Chặn ứng dụng trên thiết bị chạy Windows 10 hoặc 11 bằng các chế độ cài đặt tuỳ chỉnh

Các phiên bản hỗ trợ tính năng này: Frontline Starter, Frontline Standard và Frontline Plus; Business Plus; Enterprise Standard và Enterprise Plus; Education Standard, Education Plus và Endpoint Education Upgrade; Enterprise Essentials và Enterprise Essentials Plus; Cloud Identity Premium.  So sánh phiên bản của bạn

Khi quản lý các thiết bị Windows trong tổ chức bằng giải pháp quản lý thiết bị Windows, bạn có thể hạn chế những ứng dụng được phép chạy trên các thiết bị đó bằng cách thêm chế độ cài đặt tuỳ chỉnh trong Bảng điều khiển dành cho quản trị viên của Google. Bạn chỉ định các ứng dụng trong một tệp XML mà bạn tải lên làm giá trị của chế độ cài đặt tuỳ chỉnh. Bạn có thể chặn từng ứng dụng hoặc tất cả các tệp ứng dụng khớp với một loại tệp nhất định, chẳng hạn như tệp EXE hoặc MSI.

Bước 1: Chỉ định các ứng dụng được phép và bị chặn trong tệp XML

Để tạo tệp XML, bạn có thể sử dụng dòng lệnh trong PowerShell hoặc GUI trong trình chỉnh sửa Chính sách nhóm của Windows. Các hướng dẫn này cho bạn biết cách tạo một chính sách duy nhất, nhưng bạn có thể kết hợp các chính sách có liên quan cho các ứng dụng có cùng loại tệp trong một tệp XML. Xem ví dụ.

Lưu ý quan trọng: Để chặn các loại tệp ứng dụng (EXE, MSI, Script, StoreApps và DLL), bạn phải tạo các chế độ cài đặt tuỳ chỉnh riêng biệt.

Cách 1: Dòng lệnh (PowerShell)

  1. Sử dụng trình tạo mã GUID trực tuyến để nhận mã GUID ngẫu nhiên. Lưu ý: Trong một công cụ tìm kiếm, hãy tìm online GUID generator.
  2. Nếu bạn muốn chặn một ứng dụng cụ thể, hãy lấy thông tin về ứng dụng đó. Nếu muốn chặn tất cả ứng dụng có một loại tệp nhất định, bạn có thể bỏ qua bước này.
    1. Trên thiết bị Windows, hãy tải tệp thực thi của ứng dụng (tệp có đuôi .exe) mà bạn muốn chặn hoặc cho phép.
    2. Mở PowerShell.
    3. Chạy lệnh Get-AppLockerFileInformation -path PathToExe | format-list, trong đó PathToExe là đường dẫn đến tệp thực thi.
    4. Trong phản hồi, hãy tìm và ghi lại các giá trị trong dòng Publisher. Các giá trị có định dạng sau và tương ứng với các giá trị mà bạn sẽ sử dụng trong XML:

      PublisherNameProductNameBinaryName,BinaryVersion

      Tên nhà xuất bản là một chuỗi dài, chẳng hạn như O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US và bạn phải thêm toàn bộ chuỗi này.

  3. Sao chép đoạn mã XML sau vào một trình chỉnh sửa văn bản:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. Chỉnh sửa XML để thay thế trình giữ chỗ bằng các giá trị của chúng. Đối với các trường hợp sử dụng cụ thể, chẳng hạn như nhóm nhiều chính sách vào một tệp, hãy xem ví dụ.
    Phần giữ chỗ Giá trị
    Loại

    Loại tệp ứng dụng (phải khớp với OMA-URI):

    • Đối với tệp EXE, hãy nhập "Exe"
    • Đối với tệp MSI, hãy nhập "Msi"
    • Đối với tệp Tập lệnh, hãy nhập "Script"
    • Đối với tệp DLL, hãy nhập "Dll"
    • Đối với các ứng dụng trên Microsoft Store, hãy nhập "Appx"
    GUID GUID mà bạn đã tạo ở bước 1
    PolicyName Tên của chính sách. Bạn có thể sử dụng bất kỳ chuỗi nào.
    PolicyDescription Nội dung mô tả chính sách
    UserOrGroupSid Người dùng hoặc nhóm mà chính sách áp dụng:
    • Để áp dụng chính sách cho tất cả người dùng trên thiết bị, hãy nhập S-1-1-0.
    • Để áp dụng chính sách cho một người dùng cụ thể, hãy nhập SID của họ. Để lấy SID của họ, trong dòng lệnh, hãy chạy:

      wmic username get name,sid

      trong đó username là tên người dùng của người dùng trên thiết bị. Nếu bạn không biết tên người dùng, hãy chạy lệnh sau để lấy danh sách tất cả người dùng trên thiết bị:

      wmic useraccount get name,sid

    • Bạn chỉ có thể nhập một tên người dùng. Để áp dụng chính sách cho nhiều người dùng hơn, hãy đưa người dùng vào một nhóm hoặc sao chép chính sách rồi cập nhật tên.

    • Để áp dụng chính sách cho một nhóm cụ thể, hãy nhập SID của nhóm đó. Để lấy SID nhóm, trong dòng lệnh, hãy chạy:

      wmic groupName get name,sid

      trong đó groupName là tên của nhóm trên thiết bị. Nếu không biết tên nhóm, bạn có thể chạy lệnh sau để xem danh sách tất cả các nhóm trên thiết bị:

      wmic group get name,sid
    Cho phép|Từ chối Chọn hành động cho chính sách này, cho dù chính sách này chặn hay cho phép các ứng dụng được chỉ định
    PublisherName Tên của nhà xuất bản ứng dụng (PublisherName trong bước 2). Bạn có thể sử dụng ký tự đại diện &ast;, nhưng tính năng so khớp biểu thức chính quy và ký tự đại diện tiền tố hoặc hậu tố không được hỗ trợ.
    BinaryName

    Tên tệp của tệp nhị phân (BinaryName trong bước 2). Bạn có thể sử dụng ký tự đại diện &ast;, nhưng tính năng so khớp biểu thức chính quy và ký tự đại diện tiền tố hoặc hậu tố không được hỗ trợ.

    Ví dụ: để chặn tất cả các tệp EXE, hãy nhập &ast; và khi bạn thêm chế độ cài đặt tuỳ chỉnh, hãy chọn OMA-URI kết thúc bằng /EXE/Policy.
    ProductName Tên sản phẩm (ProductName trong bước 2). Bạn có thể sử dụng ký tự đại diện &ast;, nhưng tính năng so khớp biểu thức chính quy và ký tự đại diện tiền tố hoặc hậu tố không được hỗ trợ.
    latestVersion Số phiên bản mới nhất của ứng dụng mà chính sách này áp dụng. Để chặn tất cả các phiên bản của ứng dụng, hãy nhập &ast;.
    earliestVersion Số phiên bản sớm nhất của ứng dụng mà chính sách này áp dụng. Để chặn tất cả các phiên bản của ứng dụng, hãy nhập &ast;.

  5. Lưu tệp.

Cách 2 – GUI (Trình chỉnh sửa chính sách nhóm của Windows)

  1. Làm theo hướng dẫn trong phần "Tạo tệp XML" của bài viết này trên Microsoft. Dừng làm theo hướng dẫn khi bạn chuyển đến phần "Tạo chính sách".

    Lưu ý: Những hướng dẫn này mô tả cách tạo một chính sách cho ứng dụng được cài đặt trên thiết bị. Để tạo một chính sách cho ứng dụng chưa được cài đặt trên thiết bị, ở bước 6, hãy chọn Sử dụng trình cài đặt ứng dụng đóng gói làm thông tin tham chiếu.

  2. Sau khi bạn xuất tệp XML, trong trình chỉnh sửa Chính sách nhóm, hãy xoá chính sách mà bạn đã tạo. Nếu không, chính sách này sẽ được thực thi trên thiết bị.

Bước 2: Thêm chế độ cài đặt tuỳ chỉnh

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đóThiết bị di động và thiết bị đầu cuối sau đóCài đặt sau đóWindows

    Bạn phải có đặc quyền của quản trị viên đối với Dịch vụ và thiết bị.

  2. Nhấp vào Chế độ cài đặt tuỳ chỉnh.
  3. Nhấp vào Thêm chế độ cài đặt tuỳ chỉnh.

  4. Định cấu hình chế độ cài đặt tuỳ chỉnh:

    1. Trong trường OMA-URI, hãy nhập ApplicationLaunchRestriction rồi chọn OMA-URI tương ứng với loại tệp của ứng dụng trong chính sách:

      • Đối với tệp EXE, hãy chọn ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
      • Đối với những ứng dụng có trong Microsoft Store, hãy chọn ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
      • Đối với tệp MSI, hãy chọn ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
      • Đối với tập lệnh PowerShell, hãy chọn ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
      • Đối với tệp DLL, hãy chọn ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy

      Để biết thêm thông tin, hãy xem tài liệu về CSP AppLocker của Microsoft.

    2. Trong OMA-URI, hãy thay thế <Enter Grouping> bằng một chuỗi chữ và số ngẫu nhiên, duy nhất cho từng chế độ cài đặt tuỳ chỉnh. Ví dụ: nếu bạn thêm một chế độ cài đặt tuỳ chỉnh để chặn tệp EXE và một chế độ cài đặt khác để chặn tệp MSI, hãy sử dụng một giá trị khác cho mỗi chế độ cài đặt tuỳ chỉnh.

    3. Khi bạn chọn OMA-URI, trường Tên sẽ cập nhật thành "Chính sách". Nhập một tên riêng biệt để giúp bạn xác định chế độ cài đặt này trong danh sách chế độ cài đặt tuỳ chỉnh.

    4. Đối với Loại dữ liệu, hãy chọn Chuỗi (XML), nhấp vào Tải XML lên rồi chọn tệp cấu hình XML mà bạn đã tạo trong phần đầu tiên.

    5. (Không bắt buộc) Nhập nội dung mô tả về hành động của chế độ cài đặt tuỳ chỉnh và đối tượng áp dụng.

  5. Nhấp vào Tiếp theo để tiếp tục và chọn đơn vị tổ chức mà chế độ cài đặt tuỳ chỉnh áp dụng, hoặc nhấp vào Thêm chế độ cài đặt khác để bắt đầu một chế độ cài đặt khác. Các chính sách bổ sung sẽ không được áp dụng cho một đơn vị tổ chức cho đến khi bạn nhấp vào Tiếp theo rồi chọn đơn vị tổ chức đó.

  6. Chọn đơn vị tổ chức mà bạn muốn áp dụng chính sách.

  7. Nhấp vào Áp dụng.

Nếu một người dùng trong đơn vị tổ chức cố gắng cài đặt hoặc mở một ứng dụng bị chặn trên thiết bị Windows, họ sẽ nhận được thông báo lỗi cho biết quản trị viên hệ thống đã chặn ứng dụng đó.

Ví dụ về tệp XML

Chỉ cho phép ứng dụng đã ký (Chặn tất cả ứng dụng chưa ký)

Chính sách này chỉ cho phép người dùng cài đặt các ứng dụng đã ký, đồng thời chặn người dùng cài đặt các ứng dụng chưa ký có loại tệp được chỉ định trong OMA-URI.

Để chặn tất cả ứng dụng chưa ký cho mọi loại tệp, hãy thêm một chế độ cài đặt tuỳ chỉnh cho từng loại tệp và sử dụng XML sau đây cho giá trị.

Lưu ý: Trong RuleCollection, Type phải khớp với loại tệp ứng dụng. Giá trị có thể là "Exe" đối với tệp EXE, "Msi" đối với tệp MSI, "Script" đối với tệp tập lệnh, "Dll" đối với tệp DLL hoặc "Appx" đối với StoreApps. Trong FilePublisherRule, hãy thay thế GUID bằng một GUID ngẫu nhiên mà bạn nhận được từ một trình tạo GUID trực tuyến. 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

Chặn một số ứng dụng cụ thể

Để chặn ứng dụng, bạn phải thêm một phần <FilePublisherRule> cho phép ứng dụng và các khối <FilePublisherRule> cho từng ứng dụng mà bạn muốn chặn.

Định dạng chung là:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 Lưu ý: Trong RuleCollection, Type phải khớp với loại tệp ứng dụng. Giá trị có thể là "Exe" đối với tệp EXE, "Msi" đối với tệp MSI, "Script" đối với tệp tập lệnh, "Dll" đối với tệp DLL hoặc "Appx" đối với StoreApps. Trong FilePublisherRule, hãy thay thế GUID bằng một GUID ngẫu nhiên mà bạn nhận được từ một trình tạo GUID trực tuyến.

Ví dụ: chính sách này chặn người dùng chạy cả "Ứng dụng A" và "Ứng dụng B" (đều là tệp EXE):

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Chặn các ứng dụng được đi kèm trong hệ điều hành Windows

Mẫu này, dựa trên ví dụ trong tài liệu của Microsoft, ngăn người dùng sử dụng Windows Mail. Trước khi sử dụng, hãy thay thế GUID bằng một GUID ngẫu nhiên mà bạn nhận được từ trình tạo GUID trực tuyến.

Lưu ý: Tệp ứng dụng này là một ứng dụng trong Microsoft Store, vì vậy, OMA-URI phải là ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.