Apps auf Windows 10- oder 11-Geräten mit benutzerdefinierten Einstellungen blockieren

Unterstützte Versionen für diese Funktion: Frontline Starter, Frontline Standard und Frontline Plus; Business Plus; Enterprise Standard und Enterprise Plus; Education Standard, Education Plus und Endpoint Education Upgrade; Enterprise Essentials und Enterprise Essentials Plus; Cloud Identity Premium.  Versionen vergleichen

Wenn Sie Windows-Geräte in Ihrer Organisation mit der Windows-Geräteverwaltung verwalten, können Sie durch Verwendung benutzerdefinierter Einstellungen in der Google Admin-Konsole einschränken, welche Anwendungen auf diesen Geräten zulässig sind. Sie geben die Apps in einer XML-Datei an, die Sie als Wert der benutzerdefinierten Einstellung hochladen. Sie können einzelne Apps oder alle App-Dateien blockieren, die einem bestimmten Typ entsprechen, z. B. EXE- oder MSI-Dateien.

Schritt 1: Zulässige und blockierte Apps in einer XML-Datei angeben

Die XML-Datei lässt sich über die Befehlszeile in PowerShell oder das GUI im Windows-Gruppenrichtlinien-Editor erstellen. In dieser Anleitung erfahren Sie, wie Sie eine einzelne Richtlinie erstellen. Sie können ähnliche Richtlinien für Apps mit demselben Dateityp aber auch in einer XML-Datei kombinieren. Beispiele

Wichtig: Wenn Sie verschiedene Typen von Anwendungsdateien (EXE, MSI, Script, StoreApps und DLLs) blockieren möchten, müssen Sie verschiedene benutzerdefinierte Einstellungen erstellen.

Option 1: Befehlszeile (PowerShell)

  1. Rufen Sie mit einem Online-GUID-Generator eine zufällige GUID ab. Tipp: Suchen Sie in einer Suchmaschine nach online GUID generator.
  2. Wenn Sie eine bestimmte App blockieren möchten, rufen Sie die App-Informationen ab. Wenn Sie alle Apps mit einem bestimmten Dateityp blockieren möchten, können Sie diesen Schritt überspringen.
    1. Laden Sie auf einem Windows-Gerät die ausführbare Datei der App (mit der Endung „.exe“) herunter, die Sie blockieren oder zulassen möchten.
    2. Öffnen Sie PowerShell.
    3. Führen Sie Get-AppLockerFileInformation -path PathToExe | format-list aus, wobei PathToExe der Pfad zur ausführbaren Datei ist.
    4. Suchen Sie die Werte in der Zeile Publisher der Antwort und notieren Sie sie. Die Werte haben das folgende Format und entsprechen denen, die Sie dann in der XML-Datei verwenden:

      PublisherNameProductNameBinaryName,BinaryVersion

      Der Name des Publishers ist ein langer String, z. B. O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. Sie müssen den gesamten String übernehmen.

  3. Kopieren Sie den folgenden XML-Code in einen Texteditor:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. Bearbeiten Sie den XML-Code und ersetzen Sie die kursiv dargestellten Platzhalter durch die entsprechenden Werte. Informationen zu bestimmten Anwendungsfällen, z. B. zum Gruppieren mehrerer Richtlinien in einer Datei, finden Sie in den Beispielen.
    Platzhalter Wert
    Typ

    Der Anwendungsdateityp (muss mit dem OMA-URI übereinstimmen):

    • Geben Sie für EXE-Dateien "Exe" ein.
    • Geben Sie für MSI-Dateien "Msi" ein.
    • Geben Sie für Skriptdateien "Script" ein.
    • Geben Sie für DLL-Dateien "Dll" ein.
    • Geben Sie für Apps aus dem Microsoft Store "Appx" ein.
    GUID Die in Schritt 1 generierte GUID
    PolicyName Ein Name für die Richtlinie. Sie können einen beliebigen String verwenden.
    PolicyDescription Eine Beschreibung der Richtlinie
    UserOrGroupSid Die Nutzer oder Gruppen, für die die Richtlinie gilt:
    • Wenn Sie die Richtlinie auf alle Nutzer des Geräts anwenden möchten, geben Sie S-1-1-0 ein.
    • Um die Richtlinie auf einen bestimmten Nutzer anzuwenden, geben Sie dessen SID ein. Führen Sie in der Befehlszeile Folgendes aus, um die SID abzurufen:

      wmic username get name,sid

      Dabei ist username der Nutzername der Person auf dem Gerät. Wenn Sie den Nutzernamen nicht kennen, können Sie mit folgendem Befehl eine Liste aller Nutzer auf dem Gerät abrufen:

      wmic useraccount get name,sid

    • Sie können nur einen Nutzernamen eingeben. Wenn Sie die Richtlinie auf mehrere Nutzer anwenden möchten, fassen Sie die Nutzer entweder in einer Gruppe zusammen oder kopieren Sie die Richtlinie und ändern Sie dann jeweils den Namen.

    • Um die Richtlinie auf eine bestimmte Gruppe anzuwenden, geben Sie deren SID ein. Führen Sie in der Befehlszeile folgenden Befehl aus, um die Gruppen-SID abzurufen:

      wmic groupName get name,sid

      Dabei ist groupName der Name der Gruppe auf dem Gerät. Wenn Sie den Gruppennamen nicht kennen, können Sie mit folgendem Befehl eine Liste aller Gruppen auf dem Gerät abrufen:

      wmic group get name,sid
    Allow|Deny Wählen Sie die Aktion für diese Richtlinie aus, also ob die angegebenen Apps blockiert („Deny“) oder zugelassen („Allow“) werden.
    PublisherName Der Name des Publishers der App („PublisherName“ aus Schritt 2). Sie können den Platzhalter &ast; verwenden, der Abgleich mit regulären Ausdrücken sowie Präfix- oder Suffixplatzhalter werden jedoch nicht unterstützt.
    BinaryName

    Der Dateiname des Binärprogramms („BinaryName“ aus Schritt 2). Sie können den Platzhalter &ast; verwenden, der Abgleich mit regulären Ausdrücken sowie Präfix- oder Suffixplatzhalter werden jedoch nicht unterstützt.

    Wenn Sie beispielsweise alle EXE-Dateien blockieren möchten, geben Sie * ein und wählen Sie beim Hinzufügen der benutzerdefinierten Einstellung den OMA-URI aus, der mit /EXE/Policy endet.
    ProductName Der Name des Produkts („ProductName“ aus Schritt 2). Sie können den Platzhalter &ast; verwenden, der Abgleich mit regulären Ausdrücken sowie Präfix- oder Suffixplatzhalter werden jedoch nicht unterstützt.
    latestVersion Die neueste Versionsnummer der App, für die diese Richtlinie gilt. Wenn Sie alle Versionen der App blockieren möchten, geben Sie &ast; ein.
    earliestVersion Die älteste Versionsnummer der App, für die diese Richtlinie gilt. Wenn Sie alle Versionen der App blockieren möchten, geben Sie &ast; ein.

  5. Speichern Sie die Datei.

Option 2: GUI (Editor für Windows-Gruppenrichtlinien)

  1. Folgen Sie der Anleitung im Abschnitt „Generating the XML“ (XML generieren) in diesem Microsoft-Artikel. Führen Sie nur die Schritte in diesem Abschnitt aus. Der folgende Abschnitt „Creating the Policy“ (Richtlinie erstellen) spielt hier keine Rolle mehr.

    Hinweis:In dieser Anleitung wird beschrieben, wie Sie eine Richtlinie für eine auf dem Gerät installierte App erstellen. Wenn Sie eine Richtlinie für eine App erstellen möchten, die nicht auf dem Gerät installiert ist, wählen Sie in Schritt 6 Use a packaged app installer as a reference (Installationsprogramm für gepackte App als Referenz verwenden) aus.

  2. Nachdem Sie die XML-Datei exportiert haben, entfernen Sie die erstellte Richtlinie im Editor für Gruppenrichtlinien. Andernfalls wird die Richtlinie auf dem Gerät erzwungen.

Schritt 2: Benutzerdefinierte Einstellung hinzufügen

  1. Klicken Sie in der Admin-Konsole auf das Dreistrichmenü  und dann Geräte und dannMobilgeräte und Endpunkte und dannEinstellungen und dannWindows

    Hierfür benötigen Sie die Administratorberechtigung „Dienste und Geräte“.

  2. Klicken Sie auf Benutzerdefinierte Einstellungen.
  3. Klicken Sie auf Benutzerdefinierte Einstellung hinzufügen.

  4. Konfigurieren Sie die benutzerdefinierte Einstellung:

    1. Geben Sie im Feld „OMA-URI“ ApplicationLaunchRestriction ein und wählen Sie den OMA-URI aus, der dem Dateityp der App in der Richtlinie entspricht:

      • Wählen Sie bei EXE-Dateien ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy aus.
      • Wählen Sie für Apps aus dem Microsoft Store ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy aus.
      • Wählen Sie für MSI-Dateien ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy aus.
      • Wählen Sie für PowerShell-Skripts ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy aus.
      • Wählen Sie für DLL-Dateien ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy aus.

      Weitere Informationen finden Sie in der Dokumentation zu AppLocker CSP von Microsoft.

    2. Ersetzen Sie im OMA-URI <Enter Grouping> durch einen zufälligen alphanumerischen String, der für jede benutzerdefinierte Einstellung eindeutig ist. Wenn Sie beispielsweise eine benutzerdefinierte Einstellung zum Blockieren von EXE-Dateien und eine weitere Einstellung zum Blockieren von MSI-Dateien hinzufügen, verwenden Sie für jede benutzerdefinierte Einstellung einen anderen Wert.

    3. Wenn Sie den OMA-URI auswählen, wird das Feld Name in „Richtlinie“ geändert. Geben Sie einen eindeutigen Namen ein, damit Sie ihn in der Liste der benutzerdefinierten Einstellungen identifizieren können.

    4. Wählen Sie als Datentyp die Option String (XML) aus, klicken Sie auf XML hochladen und wählen Sie die XML-Konfigurationsdatei aus, die Sie im ersten Abschnitt erstellt haben.

    5. Optional: Geben Sie eine Beschreibung ein, die die Aktion der benutzerdefinierten Einstellung beschreibt und für wen sie gilt.

  5. Klicken Sie auf Weiter, um fortzufahren, und wählen Sie die Organisationseinheit aus, für die die benutzerdefinierte Einstellung gelten soll, oder klicken Sie auf Weitere hinzufügen, um eine weitere zu starten. Zusätzliche Richtlinien werden erst auf eine Organisationseinheit angewendet, wenn Sie auf Weiter klicken und die Organisationseinheit auswählen.

  6. Wählen Sie die Organisationseinheit aus, auf die die Richtlinie angewendet werden soll.

  7. Klicken Sie auf Übernehmen.

Wenn ein Nutzer in der Organisationseinheit versucht, eine blockierte App auf seinem Windows-Gerät zu installieren oder zu öffnen, erhält er die Fehlermeldung, dass die App durch den Systemadministrator blockiert wurde.

Beispiele für XML-Dateien

Nur signierte Apps zulassen (alle nicht signierten blockieren)

Wenn diese Richtlinie gilt, können Nutzer nur signierte Anwendungen installieren. Außerdem werden nicht signierte Anwendungen mit dem im OMA-URI angegebenen Dateityp blockiert.

Um alle nicht signierten Apps für alle Dateitypen zu blockieren, fügen Sie für jeden Dateityp eine benutzerdefinierte Einstellung hinzu und verwenden Sie für den Wert den folgenden XML-Code.

Hinweis:In RuleCollection muss Type mit dem Dateityp der App übereinstimmen. Mögliche Werte sind "Exe" für EXE-Dateien, "Msi" für MSI-Dateien, "Script" für Skriptdateien, "Dll" für DLL-Dateien oder "Appx" für StoreApps. Ersetzen Sie in FilePublisherRule die GUID durch eine zufällige GUID, die Sie von einem GUID-Onlinegenerator erhalten. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

Bestimmte Apps blockieren

Zum Blockieren von Apps müssen Sie einen <FilePublisherRule>-Abschnitt hinzufügen, in dem Apps und <FilePublisherRule>-Blöcke für die zu blockierenden Apps zugelassen werden.

Das allgemeine Format ist:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 Hinweis:In RuleCollection muss Type mit dem Dateityp der App übereinstimmen. Mögliche Werte sind "Exe" für EXE-Dateien, "Msi" für MSI-Dateien, "Script" für Skriptdateien, "Dll" für DLL-Dateien oder "Appx" für StoreApps. Ersetzen Sie in FilePublisherRule die GUID durch eine zufällige GUID, die Sie von einem GUID-Onlinegenerator erhalten.

Beispiel: Diese Richtlinie verhindert, dass Nutzer „Anwendung A“ oder „Anwendung B“ (beides EXE-Dateien) ausführen können:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Anwendungen blockieren, die im Windows-Betriebssystem enthalten sind

Dieser Ausschnitt, der auf dem Beispiel in der Microsoft-Dokumentation basiert, blockiert die Verwendung von Windows Mail. Bevor Sie diesen Code verwenden, ersetzen Sie GUID durch eine zufällige GUID, die Sie durch einen Online-GUID-Generator erhalten.

Hinweis:Diese Anwendungsdatei ist eine Anwendung aus dem Microsoft Store. Daher muss der OMA-URI ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy lauten.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.