Blokowanie aplikacji na urządzeniach z systemem Windows 10 lub 11 za pomocą ustawień niestandardowych

Ta funkcja jest dostępna w tych wersjach: Frontline Starter, Frontline Standard, and Frontline Plus; Business Plus; Enterprise Standard i Enterprise Plus; Education Standard, Education Plus i Endpoint Education Upgrade; Enterprise Essentials i Enterprise Essentials Plus; Cloud Identity Premium.Porównanie wersji

Jeśli w swojej organizacji korzystasz z usługi zarządzania urządzeniami z systemem Windows, możesz określić, które aplikacje będą dozwolone na tych urządzeniach, dodając ustawienia niestandardowe w konsoli administracyjnej Google. W tym celu używany jest plik XML zawierający dozwolone i blokowane aplikacje, który jest przesyłany jako wartość ustawienia niestandardowego. Możesz blokować poszczególne aplikacje lub wszystkie pliki aplikacji odpowiadające określonemu typowi, na przykład EXE lub MSI.

Krok 1. Określ dozwolone i blokowane aplikacje w pliku XML

Aby utworzyć plik XML, możesz użyć wiersza polecenia w PowerShell lub GUI w edytorze zasad grupy systemu Windows. W dalszej części tego artykułu znajdziesz instrukcje dotyczące tworzenia jednej zasady, ale w przypadku większej liczby aplikacji obsługujących plik tego samego typu możesz połączyć dotyczące ich zasady w jednym pliku XML. Zobacz przykłady.

Ważne: aby zablokować różne typy plików aplikacji (EXE, MSI, DLL, skrypty, pliki aplikacji ze sklepu Microsoft), musisz utworzyć osobne ustawienia niestandardowe.

Opcja 1 – wiersz polecenia (PowerShell)
  1. Użyj generatora identyfikatorów GUID online, by uzyskać losowy identyfikator GUID. Wskazówka: w wyszukiwarce poszukaj generatora identyfikatorów GUID online.
  2. Jeśli chcesz zablokować konkretną aplikację, znajdź informacje na jej temat. Jeśli chcesz zablokować wszystkie aplikacje o określonym typie pliku, możesz pominąć ten krok.
    1. Na urządzeniu z systemem Windows pobierz plik wykonywalny aplikacji (plik z końcówką .exe), którą chcesz dodać jako zablokowaną lub dozwoloną.
    2. Otwórz PowerShell.
    3. Uruchom polecenie Get-AppLockerFileInformation -path PathToExe | format-list, gdzie PathToExe to ścieżka pliku wykonywalnego.
    4. W odpowiedzi znajdź i zapisz wartości znajdujące się w wierszu Publisher. Wartości mają format przedstawiony poniżej i odpowiadają wartościom, których użyjesz w pliku XML:

      PublisherName\ProductName\BinaryName,BinaryVersion

      Nazwa wydawcy to długi ciąg tekstowy, np. O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. Musisz uwzględnić go w całości.

  3. Skopiuj zawartość pliku XML poniżej do edytora tekstu:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
      <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
         <Conditions>
           <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
             <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
           </FilePublisherCondition>
         </Conditions>
       </FilePublisherRule>
    </RuleCollection>

  4. Edytuj plik XML, by zastąpić symbole zastępcze wartościami. Jeśli szukasz określonych przypadków użycia, np. grupowania wielu zasad w jednym pliku, zobacz te przykłady.
    Symbol zastępczy Wartość
    Typ

    Typ pliku aplikacji (musi być zgodny z identyfikatorem OMA-URI):

    • w przypadku plików EXE wpisz "Exe"
    • w przypadku plików MSI wpisz "Msi"
    • w przypadku plików skryptu wpisz "Script"
    • w przypadku plików DLL wpisz "Dll"
    • w przypadku aplikacji ze sklepu Microsoft Store wpisz "Appx"
    GUID Identyfikator GUID wygenerowany w kroku 1
    PolicyName Nazwa zasady. Możesz użyć dowolnego ciągu tekstowego.
    PolicyDescription Opis zasady.
    UserOrGroupSid Użytkownicy lub grupy, do których stosowana jest zasada:
    • Aby zastosować zasadę do wszystkich użytkowników na urządzeniu, wpisz S-1-1-0.
    • Aby zastosować zasadę do określonego użytkownika, wpisz jego identyfikator SID. Aby go uzyskać, w wierszu polecenia wpisz i uruchom:

      wmic nazwa_użytkownika get name,sid

      gdzie nazwa_użytkownika to nazwa użytkownika urządzenia. Jeśli nie znasz nazwy użytkownika, wyświetl listę wszystkich użytkowników urządzenia, uruchamiając polecenie:

      wmic useraccount get name,sid

    • Możesz wpisać tylko jedną nazwę użytkownika. Aby zastosować zasadę do większej liczby użytkowników, umieść ich w grupie lub skopiuj daną zasadę i zaktualizuj nazwę.

    • Aby zastosować zasadę do określonej grupy, wpisz jej identyfikator SID. Aby go uzyskać, w wierszu polecenia wpisz i uruchom:

      wmic nazwa_grupy get name,sid

      gdzie nazwa_grupy to nazwa grupy na urządzeniu. Jeśli nie znasz nazwy grupy, uzyskaj listę wszystkich grup na urządzeniu, uruchamiając polecenie:

      wmic group get name,sid
    Allow|Deny Wybierz sposób, w jaki dana zasada ma działać – czy ma ona blokować określone aplikacje czy na nie zezwalać.
    PublisherName Nazwa wydawcy aplikacji (PublisherName z kroku 2). Możesz użyć symbolu wieloznacznego *, ale symbole wieloznaczne wyrażenia regularnego, prefiksu lub sufiksu nie są obsługiwane.
    BinaryName

    Nazwa pliku binarnego (BinaryName z kroku 2). Możesz użyć symbolu wieloznacznego *, ale symbole wieloznaczne wyrażenia regularnego, prefiksu lub sufiksu nie są obsługiwane.

    Jeśli na przykład chcesz blokować wszystkie pliki EXE, wpisz *, a po dodaniu ustawienia niestandardowego wybierz identyfikator OMA-URI, który kończy się na /EXE/Policy.
    ProductName Nazwa produktu (ProductName z kroku 2). Możesz użyć symbolu wieloznacznego *, ale symbole wieloznaczne wyrażenia regularnego, prefiksu lub sufiksu nie są obsługiwane.
    latestVersion Numer najnowszej wersji aplikacji objętej daną zasadą. Aby zablokować wszystkie wersje aplikacji, wpisz *.
    earliestVersion Numer najstarszej wersji aplikacji objętej daną zasadą. Aby zablokować wszystkie wersje aplikacji, wpisz *.

  5. Zapisz plik.

Opcja 2 – GUI (edytor zasad grupy systemu Windows)
  1. Wykonaj instrukcje z sekcji „Generating the XML” (Generowanie pliku XML) artykułu firmy Microsoft. Przestań wykonywać te instrukcje, gdy dotrzesz do sekcji „Creating the Policy” (Tworzenie zasady).

    Uwaga: instrukcje te zawierają opis sposobu tworzenia zasady dla aplikacji, która jest już zainstalowana na urządzeniu. Aby utworzyć zasadę dla aplikacji niezainstalowanej na danym urządzeniu, w kroku 6 wybierz Use a packaged app installer as a reference (Użyj aplikacji w pakiecie instalatora jako odniesienia).

  2. Po wyeksportowaniu pliku XML w edytorze zasad grupy usuń utworzoną zasadę. W przeciwnym razie zasada będzie stosowana na urządzeniu.

Krok 2. Dodaj ustawienie niestandardowe

  1. Zaloguj się na konto administratora w konsoli administracyjnej Google.

    Jeśli nie używasz konta administratora, nie możesz uzyskać dostępu do konsoli administracyjnej.

  3. Kliknij Ustawienia niestandardowe.
  4. Kliknij Dodaj ustawienie niestandardowe.
  5. Skonfiguruj ustawienie niestandardowe:
    1. W polu OMA-URI wpisz ApplicationLaunchRestriction i wybierz identyfikator OMA-URI odpowiadający typowi pliku aplikacji, który ma zostać objęty daną zasadą:
      • W przypadku plików EXE wybierz ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy
      • W przypadku aplikacji dostępnych w sklepie Microsoft Store wybierz ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
      • W przypadku plików MSI wybierz ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
      • W przypadku skryptów PowerShell wybierz ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
      • W przypadku plików DLL wybierz ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy

      Więcej informacji znajdziesz w dokumentacji usługi AppLocker CSP firmy Microsoft.

    2. W identyfikatorze OMA-URI zastąp tag <Enter Grouping> losowym alfanumerycznym ciągiem tekstowym, który jest unikalny dla każdego ustawienia niestandardowego. Jeśli na przykład chcesz dodać jedno ustawienie niestandardowe, by blokować pliki EXE, i inne ustawienie, by blokować pliki MSI, dla każdego z tych ustawień użyj odrębnej wartości.
    3. Po wybraniu identyfikatora OMA-URI pole Name (Nazwa) zaktualizuje się na „Policy” (Zasada). Wpisz unikalną nazwę, która pomoże Ci identyfikować ustawienie na liście ustawień niestandardowych.
    4. W opcji Typ danych wybierz Tekst (XML), a potem kliknij Prześlij plik XML i wybierz plik konfiguracji XML utworzony w pierwszej sekcji.
    5. (Opcjonalnie) Dodaj opis sposobu działania ustawienia niestandardowego, w tym informację na temat objętych nim użytkowników.
  6. Kliknij Dalej, by wybrać jednostkę organizacyjną objętą danym ustawieniem niestandardowym, lub kliknij Dodaj kolejną zasadę, by dodać kolejne ustawienie. Dodatkowe zasady zostaną zastosowane do jednostki organizacyjnej dopiero po kliknięciu Dalej i wybraniu jednostki organizacyjnej.
  7. Wybierz jednostkę organizacyjną, do której chcesz zastosować zasadę.
  8. Kliknij Zastosuj.

Jeśli użytkownik w danej jednostce organizacyjnej spróbuje zainstalować lub otworzyć zablokowaną aplikację na urządzeniu z systemem Windows, zobaczy komunikat o błędzie wyjaśniający, że aplikacja została zablokowana przez administratora systemu.

Przykładowe pliki XML

Zezwalanie tylko na podpisane aplikacje (blokowanie wszystkich niepodpisanych aplikacji)

Ta zasada pozwala użytkownikom instalować tylko podpisane aplikacje. Blokuje ona jednocześnie instalowanie niepodpisanych aplikacji o typie pliku określonym w identyfikatorze OMA-URI.

Aby zablokować wszystkie niepodpisane aplikacje z wszystkimi typami plików, dodaj odpowiednie ustawienie niestandardowe dla każdego typu pliku, a jako wartości użyj pliku XML poniżej.

Uwaga: w tagu RuleCollection wartość Type (Typ) musi odpowiadać typowi pliku aplikacji. Wartością może być "Exe" (pliki EXE), "Msi" (pliki MSI), "Script" (pliki skryptów), "Dll" (pliki DLL) lub "Appx" (pliki aplikacji dostępnych w sklepie Microsoft Store). W tagu FilePublisherRule zastąp ciąg GUID losowym identyfikatorem GUID uzyskanym z generatora identyfikatorów GUID online.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Dopuść podpisane aplikacje" Description="Dopuszcza uruchomienie podpisanych aplikacji" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">   
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>      
</RuleCollection>
Blokowanie określonych aplikacji

Aby blokować aplikacje, musisz zawrzeć sekcję <FilePublisherRule>, która dopuści określone aplikacje, i bloki <FilePublisherRule> dla każdej blokowanej aplikacji.

Ogólny format to:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...dopuść aplikacje...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...warunki dla pierwszej blokowanej aplikacji...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...warunki dla drugiej blokowanej aplikacji...
  </FilePublisherRule>
</RuleCollection>

 

Uwaga: w tagu RuleCollection wartość Type (Typ) musi odpowiadać typowi pliku aplikacji. Wartością może być "Exe" (pliki EXE), "Msi" (pliki MSI), "Script" (pliki skryptów), "Dll" (pliki DLL) lub "Appx" (pliki aplikacji dostępnych w sklepie Microsoft Store). W tagu FilePublisherRule zastąp ciąg GUID losowym identyfikatorem GUID uzyskanym z generatora identyfikatorów GUID online.

Na przykład ta zasada uniemożliwi użytkownikom uruchomienie zarówno aplikacji „A”, jak i aplikacji „B” (obie o typu pliku EXE):

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Dopuść podpisane aplikacje" Description="Dopuszcza uruchomienie podpisanych aplikacji" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Blokuj aplikację A" Description="Blokuje aplikację A wszystkim użytkownikom" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=nazwa dewelopera, L=London, C=GB" ProductName="APLIKACJA A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Blokuj aplikację B" Description="Blokuje aplikację B wszystkim użytkownikom" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APLIKACJA B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions>
 </FilePublisherRule>
</RuleCollection>
Blokowanie aplikacji dołączonych do systemu operacyjnego Windows
Ten przykładowy kod (utworzony na podstawie dokumentacji firmy Microsoft) blokuje możliwość używania programu Poczta systemu Windows. Zanim go użyjesz, zastąp ciąg GUID losowym identyfikatorem GUID uzyskanym z generatora identyfikatorów GUID online.
Uwaga: ten plik jest aplikacją ze sklepu Microsoft Store, więc identyfikator OMA-URI musi mieć postać ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Dopuść podpisane aplikacje" Description="Dopuszcza uruchomienie podpisanych aplikacji" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Blokuje Pocztę systemu Windows" Description="Blokuje uruchomienie Poczty systemu Windows" UserOrGroupSid="S-1-1-0" Action="Deny"> 
    <Conditions> 
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*"> 
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions> 
  </FilePublisherRule>      
</RuleCollection>


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
1944186785801492769
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false
false
false