Chặn ứng dụng trên thiết bị chạy Windows 10 hoặc 11 bằng các chế độ cài đặt tuỳ chỉnh

Các phiên bản được hỗ trợ cho tính năng này: Frontline Starter, Frontline Standard và Frontline Plus; Business Plus; Enterprise Standard và Enterprise Plus; Education Standard, Education Plus và Endpoint Education Upgrade; Enterprise Essentials và Enterprise Essentials Plus; Cloud Identity Premium.  So sánh phiên bản của bạn

Khi quản lý các thiết bị Windows trong tổ chức bằng tính năng quản lý thiết bị Windows, bạn có thể hạn chế những ứng dụng được phép chạy trên các thiết bị đó bằng cách thêm chế độ cài đặt tuỳ chỉnh trong Bảng điều khiển dành cho quản trị viên của Google. Bạn chỉ định các ứng dụng trong một tệp XML mà bạn tải lên dưới dạng giá trị của chế độ cài đặt tuỳ chỉnh. Bạn có thể chặn từng ứng dụng hoặc tất cả các tệp ứng dụng khớp với một loại nhất định, chẳng hạn như tệp EXE hoặc MSI.

Bước 1: Chỉ định các ứng dụng được phép và bị chặn trong tệp XML

Để tạo tệp XML, bạn có thể sử dụng dòng lệnh trong PowerShell hoặc GUI trong trình chỉnh sửa Chính sách nhóm Windows. Những hướng dẫn này cho bạn biết cách tạo một chính sách, nhưng bạn có thể kết hợp các chính sách liên quan cho các ứng dụng có cùng loại tệp trong một tệp XML. Xem các ví dụ.

Quan trọng: Để chặn các loại tệp ứng dụng (EXE, MSI, Script, StoreApps và DLL), bạn phải tạo các chế độ cài đặt tuỳ chỉnh riêng biệt.

Lựa chọn 1 – Dòng lệnh (PowerShell)

  1. Sử dụng trình tạo GUID trực tuyến để lấy một GUID ngẫu nhiên. Mẹo: Trong một công cụ tìm kiếm, hãy tìm online GUID generator.
  2. Nếu muốn chặn một ứng dụng cụ thể, hãy lấy thông tin về ứng dụng đó. Nếu muốn chặn tất cả các ứng dụng có một loại tệp nhất định, bạn có thể bỏ qua bước này.
    1. Trên thiết bị Windows, hãy tải tệp thực thi ứng dụng xuống (tệp kết thúc bằng .exe) mà bạn muốn chặn hoặc cho phép.
    2. Mở PowerShell.
    3. Chạy Get-AppLockerFileInformation -path PathToExe | format-list, trong đó PathToExe là đường dẫn đến tệp thực thi.
    4. Trong phản hồi, hãy tìm và ghi lại các giá trị trong dòng Publisher. Các giá trị có định dạng sau đây và tương ứng với các giá trị mà bạn sẽ sử dụng trong XML:

      PublisherNameProductNameBinaryName,BinaryVersion

      Tên nhà xuất bản là một chuỗi dài, chẳng hạn như O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US và bạn phải đưa toàn bộ chuỗi này vào.

  3. Sao chép XML sau vào trình chỉnh sửa văn bản:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. Chỉnh sửa XML để thay thế các phần giữ chỗ bằng giá trị của chúng. Đối với các trường hợp sử dụng cụ thể, chẳng hạn như nhóm nhiều chính sách vào một tệp, hãy xem các ví dụ.
    Phần giữ chỗ Giá trị
    Type

    Loại tệp ứng dụng (phải khớp với OMA-URI):

    • Đối với tệp EXE, hãy nhập "Exe"
    • Đối với tệp MSI, hãy nhập "Msi"
    • Đối với tệp Script, hãy nhập "Script"
    • Đối với tệp DLL, hãy nhập "Dll"
    • Đối với ứng dụng Microsoft Store, hãy nhập "Appx"
    GUID GUID mà bạn đã tạo ở bước 1
    PolicyName Tên của chính sách. Bạn có thể sử dụng bất kỳ chuỗi nào.
    PolicyDescription Nội dung mô tả chính sách
    UserOrGroupSid Người dùng hoặc nhóm mà chính sách áp dụng:
    • Để áp dụng chính sách cho tất cả người dùng trên thiết bị, hãy nhập S-1-1-0.
    • Để áp dụng chính sách cho một người dùng cụ thể, hãy nhập SID của họ. Để lấy SID của họ, trong dòng lệnh, hãy chạy:

      wmic username get name,sid

      trong đó username là tên người dùng của người dùng trên thiết bị. Nếu bạn không biết tên người dùng, hãy lấy danh sách tất cả người dùng trên thiết bị bằng cách chạy:

      wmic useraccount get name,sid

    • Bạn chỉ có thể nhập một tên người dùng. Để áp dụng chính sách cho nhiều người dùng hơn, hãy đưa người dùng vào một nhóm hoặc sao chép chính sách và cập nhật tên.

    • Để áp dụng chính sách cho một nhóm cụ thể, hãy nhập SID của nhóm đó. Để lấy SID của nhóm, trong dòng lệnh, hãy chạy:

      wmic groupName get name,sid

      trong đó groupName là tên của nhóm trên thiết bị. Nếu bạn không biết tên của nhóm, bạn có thể lấy danh sách tất cả các nhóm trên thiết bị bằng cách chạy:

      wmic group get name,sid
    Allow|Deny Chọn hành động cho chính sách này, cho dù chính sách này chặn hay cho phép các ứng dụng được chỉ định
    PublisherName Tên của nhà xuất bản ứng dụng (PublisherName từ bước 2). Bạn có thể sử dụng ký tự đại diện *, nhưng tính năng so khớp biểu thức chính quy và ký tự đại diện tiền tố hoặc hậu tố không được hỗ trợ.
    BinaryName

    Tên tệp của tệp nhị phân (BinaryName từ bước 2). Bạn có thể sử dụng ký tự đại diện *, nhưng tính năng so khớp biểu thức chính quy và ký tự đại diện tiền tố hoặc hậu tố không được hỗ trợ.

    Ví dụ: để chặn tất cả các tệp EXE, hãy nhập * và khi bạn thêm chế độ cài đặt tuỳ chỉnh, hãy chọn OMA-URI kết thúc bằng /EXE/Policy.
    ProductName Tên của sản phẩm (ProductName từ bước 2). Bạn có thể sử dụng ký tự đại diện *, nhưng tính năng so khớp biểu thức chính quy và ký tự đại diện tiền tố hoặc hậu tố không được hỗ trợ.
    latestVersion Số phiên bản mới nhất của ứng dụng mà chính sách này áp dụng. Để chặn tất cả các phiên bản của ứng dụng, hãy nhập *.
    earliestVersion Số phiên bản sớm nhất của ứng dụng mà chính sách này áp dụng. Để chặn tất cả các phiên bản của ứng dụng, hãy nhập *.

  5. Lưu tệp.

Lựa chọn 2 – GUI (Trình chỉnh sửa chính sách nhóm Windows)

  1. Làm theo hướng dẫn trong phần "Tạo XML" của bài viết này của Microsoft. Ngừng làm theo hướng dẫn khi bạn chuyển đến phần "Tạo chính sách".

    Lưu ý: Những hướng dẫn này mô tả cách tạo chính sách cho một ứng dụng được cài đặt trên thiết bị. Để tạo chính sách cho một ứng dụng chưa được cài đặt trên thiết bị, ở bước 6, hãy chọn Sử dụng trình cài đặt ứng dụng đóng gói làm tài liệu tham khảo.

  2. Sau khi bạn xuất tệp XML, trong trình chỉnh sửa Chính sách nhóm, hãy xoá chính sách mà bạn đã tạo. Nếu không, chính sách sẽ được thực thi trên thiết bị.

Bước 2: Thêm chế độ cài đặt tuỳ chỉnh

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đó Thiết bị di động và thiết bị đầu cuối sau đó Cài đặt sau đó Windows

    Bạn phải có đặc quyền Dịch vụ và thiết bị của quản trị viên.

  2. Nhấp vào Chế độ cài đặt tuỳ chỉnh.
  3. Nhấp vào Thêm chế độ cài đặt tuỳ chỉnh.

  4. Thiết lập chế độ cài đặt tuỳ chỉnh:

    1. Trong trường OMA-URI, hãy nhập ApplicationLaunchRestriction rồi chọn OMA-URI tương ứng với loại tệp của ứng dụng trong chính sách:

      • Đối với tệp EXE, hãy chọn ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
      • Đối với các ứng dụng có trong Microsoft Store, hãy chọn ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
      • Đối với tệp MSI, hãy chọn ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
      • Đối với tập lệnh PowerShell, hãy chọn ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy

      • Đối với tệp DLL, hãy chọn ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy

        Để biết thêm thông tin, hãy xem tài liệu về Microsoft AppLocker CSP.

    2. Trong OMA-URI, hãy thay thế <Enter Grouping> bằng một chuỗi chữ và số ngẫu nhiên , duy nhất cho mỗi chế độ cài đặt tuỳ chỉnh. Ví dụ: nếu bạn thêm một chế độ cài đặt tuỳ chỉnh để chặn tệp EXE và một chế độ cài đặt khác để chặn tệp MSI, hãy sử dụng một giá trị khác cho mỗi chế độ cài đặt tuỳ chỉnh.

    3. Khi bạn chọn OMA-URI, trường Name (Tên) sẽ cập nhật thành "Policy" (Chính sách). Nhập một tên duy nhất để giúp bạn xác định tên đó trong danh sách chế độ cài đặt tuỳ chỉnh.

    4. Đối với Data type (Loại dữ liệu), hãy chọn String (XML) (Chuỗi (XML)), nhấp vào Upload XML (Tải XML lên) rồi chọn tệp cấu hình XML mà bạn đã tạo trong phần đầu tiên.

    5. (Không bắt buộc) Nhập nội dung mô tả hành động của chế độ cài đặt tuỳ chỉnh và đối tượng mà chế độ cài đặt này áp dụng.

  5. Nhấp vào Next (Tiếp theo) để tiếp tục và chọn đơn vị tổ chức mà chế độ cài đặt tuỳ chỉnh áp dụng hoặc nhấp vào Add another (Thêm một chế độ cài đặt khác) để bắt đầu một chế độ cài đặt khác. Các chính sách bổ sung sẽ không được áp dụng cho một đơn vị tổ chức cho đến khi bạn nhấp vào Next (Tiếp theo) và chọn đơn vị tổ chức đó.

  6. Chọn đơn vị tổ chức để áp dụng chính sách.

  7. Nhấp vào Áp dụng.

Nếu một người dùng trong đơn vị tổ chức cố gắng cài đặt hoặc mở một ứng dụng bị chặn trên thiết bị Windows của họ, thì họ sẽ nhận được thông báo lỗi cho biết ứng dụng đó đã bị quản trị viên hệ thống chặn.

Ví dụ về tệp XML

Chỉ cho phép các ứng dụng đã ký (Chặn tất cả các ứng dụng chưa ký)

Chính sách này chỉ cho phép người dùng cài đặt các ứng dụng đã ký, đồng thời chặn người dùng cài đặt các ứng dụng chưa ký có loại tệp được chỉ định trong OMA-URI.

Để chặn tất cả các ứng dụng chưa ký cho tất cả các loại tệp, hãy thêm một chế độ cài đặt tuỳ chỉnh cho mỗi loại tệp và sử dụng XML sau cho giá trị.

Lưu ý: Trong RuleCollection, Type phải khớp với loại tệp ứng dụng. Giá trị có thể là "Exe" cho tệp EXE, "Msi" cho tệp MSI, "Script" cho tệp Script, "Dll" cho tệp DLL hoặc "Appx" cho StoreApps. Trong FilePublisherRule, hãy thay thế GUID bằng một GUID ngẫu nhiên mà bạn nhận được từ trình tạo GUID trực tuyến. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

Chặn các ứng dụng cụ thể

Để chặn ứng dụng, bạn phải đưa vào một phần <FilePublisherRule> cho phép các ứng dụng và các khối <FilePublisherRule> cho mỗi ứng dụng mà bạn muốn chặn.

Định dạng chung là:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 Lưu ý: Trong RuleCollection, Type phải khớp với loại tệp ứng dụng. Giá trị có thể là "Exe" cho tệp EXE, "Msi" cho tệp MSI, "Script" cho tệp Script, "Dll" cho tệp DLL hoặc "Appx" cho StoreApps. Trong FilePublisherRule, hãy thay thế GUID bằng một GUID ngẫu nhiên mà bạn nhận được từ trình tạo GUID trực tuyến.

Ví dụ: chính sách này chặn người dùng chạy cả "Ứng dụng A" và "Ứng dụng B", là các tệp EXE:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Chặn các ứng dụng được gói trong hệ điều hành Windows

Mẫu này, dựa trên ví dụ trong tài liệu của Microsoft, chặn người dùng sử dụng Windows Mail. Trước khi sử dụng, hãy thay thế GUID bằng một GUID ngẫu nhiên mà bạn nhận được từ trình tạo GUID trực tuyến.

Lưu ý: Tệp ứng dụng này là một ứng dụng Microsoft Store, vì vậy, OMA-URI phải là ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.