حظر التطبيقات على الأجهزة التي تعمل بنظام التشغيل Windows 10 أو Windows 11 باستخدام الإعدادات المخصَّصة

الإصدارات المتوافقة مع هذه الميزة: Frontline Starter وFrontline Standard وFrontline Plus وBusiness Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEndpoint Education Upgrade وEnterprise Essentials وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

عند إدارة الأجهزة التي تعمل بنظام التشغيل Windows في مؤسستك باستخدام إدارة أجهزة Windows، يمكنك تقييد التطبيقات المسموح بها على هذه الأجهزة من خلال إضافة إعدادات مُخصَّصة في "وحدة تحكُّم المشرف في Google". يمكنك تحديد التطبيقات في ملف XML الذي تحمِّله كقيمة للإعداد المُخصَّص. يمكنك أيضًا حظر تطبيقات فردية أو جميع ملفات التطبيقات المطابقة لنوع مُعيَّن، مثل ملفات EXE أو MSI.

الخطوة 1: تحديد التطبيقات المسموح بها والمحظورة في ملف XML

لإنشاء ملف XML، يمكنك استخدام سطر الأوامر في PowerShell أو واجهة المستخدم التصويرية (GUI) في محرِّر "سياسة مجموعات Windows". توضِح لك هذه التعليمات كيفية إنشاء سياسة واحدة، ويمكنك كذلك دمج السياسات ذات الصلة للتطبيقات من نوع الملف نفسه في ملف XML واحد. يمكنك الاطّلاع على الأمثلة.

ملاحظة مهمة: لحظر أنواع مختلفة من ملفات التطبيقات (EXE وMSI وScript وStoreApps وDLL)، يجب إنشاء إعدادات مخصّصة منفصلة.

الخيار 1: سطر الأوامر (PowerShell)

استخدِم منشئ المُعرِّف الفريد العالمي (GUID) على الإنترنت للحصول على مُعرِّف GUID عشوائي. ملاحظة: في محرك البحث، ابحث عن online GUID generator.
إذا كنت تريد حظر تطبيق معيّن، احصل على معلومات التطبيق. إذا كنت تريد حظر جميع التطبيقات التي لها نوع معين من الملفات، يمكنك تخطي هذه الخطوة.
1. على جهاز يعمل بنظام التشغيل Windows، نزِّل ملف التطبيق التنفيذي (الملف الذي ينتهي بـ exe.) الذي تريد حظره أو السماح به.
2. افتح PowerShell.
3. نفِّذ Get-AppLockerFileInformation -path PathToExe | format-list، حيث يكون PathToExe هو مسار الملف التنفيذي.
4. ابحث في النتيجة عن القيَم في سطر Publisher وسجّلها. تحتوي القيَم على الصيغة التالية وتتوافق مع القيَم التي ستستخدمها في XML:
  PublisherNameProductNameBinaryName,BinaryVersion
  
  يتكون اسم الناشر من سلسلة كبيرة، مثل O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US وعليك تضمين السلسلة بالكامل.
انسخ XML التالي في محرر نص:
<RuleCollection Type="Type" EnforcementMode="Enabled"> <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]> <Conditions> <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName> <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion /> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection>

عدِّل XML لاستبدال العناصر النائبة بالقيَم الخاصة بها. بالنسبة إلى حالات استخدام مُعيَّنة، مثل تجميع سياسات متعددة في ملف واحد، يُرجى الاطِّلاع على الأمثلة.

عنصر نائب	القيمة
النوع	نوع ملف التطبيق (يجب أن يتطابق مع OMA-URI): بالنسبة إلى ملفات EXE، أدخِل `"Exe"` بالنسبة إلى ملفات MSI، أدخِل `"Msi"` بالنسبة إلى ملفات النص البرمجي، أدخِل `"Script"` بالنسبة إلى ملفات DLL، أدخِل `"Dll"` بالنسبة إلى تطبيقات Microsoft Store، أدخِل `"Appx"`
GUID	معرِّف GUID الذي أنشأته في الخطوة 1
PolicyName	اسم السياسة. يمكنك استخدام أي سلسلة.
PolicyDescription	وصف السياسة
UserOrGroupSid	المستخدمون أو المجموعات التي تنطبق عليها السياسة: لتطبيق السياسة على جميع المستخدمين على الجهاز، أدخِل S-1-1-0. لتطبيق السياسة على مستخدم مُعيَّن، أدخِل مُعرِّف الأمان (SID) الخاص به. للحصول على مُعرِّف SID، نفِّذ ما يلي في سطر الأوامر: *wmic username* get name,sid** حيث يكون username هو اسم المستخدم على الجهاز. إذا كنت لا تعرف اسم المستخدم، يمكنك الحصول على قائمة بجميع المستخدمين على الجهاز عن طريق تنفيذ: wmic useraccount get name,sid يمكنك إدخال اسم مستخدم واحد فقط. لتطبيق السياسة على المزيد من المستخدمين، يمكنك إما وضع المستخدمين في مجموعة أو نسخ السياسة وتعديل الاسم. لتطبيق السياسة على مجموعة مُعيَّنة، أدخِل معرِّف SID الخاص بها. للحصول على معرِّف SID للمجموعة، نفِّذ ما يلي في سطر الأوامر: *wmic groupName* get name,sid** حيث يكون groupName هو اسم المجموعة على الجهاز. إذا كنت لا تعرف اسم المجموعة، يمكنك الحصول على قائمة بجميع المجموعات على الجهاز عن طريق تنفيذ: wmic group get name,sid
Allow\|Deny	اختَر إجراءً لهذه السياسة، سواء كان حظر التطبيقات المُحدَّدة أو السماح بها
PublisherName	اسم ناشر التطبيق (PublisherName من الخطوة 2). يمكنك استخدام حرف البدل &ast;، ولكن لا يمكنك استخدام مطابقة التعبير العادي وأحرف البدل كبادئة أو لاحقة.
BinaryName	اسم ملف البرنامج الثنائي (BinaryName من الخطوة 2). يمكنك استخدام حرف البدل &ast;، ولكن لا يمكنك استخدام مطابقة التعبير العادي وأحرف البدل كبادئة أو لاحقة. مثلاً، لحظر جميع ملفات EXE، أدخِل &ast; وعند إضافة الإعداد المُخصَّص، اختَر معرِّف OMA-URI الذي ينتهي بـ /EXE/Policy.
ProductName	اسم المنتج (ProductName من الخطوة 2). يمكنك استخدام حرف البدل &ast;، ولكن لا يمكنك استخدام مطابقة التعبير العادي وأحرف البدل كبادئة أو لاحقة.
latestVersion	رقم أحدث إصدار من التطبيق الذي تنطبق عليه هذه السياسة. لحظر جميع إصدارات التطبيق، أدخِل &ast;.
earliestVersion	رقم أقدم إصدار من التطبيق الذي تنطبق عليه هذه السياسة. لحظر جميع إصدارات التطبيق، أدخِل &ast;.

احفظ الملف.

الخيار 2: واجهة المستخدم التصويرية (GUI) (محرِّر "سياسة مجموعات Windows")

اتّبِع التعليمات المذكورة في قسم "إنشاء ملف XML" في مقالة Microsoft هذه. توقَّف عن اتّباع التعليمات عند الوصول إلى قسم "Creating the Policy" (إنشاء السياسة).
ملاحظة: توضِح هذه التعليمات كيفية إنشاء سياسة لتطبيق مُثبَّت على الجهاز. لإنشاء سياسة لتطبيق غير مُثبَّت على الجهاز، في الخطوة 6، اختَر Use a packaged app installer as a reference (استخدام أداة تثبيت تطبيق مجمّع كمرجع).
بعد تصدير ملف XML، في محرِّر "سياسة المجموعات"، أزِل السياسة التي أنشأتها. وبخلاف ذلك، يتم فرض السياسة على الجهاز.

الخطوة 2: إضافة الإعداد المُخصَّص

في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" الأجهزة الأجهزة الجوّالة ونقاط النهاية الإعدادات Windows.

الانتقال إلى Windows

يجب الحصول على امتياز مشرف الخدمات والأجهزة.
انقر على الإعدادات المخصّصة.
انقر على إضافة إعداد مُخصَّص.
اضبط الإعداد المخصَّص:
1. في حقل OMA-URI، أدخِل ApplicationLaunchRestriction واختَر OMA-URI الذي يتوافق مع نوع ملف التطبيق في السياسة:
  - بالنسبة إلى ملفات EXE، اختَر ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
  - بالنسبة إلى التطبيقات المتوفّرة في Microsoft Store، اختَر ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
  - بالنسبة إلى ملفات MSI، اختَر ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
  - بالنسبة إلى النصوص البرمجية في PowerShell، اختَر./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
  - بالنسبة إلى ملفات DLL، اختَر ‎./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy
  للحصول على مزيد من المعلومات، يُرجى الاطِّلاع على وثائق AppLocker CSP من Microsoft.
2. في OMA-URI، استبدِل <Enter Grouping> بسلسلة أبجدية رقمية عشوائية فريدة لكل إعداد مُخصَّص. مثلاً، في حال إضافة إعداد مُخصَّص واحد لحظر ملفات EXE وإعداد آخر لحظر ملفات MSI، استخدم قيمة مختلفة لكل إعداد مُخصَّص.
3. عند اختيار OMA-URI، يتم تعديل حقل الاسم إلى "السياسة". أدخِل اسمًا فريدًا يساعدك في التعرُّف عليه ضمن قائمة الإعدادات المُخصَّصة.
4. بالنسبة إلى نوع البيانات، اختَر سلسلة (XML)، وانقر على تحميل XML، ثم اختَر ملف إعداد XML الذي أنشأته في القسم الأول.
5. (اختياري) أدخِل وصفًا لإجراء الإعداد المُخصَّص والأشخاص الذين ينطبق عليهم هذا الإعداد.
انقر على التالي للمتابعة واختَر الوحدة التنظيمية التي ينطبق عليها الإعداد المُخصَّص أو انقر على إضافة آخر لبدء إعداد آخر. لا تُطبَق سياسات إضافية على وحدة تنظيمية حتى تنقر على التالي وتختار الوحدة التنظيمية.
اختَر الوحدة التنظيمية لتطبيق السياسة عليها.
انقر على تطبيق.

إذا حاول مستخدم في الوحدة التنظيمية تثبيت تطبيق محظور على جهاز Windows أو فتحه، تظهر له رسالة خطأ تفيد بأنّ مشرف النظام قد حظر هذا التطبيق.

أمثلة على ملفات XML

السماح بالتطبيقات المُوقَّعة فقط (حظر جميع التطبيقات غير المُوقَّعة)

تسمح هذه السياسة للمستخدمين بتثبيت التطبيقات المُوقَعة فقط وتمنعهم أيضًا من تثبيت التطبيقات غير المُوقَعة ذات نوع الملف المحدّد في OMA-URI.

لحظر جميع التطبيقات غير الموقَّعة لجميع أنواع الملفات، يمكنك إضافة إعداد مخصّص لكل نوع ملف واستخدام XML التالي للقيمة.

ملاحظة: في RuleCollection، يجب أن يتطابق Type مع نوع ملف التطبيق. يمكن أن تكون القيمة "Exe" لملفات EXE أو "Msi" لملفات MSI أو "Script" لملفات Script أو "Dll" لملفات DLL أو "Appx" لملفات StoreApps. في FilePublisherRule، استبدِل GUID بمعرّف GUID عشوائي تحصل عليه من منشئ GUID على الإنترنت.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

حظر تطبيقات معيّنة

لحظر التطبيقات، يجب تضمين قسم <FilePublisherRule> يسمح بالتطبيقات وقسم <FilePublisherRule> لحظر كل تطبيق تريد حظره.

الصيغة العامة هي:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>

على سبيل المثال، تحظر هذه السياسة المستخدمين من تشغيل كلٍّ من "App A" و "App B"، والتي تكون ملفات EXE:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

حظر التطبيقات المُجمَّعة في نظام التشغيل Windows

يستند هذا النموذج إلى مثال في وثائق Microsoft يمنع المستخدمين من استخدام تطبيق "بريد Windows". قبل استخدامه، استبدِل GUID بمعرّف GUID عشوائي يمكنك الحصول عليه من منشئ GUID على الإنترنت.

ملاحظة: ملف التطبيق هذا تابع لتطبيق Microsoft Store، لذا يجب أن يكون OMA-URI هو ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

إنّ Google وGoogle Workspace والعلامات والشعارات المرتبطة بهما هي علامات تجارية مسجَّلة مملوكة من قِبل شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.