Cuando administras dispositivos Windows en tu organización con la administración de dispositivos Windows, puedes restringir qué apps se permiten en esos dispositivos agregando parámetros de configuración personalizados en la Consola del administrador de Google. Especificas las apps en un archivo XML que subes como el valor del parámetro de configuración personalizado. Puedes bloquear apps individuales o todos los archivos de apps que coincidan con un tipo determinado, como archivos EXE o MSI.
Paso 1: Especifica las apps permitidas y bloqueadas en un archivo XML
Para crear el archivo XML, puedes usar la línea de comandos en PowerShell o la GUI en el editor de políticas de grupo de Windows. En estas instrucciones, se muestra cómo crear una sola política, pero puedes combinar políticas relacionadas para apps con el mismo tipo de archivo en un archivo XML. Consulta los ejemplos.
Importante: Para bloquear diferentes tipos de archivos de apps (EXE, MSI, Script, StoreApps y DLLs), debes crear parámetros de configuración personalizados separados.
Opción 1: Línea de comandos (PowerShell)
- Usa un generador de GUID en línea para obtener un GUID aleatorio. Sugerencia: En un motor de búsqueda, busca
online GUID generator. - Si quieres bloquear una app específica, obtén la información de la app. Si quieres bloquear todas las apps con un tipo de archivo determinado, puedes omitir este paso.
- En un dispositivo Windows, descarga el archivo ejecutable de la app (el que termina en .exe) que quieres bloquear o permitir.
- Abre PowerShell.
- Ejecuta Get-AppLockerFileInformation -path PathToExe | format-list, donde PathToExe es la ruta de acceso al archivo ejecutable.
- En la respuesta, busca y registra los valores en la línea
Publisher. Los valores tienen el siguiente formato y corresponden a los valores que usarás en el XML:PublisherNameProductNameBinaryName,BinaryVersion
El nombre del editor es una cadena larga, como
O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US, y debes incluir la cadena completa.
- Copia el siguiente XML en un editor de texto:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
<Conditions>
<FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
<BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> - Edita el XML para reemplazar los marcadores de posición por sus valores. Para casos de uso específicos, como agrupar varias políticas en un archivo, consulta los ejemplos.
Marcador de posición Valor Type El tipo de archivo de la app (debe coincidir con el OMA-URI):
- Para archivos EXE, ingresa
"Exe" - Para archivos MSI, ingresa
"Msi". - Para archivos de secuencia de comandos, ingresa
"Script". - Para archivos DLL, ingresa
"Dll". - Para apps de Microsoft Store, ingresa
"Appx".
GUID El GUID que generaste en el paso 1 PolicyName Un nombre para la política. Puedes usar cualquier cadena. PolicyDescription Una descripción de la política UserOrGroupSid Los usuarios o grupos a los que se aplica la política: - Para aplicar la política a todos los usuarios del dispositivo, ingresa S-1-1-0.
- Para aplicar la política a un usuario específico, ingresa su SID. Para obtener su SID, en la línea de comandos, ejecuta lo siguiente:
wmic username get name,sid
donde username es el nombre de usuario del usuario en el dispositivo. Si no conoces el nombre de usuario, ejecuta lo siguiente para obtener una lista de todos los usuarios del dispositivo:
wmic useraccount get name,sid
-
Solo puedes ingresar un nombre de usuario. Para aplicar la política a más usuarios, incluye los usuarios en un grupo o copia la política y actualiza el nombre.
- Para aplicar la política a un grupo específico, ingresa su SID. Para obtener el SID del grupo, en la línea de comandos, ejecuta lo siguiente:
wmic groupName get name,sid
donde groupName es el nombre del grupo en el dispositivo. Si no conoces el nombre del grupo, puedes ejecutar lo siguiente para obtener una lista de todos los grupos del dispositivo:
wmic group get name,sid
Allow|Deny Selecciona la acción para esta política, ya sea que bloquee o permita las apps especificadas. PublisherName El nombre del editor de la app (PublisherName del paso 2). Puedes usar el comodín *, pero no se admiten la coincidencia de expresiones regulares ni los comodines de prefijo o sufijo. BinaryName El nombre de archivo del archivo binario (BinaryName del paso 2). Puedes usar el comodín *, pero no se admiten la coincidencia de expresiones regulares ni los comodines de prefijo o sufijo.
Por ejemplo, para bloquear todos los archivos EXE, ingresa * y, cuando agregues el parámetro de configuración personalizado, selecciona el OMA-URI que termina en /EXE/Policy.
ProductName El nombre del producto (ProductName del paso 2). Puedes usar el comodín *, pero no se admiten la coincidencia de expresiones regulares ni los comodines de prefijo o sufijo. latestVersion El número de versión más reciente de la app a la que se aplica esta política. Para bloquear todas las versiones de la app, ingresa *. earliestVersion El número de versión más antigua de la app a la que se aplica esta política. Para bloquear todas las versiones de la app, ingresa *. - Para archivos EXE, ingresa
-
Guarda el archivo.
Opción 2: GUI (editor de políticas de grupo de Windows)
- Sigue las instrucciones de la sección "Generación del XML" de este artículo de Microsoft. Deja de seguir las instrucciones cuando llegues a la sección "Creación de la política".
Nota: En estas instrucciones, se describe cómo crear una política para una app que está instalada en el dispositivo. Para crear una política para una app que no está instalada en el dispositivo, en el paso 6, selecciona Usar un instalador de apps empaquetado como referencia.
- Después de exportar el archivo XML, en el editor de políticas de grupo, quita la política que creaste. De lo contrario, la política se aplicará en el dispositivo.
Paso 2: Agrega el parámetro de configuración personalizado
-
En la Consola del administrador de Google, ve a Menú
Dispositivos Dispositivos móviles y extremos Configuración Windows. Es necesario tener el privilegio de administrador de los Servicios y dispositivos.
- Haz clic en Parámetros de configuración personalizados.
- Haz clic en Agregar un parámetro de configuración personalizado.
Configura el parámetro de configuración personalizado:
En el campo OMA-URI, ingresa ApplicationLaunchRestriction y selecciona el OMA-URI que corresponde al tipo de archivo de la app en la política:
- Para archivos EXE, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
- Para las apps disponibles en Microsoft Store, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
- Para archivos MSI, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy.
- Para secuencias de comandos de PowerShell, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
Para archivos DLL, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy
Para obtener más información, consulta la documentación de Microsoft AppLocker CSP.
En el OMA-URI, reemplaza <Enter Grouping> por una cadena alfanumérica aleatoria que sea única para cada parámetro de configuración personalizado. Por ejemplo, si agregas un parámetro de configuración personalizado para bloquear archivos EXE y otro para bloquear archivos MSI, usa un valor diferente para cada parámetro de configuración personalizado.
Cuando seleccionas el OMA-URI, el campo Nombre se actualiza a "Política". Ingresa un nombre único que te ayude a identificarlo en la lista de parámetros de configuración personalizados.
En Tipo de datos, selecciona Cadena (XML), haz clic en Subir XML y selecciona el archivo de configuración XML que creaste en la primera sección.
(Opcional) Ingresa una descripción que describa la acción del parámetro de configuración personalizado y a quién se aplica.
Haz clic en Siguiente para continuar y seleccionar la unidad organizativa a la que se aplica el parámetro de configuración personalizado, o haz clic en Agregar otro para comenzar otro. Las políticas adicionales no se aplican a una unidad organizativa hasta que haces clic en Siguiente y seleccionas la unidad organizativa.
Elige la unidad organizativa a la que se aplicará la política.
Haz clic en Aplicar.
Si un usuario de la unidad organizativa intenta instalar o abrir una app bloqueada en su dispositivo Windows, recibirá un mensaje de error que indica que el administrador del sistema bloqueó la app.
Ejemplos de archivos XML
Permitir solo apps firmadas (bloquear todas las apps no firmadas)
Esta política permite que los usuarios instalen solo apps firmadas, lo que también impide que los usuarios instalen apps no firmadas con el tipo de archivo especificado en el OMA-URI.
Para bloquear todas las apps no firmadas para todos los tipos de archivos, agrega un parámetro de configuración personalizado para cada tipo de archivo y usa el siguiente XML para el valor.
Nota: EnRuleCollection, Type debe coincidir con el tipo de archivo de la app. El valor puede ser "Exe" para archivos EXE, "Msi" para archivos MSI, "Script" para archivos de secuencia de comandos, "Dll" para archivos DLL o "Appx" para StoreApps. En FilePublisherRule, reemplaza GUID por un GUID aleatorio que obtengas de un generador de GUID en línea.
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>Bloquear apps específicas
Para bloquear apps, debes incluir una sección <FilePublisherRule> que permita apps y bloques <FilePublisherRule> para cada app que quieras bloquear.
El formato general es el siguiente:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule...>
...allow apps...
</FilePublisherRule>
<FilePublisherRule...>
...conditions for first app to block...
</FilePublisherRule>
<FilePublisherRule...>
...conditions for second app to block...
</FilePublisherRule>
</RuleCollection>RuleCollection, Type debe coincidir con el tipo de archivo de la app. El valor puede ser "Exe" para archivos EXE, "Msi" para archivos MSI, "Script" para archivos de secuencia de comandos, "Dll" para archivos DLL o "Appx" para StoreApps. En FilePublisherRule, reemplaza GUID por un GUID aleatorio que obtengas de un generador de GUID en línea.
Por ejemplo, esta política impide que los usuarios ejecuten "App A" y "App B", que son archivos EXE:
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>Bloquear apps que se incluyen en el sistema operativo Windows
En este ejemplo, basado en el ejemplo de la documentación de Microsoft, se impide que los usuarios usen Correo de Windows. Antes de usarlo, reemplaza GUID por un GUID aleatorio que obtengas de un generador de GUID en línea.
Nota: Este archivo de app es una app de Microsoft Store, por lo que el OMA-URI debe ser ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.