Als u Windows-apparaten in uw organisatie beheert met Windows-apparaatbeheer, kunt u bepalen welke apps zijn toegestaan op deze apparaten door aangepaste instellingen toe te voegen in de Google Beheerdersconsole. U geeft de apps op in een XML-bestand dat u uploadt als de waarde van de aangepaste instelling. U kunt individuele apps blokkeren of alle app-bestanden blokkeren die overeenkomen met een bepaald type, zoals exe- of MSI-bestanden.
Stap 1: Toegestane en geblokkeerde apps opgeven in een XML-bestand
U kunt het XML-bestand maken met de opdrachtregel in PowerShell of de GUI in de editor voor groepsbeleid van Windows. In deze instructies wordt uitgelegd hoe u 1 beleidsregel kunt maken, maar u kunt ook gerelateerde beleidsregels voor apps met hetzelfde bestandstype combineren in 1 XML-bestand. Bekijk de voorbeelden.
Belangrijk: U moet aparte aangepaste instellingen maken om verschillende typen app-bestanden te blokkeren (exe, MSI, Script, StoreApps en DLL's).
Optie 1: Opdrachtregel (PowerShell)- Gebruik een online GUID-generator om een willekeurige GUID te krijgen. Tip: Zoek in een zoekmachine naar
online GUID generator
. - Als u een specifieke app wilt blokkeren, haalt u de app-gegevens op. Als u alle apps met een bepaald bestandstype wilt blokkeren, kunt u deze stap overslaan.
- Download op een Windows-apparaat het uitvoerbaar bestand van de app (het bestand dat eindigt op .exe) dat u wilt blokkeren of toestaan.
- Open PowerShell.
- Voer Get-AppLockerFileInformation -path PadNaarExe | format-list in, waarbij PadNaarExe het pad naar het uitvoerbaar bestand is.
- Zoek in de reactie de waarden in de regel
Publisher
(Uitgever) en noteer deze. De waarden hebben de volgende indeling en komen overeen met waarden die u in het XML-bestand moet gebruiken:NaamUitgever\NaamProduct\BinaireNaam,BinaireVersie
De naam van de uitgever is een lange tekenreeks, zoals
O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US
. U moet de hele tekenreeks toevoegen.
- Kopieer de volgende XML naar een teksteditor:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name=NaamBeleid Description=BeschrijvingBeleid UserOrGroupSid=SIDGebruikerOfGroep Action=[Allow|Deny]>
<Conditions>
<FilePublisherCondition PublisherName=NaamUitgever BinaryName=BinaireNaam ProductName=NaamProduct>
<BinaryVersionRange HighSection=NieuwsteVersie LowSection=OudsteVersie />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> - Bewerk de XML en vervang de tijdelijke aanduidingen door de juiste waarden. Bekijk de voorbeelden voor specifieke gebruiksvoorbeelden, zoals meerdere beleidsregels groeperen in 1 bestand.
Tijdelijke aanduiding Waarde Type Het app-bestandstype (moet overeenkomen met de OMA-URI):
- Voer
"Exe"
in voor exe-bestanden. - Voer
"Msi"
in voor MSI-bestanden. - Voer
"Script"
in voor Script-bestanden. - Voer
"Dll"
in voor DLL-bestanden. - Voer
"Appx"
in voor Microsoft Store-apps.
GUID De GUID die u in stap 1 heeft gegenereerd. NaamBeleid Een naam voor het beleid. U kunt elke tekenreeks gebruiken. BeschrijvingBeleid Een beschrijving van het beleid. SIDGebruikerOfGroep De gebruikers of groepen waarvoor het beleid geldt: - Als u het beleid wilt toepassen op alle gebruikers op het apparaat, voert u S-1-1-0 in.
- Als u het beleid wilt toepassen op een specifieke gebruiker, voert u de SID van de gebruiker in. Voer de volgende opdracht uit in de opdrachtregel om de SID van de gebruiker op te halen:
wmic gebruikersnaam get name,sid
Vervang gebruikersnaam door de gebruikersnaam van de gebruiker op het apparaat. Als u de gebruikersnaam niet weet, kunt u een lijst met alle gebruikers op het apparaat bekijken door de volgende opdracht uit te voeren:
wmic useraccount get name,sid
-
U kunt slechts 1 gebruikersnaam invoeren. Als u het beleid op meer gebruikers wilt toepassen, plaatst u de gebruikers in een groep of kopieert u het beleid en past u de naam aan.
- Als u het beleid wilt toepassen op een specifieke groep, voert u de SID van de groep in. Voer de volgende opdracht uit in de opdrachtregel om de SID van de groep te bekijken:
wmic groepsnaam get name,sid
Vervang groepsnaam door de naam van de groep op het apparaat. Als u de groepsnaam niet weet, kunt u een lijst met alle groepen op het apparaat bekijken door de volgende opdracht uit te voeren:
wmic group get name,sid
Allow|Deny Selecteer of de opgegeven apps moeten worden geblokkeerd of toegestaan bij dit beleid. NaamUitgever De naam van de uitgever van de app (NaamUitgever uit stap 2). U kunt het jokerteken * gebruiken, maar geen overeenkomsten met reguliere expressies of jokertekens voor voor- of achtervoegsels. BinaireNaam De bestandsnaam van het binaire bestand (BinaireNaam uit stap 2). U kunt het jokerteken * gebruiken, maar geen overeenkomsten met reguliere expressies of jokertekens voor voor- of achtervoegsels.
Als u bijvoorbeeld alle exe-bestanden wilt blokkeren, voert u * in. Als u de aangepaste instelling toevoegt, selecteert u de OMA-URI die eindigt op /EXE/Policy.
NaamProduct De naam van het product (NaamProduct uit stap 2). U kunt het jokerteken * gebruiken, maar geen overeenkomsten met reguliere expressies of jokertekens voor voor- of achtervoegsels. NieuwsteVersie Het nieuwste versienummer van de app waarvoor dit beleid moet gelden. Voer * in om alle versies van de app te blokkeren. OudsteVersie Het oudste versienummer van de app waarvoor dit beleid moet gelden. Voer * in om alle versies van de app te blokkeren. - Voer
-
Sla het bestand op.
- Volg de instructies in het gedeelte 'Generating the XML' (De XML genereren) van dit Microsoft-artikel. Stop met het volgen van de instructies als u aankomt bij het gedeelte 'Creating the Policy' (Het beleid maken).
Opmerking: In deze instructies wordt beschreven hoe u een beleidsregel kunt maken voor een app die op het apparaat is geïnstalleerd. Als u een beleidsregel wilt maken voor een app die niet op het apparaat is geïnstalleerd, selecteert u in stap 6 Use a packaged app installer as a reference (Een installatieprogramma voor een verpakte app als referentie gebruiken).
- Nadat u het XML-bestand heeft geëxporteerd, moet u het gemaakte beleid verwijderen uit de editor voor groepsbeleid. Anders wordt het beleid afgedwongen op het apparaat.
Stap 2: De aangepaste instelling toevoegen
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu ApparatenMobiel en eindpuntenInstellingenWindows.
- Klik op Aangepaste instellingen.
- Klik op Een aangepaste instelling toevoegen.
- Stel de aangepaste instelling in:
- Voer in het veld OMA-URI de optie ApplicationLaunchRestriction in en selecteer de OMA-URI die overeenkomt met het bestandstype van de app in het beleid:
- Selecteer voor exe-bestanden de optie ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/EXE/Policy.
- Selecteer voor apps die beschikbaar zijn in de Microsoft Store de optie ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/AppStore/Policy
- Selecteer voor MSI-bestanden de optie ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/MSI/Policy
- Selecteer voor PowerShell-scripts de optie ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/Script/Policy
- Selecteer voor DLL-bestanden de optie ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Voer groepering in>/DLL/Policy
Bekijk de CSP-documentatie van AppLocker voor meer informatie.
- Vervang in de OMA-URI de optie <Voer groepering in> door een willekeurige alfanumerieke tekenreeks die uniek is voor elke aangepaste instelling. Als u bijvoorbeeld een aangepaste instelling toevoegt om exe-bestanden te blokkeren en een andere instelling om MSI-bestanden te blokkeren, gebruikt u voor elke aangepaste instelling een andere waarde.
- Als u de OMA-URI selecteert, staat er Beleid in het veld Naam. Voer een unieke naam in zodat u deze kunt herkennen in de lijst met aangepaste instellingen.
- Selecteer bij Gegevenstype de optie Tekenreeks (XML). Klik op XML uploaden en selecteer het XML-configuratiebestand dat u in het eerste gedeelte heeft gemaakt.
- (Optioneel) Voer een beschrijving in van de actie van de aangepaste instelling en voor wie de instelling geldt.
- Voer in het veld OMA-URI de optie ApplicationLaunchRestriction in en selecteer de OMA-URI die overeenkomt met het bestandstype van de app in het beleid:
- Klik op Volgende om door te gaan en de organisatie-eenheid te selecteren waarop de aangepaste instelling van toepassing is, of klik op Nog een toevoegen om nog een instelling toe te voegen. Aanvullende beleidsregels worden pas toegepast op een organisatie-eenheid als u op Volgende klikt en de organisatie-eenheid selecteert.
- Kies de organisatie-eenheid waarop u het beleid wilt toepassen.
- Klik op Toepassen.
Als een gebruiker in deze organisatie-eenheid probeert een geblokkeerde app te installeren of te openen op een Windows-apparaat, ziet deze een foutmelding dat de app is geblokkeerd door de systeembeheerder.
Voorbeelden van XML-bestanden
Alleen ondertekende apps toestaan (alle niet-ondertekende apps blokkeren)Met dit beleid kunnen gebruikers alleen ondertekende apps installeren, waardoor gebruikers ook geen niet-ondertekende apps kunnen installeren met het bestandstype dat is opgegeven in de OMA-URI.
Als u alle niet-ondertekende apps wilt blokkeren voor alle bestandstypen, voegt u een aangepaste instelling toe voor elk bestandstype en gebruikt u de volgende XML voor de waarde.
Opmerking: In RuleCollection
moet Type
overeenkomen met het bestandstype van de app. Gebruik de waarde "Exe"
voor exe-bestanden, "Msi"
voor MSI-bestanden, "Script"
voor Script-bestanden, "Dll"
voor DLL-bestanden en "Appx"
voor StoreApps. Vervang GUID in FilePublisherRule
door een willekeurige GUID die u maakt via een online GUID-generator.
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Als u apps wilt blokkeren, moet u een <FilePublisherRule>
-gedeelte toevoegen waarmee apps worden toegestaan en <FilePublisherRule>
-blokkeringen voor elke app die u wilt blokkeren.
Dit is de algemene indeling:
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule...>
...allow apps...
</FilePublisherRule>
<FilePublisherRule...>
...voorwaarden voor de eerste app die moet worden geblokkeerd...
</FilePublisherRule>
<FilePublisherRule...>
...voorwaarden voor de tweede app die moet worden geblokkeerd...
</FilePublisherRule>
</RuleCollection>
Opmerking: In RuleCollection
moet Type
overeenkomen met het bestandstype van de app. Gebruik de waarde "Exe"
voor exe-bestanden, "Msi"
voor MSI-bestanden, "Script"
voor Script-bestanden, "Dll"
voor DLL-bestanden en "Appx"
voor StoreApps. Vervang GUID in FilePublisherRule
door een willekeurige GUID die u maakt via een online GUID-generator.
In dit voorbeeldbeleid kunnen gebruikers App A en App B (beide exe-bestanden) niet uitvoeren:
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="App A blokkeren" Description="Blokkeert app A voor alle gebruikers" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APP A" BinaryName="APPA.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="App B blokkeren" Description="Blokkeert app B voor alle gebruikers" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APP B" BinaryName="APPB.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
<RuleCollection Type="Appx" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Alle ondertekende apps toestaan" Description="Staat alle gebruikers toe ondertekende apps uit te voeren" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Windows Mail blokkeren" Description="Blokkeert Windows Mail voor alle gebruikers" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.