Эта страница переведена с помощью Cloud Translation API.

Блокировка приложений на устройствах с Windows 10 или 11 с помощью пользовательских настроек.

Поддерживаемые версии для этой функции: Frontline Starter, Frontline Standard и Frontline Plus; Business Plus; Enterprise Standard и Enterprise Plus; Education Standard, Education Plus и Endpoint Education Upgrade; Enterprise Essentials и Enterprise Essentials Plus; Cloud Identity Premium. Сравните свою версию .

При управлении устройствами Windows в вашей организации с помощью функции управления устройствами Windows вы можете ограничить доступ к определенным приложениям на этих устройствах, добавив пользовательские настройки в консоли администратора Google. Приложения указываются в XML-файле, который вы загружаете в качестве значения пользовательской настройки. Вы можете заблокировать отдельные приложения или все файлы приложений, соответствующие определенному типу, например, файлы EXE или MSI.

Шаг 1: Укажите разрешенные и заблокированные приложения в XML-файле.

Для создания XML-файла можно использовать командную строку в PowerShell или графический интерфейс редактора групповых политик Windows. В этих инструкциях показано, как создать единую политику, но вы можете объединить связанные политики для приложений с одинаковым типом файла в одном XML-файле. См. примеры .

Важно : для блокировки различных типов файлов приложений (EXE, MSI, скрипты, файлы StoreApps и DLL) необходимо создать отдельные пользовательские настройки.

Вариант 1 — Командная строка (PowerShell)

Воспользуйтесь онлайн-генератором GUID, чтобы получить случайный GUID. Совет : в поисковой системе введите в поиск online GUID generator .
Если вы хотите заблокировать конкретное приложение, получите информацию о нем. Если вы хотите заблокировать все приложения с определенным типом файлов, этот шаг можно пропустить.
1. На устройстве под управлением Windows загрузите исполняемый файл приложения (тот, который заканчивается на .exe), который вы хотите заблокировать или разрешить.
2. Откройте PowerShell.
3. Выполните команду Get-AppLockerFileInformation -path PathToExe | format-list , где PathToExe — это путь к исполняемому файлу.
4. В ответе найдите и запишите значения в строке Publisher . Значения имеют следующий формат и соответствуют значениям, которые вы будете использовать в XML:
  PublisherName ProductName BinaryName , BinaryVersion
  Название издателя представляет собой длинную строку, например, O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US , и вы должны указать всю строку целиком.
Скопируйте следующий XML-код в текстовый редактор:
<RuleCollection Type=" Type " EnforcementMode="Enabled"> <FilePublisherRule Id= GUID Name= PolicyName Description= PolicyDescription UserOrGroupSid= UserOrGroupSid Action=[Allow|Deny]> <Conditions> <FilePublisherCondition PublisherName= PublisherName BinaryName= BinaryName ProductName= ProductName > <BinaryVersionRange HighSection= latestVersion LowSection= earliestVersion /> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection>

Отредактируйте XML-файл, заменив заполнители их значениями. Примеры конкретных случаев, например, группировки нескольких политик в один файл, см. в документации .

Заполнитель	Ценить
Тип	Тип файла приложения (должен соответствовать OMA-URI): Для файлов EXE введите `"Exe"` . Для файлов MSI введите `"Msi"` . Для файлов сценариев введите `"Script"` . Для DLL-файлов введите `"Dll"` . Для приложений из Microsoft Store введите `"Appx"` .
ГУИД	GUID, который вы сгенерировали на шаге 1.
PolicyName	Название политики. Вы можете использовать любую строку.
Описание политики	Описание политики
UserOrGroupSid	К пользователям или группам, на которых распространяется действие политики: Чтобы применить политику ко всем пользователям устройства, введите S-1-1-0 . Чтобы применить политику к конкретному пользователю, введите его SID. Чтобы получить SID пользователя, в командной строке выполните: *wmic username* get name,sid** где username — это имя пользователя на устройстве. Если имя пользователя вам неизвестно, получите список всех пользователей на устройстве, выполнив команду: wmic useraccount get name,sid Можно ввести только одно имя пользователя. Чтобы применить политику к нескольким пользователям, либо объедините их в группу, либо скопируйте политику и обновите имя. Чтобы применить политику к конкретной группе, введите ее SID. Чтобы получить SID группы, в командной строке выполните следующую команду: *wmic groupName* get name,sid** где groupName — это имя группы на устройстве. Если вы не знаете имя группы, вы можете получить список всех групп на устройстве, выполнив команду: wmic group get name,side
Разрешить\|Запретить	Выберите действие для этой политики: блокировать или разрешать указанные приложения.
PublisherName	Имя издателя приложения (PublisherName из шага 2). Вы можете использовать символ подстановки * , но сопоставление с помощью регулярных выражений, а также символы подстановки в виде префикса или суффикса не поддерживаются.
BinaryName	Имя файла исполняемого файла (BinaryName из шага 2). Можно использовать символ подстановки * , но сопоставление с помощью регулярных выражений, а также символы подстановки в префиксе или суффиксе не поддерживаются. Например, чтобы заблокировать все EXE-файлы, введите * и при добавлении пользовательской настройки выберите OMA-URI, заканчивающийся на /EXE/Policy .
Название продукта	Название продукта (ProductName из шага 2). Вы можете использовать символ подстановки * , но сопоставление с помощью регулярных выражений, а также префиксные или суффиксные символы подстановки не поддерживаются.
последняя версия	Номер последней версии приложения, на которую распространяется данная политика. Чтобы заблокировать все версии приложения, введите * .
earliestVersion	Номер самой ранней версии приложения, на которую распространяется данная политика. Чтобы заблокировать все версии приложения, введите *.

Сохраните файл.

Вариант 2 – Графический интерфейс пользователя (редактор групповых политик Windows)

Следуйте инструкциям в разделе «Генерация XML» этой статьи Microsoft . Прекратите следовать инструкциям, когда дойдете до раздела «Создание политики».
Примечание: В этих инструкциях описано, как создать политику для приложения, установленного на устройстве. Чтобы создать политику для приложения, не установленного на устройстве, на шаге 6 выберите «Использовать установщик приложения в качестве примера» .
После экспорта XML-файла в редакторе групповых политик удалите созданную вами политику. В противном случае политика будет применена к устройству.

Шаг 2: Добавьте пользовательские настройки

В консоли администратора Google перейдите в меню. Устройства Мобильные устройства и конечные точки Настройки Windows .
Перейдите в меню «Окна»
Для этого требуются права администратора служб и устройств .
Нажмите «Пользовательские настройки».
Нажмите «Добавить пользовательскую настройку».
Настройте пользовательские параметры:
1. В поле OMA-URI введите ApplicationLaunchRestriction и выберите OMA-URI, соответствующий типу файла приложения в политике:
  - Для файлов EXE выберите ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Введите группу>/EXE/Policy .
  - Для приложений, доступных в Microsoft Store, выберите ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Введите группу>/AppStore/Policy
  - Для файлов MSI выберите ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Введите группу>/MSI/Policy
  - Для сценариев PowerShell выберите ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Введите группу>/Script/Policy
  - Для DLL-файлов выберите ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Введите группу>/DLL/Policy
  Для получения более подробной информации см. документацию Microsoft AppLocker CSP .
2. В поле OMA-URI замените <Enter Grouping> случайной буквенно-цифровой строкой, уникальной для каждой пользовательской настройки. Например, если вы добавляете одну пользовательскую настройку для блокировки файлов EXE, а другую — для блокировки файлов MSI, используйте разные значения для каждой пользовательской настройки.
3. При выборе OMA-URI поле «Имя » обновляется до «Политика». Введите уникальное имя, чтобы упростить идентификацию этого параметра в списке пользовательских настроек.
4. В поле «Тип данных» выберите «Строка (XML)» , нажмите «Загрузить XML» и выберите файл конфигурации XML, созданный вами в первом разделе.
5. (Необязательно) Введите описание, описывающее действие пользовательской настройки и к кому она применяется.
Нажмите «Далее» , чтобы выбрать организационное подразделение, к которому применяется пользовательская настройка, или нажмите «Добавить еще одно» , чтобы начать настройку нового. Дополнительные политики не применяются к организационному подразделению, пока вы не нажмете «Далее» и не выберете это организационное подразделение.
Выберите организационное подразделение, к которому будет применяться данная политика.
Нажмите «Применить» .

Если пользователь в организационном подразделении попытается установить или открыть заблокированное приложение на своем устройстве Windows, он получит сообщение об ошибке, указывающее на то, что приложение было заблокировано системным администратором.

Примеры XML-файлов

Разрешить только приложения с цифровой подписью (заблокировать все приложения без подписи)

Данная политика позволяет пользователям устанавливать только подписанные приложения, а также блокирует установку неподписанных приложений с типом файла, указанным в OMA-URI.

Чтобы заблокировать все неподписанные приложения для всех типов файлов, добавьте пользовательский параметр для каждого типа файла и используйте следующий XML-код в качестве значения.

Примечание: В RuleCollection Type должен соответствовать типу файла приложения. Значение может быть "Exe" для файлов EXE, "Msi" для файлов MSI, "Script" для файлов Script, "Dll" для файлов DLL или "Appx" для приложений из магазина. В FilePublisherRule замените GUID на случайный GUID, полученный с помощью онлайн-генератора GUID.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

Блокировка определенных приложений

Для блокировки приложений необходимо добавить раздел <FilePublisherRule> , разрешающий приложения, и раздел <FilePublisherRule> , блокирующий каждое приложение, которое вы хотите заблокировать.

Общий формат следующий:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>

Например, эта политика запрещает пользователям запускать одновременно «Приложение A» и «Приложение B», которые представляют собой исполняемые файлы (EXE):

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Блокируйте приложения, входящие в состав операционной системы Windows.

Этот пример, основанный на примере из документации Microsoft , блокирует пользователям доступ к Windows Mail. Перед использованием замените GUID на случайный GUID, полученный с помощью онлайн-генератора GUID.

Примечание: Этот файл приложения является приложением из Microsoft Store, поэтому OMA-URI должен быть следующим: ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Введите группу>/AppStore/Policy .

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>

Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.