कस्टम सेटिंग का इस्तेमाल करके, Windows 10 या 11 डिवाइसों पर ऐप्लिकेशन ब्लॉक करना

यह सुविधा इन वर्शन में उपलब्ध है: Frontline Starter, Frontline Standard, और Frontline Plus; Business Plus; Enterprise Standard और Enterprise Plus; Education Standard, Education Plus, और Endpoint Education Upgrade; Enterprise Essentials और Enterprise Essentials Plus; Cloud Identity Premium. अपने वर्शन की तुलना करें

Windows डिवाइस मैनेजमेंट की मदद से, अपने संगठन के Windows डिवाइसों को मैनेज किया जा सकता है. साथ ही, Google Admin console में कस्टम सेटिंग जोड़कर, यह तय किया जा सकता है कि उन डिवाइसों पर किन ऐप्लिकेशन को अनुमति दी जाए. कस्टम सेटिंग की वैल्यू के तौर पर अपलोड की गई एक्सएमएल फ़ाइल में, ऐप्लिकेशन तय किए जाते हैं. किसी एक ऐप्लिकेशन या किसी खास तरह की सभी ऐप्लिकेशन फ़ाइलों को ब्लॉक किया जा सकता है. जैसे, EXE या MSI फ़ाइलें.

पहला चरण: एक्सएमएल फ़ाइल में, अनुमति वाले और ब्लॉक किए गए ऐप्लिकेशन की जानकारी देना

एक्सएमएल फ़ाइल बनाने के लिए, PowerShell में कमांड लाइन या Windows Group Policy Editor में जीयूआई का इस्तेमाल किया जा सकता है. इन निर्देशों में, एक नीति बनाने का तरीका बताया गया है. हालांकि, एक ही फ़ाइल टाइप वाले ऐप्लिकेशन के लिए, मिलती-जुलती नीतियों को एक एक्सएमएल फ़ाइल में जोड़ा जा सकता है. उदाहरण देखें.

अहम जानकारी: अलग-अलग तरह की ऐप्लिकेशन फ़ाइलों (EXE, MSI, Script, StoreApps, और DLL) को ब्लॉक करने के लिए, आपको कस्टम सेटिंग बनानी होंगी.

पहला विकल्प—कमांड लाइन (PowerShell)

रैंडम जीयूआईडी पाने के लिए, ऑनलाइन जीयूआईडी जनरेटर का इस्तेमाल करें. अहम जानकारी: किसी सर्च इंजन में, online GUID generator खोजें.
अगर आपको किसी ऐप्लिकेशन को ब्लॉक करना है, तो ऐप्लिकेशन की जानकारी पाएं. अगर आपको किसी फ़ाइल टाइप वाले सभी ऐप्लिकेशन को ब्लॉक करना है, तो इस चरण को छोड़ा जा सकता है.
1. Windows डिवाइस पर, उस ऐप्लिकेशन की एक्ज़ीक्यूटेबल फ़ाइल (वह फ़ाइल जिसका नाम .exe से खत्म होता है) डाउनलोड करें जिसे आपको ब्लॉक या अनुमति देनी है.
2. PowerShell खोलें.
3. Get-AppLockerFileInformation -path PathToExe | format-list कमांड चलाएं. यहां PathToExe, एक्ज़ीक्यूटेबल फ़ाइल का पाथ है.
4. जवाब में, Publisher लाइन में मौजूद वैल्यू ढूंढें और उन्हें रिकॉर्ड करें. वैल्यू का फ़ॉर्मैट यह है. ये वैल्यू, एक्सएमएल में इस्तेमाल की जाने वाली वैल्यू से मेल खाती हैं:
  PublisherNameProductNameBinaryName,BinaryVersion
  
  पब्लिशर का नाम एक लंबी स्ट्रिंग होती है, जैसे कि O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. आपको पूरी स्ट्रिंग शामिल करनी होगी.
नीचे दिए गए XML को टेक्स्ट एडिटर में कॉपी करें:
<RuleCollection Type="Type" EnforcementMode="Enabled"> <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]> <Conditions> <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName> <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion /> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection>

प्लेसहोल्डर को उनकी वैल्यू से बदलने के लिए, एक्सएमएल में बदलाव करें. इस्तेमाल के कुछ खास उदाहरणों के लिए, उदाहरण देखें. जैसे, एक से ज़्यादा नीतियों को एक फ़ाइल में ग्रुप करना.

प्लेसहोल्डर	मान
टाइप	ऐप्लिकेशन फ़ाइल टाइप (ओएमए-यूआरआई से मेल खाना चाहिए): EXE फ़ाइलों के लिए, `"Exe"` डालें एमएसआई फ़ाइलों के लिए, `"Msi"` डालें स्क्रिप्ट फ़ाइलों के लिए, `"Script"` डालें DLL फ़ाइलों के लिए, `"Dll"` डालें Microsoft Store ऐप्लिकेशन के लिए, `"Appx"` डालें
GUID	वह GUID जिसे आपने पहले चरण में जनरेट किया था
PolicyName	नीति का नाम. किसी भी स्ट्रिंग का इस्तेमाल किया जा सकता है.
PolicyDescription	नीति के बारे में जानकारी
UserOrGroupSid	नीति जिन उपयोगकर्ताओं या ग्रुप पर लागू होती है: डिवाइस पर मौजूद सभी उपयोगकर्ताओं के लिए नीति लागू करने के लिए, S-1-1-0 डालें. किसी उपयोगकर्ता पर नीति लागू करने के लिए, उसका एसआईडी डालें. उनका SID पाने के लिए, कमांड लाइन में यह निर्देश चलाएं: *wmic username* get name,sid** यहां username, डिवाइस पर उपयोगकर्ता का उपयोगकर्ता नाम है. अगर आपको उपयोगकर्ता नाम नहीं पता है, तो डिवाइस पर मौजूद सभी उपयोगकर्ताओं की सूची पाने के लिए, यह कमांड चलाएं: wmic useraccount get name,sid सिर्फ़ एक उपयोगकर्ता नाम डाला जा सकता है. ज़्यादा उपयोगकर्ताओं पर नीति लागू करने के लिए, उपयोगकर्ताओं को किसी ग्रुप में जोड़ें या नीति को कॉपी करके उसका नाम अपडेट करें. किसी ग्रुप पर नीति लागू करने के लिए, उसका एसआईडी डालें. ग्रुप एसआईडी पाने के लिए, कमांड लाइन में यह निर्देश चलाएं: *wmic groupName* get name,sid** यहां groupName, डिवाइस पर मौजूद ग्रुप का नाम है. अगर आपको ग्रुप का नाम नहीं पता है, तो डिवाइस पर मौजूद सभी ग्रुप की सूची पाने के लिए, यह कमांड चलाएं: wmic group get name,sid
अनुमति दें\|अनुमति न दें	इस नीति के लिए कार्रवाई चुनें. इससे यह तय होगा कि नीति में बताए गए ऐप्लिकेशन को ब्लॉक करना है या अनुमति देनी है
PublisherName	ऐप्लिकेशन के पब्लिशर का नाम (दूसरे चरण में बताया गया PublisherName). &ast; वाइल्डकार्ड का इस्तेमाल किया जा सकता है. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड का इस्तेमाल नहीं किया जा सकता.
BinaryName	बाइनरी का फ़ाइल नाम (दूसरे चरण में दिया गया BinaryName). &ast; वाइल्डकार्ड का इस्तेमाल किया जा सकता है. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड का इस्तेमाल नहीं किया जा सकता. उदाहरण के लिए, सभी EXE फ़ाइलों को ब्लॉक करने के लिए, &ast; डालें. इसके बाद, कस्टम सेटिंग जोड़ते समय, उस ओएमए-यूआरआई को चुनें जो /EXE/Policy पर खत्म होता है.
ProductName	प्रॉडक्ट का नाम (दूसरे चरण में दिया गया ProductName). &ast; वाइल्डकार्ड का इस्तेमाल किया जा सकता है. हालांकि, रेगुलर एक्सप्रेशन मैचिंग और प्रीफ़िक्स या सफ़िक्स वाइल्डकार्ड का इस्तेमाल नहीं किया जा सकता.
latestVersion	ऐप्लिकेशन का नया वर्शन नंबर, जिस पर यह नीति लागू होती है. ऐप्लिकेशन के सभी वर्शन को ब्लॉक करने के लिए, &ast; डालें.
earliestVersion	ऐप्लिकेशन का सबसे पुराना वर्शन नंबर, जिस पर यह नीति लागू होती है. ऐप्लिकेशन के सभी वर्शन को ब्लॉक करने के लिए, &ast; डालें.

फ़ाइल सेव करें.

दूसरा विकल्प–जीयूआई (Windows Groups Policy Editor)

Microsoft के इस लेख में, "एक्सएमएल जनरेट करना" सेक्शन में दिए गए निर्देशों का पालन करें. "नीति बनाना" सेक्शन पर पहुंचने के बाद, निर्देशों का पालन करना बंद कर दें.
ध्यान दें: इन निर्देशों में, डिवाइस पर इंस्टॉल किए गए ऐप्लिकेशन के लिए नीति बनाने का तरीका बताया गया है. अगर आपको किसी ऐसे ऐप्लिकेशन के लिए नीति बनानी है जो डिवाइस पर इंस्टॉल नहीं है, तो छठे चरण में पैकेज किए गए ऐप्लिकेशन इंस्टॉलर को रेफ़रंस के तौर पर इस्तेमाल करें को चुनें.
एक्सएमएल फ़ाइल एक्सपोर्ट करने के बाद, ग्रुप पॉलिसी एडिटर में जाकर, बनाई गई नीति को हटाएं. ऐसा न करने पर, डिवाइस पर नीति लागू कर दी जाती है.

दूसरा चरण: कस्टम सेटिंग जोड़ना

Google Admin console में, मेन्यू डिवाइस मोबाइल और एंडपॉइंट सेटिंग Windows पर जाएं.

Windows पर जाएं

इसके लिए, आपके पास सेवाएं और डिवाइस से जुड़ा एडमिन का अधिकार होना चाहिए.
कस्टम सेटिंग पर क्लिक करें.
कस्टम सेटिंग जोड़ें पर क्लिक करें.
कस्टम सेटिंग कॉन्फ़िगर करें:
1. ओएमए-यूआरआई फ़ील्ड में, ApplicationLaunchRestriction डालें. इसके बाद, नीति में मौजूद ऐप्लिकेशन के फ़ाइल टाइप से मेल खाने वाला ओएमए-यूआरआई चुनें:
  - EXE फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy चुनें.
  - Microsoft Store में उपलब्ध ऐप्लिकेशन के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy चुनें
  - एमएसआई फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy चुनें
  - PowerShell स्क्रिप्ट के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy चुनें
  - DLL फ़ाइलों के लिए, ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy चुनें
  ज़्यादा जानकारी के लिए, Microsoft का AppLocker CSP दस्तावेज़ देखें.
2. OMA-URI में, <Enter Grouping> को अक्षरों और अंकों से बनी ऐसी रैंडम स्ट्रिंग से बदलें जो हर कस्टम सेटिंग के लिए यूनीक हो. उदाहरण के लिए, अगर आपको EXE फ़ाइलों को ब्लॉक करने के लिए एक कस्टम सेटिंग और MSI फ़ाइलों को ब्लॉक करने के लिए दूसरी सेटिंग जोड़नी है, तो हर कस्टम सेटिंग के लिए अलग-अलग वैल्यू का इस्तेमाल करें.
3. OMA-URI चुनने पर, नाम फ़ील्ड "नीति" के तौर पर अपडेट हो जाता है. कोई ऐसा नाम डालें जिससे आपको कस्टम सेटिंग की सूची में इसकी पहचान करने में मदद मिल सके.
4. डेटा टाइप के लिए, स्ट्रिंग (एक्सएमएल) चुनें. इसके बाद, एक्सएमएल अपलोड करें पर क्लिक करें और पहले सेक्शन में बनाई गई एक्सएमएल कॉन्फ़िगरेशन फ़ाइल चुनें.
5. (ज़रूरी नहीं) कस्टम सेटिंग के बारे में जानकारी डालें. साथ ही, यह बताएं कि यह सेटिंग किस कार्रवाई पर लागू होती है और किस पर नहीं.
आगे बढ़ने के लिए, आगे बढ़ें पर क्लिक करें और संगठन की वह इकाई चुनें जिस पर कस्टम सेटिंग लागू होती है. इसके अलावा, कोई दूसरी कस्टम सेटिंग शुरू करने के लिए, एक और जोड़ें पर क्लिक करें. जब तक अगला पर क्लिक करके संगठन की इकाई नहीं चुनी जाती, तब तक किसी संगठन की इकाई पर अतिरिक्त नीतियां लागू नहीं होती हैं.
वह संगठनात्मक इकाई चुनें जिस पर नीति लागू करनी है.
लागू करें पर क्लिक करें.

अगर संगठन की इकाई का कोई उपयोगकर्ता, अपने Windows डिवाइस पर ब्लॉक किया गया ऐप्लिकेशन इंस्टॉल करने या खोलने की कोशिश करता है, तो उसे गड़बड़ी का एक मैसेज मिलता है. इसमें बताया जाता है कि ऐप्लिकेशन को सिस्टम एडमिन ने ब्लॉक किया है.

एक्सएमएल फ़ाइलों के उदाहरण

सिर्फ़ हस्ताक्षर किए गए ऐप्लिकेशन को अनुमति दें (बिना हस्ताक्षर वाले सभी ऐप्लिकेशन को ब्लॉक करें)

इस नीति की मदद से, उपयोगकर्ताओं को सिर्फ़ ऐसे ऐप्लिकेशन इंस्टॉल करने की अनुमति मिलती है जिन पर हस्ताक्षर किए गए हैं. इससे उपयोगकर्ताओं को ऐसे ऐप्लिकेशन इंस्टॉल करने से भी रोका जा सकता है जिन पर हस्ताक्षर नहीं किए गए हैं. साथ ही, ओएमए-यूआरआई में बताए गए फ़ाइल टाइप वाले ऐप्लिकेशन इंस्टॉल करने से भी रोका जा सकता है.

सभी फ़ाइल टाइप के लिए, बिना हस्ताक्षर वाले सभी ऐप्लिकेशन को ब्लॉक करने के लिए, हर फ़ाइल टाइप के लिए कस्टम सेटिंग जोड़ें. साथ ही, वैल्यू के लिए इस एक्सएमएल का इस्तेमाल करें.

ध्यान दें: RuleCollection में, Type का फ़ाइल टाइप, ऐप्लिकेशन के फ़ाइल टाइप से मेल खाना चाहिए. यह वैल्यू, EXE फ़ाइलों के लिए "Exe", MSI फ़ाइलों के लिए "Msi", स्क्रिप्ट फ़ाइलों के लिए "Script", DLL फ़ाइलों के लिए "Dll" या StoreApps के लिए "Appx" हो सकती है. FilePublisherRule में, GUID को ऑनलाइन GUID जनरेटर से मिले किसी रैंडम GUID से बदलें.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

चुनिंदा ऐप्लिकेशन ब्लॉक करना

ऐप्लिकेशन ब्लॉक करने के लिए, आपको एक <FilePublisherRule> सेक्शन शामिल करना होगा. इससे ऐप्लिकेशन को अनुमति दी जा सकेगी. साथ ही, आपको हर उस ऐप्लिकेशन के लिए <FilePublisherRule> ब्लॉक करने का विकल्प शामिल करना होगा जिसे ब्लॉक करना है.

सामान्य फ़ॉर्मैट यह है:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>

ध्यान दें: RuleCollection में, Type को ऐप्लिकेशन फ़ाइल टाइप से मैच होना चाहिए. यह वैल्यू, EXE फ़ाइलों के लिए "Exe", MSI फ़ाइलों के लिए "Msi", स्क्रिप्ट फ़ाइलों के लिए "Script", DLL फ़ाइलों के लिए "Dll" या StoreApps के लिए "Appx" हो सकती है. FilePublisherRule में, GUID को ऑनलाइन GUID जनरेटर से मिले किसी रैंडम GUID से बदलें.

उदाहरण के लिए, यह नीति उपयोगकर्ताओं को "ऐप्लिकेशन A" और "ऐप्लिकेशन B", दोनों को चलाने से रोकती है. ये दोनों EXE फ़ाइलें हैं:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Windows ऑपरेटिंग सिस्टम में बंडल किए गए ऐप्लिकेशन ब्लॉक करना

यह सैंपल, Microsoft के दस्तावेज़ में दिए गए उदाहरण पर आधारित है. यह उपयोगकर्ताओं को Windows Mail का इस्तेमाल करने से रोकता है. इसका इस्तेमाल करने से पहले, GUID को ऑनलाइन GUID जनरेटर से मिले किसी रैंडम GUID से बदलें.

ध्यान दें: यह ऐप्लिकेशन फ़ाइल, Microsoft Store ऐप्लिकेशन है. इसलिए, ओएमए-यूआरआई ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy होना चाहिए.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

Google, Google Workspace, और इनसे जुड़े चिह्न और लोगो, Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.