Quando gestisci dispositivi Windows nella tua organizzazione con Gestione dei dispositivi Windows, puoi limitare le app consentite su tali dispositivi aggiungendo impostazioni personalizzate nella Console di amministrazione Google. Puoi specificare le app in un file XML che carichi come valore dell'impostazione personalizzata. Puoi bloccare singole app o tutti i file delle app che corrispondono a un determinato tipo, ad esempio i file EXE o MSI.
Passaggio 1: specifica le app consentite e bloccate in un file XML
Per creare il file XML, puoi utilizzare la riga di comando in PowerShell o la GUI nell'Editor Criteri di gruppo di Windows. Queste istruzioni illustrano come creare un singolo criterio, ma si possono combinare criteri correlati relativi ad app che condividono il tipo di file in un unico file XML. Vedi gli esempi.
Importante: per bloccare diversi tipi di file delle app (EXE, MSI, script, DLL e app del Microsoft Store), devi creare impostazioni personalizzate distinte.
Opzione 1: riga di comando (PowerShell)- Utilizza uno strumento per la generazione di GUID online per ottenere un GUID casuale. Suggerimento: cerca
online GUID generator
(generatore online di GUID) in un motore di ricerca. - Se vuoi bloccare un'app specifica, devi trovare le informazioni su quell'app. Se vuoi bloccare tutte le app con un determinato tipo di file, puoi saltare questo passaggio.
- Su un dispositivo Windows, scarica il file eseguibile dell'app (quello che termina con .exe) che vuoi bloccare o consentire.
- Apri PowerShell.
- Esegui Get-AppLockerFileInformation -path PercorsoFileExe | Format-List, dove PercorsoFileExe è il percorso del file eseguibile.
- Nella risposta, trova e prendi nota dei valori riportati nella riga
Publisher
. I valori hanno il seguente formato e corrispondono ai valori che utilizzerai nel file XML:NomePublisher\NomeProdotto\NomeFileBinario,VersioneFileBinario
Il nome del publisher è una stringa lunga, ad esempio
O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US
. Devi includere l'intera stringa.
- Copia il seguente codice XML in un editor di testo:
<RuleCollection Type="Tipo" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name=NomeCriterio Description=DescrizioneCriterio UserOrGroupSid=SidUtentiOGruppi Action=[Allow|Deny]>
<Conditions>
<FilePublisherCondition PublisherName=NomePublisher BinaryName=NomeFileBinario ProductName=NomeProdotto>
<BinaryVersionRange HighSection=VersionePiùRecente LowSection=VersioneMenoRecente />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> - Modifica il file XML sostituendo i segnaposto con i relativi valori. Per casi d'uso specifici, come il raggruppamento di più criteri in un unico file, vedi gli esempi.
Segnaposto Valore Tipo Il tipo di file dell'app (deve corrispondere all'URI OMA):
- Per i file EXE, inserisci
"Exe"
- Per i file MSI, inserisci
"Msi"
- Per i file di script, inserisci
"Script"
- Per i file DLL, inserisci
"Dll"
- Per le app del Microsoft Store, inserisci
"Appx"
GUID Il GUID generato nel passaggio 1 NomeCriterio Un nome da assegnare al criterio. Puoi utilizzare qualsiasi stringa. DescrizioneCriterio Una descrizione del criterio SidUtentiOGruppi Gli utenti o i gruppi a cui si applica il criterio: - Per applicare il criterio a tutti gli utenti presenti sul dispositivo, inserisci S-1-1-0.
- Per applicare il criterio a un utente specifico, inserisci il SID dell'utente. Per ottenere il SID, nella riga di comando, esegui:
wmic nomeutente get name,sid
dove nomeutente è il nome utente dell'utente sul dispositivo. Se non conosci il nome utente, per avere un elenco di tutti gli utenti sul dispositivo, esegui:
wmic useraccount get name,sid
-
Puoi inserire un solo nome utente. Per applicare il criterio a più utenti, inserisci gli utenti in un gruppo oppure copia il criterio e aggiorna il nome.
- Per applicare il criterio a un gruppo specifico, inserisci il relativo SID. Per ottenere il SID di gruppo, nella riga di comando, esegui:
wmic NomeGruppo get name,sid
dove NomeGruppo è il nome del gruppo sul dispositivo. Se non conosci il nome del gruppo, per avere un elenco di tutti i gruppi sul dispositivo, esegui:
wmic group get name,sid
Allow|Deny Seleziona l'azione per questo criterio, ossia se le app specificate debbano essere bloccate o consentite. NomePublisher Il nome del publisher dell'app (NomePublisher nel passaggio 2). Puoi utilizzare il carattere jolly *, ma la ricerca di corrispondenze tramite espressioni regolari e i caratteri jolly per prefisso o suffisso non sono supportati. NomeFileBinario Il nome del file binario (NomeFileBinario nel passaggio 2). Puoi utilizzare il carattere jolly *, ma la ricerca di corrispondenze tramite espressioni regolari e i caratteri jolly per prefisso o suffisso non sono supportati.
Ad esempio, per bloccare tutti i file EXE, inserisci * e, quando aggiungi l'impostazione personalizzata, seleziona l'URI OMA che termina con /EXE/Policy.
NomeProdotto Il nome del prodotto (NomeProdotto nel passaggio 2). Puoi utilizzare il carattere jolly *, ma la ricerca di corrispondenze tramite espressioni regolari e i caratteri jolly per prefisso o suffisso non sono supportati. VersionePiùRecente Il numero della versione più recente dell'app a cui si applica questo criterio. Per bloccare tutte le versioni dell'app, inserisci *. VersioneMenoRecente Il numero della versione più datata dell'app a cui si applica questo criterio. Per bloccare tutte le versioni dell'app, inserisci *. - Per i file EXE, inserisci
-
Salva il file.
- Segui le istruzioni nella sezione relativa alla generazione del file XML di questo articolo di Microsoft. Smetti di seguire le istruzioni quando arrivi alla sezione relativa alla creazione dei criteri.
Nota: queste istruzioni descrivono come creare un criterio per un'app installata sul dispositivo. Per creare un criterio per un'app che non è installata sul dispositivo, nel passaggio 6 seleziona l'opzione che consente di utilizzare un'app in pacchetto come riferimento.
- Dopo aver esportato il file XML, rimuovi il criterio creato nell'Editor Criteri di gruppo. In caso contrario, il criterio verrà applicato sul dispositivo.
Passaggio 2: aggiungi l'impostazione personalizzata
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu Dispositivi Dispositivi mobili ed endpoint Impostazioni Windows ,
- Fai clic su Impostazioni personalizzate.
- Fai clic su Aggiungi un'impostazione personalizzata.
- Configura l'impostazione personalizzata:
- Nel campo URI OMA, inserisci ApplicationLaunchRestriction e seleziona l'URI OMA corrispondente al tipo di file dell'app specificato nel criterio:
- Per i file EXE, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/EXE/Policy.
- Per le app disponibili nel Microsoft Store, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions<Inserisci raggruppamento>/AppStore/Policy
- Per i file MSI, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/MSI/Policy
- Per gli script PowerShell, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/Script/Policy
- Per i file DLL, seleziona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Inserisci raggruppamento>/DLL/Policy
Per ulteriori informazioni, consulta la documentazione su AppLocker CSP di Microsoft.
- Nell'URI OMA, sostituisci <Inserisci raggruppamento> con una stringa alfanumerica casuale univoca per ciascuna impostazione personalizzata. Ad esempio, se aggiungi un'impostazione personalizzata per bloccare i file EXE e un'altra impostazione per bloccare i file MSI, utilizza un valore diverso per ciascuna impostazione personalizzata.
- Quando selezioni l'URI OMA, il campo Nome si aggiorna e diventa "Policy" (Criterio). Inserisci un nome univoco per identificarlo nell'elenco delle impostazioni personalizzate.
- In Tipo di dati, seleziona Stringa (XML), fai clic su Carica XML e seleziona il file di configurazione XML che hai creato nella prima sezione.
- (Facoltativo) Inserisci una descrizione in cui sia indicata l'azione eseguita dall'impostazione personalizzata e a chi verrà applicata.
- Nel campo URI OMA, inserisci ApplicationLaunchRestriction e seleziona l'URI OMA corrispondente al tipo di file dell'app specificato nel criterio:
- Fai clic su Avanti per continuare e seleziona l'unità organizzativa a cui si applica l'impostazione personalizzata oppure fai clic su Aggiungi un altro per iniziare a configurarne un'altra. I criteri aggiuntivi non vengono applicati a un'unità organizzativa finché non fai clic su Avanti e selezioni l'unità organizzativa.
- Scegli l'unità organizzativa a cui applicare i criteri.
- Fai clic su Applica.
Se un utente dell'unità organizzativa tenta di installare o aprire un'app bloccata sul proprio dispositivo Windows, verrà visualizzato un messaggio di errore che informa che l'app è stata bloccata dall'amministratore di sistema.
File XML di esempio
Consentire solo le app firmate (bloccare tutte le app non firmate)Questo criterio consente agli utenti di installare solo app firmate e quindi impedisce l'installazione di app non firmate con il tipo di file specificato nell'URI OMA.
Per bloccare tutte le app non firmate per tutti i tipi di file, aggiungi un'impostazione personalizzata per ogni tipo di file e utilizza il seguente codice XML per il valore.
Nota: in RuleCollection
, Tipo
deve corrispondere al tipo di file dell'app. Il valore può essere "Exe"
per i file EXE, "Msi"
per i file MSI, "Script"
per i file Script, "Dll"
per i file DLL o "Appx"
per StoreApps. In FilePublisherRule
, sostituisci GUID con un GUID casuale che puoi ricavare tramite uno strumento per la generazione di GUID online.
<RuleCollection Type="Tipo" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Consenti tutte le app firmate" Description="Consenti a tutti gli utenti di eseguire app firmate" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Per bloccare le app, devi includere una sezione <FilePublisherRule>
che consenta le app e i blocchi <FilePublisherRule>
per ogni app che vuoi bloccare.
Il formato generale è:
<RuleCollection Type="Tipo" EnforcementMode="Enabled">
<FilePublisherRule...>
...consenti le app...
</FilePublisherRule>
<FilePublisherRule...>
...condizioni per il blocco della prima app...
</FilePublisherRule>
<FilePublisherRule...>
...condizioni per il blocco della seconda app..
</FilePublisherRule>
</RuleCollection>
Nota: in RuleCollection
, Tipo
deve corrispondere al tipo di file dell'app. Il valore può essere "Exe"
per i file EXE, "Msi"
per i file MSI, "Script"
per i file Script, "Dll"
per i file DLL o "Appx"
per StoreApps. In FilePublisherRule
, sostituisci GUID con un GUID casuale che puoi ricavare tramite uno strumento per la generazione di GUID online.
Ad esempio, questo criterio impedisce agli utenti di eseguire sia l'"App A" sia l'"App B", che sono file EXE:
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Consenti tutte le app firmate" Description="Consenti a tutti gli utenti di eseguire app firmate" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Blocca App A" Description="Blocca App A per tutti gli utenti" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APP A" BinaryName="APPA.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Blocca App B" Description="Blocca App B per tutti gli utenti" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APP B" BinaryName="APPB.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
<RuleCollection Type="Appx" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Consenti tutte le app firmate" Description="Consenti a tutti gli utenti di eseguire app firmate" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Blocca Windows Mail" Description="Impedisci a tutti gli utenti di utilizzare Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.