透過 Windows 裝置管理服務管理貴機構的 Windows 裝置時,您可以在 Google 管理控制台中新增自訂設定,決定可在裝置上使用哪些應用程式。只要上傳具體指定應用程式的 XML 檔案,系統就會將其視為自訂設定的值。您可以封鎖個別應用程式,也可以封鎖符合特定類型的所有應用程式檔案 (例如 EXE 或 MSI 檔案)。
步驟 1:在 XML 檔案中指定要允許和封鎖的應用程式
您可以使用 PowerShell 的命令列,或 Windows 群組原則編輯器中的圖形使用者介面建立 XML 檔案。我們會在下文的操作說明中講解如何建置單一原則,但您也可以針對檔案類型相同的應用程式,在單一 XML 檔案中整合所有相關原則。詳情請參閱範例檔案。
重要事項:如要封鎖不同類型的應用程式檔案 (例如 EXE、MSI、Script、StoreApps 和 DLL),您必須分別建立自訂設定。
方法 1:命令列 (PowerShell)
- 透過網路上的 GUID 產生器取得一組隨機 GUID。提示:您可以在搜尋引擎中搜尋
online GUID generator。 - 如要封鎖特定應用程式,您必須取得該應用程式的資訊。如要將特定檔案類型的應用程式全數封鎖,則可略過這個步驟。
- 在 Windows 裝置上,下載您要封鎖或允許的應用程式執行檔 (檔名結尾為 .exe)。
- 開啟 PowerShell。
- PathToExe | format-list 指令。
- 在回應中找到
Publisher行中的值並記下。這些值的格式如下,並且與您之後在 XML 中使用的值互相對應:<發布者名稱><產品名稱><二進位檔名稱>,<二進位檔版本>
發布者名稱是像
O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US這樣的長字串,請務必提供完整的字串。
- 將下列 XML 複製到文字編輯器:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
<Conditions>
<FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
<BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> - 編輯 XML,將預留位置替換成相應的值。如要將多個原則彙集成一份單一檔案,請參閱範例檔案,內有這類特定用途的詳細說明。
預留位置 值 類型 應用程式檔案類型 (必須與 OMA-URI 相符):
- 如果是 EXE 檔案,請輸入
"Exe" - 如果是 MSI 檔案,請輸入
"Msi" - 如果是 Script 檔案,請輸入
"Script" - 如果是 DLL 檔案,請輸入
"Dll" - 如果是 Microsoft Store 應用程式,請輸入
"Appx"
GUID 您在步驟 1 中產生的 GUID PolicyName 政策名稱。您可以使用任何字串。 PolicyDescription 政策說明 UserOrGroupSid 要套用政策的使用者或群組: - 如要為裝置上的所有使用者套用政策,請輸入 S-1-1-0。
- 如要為特定使用者套用原則,請輸入對方的 SID。如要取得 SID,請在命令列中執行以下指令:
wmic <使用者名稱> get name,sid
其中 <使用者名稱> 是指裝置上使用者的名稱。如果您不曉得使用者名稱,請執行下列指令,取得裝置上所有使用者的清單:
wmic useraccount get name,sid
-
您只能輸入一個使用者名稱。如要為其他使用者套用原則,請將使用者加入群組,或是複製原則並更新名稱。
- 如要對特定群組套用原則,請輸入群組的 SID。如要取得群組 SID,請在命令列中執行以下指令:
wmic <群組名稱>groupName get name,sid
其中 <群組名稱>groupName 是指裝置上群組的名稱。如果您不知道群組名稱,可以執行下列指令,取得裝置上所有群組的清單:
wmic group get name,sid
Allow|Deny 選取這項政策對應的動作,不論是要封鎖還是允許指定的應用程式皆可 PublisherName 應用程式發布者的名稱 (步驟 2 中的 <發布者名稱>)。您可以使用 * 萬用字元,但系統不支援比對規則運算式,也不支援前置或後置萬用字元。 BinaryName 二進位檔的檔案名稱 (步驟 2 中的 <二進位檔名稱>)。您可以使用 * 萬用字元,但系統不支援比對規則運算式,也不支援前置或後置萬用字元。
舉例來說,如要封鎖所有 EXE 檔案,請輸入 *,然後在新增自訂設定時選取結尾是 /EXE/Policy 的 OMA-URI。
ProductName 產品的名稱 (步驟 2 中的 <產品名稱>)。您可以使用 * 萬用字元,但系統不支援比對規則運算式,也不支援前置或後置萬用字元。 latestVersion 這項政策適用的應用程式最新版本號碼。如要封鎖應用程式的所有版本,請輸入 *。 earliestVersion 這項政策適用的應用程式最初版本號碼。如要封鎖應用程式的所有版本,請輸入 *。 - 如果是 EXE 檔案,請輸入
-
儲存檔案。
方法 2:圖形使用者介面 (Windows「群組原則」編輯器)
- 請參閱這篇 Microsoft 文章,按照「Generating the XML (產生 XML)」一節的指示操作。當您看到「Creating the Policy (建立原則)」一節的操作說明時,請停止操作。
注意:這些操作說明講解的主題是如何為裝置上安裝的應用程式建立原則。如要為裝置上未安裝的應用程式建立原則,請在執行到該文中的步驟 6 時選取「使用已封裝應用程式安裝程式做為參照」。
- 匯出 XML 檔案後,請在「群組原則」編輯器中移除您建立的原則,否則系統會在裝置上強制執行該政策。
步驟 2:新增自訂設定
-
在 Google 管理控制台中,依序點選「選單」圖示
「裝置」
「行動裝置和端點」「設定」「Windows」。必須具備服務和裝置管理員權限。
- 按一下「自訂設定」。
- 按一下「新增自訂設定」。
調整自訂設定:
在「OMA-URI」欄位中輸入 ApplicationLaunchRestriction,然後選取與政策中應用程式檔案類型相對應的 OMA-URI:
- 如果是 EXE 檔案,請選取 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy。
- 如果是 Microsoft Store 提供的應用程式,請選取 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
- 如果是 MSI 檔案,請選取 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
- 如果是 PowerShell 指令碼,請選取 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
- 如果是 DLL 檔案,請選取 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy
詳情請參閱 Microsoft 的 AppLocker CSP 說明文件。
在 OMA-URI 中,將 <Enter Grouping> 替換成個別自訂設定的隨機英數字串。舉例來說,如果您新增了封鎖 EXE 檔案的自訂設定,同時新增了封鎖 MSI 檔案的另一項設定,請為兩者分別使用不同的值。
當您選取 OMA-URI 時,「名稱」欄位會更新為「政策」。請輸入可在自訂設定清單中方便辨識的專屬名稱。
在「資料類型」中選取「字串 (XML)」,接著按一下「上傳 XML」,然後選取您在第一節建立的 XML 設定檔。
(選用) 輸入說明,指出自訂設定的動作及其適用對象。
按一下「下一步」,繼續選取要套用自訂設定的機構單位,或按一下「新增其他政策」開始新增另一項政策。在您點按「下一步」並選取機構單位之前,系統不會為機構單位套用任何額外政策。
選擇要套用政策的機構單位。
按一下「套用」。
如果機構單位中的使用者嘗試在 Windows 裝置上安裝或開啟遭封鎖的應用程式,系統會顯示錯誤訊息,說明該應用程式已遭系統管理員封鎖。
XML 檔案範例
僅允許已簽署的應用程式 (封鎖所有未簽署的應用程式)
這項政策僅允許使用者安裝已簽署的應用程式,系統也會禁止使用者安裝屬於 OMA-URI 指定檔案類型的未簽署應用程式。
如要封鎖所有檔案類型的未簽署應用程式,請為每個檔案類型新增自訂設定,並使用下列 XML 做為值。
注意:在RuleCollection 中,Type 必須與應用程式檔案類型相符。針對 EXE、MSI、Script、DLL 或 StoreApps 檔案,這個值分別可以是 "Exe"、"Msi"、"Script"、"Dll" 或 "Appx"。在 FilePublisherRule 中,將 <GUID>GUID 替換成您從線上 GUID 產生器取得的隨機 GUID。
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>封鎖特定應用程式
如要封鎖應用程式,您必須加入用來允許應用程式的 <FilePublisherRule> 部分,並針對要封鎖的各個應用程式新增 <FilePublisherRule> 區塊。
一般格式為:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule...>
...allow apps...
</FilePublisherRule>
<FilePublisherRule...>
...conditions for first app to block...
</FilePublisherRule>
<FilePublisherRule...>
...conditions for second app to block...
</FilePublisherRule>
</RuleCollection>RuleCollection 中,Type 必須與應用程式檔案類型相符。針對 EXE、MSI、Script、DLL 或 StoreApps 檔案,這個值分別可以是 "Exe"、"Msi"、"Script"、"Dll" 或 "Appx"。在 FilePublisherRule 中,將 <GUID>GUID 替換成您從線上 GUID 產生器取得的隨機 GUID。
舉例來說,這項政策會禁止使用者同時執行「App A」和「App B」,其中兩者皆為 EXE 檔案:
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>封鎖 Windows 作業系統中的套件組合應用程式
這個範例以 Microsoft 說明文件中的範例為基礎,作用是禁止使用者使用 Windows Mail。使用前,別忘了先將 <GUID>GUID 替換成您從 GUID 線上產生器取得的隨機 GUID。
注意:這個應用程式檔案是 Microsoft Store 應用程式,因此 OMA-URI 須為 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy。
<RuleCollection Type="Appx" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。