में यह चलाएं:

      wmic groupName get name,sid

      यहां groupName , डिवाइस पर मौजूद ग्रुप का नाम है. अगर आपको ग्रुप का नाम नहीं पता है, तो यह चलाकर डिवाइस पर मौजूद सभी ग्रुप की सूची पाएं:

      wmic group get name,sid
    Allow|Deny इस नीति के लिए कार्रवाई चुनें. इससे तय होगा कि नीति में बताए गए ऐप्लिकेशन ब्लॉक किए जाएंगे या उन्हें अनुमति दी जाएगी
    PublisherName ऐप्लिकेशन के पब्लिशर का नाम (दूसरे चरण में मिला PublisherName). आप * वाइल्डकार्ड का इस्तेमाल कर सकते हैं. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड काम नहीं करते.
    BinaryName

    बाइनरी का फ़ाइल नाम (दूसरे चरण में मिला BinaryName). आप * वाइल्डकार्ड का इस्तेमाल कर सकते हैं. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड काम नहीं करते.

    उदाहरण के लिए, सभी EXE फ़ाइलों को ब्लॉक करने के लिए, * डालें. इसके बाद, कस्टम सेटिंग जोड़ते समय, वह ओएमए-यूआरआई चुनें जो /EXE/Policy से खत्म होता है.
    ProductName प्रॉडक्ट का नाम (दूसरे चरण में मिला ProductName). आप * वाइल्डकार्ड का इस्तेमाल कर सकते हैं. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड काम नहीं करते.
    latestVersion ऐप्लिकेशन का वह सबसे नया वर्शन जिस पर यह नीति लागू होती है. ऐप्लिकेशन के सभी वर्शन ब्लॉक करने के लिए, * डालें.
    earliestVersion ऐप्लिकेशन का वह सबसे पुराना वर्शन जिस पर यह नीति लागू होती है. ऐप्लिकेशन के सभी वर्शन ब्लॉक करने के लिए, * डालें.

  5. फ़ाइल सेव करें.

दूसरा विकल्प–जीयूआई (Windows Group Policy Editor)

  1. Microsoft लेख के "एक्सएमएल जनरेट करना" सेक्शन में दिए गए निर्देशों का पालन करें. "नीति बनाना" सेक्शन पर पहुंचने के बाद, निर्देशों का पालन करना बंद कर दें.

    ध्यान दें: इन निर्देशों में, डिवाइस पर इंस्टॉल किए गए ऐप्लिकेशन के लिए नीति बनाने का तरीका बताया गया है. डिवाइस पर इंस्टॉल नहीं किए गए ऐप्लिकेशन के लिए नीति बनाने के लिए, छठे चरण में पैकेज किए गए ऐप्लिकेशन इंस्टॉलर को रेफ़रंस के तौर पर इस्तेमाल करें को चुनें.

  2. एक्सएमएल फ़ाइल एक्सपोर्ट करने के बाद, Group Policy Editor में, बनाई गई नीति हटाएं. ऐसा न करने पर, डिवाइस पर नीति लागू हो जाएगी.

दूसरा चरण: कस्टम सेटिंग जोड़ना

  1. Google Admin console में, मेन्यू इसके बाद डिवाइस इसके बाद मोबाइल और एंडपॉइंट इसके बाद सेटिंग इसके बाद Windows पर जाएं.

    इसके लिए, आपके पास सेवाओं और डिवाइसों के एडमिन के अधिकार होने चाहिए.

  2. कस्टम सेटिंग पर क्लिक करें.
  3. कस्टम सेटिंग जोड़ें पर क्लिक करें.

  4. कस्टम सेटिंग कॉन्फ़िगर करें:

    1. ओएमए-यूआरआई फ़ील्ड में, ApplicationLaunchRestriction डालें. इसके बाद, नीति में मौजूद ऐप्लिकेशन के फ़ाइल टाइप से मेल खाने वाला ओएमए-यूआरआई चुनें:

      • EXE फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy चुनें.
      • Microsoft Store में उपलब्ध ऐप्लिकेशन के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy चुनें
      • MSI फ़ाइलों के लिए, **./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy** चुनें
      • PowerShell स्क्रिप्ट के लिए, **./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy** चुनें

      • DLL फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy चुनें

        ज़्यादा जानकारी के लिए, Microsoft AppLocker CSP का दस्तावेज़ देखें.

    2. ओएमए-यूआरआई में, <Enter Grouping> को किसी रैंडम अल्फ़ान्यूमेरिक स्ट्रिंग से बदलें. यह स्ट्रिंग, हर कस्टम सेटिंग के लिए यूनीक होनी चाहिए. उदाहरण के लिए, अगर आपको EXE फ़ाइलों को ब्लॉक करने के लिए एक कस्टम सेटिंग और MSI फ़ाइलों को ब्लॉक करने के लिए दूसरी सेटिंग जोड़नी है, तो हर कस्टम सेटिंग के लिए अलग-अलग वैल्यू का इस्तेमाल करें.

    3. ओएमए-यूआरआई चुनने पर, नाम फ़ील्ड "नीति" में अपडेट हो जाता है. कोई यूनीक नाम डालें, ताकि कस्टम सेटिंग की सूची में इसकी पहचान की जा सके.

    4. **डेटा टाइप** के लिए, **स्ट्रिंग (एक्सएमएल)** चुनें. इसके बाद, **एक्सएमएल अपलोड करें** पर क्लिक करें और पहले सेक्शन में बनाई गई एक्सएमएल कॉन्फ़िगरेशन फ़ाइल चुनें.

    5. (ज़रूरी नहीं) कोई ऐसा ब्यौरा डालें जिसमें कस्टम सेटिंग की कार्रवाई और यह बताया गया हो कि यह किस पर लागू होती है.

  5. आगे बढ़ने और वह संगठन की इकाई चुनने के लिए, जिस पर कस्टम सेटिंग लागू होती है, आगे बढ़ें पर क्लिक करें. कोई दूसरी सेटिंग शुरू करने के लिए, एक और जोड़ें पर क्लिक करें. जब तक आगे बढ़ें पर क्लिक करके संगठन की इकाई नहीं चुनी जाती, तब तक संगठन की इकाई पर अन्य नीतियां लागू नहीं होतीं.

  6. वह संगठन की इकाई चुनें जिस पर नीति लागू करनी है.

  7. लागू करें पर क्लिक करें.

अगर संगठन की इकाई में मौजूद कोई उपयोगकर्ता, अपने Windows डिवाइस पर ब्लॉक किया गया कोई ऐप्लिकेशन इंस्टॉल या खोलता है, तो उसे गड़बड़ी का एक मैसेज मिलता है. इसमें बताया जाता है कि उसके सिस्टम एडमिन ने यह ऐप्लिकेशन ब्लॉक कर दिया है.

एक्सएमएल फ़ाइलों के उदाहरण

सिर्फ़ साइन किए गए ऐप्लिकेशन को अनुमति देना (बिना साइन किए गए सभी ऐप्लिकेशन ब्लॉक करना)

इस नीति के तहत, उपयोगकर्ता सिर्फ़ साइन किए गए ऐप्लिकेशन इंस्टॉल कर सकते हैं. इससे, ओएमए-यूआरआई में बताए गए फ़ाइल टाइप वाले, बिना साइन किए गए ऐप्लिकेशन इंस्टॉल करने से भी उपयोगकर्ता ब्लॉक हो जाते हैं.

सभी फ़ाइल टाइप के लिए, बिना साइन किए गए सभी ऐप्लिकेशन ब्लॉक करने के लिए, हर फ़ाइल टाइप के लिए एक कस्टम सेटिंग जोड़ें. साथ ही, वैल्यू के लिए यह एक्सएमएल इस्तेमाल करें.

ध्यान दें: RuleCollection में, Type , ऐप्लिकेशन फ़ाइल के टाइप से मेल खाना चाहिए. वैल्यू, EXE फ़ाइलों के लिए "Exe", MSI फ़ाइलों के लिए "Msi", स्क्रिप्ट फ़ाइलों के लिए "Script", DLL फ़ाइलों के लिए "Dll", या StoreApps के लिए "Appx" हो सकती है. FilePublisherRule में, GUID को किसी रैंडम GUID से बदलें. यह GUID, ऑनलाइन GUID जनरेटर से मिलता है. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

चुनिंदा ऐप्लिकेशन ब्लॉक करना

ऐप्लिकेशन ब्लॉक करने के लिए, आपको एक <FilePublisherRule> सेक्शन शामिल करना होगा. इसमें उन ऐप्लिकेशन के लिए अनुमति दी जाती है जिन्हें ब्लॉक नहीं करना है. साथ ही, हर उस ऐप्लिकेशन के लिए <FilePublisherRule> ब्लॉक शामिल करना होगा जिसे ब्लॉक करना है.

इसका सामान्य फ़ॉर्मैट यह है:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 ध्यान दें: RuleCollection में, Type , ऐप्लिकेशन फ़ाइल के टाइप से मेल खाना चाहिए. वैल्यू, EXE फ़ाइलों के लिए "Exe", MSI फ़ाइलों के लिए "Msi", स्क्रिप्ट फ़ाइलों के लिए "Script", DLL फ़ाइलों के लिए "Dll", या StoreApps के लिए "Appx" हो सकती है. FilePublisherRule में, GUID को किसी रैंडम GUID से बदलें. यह GUID, ऑनलाइन GUID जनरेटर से मिलता है.

उदाहरण के लिए, इस नीति के तहत, उपयोगकर्ता "ऐप्लिकेशन A" और "ऐप्लिकेशन B" दोनों को नहीं चला सकते. ये दोनों EXE फ़ाइलें हैं:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Windows ऑपरेटिंग सिस्टम में बंडल किए गए ऐप्लिकेशन ब्लॉक करना

यह सैंपल, Microsoft के दस्तावेज़ में दिए गए उदाहरण पर आधारित है. इससे, उपयोगकर्ता Windows Mail का इस्तेमाल नहीं कर पाते. इसका इस्तेमाल करने से पहले, GUID को किसी रैंडम GUID से बदलें. यह GUID, ऑनलाइन GUID जनरेटर से मिलता है.

ध्यान दें: यह ऐप्लिकेशन फ़ाइल, Microsoft Store का ऐप्लिकेशन है. इसलिए, ओएमए-यूआरआई ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy होना चाहिए.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace, और इनसे जुड़े निशान और लोगो, Google LLC के ट्रेडमार्क हैं. _अन्य सभी कंपनियों और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हुए हैं.