Bloccare le app sui dispositivi Windows 10 o Windows 11 mediante impostazioni personalizzate

Versioni supportate per questa funzionalità: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard ed Enterprise Plus; Education Standard, Education Plus ed Endpoint Education Upgrade; Enterprise Essentials ed Enterprise Essentials Plus; Cloud Identity Premium.  Confronta la tua versione

Quando gestisci dispositivi Windows nella tua organizzazione con Gestione dei dispositivi Windows, puoi limitare le app consentite su tali dispositivi aggiungendo impostazioni personalizzate nella Console di amministrazione Google. Puoi specificare le app in un file XML che carichi come valore dell'impostazione personalizzata. Puoi bloccare singole app o tutti i file delle app che corrispondono a un determinato tipo, ad esempio i file EXE o MSI.

Passaggio 1: specifica le app consentite e bloccate in un file XML

Per creare il file XML, puoi utilizzare la riga di comando in PowerShell o la GUI nell'Editor Criteri di gruppo di Windows. Queste istruzioni illustrano come creare un singolo criterio, ma si possono combinare criteri correlati relativi ad app che condividono il tipo di file in un unico file XML. Vedi gli esempi.

Importante: per bloccare diversi tipi di file delle app (EXE, MSI, script, DLL e app del Microsoft Store), devi creare impostazioni personalizzate distinte.

Opzione 1: riga di comando (PowerShell)

  1. Utilizza uno strumento per la generazione di GUID online per ottenere un GUID casuale. Suggerimento: cerca online GUID generator in un motore di ricerca.
  2. Se vuoi bloccare un'app specifica, devi trovare le informazioni su quell'app. Se vuoi bloccare tutte le app con un determinato tipo di file, puoi saltare questo passaggio.
    1. Su un dispositivo Windows, scarica il file eseguibile dell'app (quello che termina con .exe) che vuoi bloccare o consentire.
    2. Apri PowerShell.
    3. Esegui Get-AppLockerFileInformation -path PercorsoFileExe | format-list, dove PercorsoFileExe è il percorso del file eseguibile.
    4. Nella risposta, trova e prendi nota dei valori riportati nella riga Publisher. I valori hanno il seguente formato e corrispondono ai valori che utilizzerai nel file XML:

      NomePublisherNomeProdottoNomeFileBinario,VersioneFileBinario

      Il nome del publisher è una stringa lunga, ad esempio O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. Devi includere l'intera stringa.

  3. Copia il seguente codice XML in un editor di testo:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. Modifica il file XML sostituendo i segnaposto con i relativi valori. Per casi d'uso specifici, come il raggruppamento di più criteri in un unico file, vedi gli esempi.
    Segnaposto Valore
    Tipo

    Il tipo di file dell'app (deve corrispondere all'URI OMA):

    • Per i file EXE, inserisci "Exe"
    • Per i file MSI, inserisci "Msi"
    • Per i file di script, inserisci "Script"
    • Per i file DLL, inserisci "Dll"
    • Per le app del Microsoft Store, inserisci "Appx"
    GUID Il GUID generato nel passaggio 1
    PolicyName Un nome da assegnare al criterio. Puoi utilizzare qualsiasi stringa.
    PolicyDescription Una descrizione del criterio
    UserOrGroupSid Gli utenti o i gruppi a cui si applica il criterio:
    • Per applicare il criterio a tutti gli utenti presenti sul dispositivo, inserisci S-1-1-0.
    • Per applicare il criterio a un utente specifico, inserisci il suo SID. Per ottenere il SID, nella riga di comando, esegui:

      wmic nomeutente get name,sid

      dove nomeutente è il nome utente dell'utente sul dispositivo. Se non conosci il nome utente, per avere un elenco di tutti gli utenti sul dispositivo, esegui:

      wmic useraccount get name,sid

    • Puoi inserire un solo nome utente. Per applicare il criterio a più utenti, inserisci gli utenti in un gruppo oppure copia il criterio e aggiorna il nome.

    • Per applicare il criterio a un gruppo specifico, inserisci il relativo SID. Per ottenere il SID di gruppo, nella riga di comando, esegui:

      wmic groupName get name,sid

      dove groupName è il nome del gruppo sul dispositivo. Se non conosci il nome del gruppo, per avere un elenco di tutti i gruppi sul dispositivo, esegui:

      wmic group get name,sid
    Allow|Deny Seleziona l'azione per questo criterio, ossia se le app specificate debbano essere bloccate o consentite.
    PublisherName Il nome del publisher dell'app (NomePublisher nel passaggio 2). Puoi utilizzare il carattere jolly &ast;, ma la ricerca di corrispondenze tramite espressioni regolari e i caratteri jolly per prefisso o suffisso non sono supportati.
    BinaryName

    Il nome del file binario (NomeFileBinario nel passaggio 2). Puoi utilizzare il carattere jolly &ast;, ma la ricerca di corrispondenze tramite espressioni regolari e i caratteri jolly per prefisso o suffisso non sono supportati.

    Ad esempio, per bloccare tutti i file EXE, inserisci * e, quando aggiungi l'impostazione personalizzata, seleziona l'URI OMA che termina con /EXE/Policy.
    ProductName Il nome del prodotto (NomeProdotto nel passaggio 2). Puoi utilizzare il carattere jolly &ast;, ma la ricerca di corrispondenze tramite espressioni regolari e i caratteri jolly per prefisso o suffisso non sono supportati.
    latestVersion Il numero della versione più recente dell'app a cui si applica questo criterio. Per bloccare tutte le versioni dell'app, inserisci &ast;.
    earliestVersion Il numero della versione più datata dell'app a cui si applica questo criterio. Per bloccare tutte le versioni dell'app, inserisci &ast;.

  5. Salva il file.

Opzione 2: GUI (Editor Criteri di gruppo di Windows)

  1. Segui le istruzioni nella sezione relativa alla generazione del file XML di questo articolo di Microsoft. Smetti di seguire le istruzioni quando arrivi alla sezione relativa alla creazione dei criteri.

    Nota:queste istruzioni descrivono come creare un criterio per un'app installata sul dispositivo. Per creare un criterio per un'app che non è installata sul dispositivo, nel passaggio 6 seleziona Utilizza un programma di installazione di app in pacchetto come riferimento.

  2. Dopo aver esportato il file XML, rimuovi il criterio creato nell'Editor Criteri di gruppo. In caso contrario, il criterio verrà applicato sul dispositivo.

Passaggio 2: aggiungi l'impostazione personalizzata

  1. Nella Console di amministrazione Google, vai a Menu e poi Dispositivi e poiDispositivi mobili ed endpoint e poiImpostazioni e poiWindows

    È necessario disporre del privilegio di amministratore Servizi e dispositivi.

  2. Fai clic su Impostazioni personalizzate.
  3. Fai clic su Aggiungi un'impostazione personalizzata.

  4. Configura l'impostazione personalizzata:

    1. Nel campo URI OMA, inserisci ApplicationLaunchRestriction e seleziona l'URI OMA corrispondente al tipo di file dell'app specificato nel criterio:

      • Per i file EXE, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/EXE/Policy.
      • Per le app disponibili nel Microsoft Store, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/AppStore/Policy
      • Per i file MSI, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/MSI/Policy
      • Per gli script PowerShell, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/Script/Policy
      • Per i file DLL, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/DLL/Policy

      Per ulteriori informazioni, consulta la documentazione su AppLocker CSP di Microsoft.

    2. Nell'URI OMA, sostituisci <Enter Grouping> con una stringa alfanumerica casuale univoca per ciascuna impostazione personalizzata. Ad esempio, se aggiungi un'impostazione personalizzata per bloccare i file EXE e un'altra impostazione per bloccare i file MSI, utilizza un valore diverso per ciascuna impostazione personalizzata.

    3. Quando selezioni l'URI OMA, il campo Nome si aggiorna e diventa "Policy" (Criterio). Inserisci un nome univoco per identificarlo nell'elenco delle impostazioni personalizzate.

    4. In Tipo di dati, seleziona Stringa (XML), fai clic su Carica XML e seleziona il file di configurazione XML che hai creato nella prima sezione.

    5. (Facoltativo) Inserisci una descrizione in cui sia indicata l'azione eseguita dall'impostazione personalizzata e a chi verrà applicata.

  5. Fai clic su Avanti per continuare e seleziona l'unità organizzativa a cui si applica l'impostazione personalizzata oppure fai clic su Aggiungi un altro per iniziare a configurarne un'altra. I criteri aggiuntivi non vengono applicati a un'unità organizzativa finché non fai clic su Avanti e selezioni l'unità organizzativa.

  6. Scegli l'unità organizzativa a cui applicare i criteri.

  7. Fai clic su Applica.

Se un utente dell'unità organizzativa tenta di installare o aprire un'app bloccata sul proprio dispositivo Windows, verrà visualizzato un messaggio di errore che informa che l'app è stata bloccata dall'amministratore di sistema.

File XML di esempio

Consentire solo le app firmate (bloccare tutte le app non firmate)

Questo criterio consente agli utenti di installare solo app firmate e quindi impedisce l'installazione di app non firmate con il tipo di file specificato nell'URI OMA.

Per bloccare tutte le app non firmate per tutti i tipi di file, aggiungi un'impostazione personalizzata per ogni tipo di file e utilizza il seguente codice XML per il valore.

Nota:in RuleCollection, Type deve corrispondere al tipo di file dell'app. Il valore può essere "Exe" per i file EXE, "Msi" per i file MSI, "Script" per i file Script, "Dll" per i file DLL o "Appx" per StoreApps. In FilePublisherRule, sostituisci GUID con un GUID casuale che puoi ricavare tramite uno strumento per la generazione di GUID online. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

Bloccare app specifiche

Per bloccare le app, devi includere una sezione <FilePublisherRule> che consenta le app e i blocchi <FilePublisherRule> per ogni app che vuoi bloccare.

Il formato generale è:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 Nota:in RuleCollection, Type deve corrispondere al tipo di file dell'app. Il valore può essere "Exe" per i file EXE, "Msi" per i file MSI, "Script" per i file Script, "Dll" per i file DLL o "Appx" per StoreApps. In FilePublisherRule, sostituisci GUID con un GUID casuale che puoi ricavare tramite uno strumento per la generazione di GUID online.

Ad esempio, questo criterio impedisce agli utenti di eseguire sia l'"App A" sia l'"App B", che sono file EXE:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Bloccare le app integrate nel sistema operativo Windows

Questo esempio, basato sull'esempio riportato nella documentazione Microsoft, impedisce agli utenti di utilizzare Windows Mail. Prima di utilizzarlo, sostituisci GUID con un GUID casuale che puoi ricavare tramite uno strumento per la generazione di GUID online.

Nota: questo è un file di un'app del Microsoft Store, quindi l'URI OMA deve essere ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.