如果您使用 Windows 设备管理服务管理贵组织的 Windows 设备,则可以通过 Google 管理控制台添加自定义设置,控制这些设备可以安装哪些应用。您可以在 XML 文件中指定这些应用,然后将该文件作为自定义设置的值上传。您可以屏蔽个别应用,也可以屏蔽与某个文件类型(例如 EXE 或 MSI 文件)匹配的所有应用文件。
第 1 步:在 XML 文件中指定允许和屏蔽的应用
您可以使用 PowerShell 中的命令行或 Windows 组策略编辑器中的 GUI 来创建 XML 文件。以下说明介绍了如何构建单个政策,但您也可以在一个 XML 文件中将同一文件类型应用的相关政策组合在一起。有关详情,请参阅示例。
重要提示:要屏蔽不同类型的应用文件(EXE、MSI、Script、StoreApps 和 DLL),您必须创建单独的自定义设置。
方法 1:命令行 (PowerShell)
- 使用 GUID 在线生成器获取随机 GUID。提示:您可以在搜索引擎中搜索
online GUID generator。 - 如果您要屏蔽特定应用,请先获取相应应用的信息。如果您要屏蔽某个文件类型的所有应用,则可以跳过此步骤。
- 在 Windows 设备上,下载要屏蔽或允许的应用可执行文件(以 .exe 结尾的文件)。
- 打开 PowerShell。
- 运行 Get-AppLockerFileInformation -path PathToExe | format-list,其中 PathToExe 是可执行文件的路径。
- 在返回的信息中,找到并记录
Publisher行的值。该值对应于您要在 XML 中使用的值,格式如下:<发布商名称><产品名称><二进制文件名称>,<二进制文件版本>
发布商名称是一个长字符串,例如
O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US,而您必须在格式中包含整个字符串。
- 将以下 XML 复制到文本编辑器中:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
<Conditions>
<FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
<BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> - 编辑 XML,将占位符替换为相应的值。要了解具体用例(例如将多个政策归入一个文件),请参阅示例。
占位符 值 类型 应用文件类型(必须与 OMA-URI 匹配):
- 对于 EXE 文件,请输入
"Exe" - 对于 MSI 文件,请输入
"Msi" - 对于脚本文件,请输入
"Script" - 对于 DLL 文件,请输入
"Dll" - 对于 Microsoft Store 应用,请输入
"Appx"
GUID 第 1 步中生成的 GUID PolicyName 政策的名称。您可以使用任何字符串。 PolicyDescription 政策的说明 UserOrGroupSid 政策适用的用户或群组: - 如需将政策应用到设备上的所有用户,请输入 S-1-1-0。
- 如需将政策应用于特定用户,请输入用户的 SID。如需获取用户的 SID,请在命令行中运行以下命令:
wmic <用户名> get name,sid
其中,<用户名> 是设备上用户的用户名。如果您不知道用户名,可以通过运行以下命令获取设备上所有用户的列表:
wmic useraccount get name,sid
-
您只能输入一个用户名。如需将政策应用到更多用户,请将这些用户置于一个群组中,或者复制政策然后更新名称。
- 要将政策应用于特定组,请输入组 SID。如需获取群组 SID,请在命令行中运行以下命令:
wmic <组名称> get name,sidgroupName
其中,<组名称> 是设备上组的名称。groupName如果您不知道群组的名称,可以通过运行以下命令获取设备上所有群组的列表:
wmic group get name,sid
允许|拒绝 选择此政策要执行的操作:屏蔽还是允许指定应用 PublisherName 应用的发布商名称(在第 2 步中获得的“PublisherName”)。您可以使用 * 通配符,但无法使用正则表达式匹配以及前缀或后缀通配符。 BinaryName 二进制文件的文件名(在第 2 步中获得的“BinaryName”)。您可以使用 * 通配符,但无法使用正则表达式匹配以及前缀或后缀通配符。
例如,要屏蔽所有 EXE 文件,您可以输入 *,然后在添加自定义设置时,选择以 /EXE/Policy 结尾的 OMA-URI。
ProductName 产品的名称(在第 2 步中获得的“ProductName”)。您可以使用 * 通配符,但无法使用正则表达式匹配以及前缀或后缀通配符。 latestVersion 此政策适用的应用的最新版本号。如需屏蔽应用的所有版本,请输入 *。 earliestVersion 此政策适用的应用的最早版本号。如需屏蔽应用的所有版本,请输入 *。 - 对于 EXE 文件,请输入
-
保存文件。
方法 2:GUI(Windows 组策略编辑器)
- 请按照这篇 Microsoft 文章“生成 XML”部分中的说明进行操作,到“创建政策”部分时停止操作。
注意:这些说明介绍了如何为设备上安装的应用创建政策。要为设备上未安装的应用创建政策,请在第 6 步中选择将封装应用用作参考。
- 导出 XML 文件后,请在组策略编辑器中移除您创建的政策。否则,系统会在设备上强制执行该政策。
第 2 步:添加自定义设置
-
在 Google 管理控制台中,依次点击“菜单”图标
设备
移动设备和端点
设置
Windows。需要拥有服务和设备管理员权限。
- 点击自定义设置。
- 点击添加自定义设置。
配置自定义设置:
在 OMA-URI 字段中,输入 ApplicationLaunchRestriction,然后选择与政策中应用的文件类型对应的 OMA-URI:
- 对于 EXE 文件,请选择 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<输入分组>/EXE/Policy。
- 对于 Microsoft Store 中的应用,请选择 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<输入分组>/AppStore/Policy
- 对于 MSI 文件,请选择 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<输入分组>/MSI/Policy
- 对于 PowerShell 脚本,请选择 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<输入分组>/Script/Policy
- 对于 DLL 文件,请选择 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<输入分组>/DLL/Policy
如需了解详情,请参阅 Microsoft AppLocker 云解决方案提供商文档。
在 OMA-URI 中,将<输入分组>替换为随机的字母数字字符串,每个自定义设置的字符串都应该是唯一的。例如,如果您添加了一个自定义设置来屏蔽 EXE 文件,然后又添加了另一个设置来屏蔽 MSI 文件,请为每个自定义设置使用不同的值。
当您选择 OMA-URI 时,名称字段会更新为“Policy”。请输入一个唯一名称,以便在自定义设置列表中进行识别。
在数据类型中选择字符串 (XML),点击上传 XML,然后选择您在第一部分创建的 XML 配置文件。
(可选)输入说明,阐释自定义设置的具体操作及其适用对象。
点击下一步以继续,然后选择要应用自定义设置的组织部门,或者点击再添加一项以开始进行另一项自定义设置。在您点击下一步并选择相应的组织部门之前,其他政策不会应用于所选的组织部门。
选择要应用政策的组织部门。
点击应用。
如果组织部门中的用户尝试在其 Windows 设备上安装或打开被屏蔽的应用,则会收到应用已被系统管理员屏蔽的错误消息。
XML 文件示例
仅允许已签名的应用(屏蔽所有未签名的应用)
此政策允许用户仅安装已签名的应用,同时会阻止用户安装 OMA-URI 中指定文件类型的未签名应用。
如需屏蔽所有文件类型的所有未签名应用,请为每个文件类型添加一个自定义设置,并将以下 XML 用作值。
注意:在RuleCollection 中,Type 必须与应用的文件类型匹配。该值可以是 "Exe"(EXE 文件)、"Msi"(MSI 文件)、"Script"(Script 文件)、"Dll"(DLL 文件)或者 "Appx"(StoreApps 文件)。在 FilePublisherRule 中,将 GUID 替换为利用 GUID 在线生成器生成的随机 GUID。
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>屏蔽特定应用
如要屏蔽应用,您必须添加用于允许应用的 <FilePublisherRule> 部分,并且针对您要屏蔽的每个应用添加 <FilePublisherRule>。
基本格式为:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule...>
...allow apps...
</FilePublisherRule>
<FilePublisherRule...>
...conditions for first app to block...
</FilePublisherRule>
<FilePublisherRule...>
...conditions for second app to block...
</FilePublisherRule>
</RuleCollection>RuleCollection 中,Type 必须与应用的文件类型匹配。该值可以是 "Exe"(EXE 文件)、"Msi"(MSI 文件)、"Script"(Script 文件)、"Dll"(DLL 文件)或者 "Appx"(StoreApps 文件)。在 FilePublisherRule 中,将 GUID 替换为利用 GUID 在线生成器生成的随机 GUID。
例如,以下政策可阻止用户同时运行“应用 A”和“应用 B”(二者均为 EXE 文件):
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>屏蔽 Windows 操作系统中捆绑的应用
此示例基于 Microsoft 文档中的示例,可阻止用户使用 Windows Mail。如要使用该应用,请先将 GUID 替换为利用 GUID 在线生成器生成的随机 GUID。GUID
注意:此应用文件为 Microsoft Store 应用文件,因此 OMA-URI 必须为 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<输入分组>/AppStore/Policy。
<RuleCollection Type="Appx" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。