Saat mengelola perangkat Windows di organisasi dengan pengelolaan perangkat Windows, Anda dapat membatasi aplikasi mana saja yang diizinkan di perangkat tersebut dengan menambahkan setelan kustom di konsol Google Admin. Anda dapat menentukan aplikasi di file XML yang Anda upload sebagai nilai setelan kustom. Anda dapat memblokir aplikasi individual atau semua file aplikasi yang cocok dengan jenis tertentu, seperti file EXE atau MSI.
Langkah 1: Tentukan aplikasi yang diizinkan dan diblokir di file XML
Untuk membuat file XML, Anda dapat menggunakan command line di PowerShell atau GUI di editor Windows Group Policy. Petunjuk ini menjelaskan cara membuat satu kebijakan, tetapi Anda dapat menggabungkan beberapa kebijakan terkait untuk aplikasi dengan jenis file yang sama dalam satu file XML. Lihat contoh.
Penting: Untuk memblokir jenis file aplikasi yang berbeda (EXE, MSI, Skrip, aplikasi Microsoft Store, dan DLL), Anda harus membuat setelan kustom yang terpisah.
Opsi 1—Command line (PowerShell)- Gunakan generator GUID online untuk mendapatkan GUID acak. Tips: Di mesin telusur, telusuri
online GUID generator
. - Jika Anda ingin memblokir aplikasi tertentu, dapatkan informasi aplikasi tersebut. Jika ingin memblokir semua aplikasi dengan jenis file tertentu, Anda dapat melewati langkah ini.
- Di perangkat Windows, download file aplikasi yang dapat dijalankan (file yang diakhiri dengan .exe) yang ingin diblokir atau diizinkan.
- Buka PowerShell.
- Jalankan Get-AppLockerFileInformation -path PathToExe | format-list, dengan PathToExe sebagai jalur ke file yang dapat dijalankan.
- Di respons, cari dan catat nilai di baris
Publisher
. Nilai tersebut memiliki format berikut dan sesuai dengan nilai yang akan Anda gunakan di XML:PublisherName\ProductName\BinaryName,BinaryVersion
Nama penerbit berupa string panjang, seperti
O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US
dan Anda harus memasukkan seluruh string.
- Salin XML berikut ke dalam editor teks:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
<Conditions>
<FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
<BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> - Edit XML untuk mengganti placeholder dengan nilainya. Untuk kasus penggunaan tertentu, seperti mengelompokkan beberapa kebijakan dalam satu file, lihat contoh.
Placeholder Nilai Jenis Jenis file aplikasi (harus sesuai dengan OMA-URI):
- Untuk file EXE, masukkan
"Exe"
- Untuk file MSI, masukkan
"Msi"
- Untuk file Skrip, masukkan
"Script"
- Untuk file DLL, masukkan
"Dll"
- Untuk aplikasi Microsoft Store, masukkan
"Appx"
GUID GUID yang Anda buat pada langkah 1 PolicyName Nama kebijakan. Anda dapat menggunakan string apa pun. PolicyDescription Deskripsi kebijakan UserOrGroupSid Pengguna atau grup tempat kebijakan diterapkan: - Untuk menerapkan kebijakan ke semua pengguna di perangkat, masukkan S-1-1-0.
- Untuk menerapkan kebijakan ke pengguna tertentu, masukkan SID mereka. Untuk mendapatkan SID mereka, di command line, jalankan:
wmic username get name,sid
dengan keterangan, username adalah nama pengguna dari pengguna di perangkat. Jika Anda tidak mengetahui nama pengguna, dapatkan daftar semua pengguna di perangkat dengan menjalankan:
wmic useraccount get name,sid
-
Anda hanya dapat memasukkan satu nama pengguna. Untuk menerapkan kebijakan ke lebih banyak pengguna, masukkan pengguna di grup, atau salin kebijakan dan perbarui namanya.
- Untuk menerapkan kebijakan ke grup tertentu, masukkan SID-nya. Untuk mendapatkan SID grup, di command line, jalankan:
wmic groupName get name,sid
dengan keterangan, groupName adalah nama grup di perangkat. Jika tidak mengetahui nama grup, Anda bisa mendapatkan daftar semua grup di perangkat dengan menjalankan:
wmic group get name,sid
Allow|Deny Pilih tindakan untuk kebijakan ini, apakah aplikasi tertentu diblokir atau diizinkan PublisherName Nama penerbit aplikasi (PublisherName dari langkah 2). Anda dapat menggunakan karakter pengganti *, tetapi pencocokan ekspresi reguler dan karakter pengganti awalan atau akhiran tidak didukung. BinaryName Nama file biner (BinaryName dari langkah 2). Anda dapat menggunakan karakter pengganti *, tetapi pencocokan ekspresi reguler dan karakter pengganti awalan atau akhiran tidak didukung.
Misalnya, untuk memblokir semua file EXE, masukkan * dan saat Anda menambahkan setelan kustom, pilih OMA-URI yang berakhirkan /EXE/Policy.
ProductName Nama produk (ProductName dari langkah 2). Anda dapat menggunakan karakter pengganti *, tetapi pencocokan ekspresi reguler dan karakter pengganti awalan atau akhiran tidak didukung. latestVersion Nomor versi aplikasi terbaru tempat kebijakan ini diterapkan. Untuk memblokir semua versi aplikasi, masukkan *. earliestVersion Nomor versi aplikasi terlama tempat kebijakan ini diterapkan. Untuk memblokir semua versi aplikasi, masukkan *. - Untuk file EXE, masukkan
-
Simpan file.
- Ikuti petunjuk di bagian "Generating the XML" dalam artikel Microsoft ini. Berhenti mengikuti petunjuk jika Anda membuka bagian "Creating the Policy".
Catatan: Petunjuk ini menjelaskan cara membuat kebijakan untuk aplikasi yang diinstal di perangkat. Untuk membuat kebijakan bagi aplikasi yang tidak diinstal di perangkat, pada langkah 6, pilih Use a packaged app installer as a reference.
- Setelah Anda mengekspor file XML, di editor Groups Policy, hapus kebijakan yang telah dibuat. Jika tidak, kebijakan akan diterapkan di perangkat.
Langkah 2: Tambahkan setelan kustom
-
Login ke Konsol Google Admin.
Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu PerangkatSeluler dan endpointSetelanWindows.
- Klik Setelan kustom.
- Klik Tambahkan setelan kustom.
- Konfigurasikan setelan berikut:
- Di kolom OMA-URI, masukkan ApplicationLaunchRestriction dan pilih OMA-URI yang sesuai dengan jenis file aplikasi dalam kebijakan:
- Untuk file EXE, pilih ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
- Untuk aplikasi yang tersedia di Microsoft Store, pilih ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
- Untuk file MSI, pilih ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
- Untuk skrip PowerShell, pilih ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
- Untuk file DLL, pilih ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy
Untuk informasi selengkapnya, lihat dokumentasi AppLocker CSP Microsoft.
- Di OMA-URI, ganti <Enter Grouping> dengan string alfanumerik acak yang unik untuk setiap setelan kustom. Misalnya, jika Anda menambahkan satu setelan kustom untuk memblokir file EXE dan setelan lainnya untuk memblokir file MSI, gunakan nilai yang berbeda untuk setiap setelan kustom.
- Saat Anda memilih OMA-URI, kolom Name akan berubah menjadi "Policy". Masukkan nama yang unik untuk memudahkan Anda mengidentifikasinya dalam daftar setelan kustom.
- Untuk Jenis data, pilih String (XML), klik Upload XML, lalu pilih file konfigurasi XML yang dibuat pada bagian pertama.
- (Opsional) Masukkan deskripsi yang menjelaskan tindakan setelan kustom dan kepada siapa saja setelan kustom ini diterapkan.
- Di kolom OMA-URI, masukkan ApplicationLaunchRestriction dan pilih OMA-URI yang sesuai dengan jenis file aplikasi dalam kebijakan:
- Klik Next untuk melanjutkan dan memilih unit organisasi tempat setelan kustom diterapkan, atau klik Add another untuk mulai menambahkan kebijakan lain. Kebijakan tambahan tidak akan diterapkan untuk unit organisasi sebelum Anda mengklik Next dan memilih unit organisasi.
- Pilih unit organisasi tempat kebijakan diterapkan.
- Klik Apply.
Jika pengguna di unit organisasi mencoba menginstal atau membuka aplikasi yang diblokir di perangkat Windows, mereka akan menerima pesan error yang memberitahukan bahwa aplikasi diblokir oleh administrator sistem.
Contoh file XML
Hanya izinkan aplikasi dengan sertifikat keamanan (Memblokir semua aplikasi yang tidak memiliki sertifikat keamanan)Kebijakan ini mengizinkan pengguna menginstal aplikasi dengan sertifikat keamanan saja, yang juga mencegah pengguna menginstal aplikasi yang tidak memiliki sertifikat keamanan dengan jenis file yang ditentukan dalam OMA-URI.
Guna memblokir semua aplikasi yang tidak memiliki sertifikat keamanan untuk semua jenis file, tambahkan setelan kustom untuk setiap jenis file dan gunakan XML berikut untuk nilai tersebut.
Catatan: Dalam RuleCollection
, Type
harus cocok dengan jenis file aplikasi. Nilainya bisa berupa "Exe"
untuk file EXE, "Msi"
untuk file MSI, "Script"
untuk file Script, "Dll"
untuk file DLL, atau "Appx"
untuk StoreApps. Di FilePublisherRule
, ganti GUID dengan GUID acak yang Anda dapatkan dari generator GUID online.
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Untuk memblokir aplikasi, Anda harus menyertakan bagian <FilePublisherRule>
yang mengizinkan aplikasi dan <FilePublisherRule>
memblokir setiap aplikasi yang ingin diblokir.
Format umumnya adalah:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule...>
...allow apps...
</FilePublisherRule>
<FilePublisherRule...>
...conditions for first app to block...
</FilePublisherRule>
<FilePublisherRule...>
...conditions for second app to block...
</FilePublisherRule>
</RuleCollection>
Catatan: Dalam RuleCollection
, Type
harus cocok dengan jenis file aplikasi. Nilainya bisa berupa "Exe"
untuk file EXE, "Msi"
untuk file MSI, "Script"
untuk file Script, "Dll"
untuk file DLL, atau "Appx"
untuk StoreApps. Di FilePublisherRule
, ganti GUID dengan GUID acak yang Anda dapatkan dari generator GUID online.
Misalnya, kebijakan ini mencegah pengguna menjalankan "Aplikasi A" dan "Aplikasi B", yang merupakan file EXE:
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
<RuleCollection Type="Appx" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.