Bloccare le app sui dispositivi Windows 10 o Windows 11 mediante impostazioni personalizzate

Versioni supportate per questa funzionalità: Frontline Starter e Frontline Standard; Business Plus; Enterprise Standard ed Enterprise Plus; Education Standard, Education Plus ed Endpoint Education Upgrade; Enterprise Essentials e Enterprise Essentials Plus; Cloud Identity Premium.  Confronta la tua versione

Quando gestisci dispositivi Windows nella tua organizzazione con Gestione dei dispositivi Windows, puoi limitare le app consentite su tali dispositivi aggiungendo impostazioni personalizzate nella Console di amministrazione Google. Puoi specificare le app in un file XML che carichi come valore dell'impostazione personalizzata. Puoi bloccare singole app o tutti i file delle app che corrispondono a un determinato tipo, ad esempio i file EXE o MSI.

Passaggio 1: specifica le app consentite e bloccate in un file XML

Per creare il file XML, puoi utilizzare la riga di comando in PowerShell o la GUI nell'Editor Criteri di gruppo di Windows. Queste istruzioni illustrano come creare un singolo criterio, ma si possono combinare criteri correlati relativi ad app che condividono il tipo di file in un unico file XML. Vedi gli esempi.

Importante: per bloccare diversi tipi di file delle app (EXE, MSI, script, DLL e app del Microsoft Store), devi creare impostazioni personalizzate distinte.

Opzione 1: riga di comando (PowerShell)
  1. Utilizza uno strumento per la generazione di GUID online per ottenere un GUID casuale. Suggerimento: cerca online GUID generator (generatore online di GUID) in un motore di ricerca.
  2. Se vuoi bloccare un'app specifica, devi trovare le informazioni su quell'app. Se vuoi bloccare tutte le app con un determinato tipo di file, puoi saltare questo passaggio.
    1. Su un dispositivo Windows, scarica il file eseguibile dell'app (quello che termina con .exe) che vuoi bloccare o consentire.
    2. Apri PowerShell.
    3. Esegui Get-AppLockerFileInformation -path PercorsoFileExe | Format-List, dove PercorsoFileExe è il percorso del file eseguibile.
    4. Nella risposta, trova e prendi nota dei valori riportati nella riga Publisher. I valori hanno il seguente formato e corrispondono ai valori che utilizzerai nel file XML:

      NomePublisher\NomeProdotto\NomeFileBinario,VersioneFileBinario

      Il nome del publisher è una stringa lunga, ad esempio O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US. Devi includere l'intera stringa.

  3. Copia il seguente codice XML in un editor di testo:

    <RuleCollection Type="Tipo" EnforcementMode="Enabled">
      <FilePublisherRule Id=GUID Name=NomeCriterio Description=DescrizioneCriterio UserOrGroupSid=SidUtentiOGruppi Action=[Allow|Deny]>
         <Conditions>
           <FilePublisherCondition PublisherName=NomePublisher BinaryName=NomeFileBinario ProductName=NomeProdotto>
             <BinaryVersionRange HighSection=VersionePiùRecente LowSection=VersioneMenoRecente />
           </FilePublisherCondition>
         </Conditions>
       </FilePublisherRule>
    </RuleCollection>

  4. Modifica il file XML sostituendo i segnaposto con i relativi valori. Per casi d'uso specifici, come il raggruppamento di più criteri in un unico file, vedi gli esempi.
    Segnaposto Valore
    Tipo

    Il tipo di file dell'app (deve corrispondere all'URI OMA):

    • Per i file EXE, inserisci "Exe"
    • Per i file MSI, inserisci "Msi"
    • Per i file di script, inserisci "Script"
    • Per i file DLL, inserisci "Dll"
    • Per le app del Microsoft Store, inserisci "Appx"
    GUID Il GUID generato nel passaggio 1
    NomeCriterio Un nome da assegnare al criterio. Puoi utilizzare qualsiasi stringa.
    DescrizioneCriterio Una descrizione del criterio
    SidUtentiOGruppi Gli utenti o i gruppi a cui si applica il criterio:
    • Per applicare il criterio a tutti gli utenti presenti sul dispositivo, inserisci S-1-1-0.
    • Per applicare il criterio a un utente specifico, inserisci il SID dell'utente. Per ottenere il SID, nella riga di comando, esegui:

      wmic nomeutente get name,sid

      dove nomeutente è il nome utente dell'utente sul dispositivo. Se non conosci il nome utente, per avere un elenco di tutti gli utenti sul dispositivo, esegui:

      wmic useraccount get name,sid

    • Puoi inserire un solo nome utente. Per applicare il criterio a più utenti, inserisci gli utenti in un gruppo oppure copia il criterio e aggiorna il nome.

    • Per applicare il criterio a un gruppo specifico, inserisci il relativo SID. Per ottenere il SID di gruppo, nella riga di comando, esegui:

      wmic NomeGruppo get name,sid

      dove NomeGruppo è il nome del gruppo sul dispositivo. Se non conosci il nome del gruppo, per avere un elenco di tutti i gruppi sul dispositivo, esegui:

      wmic group get name,sid
    Allow|Deny Seleziona l'azione per questo criterio, ossia se le app specificate debbano essere bloccate o consentite.
    NomePublisher Il nome del publisher dell'app (NomePublisher nel passaggio 2). Puoi utilizzare il carattere jolly *, ma la ricerca di corrispondenze tramite espressioni regolari e i caratteri jolly per prefisso o suffisso non sono supportati.
    NomeFileBinario

    Il nome del file binario (NomeFileBinario nel passaggio 2). Puoi utilizzare il carattere jolly *, ma la ricerca di corrispondenze tramite espressioni regolari e i caratteri jolly per prefisso o suffisso non sono supportati.

    Ad esempio, per bloccare tutti i file EXE, inserisci * e, quando aggiungi l'impostazione personalizzata, seleziona l'URI OMA che termina con /EXE/Policy.
    NomeProdotto Il nome del prodotto (NomeProdotto nel passaggio 2). Puoi utilizzare il carattere jolly *, ma la ricerca di corrispondenze tramite espressioni regolari e i caratteri jolly per prefisso o suffisso non sono supportati.
    VersionePiùRecente Il numero della versione più recente dell'app a cui si applica questo criterio. Per bloccare tutte le versioni dell'app, inserisci *.
    VersioneMenoRecente Il numero della versione più datata dell'app a cui si applica questo criterio. Per bloccare tutte le versioni dell'app, inserisci *.

  5. Salva il file.

Opzione 2: GUI (Editor Criteri di gruppo di Windows)
  1. Segui le istruzioni nella sezione relativa alla generazione del file XML di questo articolo di Microsoft. Smetti di seguire le istruzioni quando arrivi alla sezione relativa alla creazione dei criteri.

    Nota: queste istruzioni descrivono come creare un criterio per un'app installata sul dispositivo. Per creare un criterio per un'app che non è installata sul dispositivo, nel passaggio 6 seleziona l'opzione che consente di utilizzare un'app in pacchetto come riferimento.

  2. Dopo aver esportato il file XML, rimuovi il criterio creato nell'Editor Criteri di gruppo. In caso contrario, il criterio verrà applicato sul dispositivo.

Passaggio 2: aggiungi l'impostazione personalizzata

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi  Dispositivie poi Dispositivi mobili ed endpointe poi Impostazionie poi Windows ,
  3. Fai clic su Impostazioni personalizzate.
  4. Fai clic su Aggiungi un'impostazione personalizzata.
  5. Configura l'impostazione personalizzata:
    1. Nel campo URI OMA, inserisci ApplicationLaunchRestriction e seleziona l'URI OMA corrispondente al tipo di file dell'app specificato nel criterio:
      • Per i file EXE, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/EXE/Policy.
      • Per le app disponibili nel Microsoft Store, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions<Inserisci raggruppamento>/AppStore/Policy
      • Per i file MSI, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/MSI/Policy
      • Per gli script PowerShell, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/Script/Policy
      • Per i file DLL, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/DLL/Policy

      Per ulteriori informazioni, consulta la documentazione su AppLocker CSP di Microsoft.

    2. Nell'URI OMA, sostituisci <Inserisci raggruppamento> con una stringa alfanumerica casuale univoca per ciascuna impostazione personalizzata. Ad esempio, se aggiungi un'impostazione personalizzata per bloccare i file EXE e un'altra impostazione per bloccare i file MSI, utilizza un valore diverso per ciascuna impostazione personalizzata.
    3. Quando selezioni l'URI OMA, il campo Nome si aggiorna e diventa "Policy" (Criterio). Inserisci un nome univoco per identificarlo nell'elenco delle impostazioni personalizzate.
    4. In Tipo di dati, seleziona Stringa (XML), fai clic su Carica XML e seleziona il file di configurazione XML che hai creato nella prima sezione.
    5. (Facoltativo) Inserisci una descrizione in cui sia indicata l'azione eseguita dall'impostazione personalizzata e a chi verrà applicata.
  6. Fai clic su Avanti per continuare e seleziona l'unità organizzativa a cui si applica l'impostazione personalizzata oppure fai clic su Aggiungi un altro per iniziare a configurarne un'altra. I criteri aggiuntivi non vengono applicati a un'unità organizzativa finché non fai clic su Avanti e selezioni l'unità organizzativa.
  7. Scegli l'unità organizzativa a cui applicare i criteri.
  8. Fai clic su Applica.

Se un utente dell'unità organizzativa tenta di installare o aprire un'app bloccata sul proprio dispositivo Windows, verrà visualizzato un messaggio di errore che informa che l'app è stata bloccata dall'amministratore di sistema.

File XML di esempio

Consentire solo le app firmate (bloccare tutte le app non firmate)

Questo criterio consente agli utenti di installare solo app firmate e quindi impedisce l'installazione di app non firmate con il tipo di file specificato nell'URI OMA.

Per bloccare tutte le app non firmate per tutti i tipi di file, aggiungi un'impostazione personalizzata per ogni tipo di file e utilizza il seguente codice XML per il valore.

Nota: in RuleCollection, Tipo deve corrispondere al tipo di file dell'app. Il valore può essere "Exe" per i file EXE, "Msi" per i file MSI, "Script" per i file Script, "Dll" per i file DLL o "Appx" per StoreApps. In FilePublisherRule, sostituisci GUID con un GUID casuale che puoi ricavare tramite uno strumento per la generazione di GUID online.

<RuleCollection Type="Tipo" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Consenti tutte le app firmate" Description="Consenti a tutti gli utenti di eseguire app firmate" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">   
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>      
</RuleCollection>
Bloccare app specifiche

Per bloccare le app, devi includere una sezione <FilePublisherRule> che consenta le app e i blocchi <FilePublisherRule> per ogni app che vuoi bloccare.

Il formato generale è:

<RuleCollection Type="Tipo" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...consenti le app...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...condizioni per il blocco della prima app...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...condizioni per il blocco della seconda app..
  </FilePublisherRule>
</RuleCollection>

 

Nota: in RuleCollection, Tipo deve corrispondere al tipo di file dell'app. Il valore può essere "Exe" per i file EXE, "Msi" per i file MSI, "Script" per i file Script, "Dll" per i file DLL o "Appx" per StoreApps. In FilePublisherRule, sostituisci GUID con un GUID casuale che puoi ricavare tramite uno strumento per la generazione di GUID online.

Ad esempio, questo criterio impedisce agli utenti di eseguire sia l'"App A" sia l'"App B", che sono file EXE:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Consenti tutte le app firmate" Description="Consenti a tutti gli utenti di eseguire app firmate" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Blocca App A" Description="Blocca App A per tutti gli utenti" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APP A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Blocca App B" Description="Blocca App B per tutti gli utenti" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APP B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions>
 </FilePublisherRule>
</RuleCollection>
Bloccare le app integrate nel sistema operativo Windows
Questo esempio, basato sull'esempio riportato nella documentazione Microsoft, impedisce agli utenti di utilizzare Windows Mail. Prima di utilizzarlo, sostituisci GUID con un GUID casuale che puoi ricavare tramite uno strumento per la generazione di GUID online.
Nota: questo è un file di un'app del Microsoft Store, quindi l'URI OMA deve essere ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Consenti tutte le app firmate" Description="Consenti a tutti gli utenti di eseguire app firmate" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Blocca Windows Mail" Description="Impedisci a tutti gli utenti di utilizzare Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny"> 
    <Conditions> 
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*"> 
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions> 
  </FilePublisherRule>      
</RuleCollection>


Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
17778175591545931812
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false