Bloquer des applications sur des appareils Windows 10 ou 11 avec des paramètres personnalisés

Éditions compatibles avec cette fonctionnalité : Frontline Starter, Frontline Standard et Frontline Plus ; Business Plus ; Enterprise Standard et Enterprise Plus ; Education Standard, Education Plus et Endpoint Education Upgrade ; Enterprise Essentials et Enterprise Essentials Plus ; Cloud Identity Premium.  Comparer votre édition

Lorsque vous gérez les appareils Windows de votre organisation par le biais de la gestion des appareils Windows, vous pouvez restreindre les applications autorisées à y accéder en ajoutant des paramètres personnalisés depuis la console d'administration Google. Vous pouvez spécifier les applications dans un fichier XML à importer en tant que paramètre personnalisé. Vous pouvez bloquer des applications individuelles ou tous les fichiers d'application correspondant à un certain type, tels que les fichiers EXE ou les fichiers MSI.

Étape 1 : Spécifiez les applications autorisées et bloquées dans un fichier XML

Vous pouvez créer le fichier XML en utilisant la ligne de commande dans PowerShell ou l'interface utilisateur graphique dans l'éditeur de stratégie de groupe Windows. Ces instructions vous expliquent comment créer une règle unique, mais vous pouvez combiner des règles associées pour des applications ayant le même type de fichier dans un seul fichier XML. Consultez les exemples.

Important : Vous devez créer des paramètres personnalisés distincts pour bloquer différents types de fichiers d'application (EXE, MSI, Script, StoreApps et DLL).

Option 1 : Ligne de commande (PowerShell)

  1. Vous pouvez obtenir un GUID aléatoire à l'aide d'un générateur de GUID en ligne. Conseil : Dans un moteur de recherche, saisissez online GUID generator.
  2. Si vous souhaitez bloquer une application spécifique, vous devez vous procurer les informations qui y sont propres. Si vous souhaitez bloquer toutes les applications d'un certain type de fichier, vous pouvez ignorer cette étape.
    1. Sur un appareil Windows, téléchargez le fichier exécutable de l'application (celui qui se termine par .exe) que vous souhaitez bloquer ou autoriser.
    2. Ouvrez PowerShell.
    3. Exécutez Get-AppLockerFileInformation -path PathToExe | format-list, où PathToExe est le chemin d'accès au fichier exécutable.
    4. Dans la réponse, recherchez et enregistrez les valeurs à la ligne Publisher. Les valeurs ont le format suivant et correspondent aux valeurs que vous utiliserez dans le fichier XML :

      PublisherNameProductNameBinaryName,BinaryVersion

      Le nom de l'éditeur est une longue chaîne telle que O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US, que vous devez inclure intégralement.

  3. Copiez le code XML suivant dans un éditeur de texte :

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. Modifiez le code XML pour remplacer les espaces réservés par les valeurs appropriées. Pour certains cas spécifiques tels que le regroupement de plusieurs règles dans un seul fichier, consultez les exemples.
    Espace réservé Valeur
    Type

    Type de fichier de l'application (doit correspondre à l'OMA-URI) :

    • Pour les fichiers EXE, saisissez "Exe".
    • Pour les fichiers MSI, saisissez "Msi".
    • Saisissez "Script" pour les fichiers de script.
    • Pour les fichiers DLL, saisissez "Dll".
    • Pour les applications du Microsoft Store, saisissez "Appx".
    GUID GUID généré à l'étape 1
    PolicyName Nom de la règle. Vous pouvez utiliser n'importe quelle chaîne.
    PolicyDescription Description de la règle
    UserOrGroupSid Utilisateurs ou groupes auxquels la règle s'applique :
    • Pour appliquer la règle à tous les utilisateurs de l'appareil, saisissez S-1-1-0.
    • Pour appliquer la règle à un utilisateur spécifique, saisissez son SID. Pour obtenir son SID, exécutez la commande suivante dans la ligne de commande :

      wmic username get name,sid

      username est le nom d'utilisateur de l'appareil. Si vous ne connaissez pas le nom d'utilisateur, vous pouvez récupérer la liste de tous les utilisateurs de l'appareil en exécutant la commande suivante :

      wmic useraccount get name,sid

    • Vous ne pouvez saisir qu'un seul nom d'utilisateur. Pour appliquer la règle à davantage d'utilisateurs, placez les utilisateurs dans un groupe, ou copiez la règle et mettez à jour le nom.

    • Pour appliquer la règle à un groupe spécifique, saisissez son SID. Pour obtenir le SID du groupe, exécutez la commande suivante :

      wmic groupName get name,sid

      groupName est le nom du groupe sur l'appareil. Si vous ne connaissez pas le nom du groupe, vous pouvez obtenir la liste de tous les groupes sur l'appareil en exécutant la commande suivante :

      wmic group get name,sid
    Autoriser|Refuser Sélectionnez l'action pour cette règle afin qu'elle bloque ou autorise les applications spécifiées.
    PublisherName Nom de l'éditeur de l'application (PublisherName de l'étape 2). Vous pouvez utiliser le caractère générique *, mais la correspondance d'expressions régulières et les caractères génériques de préfixe ou de suffixe ne sont pas acceptés.
    BinaryName

    Nom du fichier binaire (BinaryName de l'étape 2). Vous pouvez utiliser le caractère générique *, mais la correspondance d'expressions régulières et les caractères génériques de préfixe ou de suffixe ne sont pas acceptés.

    Par exemple, pour bloquer tous les fichiers EXE, saisissez *. Lorsque vous ajoutez le paramètre personnalisé, sélectionnez l'OMA-URI qui se termine par /EXE/Policy.
    ProductName Nom du produit (ProductName de l'étape 2). Vous pouvez utiliser le caractère générique *, mais la correspondance d'expressions régulières et les caractères génériques de préfixe ou de suffixe ne sont pas acceptés.
    latestVersion Numéro de la dernière version de l'application à laquelle cette règle s'applique. Pour bloquer toutes les versions de l'application, saisissez *.
    earliestVersion Numéro de version le plus ancien de l'application à laquelle cette règle s'applique. Pour bloquer toutes les versions de l'application, saisissez *.

  5. Enregistrez le fichier.

Option 2 : GUI (Éditeur de stratégie de groupe Windows)

  1. Suivez les instructions de la section "Generating the XML" (Génération du fichier XML) de cet article Microsoft. Arrêtez de suivre les instructions de la section "Creating the Policy" (Création de la règle).

    Remarque : Ces instructions décrivent comment créer une règle pour une application installée sur l'appareil. Pour créer une règle pour une application qui n'est pas installée sur l'appareil, à l'étape 6, sélectionnez Use a packaged app installer as a reference (Utiliser un programme d'installation d'une application empaquetée comme référence).

  2. Une fois le fichier XML exporté, supprimez la stratégie que vous avez créée dans l'éditeur de stratégie de groupe. Sinon, la règle est appliquée sur l'appareil.

Étape 2 : Ajoutez le paramètre personnalisé

  1. Dans la console d'administration Google, accédez à Menu  puis Appareils puisMobiles et points de terminaison puisParamètres puisWindows

    Vous devez disposer du droit d'administrateur Services et appareils.

  2. Cliquez sur Paramètres personnalisés.
  3. Cliquez sur Ajouter un paramètre personnalisé.

  4. Configurez le paramètre personnalisé :

    1. Dans le champ de l'OMA-URI, saisissez ApplicationLaunchRestriction, puis sélectionnez l'OMA-URI correspondant au type de fichier de l'application dans la règle :

      • Pour les fichiers EXE, sélectionnez ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
      • Pour les applications disponibles dans le Microsoft Store, sélectionnez ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.
      • Pour les fichiers MSI, sélectionnez ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy.
      • Pour les scripts PowerShell, sélectionnez ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy.
      • Pour les fichiers DLL, sélectionnez ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy.

      Pour en savoir plus, consultez la documentation concernant CSP AppLocker.

    2. Dans l'OMA-URI, remplacez <Enter Grouping> par une chaîne alphanumérique aléatoire unique pour chaque paramètre personnalisé. Par exemple, si vous ajoutez un paramètre personnalisé pour bloquer les fichiers EXE et un autre pour bloquer les fichiers MSI, utilisez une valeur différente pour chaque paramètre personnalisé.

    3. Lorsque vous sélectionnez l'OMA-URI, le champ Nom est remplacé par "Règle". Saisissez un nom unique pour vous aider à l'identifier dans la liste des paramètres personnalisés.

    4. Pour Type de données, sélectionnez Chaîne (XML), cliquez sur Importer un fichier XML, puis sélectionnez le fichier de configuration XML que vous avez créé dans la première section.

    5. (Facultatif) Saisissez une description indiquant l'action du paramètre personnalisé et la personne à laquelle il s'applique.

  5. Cliquez sur Suivant pour continuer et sélectionner l'unité organisationnelle à laquelle le paramètre personnalisé s'applique, ou cliquez sur En ajouter un autre pour démarrer une nouvelle procédure d'ajout. Aucune règle supplémentaire n'est appliquée à une unité organisationnelle tant que vous n'avez pas cliqué sur Suivant et sélectionné l'unité concernée.

  6. Sélectionnez l'unité organisationnelle à laquelle appliquer la règle.

  7. Cliquez sur Appliquer.

Si un utilisateur de l'unité organisationnelle tente d'installer ou d'ouvrir une application bloquée sur son appareil Windows, un message d'erreur s'affiche indiquant que l'application a été bloquée par son administrateur système.

Exemples de fichiers XML

Autoriser uniquement les applications signées (bloquer toutes les applications non signées)

Cette règle permet aux utilisateurs d'installer uniquement des applications signées, ce qui empêche également les utilisateurs d'installer des applications non signées avec le type de fichier spécifié dans l'OMA-URI.

Pour bloquer toutes les applications non signées pour tous les types de fichiers, ajoutez un paramètre personnalisé pour chaque type de fichier et utilisez le fichier XML suivant comme valeur.

Remarque : Dans RuleCollection, Type doit correspondre au type de fichier de l'application. La valeur peut être "Exe" pour les fichiers EXE, "Msi" pour les fichiers MSI, "Script" pour les fichiers de script, "Dll" pour les fichiers DLL ou "Appx" pour les fichiers StoreApps. Dans FilePublisherRule, remplacez GUID par un GUID aléatoire obtenu à partir d'un générateur de GUID en ligne. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

Bloquer des applications spécifiques

Pour bloquer des applications, vous devez inclure une section <FilePublisherRule> qui autorise le blocage d'applications et d'éléments <FilePublisherRule> pour chaque application que vous souhaitez bloquer.

Le format général est :

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 Remarque : Dans RuleCollection, Type doit correspondre au type de fichier de l'application. La valeur peut être "Exe" pour les fichiers EXE, "Msi" pour les fichiers MSI, "Script" pour les fichiers de script, "Dll" pour les fichiers DLL ou "Appx" pour les fichiers StoreApps. Dans FilePublisherRule, remplacez GUID par un GUID aléatoire obtenu à partir d'un générateur de GUID en ligne.

Par exemple, cette règle empêche les utilisateurs d'exécuter "App A" et "App B", qui sont des fichiers EXE :

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Bloquer les applications regroupées dans le système d'exploitation Windows

Cet exemple, basé sur la documentation Microsoft, empêche les utilisateurs d'utiliser Windows Mail. Avant de l'utiliser, remplacez GUID par un GUID aléatoire obtenu à partir d'un générateur de GUID en ligne.

Remarque : Ce fichier d'application est une application du Microsoft Store. Par conséquent, l'OMA-URI doit être ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.