Melding

Duet AI heet nu Gemini voor Google Workspace. Meer informatie

Apps blokkeren op Windows 10- of 11-apparaten met aangepaste instellingen

Deze functies worden ondersteund in de volgende versies: Frontline Starter en Frontline Standard, Business Plus, Enterprise Standard en Enterprise Plus, Education Standard, Education Plus en Endpoint Education Upgrade, Enterprise Essentials en Enterprise Essentials Plus en Cloud Identity Premium. Versies vergelijken

Als u Windows-apparaten in uw organisatie beheert met Windows-apparaatbeheer, kunt u bepalen welke apps zijn toegestaan op deze apparaten door aangepaste instellingen toe te voegen in de Google Beheerdersconsole. U geeft de apps op in een XML-bestand dat u uploadt als de waarde van de aangepaste instelling. U kunt individuele apps blokkeren of alle app-bestanden blokkeren die overeenkomen met een bepaald type, zoals exe- of MSI-bestanden.

Stap 1: Toegestane en geblokkeerde apps opgeven in een XML-bestand

U kunt het XML-bestand maken met de opdrachtregel in PowerShell of de GUI in de editor voor groepsbeleid van Windows. In deze instructies wordt uitgelegd hoe u 1 beleidsregel kunt maken, maar u kunt ook gerelateerde beleidsregels voor apps met hetzelfde bestandstype combineren in 1 XML-bestand. Bekijk de voorbeelden.

Belangrijk: U moet aparte aangepaste instellingen maken om verschillende typen app-bestanden te blokkeren (exe, MSI, Script, StoreApps en DLL's).

Optie 1: Opdrachtregel (PowerShell)
  1. Gebruik een online GUID-generator om een willekeurige GUID te krijgen. Tip: Zoek in een zoekmachine naar online GUID generator.
  2. Als u een specifieke app wilt blokkeren, haalt u de app-gegevens op. Als u alle apps met een bepaald bestandstype wilt blokkeren, kunt u deze stap overslaan.
    1. Download op een Windows-apparaat het uitvoerbaar bestand van de app (het bestand dat eindigt op .exe) dat u wilt blokkeren of toestaan.
    2. Open PowerShell.
    3. Voer Get-AppLockerFileInformation -path PadNaarExe | format-list in, waarbij PadNaarExe het pad naar het uitvoerbaar bestand is.
    4. Zoek in de reactie de waarden in de regel Publisher (Uitgever) en noteer deze. De waarden hebben de volgende indeling en komen overeen met waarden die u in het XML-bestand moet gebruiken:

      NaamUitgever\NaamProduct\BinaireNaam,BinaireVersie

      De naam van de uitgever is een lange tekenreeks, zoals O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US. U moet de hele tekenreeks toevoegen.

  3. Kopieer de volgende XML naar een teksteditor:

    <RuleCollection Type="Type" EnforcementMode="Enabled">
      <FilePublisherRule Id=GUID Name=NaamBeleid Description=BeschrijvingBeleid UserOrGroupSid=SIDGebruikerOfGroep Action=[Allow|Deny]>
         <Conditions>
           <FilePublisherCondition PublisherName=NaamUitgever BinaryName=BinaireNaam ProductName=NaamProduct>
             <BinaryVersionRange HighSection=NieuwsteVersie LowSection=OudsteVersie />
           </FilePublisherCondition>
         </Conditions>
       </FilePublisherRule>
    </RuleCollection>

  4. Bewerk de XML en vervang de tijdelijke aanduidingen door de juiste waarden. Bekijk de voorbeelden voor specifieke gebruiksvoorbeelden, zoals meerdere beleidsregels groeperen in 1 bestand.
    Tijdelijke aanduiding Waarde
    Type

    Het app-bestandstype (moet overeenkomen met de OMA-URI):

    • Voer "Exe" in voor exe-bestanden.
    • Voer "Msi" in voor MSI-bestanden.
    • Voer "Script" in voor Script-bestanden.
    • Voer "Dll" in voor DLL-bestanden.
    • Voer "Appx" in voor Microsoft Store-apps.
    GUID De GUID die u in stap 1 heeft gegenereerd.
    NaamBeleid Een naam voor het beleid. U kunt elke tekenreeks gebruiken.
    BeschrijvingBeleid Een beschrijving van het beleid.
    SIDGebruikerOfGroep De gebruikers of groepen waarvoor het beleid geldt:
    • Als u het beleid wilt toepassen op alle gebruikers op het apparaat, voert u S-1-1-0 in.
    • Als u het beleid wilt toepassen op een specifieke gebruiker, voert u de SID van de gebruiker in. Voer de volgende opdracht uit in de opdrachtregel om de SID van de gebruiker op te halen:

      wmic gebruikersnaam get name,sid

      Vervang gebruikersnaam door de gebruikersnaam van de gebruiker op het apparaat. Als u de gebruikersnaam niet weet, kunt u een lijst met alle gebruikers op het apparaat bekijken door de volgende opdracht uit te voeren:

      wmic useraccount get name,sid

    • U kunt slechts 1 gebruikersnaam invoeren. Als u het beleid op meer gebruikers wilt toepassen, plaatst u de gebruikers in een groep of kopieert u het beleid en past u de naam aan.

    • Als u het beleid wilt toepassen op een specifieke groep, voert u de SID van de groep in. Voer de volgende opdracht uit in de opdrachtregel om de SID van de groep te bekijken:

      wmic groepsnaam get name,sid

      Vervang groepsnaam door de naam van de groep op het apparaat. Als u de groepsnaam niet weet, kunt u een lijst met alle groepen op het apparaat bekijken door de volgende opdracht uit te voeren:

      wmic group get name,sid
    Allow|Deny Selecteer of de opgegeven apps moeten worden geblokkeerd of toegestaan bij dit beleid.
    NaamUitgever De naam van de uitgever van de app (NaamUitgever uit stap 2). U kunt het jokerteken * gebruiken, maar geen overeenkomsten met reguliere expressies of jokertekens voor voor- of achtervoegsels.
    BinaireNaam

    De bestandsnaam van het binaire bestand (BinaireNaam uit stap 2). U kunt het jokerteken * gebruiken, maar geen overeenkomsten met reguliere expressies of jokertekens voor voor- of achtervoegsels.

    Als u bijvoorbeeld alle exe-bestanden wilt blokkeren, voert u * in. Als u de aangepaste instelling toevoegt, selecteert u de OMA-URI die eindigt op /EXE/Policy.
    NaamProduct De naam van het product (NaamProduct uit stap 2). U kunt het jokerteken * gebruiken, maar geen overeenkomsten met reguliere expressies of jokertekens voor voor- of achtervoegsels.
    NieuwsteVersie Het nieuwste versienummer van de app waarvoor dit beleid moet gelden. Voer * in om alle versies van de app te blokkeren.
    OudsteVersie Het oudste versienummer van de app waarvoor dit beleid moet gelden. Voer * in om alle versies van de app te blokkeren.

  5. Sla het bestand op.

Optie 2: GUI (editor voor Windows-groepsbeleid)
  1. Volg de instructies in het gedeelte 'Generating the XML' (De XML genereren) van dit Microsoft-artikel. Stop met het volgen van de instructies als u aankomt bij het gedeelte 'Creating the Policy' (Het beleid maken).

    Opmerking: In deze instructies wordt beschreven hoe u een beleidsregel kunt maken voor een app die op het apparaat is geïnstalleerd. Als u een beleidsregel wilt maken voor een app die niet op het apparaat is geïnstalleerd, selecteert u in stap 6 Use a packaged app installer as a reference (Een installatieprogramma voor een verpakte app als referentie gebruiken).

  2. Nadat u het XML-bestand heeft geëxporteerd, moet u het gemaakte beleid verwijderen uit de editor voor groepsbeleid. Anders wordt het beleid afgedwongen op het apparaat.

Stap 2: De aangepaste instelling toevoegen

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Apparatenand thenMobiel en eindpuntenand thenInstellingenand thenWindows.
  3. Klik op Aangepaste instellingen.
  4. Klik op Een aangepaste instelling toevoegen.
  5. Stel de aangepaste instelling in:
    1. Voer in het veld OMA-URI de optie ApplicationLaunchRestriction in en selecteer de OMA-URI die overeenkomt met het bestandstype van de app in het beleid:
      • Selecteer voor exe-bestanden de optie ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/EXE/Policy.
      • Selecteer voor apps die beschikbaar zijn in de Microsoft Store de optie ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/AppStore/Policy
      • Selecteer voor MSI-bestanden de optie ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/MSI/Policy
      • Selecteer voor PowerShell-scripts de optie ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/Script/Policy
      • Selecteer voor DLL-bestanden de optie ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/DLL/Policy

      Bekijk de CSP-documentatie van AppLocker voor meer informatie.

    2. Vervang in de OMA-URI de optie <Voer groepering in> door een willekeurige alfanumerieke tekenreeks die uniek is voor elke aangepaste instelling. Als u bijvoorbeeld een aangepaste instelling toevoegt om exe-bestanden te blokkeren en een andere instelling om MSI-bestanden te blokkeren, gebruikt u voor elke aangepaste instelling een andere waarde.
    3. Als u de OMA-URI selecteert, staat er Beleid in het veld Naam. Voer een unieke naam in zodat u deze kunt herkennen in de lijst met aangepaste instellingen.
    4. Selecteer bij Gegevenstype de optie Tekenreeks (XML). Klik op XML uploaden en selecteer het XML-configuratiebestand dat u in het eerste gedeelte heeft gemaakt.
    5. (Optioneel) Voer een beschrijving in van de actie van de aangepaste instelling en voor wie de instelling geldt.
  6. Klik op Volgende om door te gaan en de organisatie-eenheid te selecteren waarop de aangepaste instelling van toepassing is, of klik op Nog een toevoegen om nog een instelling toe te voegen. Aanvullende beleidsregels worden pas toegepast op een organisatie-eenheid als u op Volgende klikt en de organisatie-eenheid selecteert.
  7. Kies de organisatie-eenheid waarop u het beleid wilt toepassen.
  8. Klik op Toepassen.

Als een gebruiker in deze organisatie-eenheid probeert een geblokkeerde app te installeren of te openen op een Windows-apparaat, ziet deze een foutmelding dat de app is geblokkeerd door de systeembeheerder.

Voorbeelden van XML-bestanden

Alleen ondertekende apps toestaan (alle niet-ondertekende apps blokkeren)

Met dit beleid kunnen gebruikers alleen ondertekende apps installeren, waardoor gebruikers ook geen niet-ondertekende apps kunnen installeren met het bestandstype dat is opgegeven in de OMA-URI.

Als u alle niet-ondertekende apps wilt blokkeren voor alle bestandstypen, voegt u een aangepaste instelling toe voor elk bestandstype en gebruikt u de volgende XML voor de waarde.

Opmerking: In RuleCollection moet Type overeenkomen met het bestandstype van de app. Gebruik de waarde "Exe" voor exe-bestanden, "Msi" voor MSI-bestanden, "Script" voor Script-bestanden, "Dll" voor DLL-bestanden en "Appx" voor StoreApps. Vervang GUID in FilePublisherRule door een willekeurige GUID die u maakt via een online GUID-generator.

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">   
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>      
</RuleCollection>
Specifieke apps blokkeren

Als u apps wilt blokkeren, moet u een <FilePublisherRule>-gedeelte toevoegen waarmee apps worden toegestaan en <FilePublisherRule>-blokkeringen voor elke app die u wilt blokkeren.

Dit is de algemene indeling:

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...voorwaarden voor de eerste app die moet worden geblokkeerd...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...voorwaarden voor de tweede app die moet worden geblokkeerd...
  </FilePublisherRule>
</RuleCollection>

 

Opmerking: In RuleCollection moet Type overeenkomen met het bestandstype van de app. Gebruik de waarde "Exe" voor exe-bestanden, "Msi" voor MSI-bestanden, "Script" voor Script-bestanden, "Dll" voor DLL-bestanden en "Appx" voor StoreApps. Vervang GUID in FilePublisherRule door een willekeurige GUID die u maakt via een online GUID-generator.

In dit voorbeeldbeleid kunnen gebruikers App A en App B (beide exe-bestanden) niet uitvoeren:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="App A blokkeren" Description="Blokkeert app A voor alle gebruikers" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APP A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="App B blokkeren" Description="Blokkeert app B voor alle gebruikers" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APP B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions>
 </FilePublisherRule>
</RuleCollection>
Apps blokkeren die zijn gebundeld in het Windows-besturingssysteem
Dit voorbeeld, gebaseerd op het voorbeeld in de Microsoft-documentatie, voorkomt dat gebruikers Windows Mail kunnen gebruiken. Voordat u dit beleid gebruikt, vervangt u GUID door een willekeurige GUID die u maakt via een online GUID-generator.
Opmerking: Dit app-bestand is een Microsoft Store-app, dus de OMA-URI moet ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/AppStore/Policy zijn.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Alle ondertekende apps toestaan" Description="Staat alle gebruikers toe ondertekende apps uit te voeren" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Windows Mail blokkeren" Description="Blokkeert Windows Mail voor alle gebruikers" UserOrGroupSid="S-1-1-0" Action="Deny"> 
    <Conditions> 
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*"> 
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions> 
  </FilePublisherRule>      
</RuleCollection>


Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
15386971831221815659
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false