Blokowanie aplikacji na urządzeniach z systemem Windows 10 lub 11 za pomocą ustawień niestandardowych

Ta funkcja jest dostępna w tych wersjach: Frontline Starter, Frontline Standard i Frontline Plus; Business Plus; Enterprise Standard i Enterprise Plus; Education Standard, Education Plus i Endpoint Education Upgrade; Enterprise Essentials i Enterprise Essentials Plus; Cloud Identity Premium.  Porównanie wersji

Jeśli w swojej organizacji korzystasz z usługi zarządzania urządzeniami z systemem Windows, możesz określić, które aplikacje będą dozwolone na tych urządzeniach, dodając ustawienia niestandardowe w konsoli administracyjnej Google. Aplikacje określasz w pliku XML, który przesyłasz jako wartość ustawienia niestandardowego. Możesz blokować poszczególne aplikacje lub wszystkie pliki aplikacji odpowiadające określonemu typowi, na przykład EXE lub MSI.

Krok 1. Określ dozwolone i blokowane aplikacje w pliku XML

Aby utworzyć plik XML, możesz użyć wiersza polecenia w PowerShell lub GUI w edytorze zasad grupy systemu Windows. W dalszej części tego artykułu znajdziesz instrukcje dotyczące tworzenia jednej zasady, ale w przypadku większej liczby aplikacji obsługujących plik tego samego typu możesz połączyć dotyczące ich zasady w jednym pliku XML. Zobacz przykłady.

Ważne: aby zablokować różne typy plików aplikacji (EXE, MSI, DLL, skrypty, pliki aplikacji ze sklepu Microsoft), musisz utworzyć osobne ustawienia niestandardowe.

Opcja 1. Wiersz poleceń (PowerShell)

  1. Użyj generatora identyfikatorów GUID online, aby uzyskać losowy identyfikator GUID. Wskazówka: w wyszukiwarce poszukaj online GUID generator.
  2. Jeśli chcesz zablokować konkretną aplikację, znajdź informacje na jej temat. Jeśli chcesz zablokować wszystkie aplikacje o określonym typie pliku, możesz pominąć ten krok.
    1. Na urządzeniu z systemem Windows pobierz plik wykonywalny aplikacji (plik z końcówką .exe), którą chcesz dodać jako zablokowaną lub dozwoloną.
    2. Otwórz PowerShell.
    3. Uruchom polecenie Get-AppLockerFileInformation -path PathToExe | format-list, gdzie PathToExe to ścieżka pliku wykonywalnego.
    4. W odpowiedzi znajdź i zapisz wartości znajdujące się w wierszu Publisher. Wartości mają format przedstawiony poniżej i odpowiadają wartościom, których użyjesz w pliku XML:

      PublisherNameProductNameBinaryName,BinaryVersion

      Nazwa wydawcy to długi ciąg tekstowy, np. O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. Musisz uwzględnić go w całości.

  3. Skopiuj zawartość pliku XML poniżej do edytora tekstu:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. Edytuj plik XML, aby zastąpić symbole zastępcze wartościami. Jeśli szukasz określonych przypadków użycia, np. grupowania wielu zasad w jednym pliku, zobacz te przykłady.
    Obiekt zastępczy Wartość
    Typ

    Typ pliku aplikacji (musi być zgodny z identyfikatorem OMA-URI):

    • W przypadku plików EXE wpisz "Exe"
    • W przypadku plików MSI wpisz "Msi"
    • w przypadku plików skryptu wpisz "Script"
    • W przypadku plików DLL wpisz "Dll"
    • W przypadku aplikacji ze sklepu Microsoft Store wpisz "Appx".
    GUID Identyfikator GUID wygenerowany w kroku 1
    PolicyName Nazwa zasady. Możesz użyć dowolnego ciągu tekstowego.
    PolicyDescription Opis zasady.
    UserOrGroupSid Użytkownicy lub grupy, do których stosowana jest zasada:
    • Aby zastosować zasadę do wszystkich użytkowników na urządzeniu, wpisz S-1-1-0.
    • Aby zastosować zasadę do określonego użytkownika, wpisz jego identyfikator SID. Aby go uzyskać, w wierszu polecenia wpisz i uruchom:

      wmic nazwa_użytkownika get name,sid

      gdzie nazwa_użytkownika to nazwa użytkownika urządzenia. Jeśli nie znasz nazwy użytkownika, wyświetl listę wszystkich użytkowników urządzenia, uruchamiając polecenie:

      wmic useraccount get name,sid

    • Możesz wpisać tylko jedną nazwę użytkownika. Aby zastosować zasadę do większej liczby użytkowników, umieść ich w grupie lub skopiuj daną zasadę i zaktualizuj nazwę.

    • Aby zastosować zasadę do określonej grupy, wpisz jej identyfikator SID. Aby go uzyskać, w wierszu polecenia wpisz i uruchom:

      wmic groupName get name,sid

      gdzie groupName to nazwa grupy na urządzeniu. Jeśli nie znasz nazwy grupy, uzyskaj listę wszystkich grup na urządzeniu, uruchamiając polecenie:

      wmic group get name,sid
    Allow|Deny Wybierz działanie dla zasady – czy ma ona blokować określone aplikacje czy na nie zezwalać.
    PublisherName Nazwa wydawcy aplikacji (PublisherName z kroku 2). Możesz użyć symbolu wieloznacznego *, ale symbole wieloznaczne wyrażenia regularnego, prefiksu lub sufiksu nie są obsługiwane.
    BinaryName

    Nazwa pliku binarnego (BinaryName z kroku 2). Możesz użyć symbolu wieloznacznego *, ale symbole wieloznaczne wyrażenia regularnego, prefiksu lub sufiksu nie są obsługiwane.

    Jeśli na przykład chcesz blokować wszystkie pliki EXE, wpisz *, a po dodaniu ustawienia niestandardowego wybierz identyfikator OMA-URI, który kończy się fragmentem /EXE/Policy.
    ProductName Nazwa produktu (ProductName z kroku 2). Możesz użyć symbolu wieloznacznego *, ale symbole wieloznaczne wyrażenia regularnego, prefiksu lub sufiksu nie są obsługiwane.
    latestVersion Numer najnowszej wersji aplikacji objętej daną zasadą. Aby zablokować wszystkie wersje aplikacji, wpisz *.
    earliestVersion Numer najstarszej wersji aplikacji objętej daną zasadą. Aby zablokować wszystkie wersje aplikacji, wpisz *.

  5. Zapisz plik.

Opcja 2 – GUI (edytor zasad grupy systemu Windows)

  1. Wykonaj instrukcje z sekcji „Generating the XML” (Generowanie pliku XML) artykułu firmy Microsoft. Przestań wykonywać te instrukcje, gdy dotrzesz do sekcji „Creating the Policy” (Tworzenie zasady).

    Uwaga: te instrukcje zawierają opis tworzenia zasady dla aplikacji, która jest zainstalowana na urządzeniu. Aby utworzyć zasadę dla aplikacji niezainstalowanej na danym urządzeniu, w kroku 6 wybierz Użyj aplikacji w pakiecie instalatora jako odniesienia.

  2. Po wyeksportowaniu pliku XML w edytorze zasad grupy usuń utworzoną zasadę. W przeciwnym razie zasada będzie stosowana na urządzeniu.

Krok 2. Dodaj ustawienie niestandardowe

  1. W konsoli administracyjnej Google otwórz Menu  a potem Urządzenia a potemUrządzenia mobilne i punkty końcowe a potemUstawienia a potemWindows

    Wymaga uprawnień administratora Usługi i urządzenia.

  2. Kliknij Ustawienia niestandardowe.
  3. Kliknij Dodaj ustawienie niestandardowe.

  4. Skonfiguruj ustawienie niestandardowe:

    1. W polu OMA-URI wpisz ApplicationLaunchRestriction i wybierz identyfikator OMA-URI odpowiadający typowi pliku aplikacji, który ma zostać objęty daną zasadą:

      • W przypadku plików EXE wybierz ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
      • W przypadku aplikacji dostępnych w sklepie Microsoft Store wybierz ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
      • W przypadku plików MSI wybierz ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
      • W przypadku skryptów PowerShell wybierz ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
      • W przypadku plików DLL wybierz ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy

      Więcej informacji znajdziesz w dokumentacji usługi AppLocker CSP firmy Microsoft.

    2. W identyfikatorze OMA-URI zastąp tag <Enter Grouping> losowym alfanumerycznym ciągiem tekstowym, który jest unikalny dla każdego ustawienia niestandardowego. Jeśli na przykład chcesz dodać jedno ustawienie niestandardowe, by blokować pliki EXE, i inne ustawienie, by blokować pliki MSI, dla każdego z tych ustawień użyj odrębnej wartości.

    3. Po wybraniu identyfikatora OMA-URI pole Name (Nazwa) zaktualizuje się na „Policy” (Zasada). Wpisz unikalną nazwę, która pomoże Ci identyfikować ustawienie na liście ustawień niestandardowych.

    4. W opcji Typ danych wybierz Tekst (XML), a następnie kliknij Prześlij plik XML i wybierz plik konfiguracji XML utworzony w pierwszej sekcji.

    5. (Opcjonalnie) Dodaj opis sposobu działania ustawienia niestandardowego, w tym informację na temat objętych nim użytkowników.

  5. Kliknij Dalej, aby wybrać jednostkę organizacyjną, której dotyczy ustawienie niestandardowe, lub kliknij Dodaj kolejną zasadę, aby dodać kolejne ustawienie. Dodatkowe zasady zostaną zastosowane do jednostki organizacyjnej dopiero po kliknięciu Dalej i wybraniu jednostki organizacyjnej.

  6. Wybierz jednostkę organizacyjną, do której chcesz zastosować zasadę.

  7. Kliknij Zastosuj.

Jeśli użytkownik w danej jednostce organizacyjnej spróbuje zainstalować lub otworzyć zablokowaną aplikację na urządzeniu z systemem Windows, zobaczy komunikat o błędzie wyjaśniający, że aplikacja została zablokowana przez administratora systemu.

Przykładowe pliki XML

Zezwalanie tylko na podpisane aplikacje (blokowanie wszystkich niepodpisanych aplikacji)

Ta zasada pozwala użytkownikom instalować tylko podpisane aplikacje. Blokuje ona jednocześnie instalowanie niepodpisanych aplikacji o typie pliku określonym w identyfikatorze OMA-URI.

Aby zablokować wszystkie niepodpisane aplikacje z wszystkimi typami plików, dodaj odpowiednie ustawienie niestandardowe dla każdego typu pliku, a jako wartości użyj pliku XML poniżej.

Uwaga: w tagu RuleCollection wartość Type musi odpowiadać typowi pliku aplikacji. Wartością może być "Exe" (pliki EXE), "Msi" (pliki MSI), "Script" (pliki skryptów), "Dll" (pliki DLL) lub "Appx" (pliki aplikacji dostępnych w sklepie Microsoft Store). W tagu FilePublisherRule zastąp ciąg GUID losowym identyfikatorem GUID uzyskanym z generatora identyfikatorów GUID online. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

blokować określone aplikacje;

Aby blokować aplikacje, musisz zawrzeć sekcję <FilePublisherRule>, która dopuści określone aplikacje, i bloki <FilePublisherRule> dla każdej blokowanej aplikacji.

Ogólny format to:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 Uwaga: w tagu RuleCollection wartość Type musi odpowiadać typowi pliku aplikacji. Wartością może być "Exe" (pliki EXE), "Msi" (pliki MSI), "Script" (pliki skryptów), "Dll" (pliki DLL) lub "Appx" (pliki aplikacji dostępnych w sklepie Microsoft Store). W tagu FilePublisherRule zastąp ciąg GUID losowym identyfikatorem GUID uzyskanym z generatora identyfikatorów GUID online.

Na przykład ta zasada uniemożliwi użytkownikom uruchomienie zarówno aplikacji „A”, jak i aplikacji „B” (obie o typu pliku EXE):

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Blokowanie aplikacji dołączonych do systemu operacyjnego Windows

Ten przykładowy kod (utworzony na podstawie dokumentacji firmy Microsoft) blokuje możliwość używania programu Poczta systemu Windows. Zanim go użyjesz, zastąp ciąg GUID losowym identyfikatorem GUID uzyskanym z generatora identyfikatorów GUID online.

Uwaga: ten plik jest aplikacją ze sklepu Microsoft Store, więc identyfikator OMA-URI musi mieć postać ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.