맞춤 설정으로 Windows 10 또는 11 기기에서 앱 차단하기

이 기능이 지원되는 버전: Frontline StarterFrontline Standard, Business Plus, Enterprise Standard 및 Enterprise Plus, Education Standard, Education Plus, Endpoint Education Upgrade, Enterprise EssentialsEnterprise Essentials Plus, Cloud ID Premium  사용 중인 버전 비교하기

조직에서 Windows 기기 관리를 사용하여 Windows 기기를 관리하는 경우 Google 관리 콘솔에서 맞춤 설정을 추가하여 해당 기기에 허용되는 앱을 제한할 수 있습니다. 업로드하는 XML 파일에 앱을 맞춤 설정 값으로 지정하세요. 개별 앱 또는 특정 유형에 해당되는 모든 앱 파일(예: EXE 또는 MSI 파일)을 차단할 수 있습니다.

1단계: XML 파일에 허용 및 차단되는 앱 지정하기

XML 파일을 만들려면 PowerShell의 명령줄 또는 Windows 그룹 정책 편집기의 GUI를 사용할 수 있습니다. 이 안내에는 한 개의 정책을 만드는 방법이 제시되어 있지만, 동일한 파일 형식의 앱에 대한 여러 관련 정책을 하나의 XML 파일에 결합할 수도 있습니다. 를 참고하세요.

중요: 서로 다른 유형의 앱 파일(EXE, MSI, 스크립트, StoreApps, DLL)을 차단하려면 별도의 맞춤 설정을 생성해야 합니다.

옵션 1: 명령줄(PowerShell)
  1. 온라인 GUID 생성기를 사용하여 임의의 GUID를 가져옵니다. 도움말: 검색엔진에서 온라인 GUID 생성기를 검색하세요.
  2. 특정 앱을 차단하려면 해당 앱 정보를 가져옵니다. 특정한 파일 형식의 모든 앱을 차단하려면 이 단계를 건너뛰어도 됩니다.
    1. Windows 기기에서 차단하거나 허용하려는 앱 실행 파일(.exe로 끝나는 파일)을 다운로드합니다.
    2. PowerShell을 엽니다.
    3. Get-AppLockerFileInformation -path PathToExe | format-list를 실행합니다. 여기에서 PathToExe는 실행 파일 경로입니다.
    4. 실행 결과에서 Publisher 줄에 있는 값을 찾아 기록합니다. 이 값은 다음과 같은 형식이며 XML에서 사용할 값에 해당됩니다.

      PublisherName\ProductName\BinaryName,BinaryVersion

      게시자 이름은 긴 문자열(예: O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US)이며 전체 문자열이 포함되어야 합니다.

  3. 다음 XML을 텍스트 편집기에 복사합니다.

    <RuleCollection Type="Type" EnforcementMode="Enabled">
      <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
         <Conditions>
           <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
             <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
           </FilePublisherCondition>
         </Conditions>
       </FilePublisherRule>
    </RuleCollection>

  4. XML을 수정하여 자리표시자를 해당하는 값으로 변경합니다. 특정한 사용 사례(예: 여러 정책을 하나의 파일에 그룹화)를 보려면 를 참고하세요.
    자리표시자
    Type

    앱 파일 형식(OMA-URI와 일치해야 함):

    • EXE 파일의 경우 'Exe'를 입력합니다.
    • MSI 파일의 경우 'Msi'를 입력합니다.
    • Script 파일의 경우 'Script'를 입력합니다.
    • DLL 파일의 경우 'Dll'을 입력합니다.
    • Microsoft Store 앱의 경우 'Appx'를 입력합니다.
    GUID 1단계에서 생성한 GUID
    PolicyName 정책 이름으로 모든 문자열을 사용할 수 있습니다.
    PolicyDescription 정책에 대한 설명입니다.
    UserOrGroupSid 정책을 적용할 사용자 또는 그룹입니다.
    • 기기의 모든 사용자에게 정책을 적용하려면 S-1-1-0을 입력합니다.
    • 특정 사용자에게 정책을 적용하려면 사용자의 SID를 입력합니다. SID를 가져오려면 명령줄에서 다음을 실행하세요.

      wmic username get name,sid

      여기에서 username은 기기 사용자의 사용자 이름입니다. 사용자 이름을 모르는 경우 다음을 실행하여 기기에 있는 모든 사용자의 목록을 가져옵니다.

      wmic useraccount get name,sid

    • 사용자 이름은 하나만 입력할 수 있습니다. 더 많은 사용자에게 정책을 적용하려면 사용자를 그룹에 추가하거나 정책을 복사한 다음 이름을 변경하세요.

    • 특정 그룹에 정책을 적용하려면 그룹의 SID를 입력합니다. 그룹 SID를 가져오려면 명령줄에서 다음을 실행하세요.

      wmic groupName get name,sid

      여기에서 groupName은 기기에 있는 그룹의 이름입니다. 그룹 이름을 모르는 경우 다음을 실행하여 기기에 있는 모든 그룹의 목록을 가져올 수 있습니다.

      wmic group get name,sid
    Allow|Deny 이 정책에 대하여 지정된 앱을 차단 또는 허용할지 작업을 선택합니다.
    PublisherName 앱 게시자의 이름입니다(2단계의 PublisherName). * 와일드 카드를 사용할 수 있지만 정규 표현식 일치 및 접두사 또는 접미사 와일드 카드는 지원되지 않습니다.
    BinaryName

    바이너리의 파일 이름입니다(2단계의 BinaryName). * 와일드 카드를 사용할 수 있지만 정규 표현식 일치 및 접두사 또는 접미사 와일드 카드는 지원되지 않습니다.

    예를 들어 모든 EXE 파일을 차단하려면 *를 입력하고 맞춤 설정을 추가할 때 /EXE/Policy로 끝나는 OMA-URI를 선택합니다.
    ProductName 제품 이름입니다(2단계의 ProductName). * 와일드 카드를 사용할 수 있지만 정규 표현식 일치 및 접두사 또는 접미사 와일드 카드는 지원되지 않습니다.
    latestVersion 이 정책을 적용할 앱의 최신 버전 번호입니다. 앱의 모든 버전을 차단하려면 *를 입력합니다.
    earliestVersion 이 정책을 적용할 앱의 최초 버전 번호입니다. 앱의 모든 버전을 차단하려면 *를 입력합니다.

  5. 파일을 저장합니다.

옵션 2: GUI(Windows 그룹 정책 편집기)
  1. Microsoft 도움말의 'XML 생성' 섹션에 있는 안내를 따르고 '정책 만들기' 섹션부터는 안내를 따르지 않습니다.

    참고: 이 안내에는 기기에 설치된 앱에 대한 정책을 만드는 방법이 설명되어 있습니다. 기기에 설치되지 않은 앱에 대한 정책을 만들려면 6단계에서 패키지 앱 설치 프로그램을 참고로 사용을 선택합니다.

  2. XML 파일을 내보낸 후에는 만들어진 정책을 그룹 정책 편집기에서 삭제합니다. 삭제하지 않으면 이 정책이 기기에 적용됩니다.

2단계: 맞춤 설정 추가하기

  1. Google 관리 콘솔로그인하세요.

    @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

  2. 관리 콘솔에서 메뉴 그런 다음 기기그런 다음모바일 및 엔드포인트그런 다음설정그런 다음Windows로 이동합니다.
  3. 맞춤 설정을 클릭합니다.
  4. '맞춤 설정 추가'를 클릭합니다.
  5. 다음과 같이 맞춤 설정을 구성합니다.
    1. OMA-URI 입력란에 ApplicationLaunchRestriction을 입력하고 다음과 같이 정책의 앱 파일 형식에 해당하는 OMA-URI를 선택합니다.
      • EXE 파일의 경우 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<그룹화 입력>/EXE/Policy를 선택합니다.
      • Microsoft Store에서 제공되는 앱의 경우 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<그룹화 입력>/AppStore/Policy를 선택합니다.
      • MSI 파일의 경우 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<그룹화 입력>/MSI/Policy를 선택합니다.
      • PowerShell 스크립트의 경우 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<그룹화 입력>/Script/Policy를 선택합니다.
      • DLL 파일의 경우 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<그룹화 입력>/DLL/Policy를 선택합니다.

      자세한 내용은 Microsoft AppLocker CSP 문서를 참고하세요.

    2. OMA-URI에서 <그룹화 입력>을 맞춤 설정별로 고유한 임의의 영숫자 문자열로 바꿉니다. 예를 들어 하나의 맞춤 설정을 추가하여 EXE 파일을 차단하고 다른 설정을 추가하여 MSI 파일을 차단하는 경우 각 맞춤 설정에 다른 값을 사용합니다.
    3. OMA-URI를 선택하면 이름 입력란이 '정책'으로 변경됩니다. 맞춤 설정 목록에서 쉽게 식별할 수 있도록 고유한 이름을 입력합니다.
    4. 데이터 유형에서 문자열(XML)을 선택하고 XML 업로드를 클릭한 다음 첫 번째 섹션에서 만든 XML 구성 파일을 선택합니다.
    5. (선택사항) 맞춤 설정의 작업과 적용 대상이 명시된 설명을 입력합니다.
  6. 계속하려면 다음을 클릭하여 맞춤 설정을 적용할 조직 단위를 선택하고, 새 맞춤 설정을 시작하려면 다른 항목 추가를 클릭합니다. 다음을 클릭하고 조직 단위를 선택해야 조직 단위에 추가 정책이 적용됩니다.
  7. 정책을 적용할 조직 단위를 선택합니다.
  8. 적용을 클릭합니다.

조직 단위의 사용자가 Windows 기기에서 차단된 앱을 설치하거나 열려고 하면 시스템 관리자가 앱을 차단했다는 오류 메시지가 표시됩니다.

XML 파일 예

서명된 앱만 허용하기(서명되지 않은 모든 앱 차단하기)

이 정책을 사용하면 사용자는 서명된 앱만 설치할 수 있으며 OMA-URI에 지정된 파일 형식의 서명되지 않은 앱은 설치할 수 없습니다.

모든 파일 형식에 대해 서명되지 않은 앱을 모두 차단하려면 각 파일 형식의 맞춤 설정을 추가하고 값에 다음 XML을 사용합니다.

참고: RuleCollection에서 Type이 앱 파일 형식과 일치해야 합니다. 값은 'Exe'(EXE 파일), 'Msi'(MSI 파일), 'Script'(Script 파일), 'Dll'(DLL 파일), 'Appx'(StoreApps)가 될 수 있습니다. FilePublisherRule에서 GUID를 온라인 GUID 생성기에서 가져온 임의의 GUID로 변경합니다.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run singed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">   
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>      
</RuleCollection>
특정 앱 차단하기

앱을 차단하려면 앱을 허용하는 <FilePublisherRule> 섹션과 차단하려는 각 앱에 대한 <FilePublisherRule> 블록을 포함해야 합니다.

일반적인 형식은 다음과 같습니다.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allows apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...차단할 첫 번째 앱의 조건...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...차단할 두 번째 앱의 조건...
  </FilePublisherRule>
</RuleCollection>

 

참고: RuleCollection에서 Type이 앱 파일 형식과 일치해야 합니다. 값은 'Exe'(EXE 파일), 'Msi'(MSI 파일), 'Script'(Script 파일), 'Dll'(DLL 파일), 'Appx'(StoreApps)가 될 수 있습니다. FilePublisherRule에서 GUID를 온라인 GUID 생성기에서 가져온 임의의 GUID로 변경합니다.

예를 들어, 다음 정책은 사용자가 EXE 파일인 '앱 A'와 '앱 B'를 모두 실행하지 못하게 합니다.

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions>
 </FilePublisherRule>
</RuleCollection>
Windows 운영체제에서 번들로 제공되는 앱 차단하기
Microsoft 문서의 예를 기반으로 작성된 다음 샘플을 사용하면 사용자가 Windows Mail을 사용하지 못하도록 차단됩니다. GUID를 온라인 GUID 생성기를 사용하여 가져온 임의의 GUID로 바꾼 다음에 사용하세요.
참고: 다음 앱 파일은 Microsoft Store 앱이므로 OMA-URI는 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<그룹화 입력>/AppStore/Policy여야 합니다.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny"> 
    <Conditions> 
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*"> 
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions> 
  </FilePublisherRule>      
</RuleCollection>


Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?

도움이 더 필요하신가요?

다음 단계를 시도해 보세요.

도움말 커뮤니티에 게시하기 커뮤니티 회원의 답변 받기
문의하기 자세히 알려주시면 도움을 드리겠습니다.
true
지금 14일 무료 평가판 사용

업무용 이메일, 온라인 저장용량, 공유 캘린더, 화상 회의 등 다양한 기능을 제공합니다. 지금 무료로 G Suite 평가판을 사용해 보세요.

검색
검색어 지우기
검색 닫기
기본 메뉴
17676928606111153672
true
도움말 센터 검색
true
true
true
true
true
73010
false
false