Notifikasi

Duet AI kini menjadi Gemini untuk Google Workspace. Pelajari lebih lanjut

Memblokir aplikasi di perangkat Windows 10 atau 11 dengan setelan kustom

Edisi yang didukung untuk fitur ini: Frontline Starter dan Frontline Standard; Business Plus; Enterprise Standard dan Enterprise Plus; Education Standard, Education Plus, dan Endpoint Education Upgrade; Enterprise Essentials dan Enterprise Essentials Plus; Cloud Identity Premium.  Bandingkan edisi

Saat mengelola perangkat Windows di organisasi dengan pengelolaan perangkat Windows, Anda dapat membatasi aplikasi mana saja yang diizinkan di perangkat tersebut dengan menambahkan setelan kustom di konsol Google Admin. Anda dapat menentukan aplikasi di file XML yang Anda upload sebagai nilai setelan kustom. Anda dapat memblokir aplikasi individual atau semua file aplikasi yang cocok dengan jenis tertentu, seperti file EXE atau MSI.

Langkah 1: Tentukan aplikasi yang diizinkan dan diblokir di file XML

Untuk membuat file XML, Anda dapat menggunakan command line di PowerShell atau GUI di editor Windows Group Policy. Petunjuk ini menjelaskan cara membuat satu kebijakan, tetapi Anda dapat menggabungkan beberapa kebijakan terkait untuk aplikasi dengan jenis file yang sama dalam satu file XML. Lihat contoh.

Penting: Untuk memblokir jenis file aplikasi yang berbeda (EXE, MSI, Skrip, aplikasi Microsoft Store, dan DLL), Anda harus membuat setelan kustom yang terpisah.

Opsi 1—Command line (PowerShell)
  1. Gunakan generator GUID online untuk mendapatkan GUID acak. Tips: Di mesin telusur, telusuri online GUID generator.
  2. Jika Anda ingin memblokir aplikasi tertentu, dapatkan informasi aplikasi tersebut. Jika ingin memblokir semua aplikasi dengan jenis file tertentu, Anda dapat melewati langkah ini.
    1. Di perangkat Windows, download file aplikasi yang dapat dijalankan (file yang diakhiri dengan .exe) yang ingin diblokir atau diizinkan.
    2. Buka PowerShell.
    3. Jalankan Get-AppLockerFileInformation -path PathToExe | format-list, dengan PathToExe sebagai jalur ke file yang dapat dijalankan.
    4. Di respons, cari dan catat nilai di baris Publisher. Nilai tersebut memiliki format berikut dan sesuai dengan nilai yang akan Anda gunakan di XML:

      PublisherName\ProductName\BinaryName,BinaryVersion

      Nama penerbit berupa string panjang, seperti O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US dan Anda harus memasukkan seluruh string.

  3. Salin XML berikut ke dalam editor teks:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
      <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
         <Conditions>
           <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
             <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
           </FilePublisherCondition>
         </Conditions>
       </FilePublisherRule>
    </RuleCollection>

  4. Edit XML untuk mengganti placeholder dengan nilainya. Untuk kasus penggunaan tertentu, seperti mengelompokkan beberapa kebijakan dalam satu file, lihat contoh.
    Placeholder Nilai
    Jenis

    Jenis file aplikasi (harus sesuai dengan OMA-URI):

    • Untuk file EXE, masukkan "Exe"
    • Untuk file MSI, masukkan "Msi"
    • Untuk file Skrip, masukkan "Script"
    • Untuk file DLL, masukkan "Dll"
    • Untuk aplikasi Microsoft Store, masukkan "Appx"
    GUID GUID yang Anda buat pada langkah 1
    PolicyName Nama kebijakan. Anda dapat menggunakan string apa pun.
    PolicyDescription Deskripsi kebijakan
    UserOrGroupSid Pengguna atau grup tempat kebijakan diterapkan:
    • Untuk menerapkan kebijakan ke semua pengguna di perangkat, masukkan S-1-1-0.
    • Untuk menerapkan kebijakan ke pengguna tertentu, masukkan SID mereka. Untuk mendapatkan SID mereka, di command line, jalankan:

      wmic username get name,sid

      dengan keterangan, username adalah nama pengguna dari pengguna di perangkat. Jika Anda tidak mengetahui nama pengguna, dapatkan daftar semua pengguna di perangkat dengan menjalankan:

      wmic useraccount get name,sid

    • Anda hanya dapat memasukkan satu nama pengguna. Untuk menerapkan kebijakan ke lebih banyak pengguna, masukkan pengguna di grup, atau salin kebijakan dan perbarui namanya.

    • Untuk menerapkan kebijakan ke grup tertentu, masukkan SID-nya. Untuk mendapatkan SID grup, di command line, jalankan:

      wmic groupName get name,sid

      dengan keterangan, groupName adalah nama grup di perangkat. Jika tidak mengetahui nama grup, Anda bisa mendapatkan daftar semua grup di perangkat dengan menjalankan:

      wmic group get name,sid
    Allow|Deny Pilih tindakan untuk kebijakan ini, apakah aplikasi tertentu diblokir atau diizinkan
    PublisherName Nama penerbit aplikasi (PublisherName dari langkah 2). Anda dapat menggunakan karakter pengganti *, tetapi pencocokan ekspresi reguler dan karakter pengganti awalan atau akhiran tidak didukung.
    BinaryName

    Nama file biner (BinaryName dari langkah 2). Anda dapat menggunakan karakter pengganti *, tetapi pencocokan ekspresi reguler dan karakter pengganti awalan atau akhiran tidak didukung.

    Misalnya, untuk memblokir semua file EXE, masukkan * dan saat Anda menambahkan setelan kustom, pilih OMA-URI yang berakhirkan /EXE/Policy.
    ProductName Nama produk (ProductName dari langkah 2). Anda dapat menggunakan karakter pengganti *, tetapi pencocokan ekspresi reguler dan karakter pengganti awalan atau akhiran tidak didukung.
    latestVersion Nomor versi aplikasi terbaru tempat kebijakan ini diterapkan. Untuk memblokir semua versi aplikasi, masukkan *.
    earliestVersion Nomor versi aplikasi terlama tempat kebijakan ini diterapkan. Untuk memblokir semua versi aplikasi, masukkan *.

  5. Simpan file.

Opsi 2–GUI (editor Windows Groups Policy)
  1. Ikuti petunjuk di bagian "Generating the XML" dalam artikel Microsoft ini. Berhenti mengikuti petunjuk jika Anda membuka bagian "Creating the Policy".

    Catatan: Petunjuk ini menjelaskan cara membuat kebijakan untuk aplikasi yang diinstal di perangkat. Untuk membuat kebijakan bagi aplikasi yang tidak diinstal di perangkat, pada langkah 6, pilih Use a packaged app installer as a reference.

  2. Setelah Anda mengekspor file XML, di editor Groups Policy, hapus kebijakan yang telah dibuat. Jika tidak, kebijakan akan diterapkan di perangkat.

Langkah 2: Tambahkan setelan kustom

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluSeluler dan endpointlaluSetelanlaluWindows.
  3. Klik Setelan kustom.
  4. Klik Tambahkan setelan kustom.
  5. Konfigurasikan setelan berikut:
    1. Di kolom OMA-URI, masukkan ApplicationLaunchRestriction dan pilih OMA-URI yang sesuai dengan jenis file aplikasi dalam kebijakan:
      • Untuk file EXE, pilih ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy.
      • Untuk aplikasi yang tersedia di Microsoft Store, pilih ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
      • Untuk file MSI, pilih ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
      • Untuk skrip PowerShell, pilih ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
      • Untuk file DLL, pilih ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy

      Untuk informasi selengkapnya, lihat dokumentasi AppLocker CSP Microsoft.

    2. Di OMA-URI, ganti <Enter Grouping> dengan string alfanumerik acak yang unik untuk setiap setelan kustom. Misalnya, jika Anda menambahkan satu setelan kustom untuk memblokir file EXE dan setelan lainnya untuk memblokir file MSI, gunakan nilai yang berbeda untuk setiap setelan kustom.
    3. Saat Anda memilih OMA-URI, kolom Name akan berubah menjadi "Policy". Masukkan nama yang unik untuk memudahkan Anda mengidentifikasinya dalam daftar setelan kustom.
    4. Untuk Jenis data, pilih String (XML), klik Upload XML, lalu pilih file konfigurasi XML yang dibuat pada bagian pertama.
    5. (Opsional) Masukkan deskripsi yang menjelaskan tindakan setelan kustom dan kepada siapa saja setelan kustom ini diterapkan.
  6. Klik Next untuk melanjutkan dan memilih unit organisasi tempat setelan kustom diterapkan, atau klik Add another untuk mulai menambahkan kebijakan lain. Kebijakan tambahan tidak akan diterapkan untuk unit organisasi sebelum Anda mengklik Next dan memilih unit organisasi.
  7. Pilih unit organisasi tempat kebijakan diterapkan.
  8. Klik Apply.

Jika pengguna di unit organisasi mencoba menginstal atau membuka aplikasi yang diblokir di perangkat Windows, mereka akan menerima pesan error yang memberitahukan bahwa aplikasi diblokir oleh administrator sistem.

Contoh file XML

Hanya izinkan aplikasi dengan sertifikat keamanan (Memblokir semua aplikasi yang tidak memiliki sertifikat keamanan)

Kebijakan ini mengizinkan pengguna menginstal aplikasi dengan sertifikat keamanan saja, yang juga mencegah pengguna menginstal aplikasi yang tidak memiliki sertifikat keamanan dengan jenis file yang ditentukan dalam OMA-URI.

Guna memblokir semua aplikasi yang tidak memiliki sertifikat keamanan untuk semua jenis file, tambahkan setelan kustom untuk setiap jenis file dan gunakan XML berikut untuk nilai tersebut.

Catatan: Dalam RuleCollection, Type harus cocok dengan jenis file aplikasi. Nilainya bisa berupa "Exe" untuk file EXE, "Msi" untuk file MSI, "Script" untuk file Script, "Dll" untuk file DLL, atau "Appx" untuk StoreApps. Di FilePublisherRule, ganti GUID dengan GUID acak yang Anda dapatkan dari generator GUID online.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">   
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>      
</RuleCollection>
Memblokir aplikasi tertentu

Untuk memblokir aplikasi, Anda harus menyertakan bagian <FilePublisherRule> yang mengizinkan aplikasi dan <FilePublisherRule> memblokir setiap aplikasi yang ingin diblokir.

Format umumnya adalah:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>

 

Catatan: Dalam RuleCollection, Type harus cocok dengan jenis file aplikasi. Nilainya bisa berupa "Exe" untuk file EXE, "Msi" untuk file MSI, "Script" untuk file Script, "Dll" untuk file DLL, atau "Appx" untuk StoreApps. Di FilePublisherRule, ganti GUID dengan GUID acak yang Anda dapatkan dari generator GUID online.

Misalnya, kebijakan ini mencegah pengguna menjalankan "Aplikasi A" dan "Aplikasi B", yang merupakan file EXE:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions>
 </FilePublisherRule>
</RuleCollection>
Memblokir aplikasi yang merupakan satu paket dengan sistem operasi Windows
Contoh ini, berdasarkan contoh di dokumentasi Microsoft, mencegah pengguna menggunakan Windows Mail. Sebelum Anda menggunakannya, ganti GUID dengan GUID acak yang Anda dapatkan dari generator GUID online.
Catatan: File aplikasi ini adalah aplikasi Microsoft Store, sehingga OMA-URI harus berupa ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny"> 
    <Conditions> 
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*"> 
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions> 
  </FilePublisherRule>      
</RuleCollection>


Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

Posting ke komunitas bantuan Dapatkan jawaban dari anggota komunitas
Hubungi kami Beri tahu kami selengkapnya dan kami akan membantu Anda
true
Mulailah uji coba gratis 14 hari Anda

Email profesional, penyimpanan online, kalender bersama, rapat video, dan lainnya. Mulailah uji coba gratis G Suite sekarang.

Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
11475409933675364533
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false