Bloquear apps em dispositivos Windows 10 ou 11 com configurações personalizadas

Edições compatíveis com este recurso: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard e Enterprise Plus; Education Standard, Education Plus e Endpoint Education Upgrade; Enterprise Essentials e Enterprise Essentials Plus; Cloud Identity Premium.  Comparar sua edição

Ao usar o gerenciamento de dispositivos Windows na sua organização, você pode adicionar configurações personalizadas ao Google Admin Console para restringir os apps permitidos nesses dispositivos. Você especifica os apps em um arquivo XML e faz upload desse arquivo como o valor da configuração personalizada. É possível bloquear apps específicos ou todos os arquivos de apps de um determinado tipo, como EXE ou MSI.

Etapa 1: especificar os apps permitidos e bloqueados em um arquivo XML

Para criar o arquivo XML, você pode usar a linha de comando no PowerShell ou a GUI no Editor de Política de Grupo do Windows. Estas instruções mostram como criar uma única política, mas você pode combinar políticas relacionadas para apps com o mesmo tipo de arquivo em um arquivo XML. Confira os exemplos.

Importante: para bloquear diferentes tipos de arquivo de app (EXE, MSI, Script, StoreApps e DLLs), você precisa criar configurações personalizadas separadas.

Opção 1: linha de comando (PowerShell)

  1. Use um gerador de identificador exclusivo global (GUID, na sigla em inglês) on-line para gerar um GUID aleatório. Dica: em um mecanismo de pesquisa, procure online GUID generator.
  2. Se você quiser bloquear um app específico, consulte as informações dele. Se quiser bloquear todos os apps com um determinado tipo de arquivo, pule esta etapa.
    1. Em um dispositivo Windows, faça o download do arquivo executável do app (que termina em .exe) que você quer bloquear ou permitir.
    2. Abra o PowerShell.
    3. Execute Get-AppLockerFileInformation -path PathToExe | format-list, em que PathToExe é o caminho para o arquivo executável.
    4. Na resposta, encontre e registre os valores na linha Publisher. Os valores têm o seguinte formato e correspondem aos que você usará no XML:

      PublisherNameProductNameBinaryName,BinaryVersion

      O nome do editor é uma string longa, como O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US, e você precisa incluir a string inteira.

  3. Copie o seguinte XML para um editor de texto:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. Edite o XML para substituir os marcadores pelos valores. Confira estes exemplos de casos de uso específicos, como o agrupamento de várias políticas em um arquivo.
    Placeholder Valor
    Tipo

    O tipo de arquivo do app (precisa corresponder ao OMA-URI):

    • Para arquivos EXE, insira "Exe"
    • Para arquivos MSI, digite "Msi"
    • Para arquivos de script, insira "Script"
    • Para arquivos DLL, insira "Dll"
    • Para apps da Microsoft Store, insira "Appx"
    GUID O GUID gerado na etapa 1.
    PolicyName Um nome para a política. Você pode usar qualquer string.
    PolicyDescription Uma descrição da política.
    UserOrGroupSid Os usuários ou grupos que utilizarão a política:
    • Para aplicar a política a todos os usuários no dispositivo, digite S-1-1-0.
    • Para aplicar a política a um usuário específico, digite o SID dele. Para saber o SID, na linha de comando, execute:

      wmic nomedeusuario get name,sid

      em que nomedeusuario é o nome de usuário do usuário no dispositivo. Se você não souber o nome de usuário, execute esta linha de comando para ver uma lista de todos os usuários no dispositivo:

      wmic useraccount get name,sid

    • Só é possível digitar um nome de usuário. Para aplicar a política a mais usuários, coloque-os em um grupo ou copie a política e atualize o nome.

    • Para aplicar a política a um grupo específico, digite o SID dele. Para saber o SID do grupo, na linha de comando, execute:

      wmic groupName get name,sid

      em que groupName é o nome do grupo no dispositivo. Se você não souber o nome do grupo, execute esta linha de comando para ver uma lista de todos os grupos no dispositivo:

      wmic group get name,sid
    Allow|Deny Selecione a ação desta política para especificar se ela bloqueia ou permite apps específicos.
    PublisherName O nome do editor do app (PublisherName da etapa 2). Você pode usar o caractere curinga &ast;, mas não é possível usar correspondência de expressões regulares e caracteres curinga de prefixo ou sufixo.
    BinaryName

    O nome de arquivo do binário (BinaryName da etapa 2). Você pode usar o caractere curinga &ast;, mas não é possível usar correspondência de expressões regulares e caracteres curinga de prefixo ou sufixo.

    Por exemplo, para bloquear todos os arquivos EXE, digite &ast; e selecione o OMA-URI que termina em /EXE/Policy ao adicionar a configuração personalizada.
    ProductName O nome do produto (ProductName da etapa 2). Você pode usar o caractere curinga &ast;, mas não é possível usar correspondência de expressões regulares e caracteres curinga de prefixo ou sufixo.
    latestVersion O número da versão mais recente do app que usa esta política. Para bloquear todas as versões do app, digite &ast;.
    earliestVersion O número da versão mais antiga do app que usa esta política. Para bloquear todas as versões do app, digite &ast;.

  5. Salve o arquivo.

Opção 2: GUI (Editor de Política de Grupo do Windows)

  1. Siga as instruções na seção "Generating the XML" (Como gerar o XML) deste artigo da Microsoft (em inglês). Pare de seguir as instruções quando chegar à seção "Creating the Policy" (Como criar a política).

    Observação:estas instruções descrevem como criar uma política para um app instalado no dispositivo. Para criar uma política para um app que não está instalado no dispositivo, selecione Usar instalador de apps empacotados como referência na etapa 6.

  2. Depois de exportar o arquivo XML, remova a política criada no Editor de Política de Grupo. Se você não fizer isso, ela será aplicada ao dispositivo.

Etapa 2: adicionar a configuração personalizada

  1. No Google Admin Console, acesse Menu e depois Dispositivos e depoisDispositivos móveis e endpoints e depoisConfigurações e depoisWindows

    É preciso ter o privilégio de admin Serviços e dispositivos.

  2. Clique em Configurações personalizadas.
  3. Clique em Adicionar uma configuração personalizada.

  4. Defina a configuração personalizada:

    1. No campo "OMA-URI", digite ApplicationLaunchRestriction e selecione o OMA-URI que corresponde ao tipo de arquivo do app na política:

      • Para arquivos EXE, selecione ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
      • Para apps disponíveis na Microsoft Store, selecione ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.
      • Para arquivos MSI, selecione ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy.
      • Para scripts do PowerShell, selecione ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy.
      • Para arquivos DLL, selecione ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy.

      Veja mais informações na documentação do provedor de serviços de configuração do AppLocker da Microsoft.

    2. No OMA-URI, substitua <Enter Grouping> por uma string alfanumérica aleatória e exclusiva para cada configuração personalizada. Por exemplo, se você adicionar uma configuração personalizada para bloquear arquivos EXE e outra para bloquear arquivos MSI, use um valor diferente para cada configuração.

    3. Quando você seleciona o OMA-URI, o campo Nome é atualizado para "Política". Digite um nome exclusivo para ajudar a identificá-lo na lista de configurações personalizadas.

    4. Em Tipo de dado, selecione String (XML), clique em Fazer upload de XML e selecione o arquivo de configuração XML criado na primeira seção.

    5. (Opcional) Digite uma descrição da ação da configuração personalizada e a quem ela se aplica.

  5. Clique em Próxima para selecionar a unidade organizacional em que a configuração personalizada é usada ou clique em Adicionar outra. As políticas adicionais só serão aplicadas a uma unidade organizacional quando você clicar em Próxima e selecionar a unidade organizacional.

  6. Escolha uma unidade organizacional para aplicar a política.

  7. Clique em Aplicar.

Se um usuário na unidade organizacional tentar instalar ou abrir um app bloqueado no dispositivo Windows, ele vai receber uma mensagem de erro informando que o app foi bloqueado pelo administrador do sistema.

Exemplos de arquivos XML

Permitir apenas apps assinados (bloquear todos os apps não assinados)

Esta política permite que os usuários instalem apenas apps assinados, o que também impede a instalação de apps não assinados com o tipo de arquivo especificado no OMA-URI.

Se você quiser bloquear todos os apps não assinados para todos os tipos de arquivo, adicione uma configuração personalizada para cada tipo de arquivo e defina o valor usando o XML abaixo.

Observação:em RuleCollection, Type precisa corresponder ao tipo de arquivo do app. O valor pode ser "Exe" para arquivos EXE, "Msi" para arquivos MSI, "Script" para arquivos de script, "Dll" para arquivos de DLL ou "Appx" para StoreApps. Em FilePublisherRule, substitua GUID por um identificador exclusivo global (GUID, na sigla em inglês) aleatório recebido de um gerador de GUID on-line. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

Bloquear apps específicos

Para bloquear apps, você precisa incluir uma seção <FilePublisherRule> que permita apps e blocos <FilePublisherRule> para cada app que será bloqueado.

Este é o formato geral:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 Observação:em RuleCollection, Type precisa corresponder ao tipo de arquivo do app. O valor pode ser "Exe" para arquivos EXE, "Msi" para arquivos MSI, "Script" para arquivos de script, "Dll" para arquivos de DLL ou "Appx" para StoreApps. Em FilePublisherRule, substitua GUID por um identificador exclusivo global (GUID, na sigla em inglês) aleatório recebido de um gerador de GUID on-line.

Por exemplo, esta política impede que os usuários executem os apps "A" e "B", que são arquivos EXE como:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Bloquear apps incluídos no sistema operacional Windows

Este exemplo, com base na documentação da Microsoft, impede que os usuários utilizem o Windows Mail. Antes de usar, substitua GUID por um GUID aleatório recebido de um gerador de GUID on-line.

Observação:esse arquivo é de um app da Microsoft Store, por isso o OMA-URI precisa ser ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.