कस्टम सेटिंग का इस्तेमाल करके, Windows 10 या 11 डिवाइसों पर ऐप्लिकेशन ब्लॉक करना

यह सुविधा इन वर्शन में इस्तेमाल की जा सकती है: Frontline Starter, Frontline Standard, और Frontline Plus; Business Plus; Enterprise Standard और Enterprise Plus; Education Standard, Education Plus, और Endpoint Education Upgrade; Enterprise Essentials और Enterprise Essentials Plus; Cloud Identity Premium. अपने वर्शन की तुलना करें

Windows डिवाइस मैनेजमेंट की मदद से, अपने संगठन के Windows डिवाइसों को मैनेज किया जा सकता है. साथ ही, Google Admin console में कस्टम सेटिंग जोड़कर, यह तय किया जा सकता है कि उन डिवाइसों पर किन ऐप्लिकेशन को अनुमति दी जाए. एक्सएमएल फ़ाइल में उन ऐप्लिकेशन के बारे में बताया जाता है जिन्हें आपको कस्टम सेटिंग की वैल्यू के तौर पर अपलोड करना है. किसी एक ऐप्लिकेशन या किसी खास तरह की सभी ऐप्लिकेशन फ़ाइलों को ब्लॉक किया जा सकता है. जैसे, EXE या MSI फ़ाइलें.

पहला चरण: एक्सएमएल फ़ाइल में, अनुमति वाले और ब्लॉक किए गए ऐप्लिकेशन की जानकारी देना

एक्सएमएल फ़ाइल बनाने के लिए, PowerShell में कमांड लाइन या Windows Group Policy editor में जीयूआई का इस्तेमाल किया जा सकता है. इन निर्देशों में, एक नीति बनाने का तरीका बताया गया है. हालांकि, एक ही फ़ाइल टाइप वाले ऐप्लिकेशन के लिए, मिलती-जुलती नीतियों को एक एक्सएमएल फ़ाइल में जोड़ा जा सकता है. उदाहरण देखें.

अहम जानकारी: अलग-अलग तरह की ऐप्लिकेशन फ़ाइलों (EXE, MSI, Script, StoreApps, और DLL) को ब्लॉक करने के लिए, आपको कस्टम सेटिंग बनानी होंगी.

पहला विकल्प—कमांड लाइन (PowerShell)

कोई रैंडम GUID पाने के लिए, ऑनलाइन GUID जनरेटर का इस्तेमाल करें. अहम जानकारी: किसी सर्च इंजन में, online GUID generator खोजें.
अगर आपको किसी ऐप्लिकेशन को ब्लॉक करना है, तो ऐप्लिकेशन की जानकारी पाएं. अगर आपको किसी फ़ाइल टाइप वाले सभी ऐप्लिकेशन को ब्लॉक करना है, तो इस चरण को छोड़ा जा सकता है.
1. Windows डिवाइस पर, उस ऐप्लिकेशन की एक्ज़ीक्यूटेबल फ़ाइल (वह फ़ाइल जिसका नाम .exe से खत्म होता है) डाउनलोड करें जिसे आपको ब्लॉक या अनुमति देनी है.
2. PowerShell खोलें.
3. Get-AppLockerFileInformation -path PathToExe | format-list कमांड चलाएं. यहां PathToExe, एक्ज़ीक्यूटेबल फ़ाइल का पाथ है.
4. जवाब में, Publisher लाइन में मौजूद वैल्यू ढूंढें और उन्हें रिकॉर्ड करें. वैल्यू का फ़ॉर्मैट यहां दिया गया है. ये वैल्यू, एक्सएमएल में इस्तेमाल की जाने वाली वैल्यू से मेल खाती हैं:
  PublisherNameProductNameBinaryName,BinaryVersion
  
  पब्लिशर का नाम एक लंबी स्ट्रिंग होती है, जैसे कि O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. आपको पूरी स्ट्रिंग शामिल करनी होगी.
नीचे दिए गए एक्सएमएल को टेक्स्ट एडिटर में कॉपी करें:
<RuleCollection Type="Type" EnforcementMode="Enabled"> <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]> <Conditions> <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName> <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion /> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection>

एक्सएमएल में बदलाव करके, प्लेसहोल्डर को उनकी वैल्यू से बदलें. इस्तेमाल के कुछ खास उदाहरणों के लिए, जैसे कि एक से ज़्यादा नीतियों को एक फ़ाइल में ग्रुप करना, उदाहरण देखें.

प्लेसहोल्डर	मान
टाइप	ऐप्लिकेशन फ़ाइल टाइप (ओएमए-यूआरआई से मेल खाना चाहिए): EXE फ़ाइलों के लिए, `"Exe"` डालें MSI फ़ाइलों के लिए, `"Msi"` डालें स्क्रिप्ट फ़ाइलों के लिए, `"Script"` डालें DLL फ़ाइलों के लिए, `"Dll"` डालें Microsoft Store ऐप्लिकेशन के लिए, `"Appx"` डालें
GUID	वह GUID जिसे आपने पहले चरण में जनरेट किया था
PolicyName	नीति का नाम. किसी भी स्ट्रिंग का इस्तेमाल किया जा सकता है.
PolicyDescription	नीति के बारे में जानकारी
UserOrGroupSid	नीति जिन उपयोगकर्ताओं या ग्रुप पर लागू होती है: डिवाइस पर मौजूद सभी उपयोगकर्ताओं के लिए नीति लागू करने के लिए, S-1-1-0 डालें. किसी उपयोगकर्ता पर नीति लागू करने के लिए, उसका एसआईडी डालें. उनका एसआईडी पाने के लिए, कमांड लाइन में यह कमांड चलाएं: *wmic username* get name,sid** यहां username, डिवाइस पर उपयोगकर्ता का उपयोगकर्ता नाम है. अगर आपको उपयोगकर्ता नाम नहीं पता है, तो डिवाइस पर मौजूद सभी उपयोगकर्ताओं की सूची पाने के लिए, यह कमांड चलाएं: wmic useraccount get name,sid सिर्फ़ एक उपयोगकर्ता नाम डाला जा सकता है. ज़्यादा उपयोगकर्ताओं पर नीति लागू करने के लिए, उपयोगकर्ताओं को किसी ग्रुप में जोड़ें या नीति को कॉपी करके उसका नाम अपडेट करें. किसी ग्रुप पर नीति लागू करने के लिए, उसका एसआईडी डालें. ग्रुप एसआईडी पाने के लिए, कमांड लाइन में यह निर्देश चलाएं: *wmic groupName* get name,sid** यहां groupName, डिवाइस पर मौजूद ग्रुप का नाम है. अगर आपको ग्रुप का नाम नहीं पता है, तो डिवाइस पर मौजूद सभी ग्रुप की सूची पाने के लिए, यह कमांड चलाएं: wmic group get name,sid
अनुमति दें\|अनुमति न दें	इस नीति के लिए कार्रवाई चुनें. इससे यह तय होगा कि नीति में बताए गए ऐप्लिकेशन को ब्लॉक करना है या अनुमति देनी है
PublisherName	ऐप्लिकेशन के पब्लिशर का नाम (दूसरे चरण में बताया गया PublisherName). &ast; वाइल्डकार्ड का इस्तेमाल किया जा सकता है. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड काम नहीं करते.
BinaryName	बाइनरी का फ़ाइल नाम (दूसरे चरण में दिया गया BinaryName). &ast; वाइल्डकार्ड का इस्तेमाल किया जा सकता है. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड काम नहीं करते. उदाहरण के लिए, सभी EXE फ़ाइलों को ब्लॉक करने के लिए, &ast; डालें. इसके बाद, कस्टम सेटिंग जोड़ते समय, उस ओएमए-यूआरआई को चुनें जो /EXE/Policy पर खत्म होता है.
ProductName	प्रॉडक्ट का नाम (दूसरे चरण में दिया गया ProductName). &ast; वाइल्डकार्ड का इस्तेमाल किया जा सकता है. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड काम नहीं करते.
latestVersion	ऐप्लिकेशन का नया वर्शन नंबर, जिस पर यह नीति लागू होती है. ऐप्लिकेशन के सभी वर्शन को ब्लॉक करने के लिए, &ast; डालें.
earliestVersion	ऐप्लिकेशन का सबसे पुराना वर्शन नंबर, जिस पर यह नीति लागू होती है. ऐप्लिकेशन के सभी वर्शन को ब्लॉक करने के लिए, &ast; डालें.

फ़ाइल सेव करें.

दूसरा विकल्प–GUI (Windows Groups Policy editor)

Microsoft के इस लेख में, "एक्सएमएल जनरेट करना" सेक्शन में दिए गए निर्देशों का पालन करें. "नीति बनाना" सेक्शन पर पहुंचने के बाद, निर्देशों का पालन करना बंद कर दें.
ध्यान दें: इन निर्देशों में, डिवाइस पर इंस्टॉल किए गए ऐप्लिकेशन के लिए नीति बनाने का तरीका बताया गया है. अगर आपको किसी ऐसे ऐप्लिकेशन के लिए नीति बनानी है जो डिवाइस पर इंस्टॉल नहीं है, तो छठे चरण में पैकेज किए गए ऐप्लिकेशन इंस्टॉलर को रेफ़रंस के तौर पर इस्तेमाल करें को चुनें.
एक्सएमएल फ़ाइल एक्सपोर्ट करने के बाद, ग्रुप के लिए नीति बनाने वाले एडिटर में जाकर, बनाई गई नीति को हटाएं. ऐसा न करने पर, डिवाइस पर नीति लागू हो जाती है.

दूसरा चरण: कस्टम सेटिंग जोड़ना

Google Admin console में, मेन्यू डिवाइस मोबाइल और एंडपॉइंट सेटिंग Windows पर जाएं.

Windows पर जाएं

इसके लिए, आपके पास सेवाएं और डिवाइस से जुड़ा एडमिन का अधिकार होना चाहिए.
कस्टम सेटिंग पर क्लिक करें.
कस्टम सेटिंग जोड़ें पर क्लिक करें.
कस्टम सेटिंग कॉन्फ़िगर करें:
1. ओएमए-यूआरआई फ़ील्ड में, ApplicationLaunchRestriction डालें. इसके बाद, उस ओएमए-यूआरआई को चुनें जो नीति में ऐप्लिकेशन के फ़ाइल टाइप से मेल खाता हो:
  - EXE फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy चुनें.
  - Microsoft Store में उपलब्ध ऐप्लिकेशन के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy चुनें
  - एमएसआई फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy चुनें
  - PowerShell स्क्रिप्ट के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy चुनें
  - DLL फ़ाइलों के लिए, यह चुनें ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy
    
    ज़्यादा जानकारी के लिए, Microsoft का AppLocker CSP दस्तावेज़ देखें.
2. OMA-URI में, <Enter Grouping> को किसी रैंडम अल्फ़ान्यूमेरिक स्ट्रिंग से बदलें. यह स्ट्रिंग, हर कस्टम सेटिंग के लिए यूनीक होनी चाहिए. उदाहरण के लिए, अगर आपको EXE फ़ाइलों को ब्लॉक करने के लिए एक कस्टम सेटिंग और MSI फ़ाइलों को ब्लॉक करने के लिए दूसरी सेटिंग जोड़नी है, तो हर कस्टम सेटिंग के लिए अलग-अलग वैल्यू का इस्तेमाल करें.
3. OMA-URI चुनने पर, नाम फ़ील्ड "नीति" के तौर पर अपडेट हो जाता है. कोई ऐसा नाम डालें जिससे आपको कस्टम सेटिंग की सूची में इसकी पहचान करने में मदद मिले.
4. डेटा टाइप के लिए, स्ट्रिंग (एक्सएमएल) चुनें. इसके बाद, एक्सएमएल अपलोड करें पर क्लिक करें. अब पहले सेक्शन में बनाई गई एक्सएमएल कॉन्फ़िगरेशन फ़ाइल चुनें.
5. (ज़रूरी नहीं) कस्टम सेटिंग के बारे में जानकारी डालें. साथ ही, यह भी बताएं कि यह सेटिंग किस पर लागू होती है.
आगे बढ़ने के लिए, आगे बढ़ें पर क्लिक करें. इसके बाद, संगठन की वह इकाई चुनें जिस पर कस्टम सेटिंग लागू करनी है. इसके अलावा, कोई दूसरी कस्टम सेटिंग शुरू करने के लिए, एक और जोड़ें पर क्लिक करें. जब तक आगे बढ़ें पर क्लिक करके संगठन की इकाई नहीं चुनी जाती, तब तक किसी संगठन की इकाई पर अतिरिक्त नीतियां लागू नहीं होती हैं.
वह संगठनात्मक इकाई चुनें जिस पर नीति लागू करनी है.
लागू करें पर क्लिक करें.

अगर संगठन की इकाई का कोई उपयोगकर्ता, अपने Windows डिवाइस पर ब्लॉक किया गया ऐप्लिकेशन इंस्टॉल करने या खोलने की कोशिश करता है, तो उसे गड़बड़ी का एक मैसेज मिलता है. इसमें बताया जाता है कि ऐप्लिकेशन को सिस्टम एडमिन ने ब्लॉक कर दिया है.

एक्सएमएल फ़ाइलों के उदाहरण

सिर्फ़ हस्ताक्षर किए गए ऐप्लिकेशन को अनुमति दें (बिना हस्ताक्षर वाले सभी ऐप्लिकेशन को ब्लॉक करें)

इस नीति की मदद से, उपयोगकर्ताओं को सिर्फ़ ऐसे ऐप्लिकेशन इंस्टॉल करने की अनुमति दी जाती है जिन पर हस्ताक्षर किए गए हों. इससे उपयोगकर्ताओं को ऐसे ऐप्लिकेशन इंस्टॉल करने से भी रोका जाता है जिन पर हस्ताक्षर नहीं किए गए हैं. साथ ही, ओएमए-यूआरआई में बताए गए फ़ाइल टाइप वाले ऐप्लिकेशन इंस्टॉल करने से भी रोका जाता है.

सभी फ़ाइल टाइप के लिए, बिना हस्ताक्षर वाले सभी ऐप्लिकेशन को ब्लॉक करने के लिए, हर फ़ाइल टाइप के लिए कस्टम सेटिंग जोड़ें. साथ ही, वैल्यू के लिए इस एक्सएमएल का इस्तेमाल करें.

ध्यान दें: RuleCollection में, Type का फ़ाइल टाइप, ऐप्लिकेशन के फ़ाइल टाइप से मेल खाना चाहिए. यह वैल्यू, EXE फ़ाइलों के लिए "Exe", MSI फ़ाइलों के लिए "Msi", स्क्रिप्ट फ़ाइलों के लिए "Script", DLL फ़ाइलों के लिए "Dll" या StoreApps के लिए "Appx" हो सकती है. FilePublisherRule में, GUID को ऑनलाइन जीयूआईडी जनरेटर से मिले किसी रैंडम जीयूआईडी से बदलें.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

चुनिंदा ऐप्लिकेशन ब्लॉक करना

ऐप्लिकेशन ब्लॉक करने के लिए, आपको एक <FilePublisherRule> सेक्शन शामिल करना होगा. इससे ऐप्लिकेशन को अनुमति दी जा सकेगी. साथ ही, आपको हर उस ऐप्लिकेशन के लिए <FilePublisherRule> ब्लॉक करने का विकल्प शामिल करना होगा जिसे ब्लॉक करना है.

सामान्य फ़ॉर्मैट यह है:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>

उदाहरण के लिए, यह नीति उपयोगकर्ताओं को "ऐप्लिकेशन A" और "ऐप्लिकेशन B", दोनों को चलाने से रोकती है. ये दोनों EXE फ़ाइलें हैं:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Windows ऑपरेटिंग सिस्टम में बंडल किए गए ऐप्लिकेशन ब्लॉक करना

यह सैंपल, Microsoft के दस्तावेज़ में दिए गए उदाहरण पर आधारित है. यह उपयोगकर्ताओं को Windows Mail का इस्तेमाल करने से रोकता है. इसका इस्तेमाल करने से पहले, GUID को किसी ऐसे रैंडम GUID से बदलें जो आपको ऑनलाइन GUID जनरेटर से मिला हो.

ध्यान दें: यह ऐप्लिकेशन फ़ाइल, Microsoft Store ऐप्लिकेशन है. इसलिए, ओएमए-यूआरआई ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy होना चाहिए.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

Google, Google Workspace, और इनसे जुड़े चिह्न और लोगो Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.