เมื่อจัดการอุปกรณ์ Windows ในองค์กรด้วยการจัดการอุปกรณ์ Windows คุณจะกำหนดได้ว่ามีแอปใดบ้างที่อนุญาตให้ติดตั้งในอุปกรณ์เหล่านั้นโดยเพิ่มการตั้งค่าที่กำหนดเองในคอนโซลผู้ดูแลระบบของ Google โดยให้ระบุแอปในไฟล์ XML ที่อัปโหลดเป็นค่าของการตั้งค่าที่กำหนดเอง คุณจะบล็อกแต่ละแอปหรือไฟล์แอปทั้งหมดที่ตรงกับประเภทที่กำหนด เช่น EXE หรือ MSI ได้
ขั้นตอนที่ 1: ระบุแอปที่อนุญาตและบล็อกในไฟล์ XML
สร้างไฟล์ XML โดยใช้บรรทัดคำสั่งใน PowerShell หรือ GUI ในเครื่องมือแก้ไข Group Policy ของ Windows วิธีการเหล่านี้จะแสดงวิธีสร้างนโยบายเดียว แต่คุณสามารถรวมนโยบายที่เกี่ยวข้องสำหรับแอปที่มีไฟล์ประเภทเดียวกันในไฟล์ XML เดียวได้ โปรดดูตัวอย่าง
ข้อสำคัญ: หากต้องการบล็อกไฟล์แอปประเภทต่างๆ (EXE, MSI, Script, StoreApps และ DLL) คุณต้องสร้างการตั้งค่าขึ้นเองแยกต่างหาก
ตัวเลือกที่ 1 - บรรทัดคำสั่ง (PowerShell)- ใช้โปรแกรมสร้าง GUID ออนไลน์เพื่อรับ GUID แบบสุ่ม เคล็ดลับ: ในเครื่องมือค้นหา ให้ค้นหา
โปรแกรมสร้าง GUID ออนไลน์
- หากต้องการบล็อกแอปใดแอปหนึ่ง ให้หาข้อมูลแอป หากต้องการบล็อกแอปทั้งหมดที่มีไฟล์บางประเภท ให้ข้ามขั้นตอนนี้
- ในอุปกรณ์ Windows ให้ดาวน์โหลดไฟล์ที่ดำเนินการได้ของแอป (ไฟล์ที่ลงท้ายด้วย .exe) ที่คุณต้องการบล็อกหรืออนุญาต
- เปิด PowerShell
- เรียกใช้ Get-AppLockerFileInformation -path PathToExe | format-list โดยที่ PathToExe คือเส้นทางไปยังไฟล์ที่ดำเนินการได้
- ในผลลัพธ์ที่แสดงขึ้น ให้ค้นหาและบันทึกค่าในบรรทัด
Publisher
โดยค่าจะมีรูปแบบต่อไปนี้และตรงกับค่าที่คุณจะใช้ใน XMLPublisherName\ProductName\BinaryName,BinaryVersion
ชื่อผู้เผยแพร่จะเป็นสตริงแบบยาว
O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US
และคุณต้องระบุทั้งสตริง
- คัดลอก XML ต่อไปนี้ลงในเครื่องมือแก้ไขข้อความ
<RuleCollection Type="ประเภท" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name=ชื่อนโยบาย Description=คำอธิบายนโยบาย UserOrGroupSid=Sidของผู้ใช้หรือกลุ่ม Action=[Allow|Deny]>
<Conditions>
<FilePublisherCondition PublisherName=ชื่อผู้เผยแพร่ BinaryName=ชื่อของไบนารี ProductName=ชื่อผลิตภัณฑ์>
<BinaryVersionRange HighSection=เวอร์ชันล่าสุด LowSection=เวอร์ชันแรกสุด />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> - แก้ไข XML เพื่อแทนที่ตัวยึดตำแหน่งด้วยค่านั้นๆ สำหรับ Use Case เฉพาะ เช่น การจัดกลุ่มนโยบายหลายประการในไฟล์เดียว โปรดดูตัวอย่าง
ตัวยึดตำแหน่ง ค่า Type ประเภทไฟล์ของแอป (ต้องตรงกับ OMA-URI)
- สำหรับไฟล์ EXE ให้ป้อน
"Exe"
- สำหรับไฟล์ MSI ให้ป้อน
"Msi"
- สำหรับไฟล์สคริปต์ ให้ป้อน
"script"
- สำหรับไฟล์ DLL ให้ป้อน
"Dll"
- สำหรับแอปใน Microsoft Store ให้ป้อน
"Appx"
GUID GUID ที่คุณสร้างในขั้นตอนที่ 1 PolicyName ชื่อของนโยบาย คุณใช้สตริงใดก็ได้ PolicyDescription คำอธิบายของนโยบาย UserOrGroupSid ผู้ใช้หรือกลุ่มที่นโยบายมีผล - หากต้องการใช้นโยบายกับผู้ใช้ทุกคนในอุปกรณ์ ให้ป้อน S-1-1-0
- หากต้องการใช้นโยบายกับผู้ใช้ที่ต้องการ ให้ป้อน SID ของผู้ใช้คนดังกล่าว คุณจะหา SID ของผู้ใช้ได้โดยเรียกใช้คำสั่งดังนี้
wmic username get name,sid
โดยที่ username คือชื่อผู้ใช้ในอุปกรณ์ หากไม่ทราบชื่อผู้ใช้ ให้ดูรายชื่อผู้ใช้ทั้งหมดในอุปกรณ์โดยเรียกใช้
wmic useraccount get name,sid
-
คุณจะป้อนชื่อผู้ใช้ได้เพียงชื่อเดียว หากต้องการใช้นโยบายกับผู้ใช้เพิ่มเติม ให้จัดผู้ใช้เป็นกลุ่ม หรือคัดลอกนโยบายแล้วอัปเดตชื่อ
- หากต้องการใช้นโยบายกับกลุ่มที่ต้องการ ให้ป้อน SID ของกลุ่ม คุณจะหา SID ของกลุ่มได้โดยเรียกใช้คำสั่งดังนี้
wmic groupName get name,sid
โดยที่ groupName คือชื่อของกลุ่มในอุปกรณ์ หากไม่ทราบชื่อกลุ่ม คุณจะดูรายชื่อกลุ่มทั้งหมดในอุปกรณ์ได้โดยการเรียกใช้
wmic group get name,sid
Allow|Deny เลือกการดำเนินการสำหรับนโยบายนี้ ไม่ว่าจะเป็นการบล็อกหรืออนุญาตแอปที่ระบุ PublisherName ชื่อผู้เผยแพร่แอป (PublisherName จากขั้นตอนที่ 2) คุณใช้ไวลด์การ์ด * ได้ แต่ระบบจะไม่รองรับการจับคู่นิพจน์ทั่วไปและคำนำหน้าหรือคำต่อท้าย BinaryName ชื่อไฟล์ของไบนารี (BinaryName จากขั้นตอนที่ 2) คุณใช้ไวลด์การ์ด * ได้ แต่ระบบจะไม่รองรับการจับคู่นิพจน์ทั่วไปและคำนำหน้าหรือคำต่อท้าย
เช่น หากต้องการบล็อกไฟล์ EXE ทั้งหมด ให้ป้อน * และเมื่อคุณเพิ่มการตั้งค่าที่กำหนดเอง ให้เลือก OMA-URI ที่ลงท้ายด้วย /EXE/Policy
ProductName ชื่อของผลิตภัณฑ์ (ProductName จากขั้นตอนที่ 2) คุณใช้ไวลด์การ์ด * ได้ แต่ระบบจะไม่รองรับการจับคู่นิพจน์ทั่วไปและคำนำหน้าหรือคำต่อท้าย latestVersion หมายเลขเวอร์ชันล่าสุดของแอปที่นโยบายนี้มีผล หากต้องการบล็อกแอปทุกเวอร์ชัน ให้ป้อน * earliestVersion หมายเลขเวอร์ชันแรกสุดของแอปที่นโยบายนี้มีผล หากต้องการบล็อกแอปทุกเวอร์ชัน ให้ป้อน * - สำหรับไฟล์ EXE ให้ป้อน
-
บันทึกไฟล์
- ทำตามวิธีการในส่วน "การสร้าง XML" ในบทความของ Microsoft นี้ แล้วหยุดเมื่อถึงส่วน "Creating the Policy"
หมายเหตุ: วิธีการเหล่านี้อธิบายการสร้างนโยบายสำหรับแอปที่ติดตั้งในอุปกรณ์ หากต้องการสร้างนโยบายสำหรับแอปที่ไม่ได้ติดตั้งไว้ในอุปกรณ์ ในขั้นตอนที่ 6 ให้เลือก Use a packaged app installer as a reference
- หลังจากส่งออกไฟล์ XML แล้ว ให้นำนโยบายที่สร้างไว้ออกจากเครื่องมือแก้ไข Groups Policy มิฉะนั้น ระบบจะใช้นโยบายกับอุปกรณ์
ขั้นตอนที่ 2: เพิ่มการตั้งค่าที่กำหนดเอง
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู อุปกรณ์อุปกรณ์เคลื่อนที่และปลายทางการตั้งค่าWindows
- คลิกการตั้งค่าที่กำหนดเอง
- คลิกเพิ่มการตั้งค่าที่กำหนดเอง
- วิธีปรับการตั้งค่าที่กำหนดเอง
- ในช่อง OMA-URI ให้ป้อน ApplicationLaunchRestrictions แล้วเลือก OMA-URI ที่ตรงกับประเภทไฟล์ของแอปในนโยบาย ดังนี้
- สำหรับไฟล์ EXE ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/EXE/Policy
- สำหรับแอปที่ดาวน์โหลดได้ใน Microsoft Store ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/AppStore/Policy
- สำหรับไฟล์ MSI ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestriction/<ป้อนการจัดกลุ่ม>/MSI/Policy
- สำหรับสคริปต์ PowerShell ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/Script/Policy
- สำหรับไฟล์ DLL ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/DLL/Policy
โปรดดูข้อมูลเพิ่มเติมในเอกสารประกอบเกี่ยวกับ AppLocker CSP ของ Microsoft
- ใน OMA-URI ให้แทนที่ <ป้อนการจัดกลุ่ม> ด้วยสตริงตัวอักษรและตัวเลขแบบสุ่มที่ไม่ซ้ำกันสำหรับการตั้งค่าที่กำหนดเองแต่ละรายการ เช่น หากคุณเพิ่มการตั้งค่าที่กำหนดเอง 1 รายการเพื่อบล็อกไฟล์ EXE และอีก 1 รายการเพื่อบล็อกไฟล์ MSI ให้ใช้ค่าที่ต่างกันสำหรับการตั้งค่าดังกล่าวแต่ละรายการ
- เมื่อคุณเลือก OMA-URI ช่อง Name จะอัปเดตเป็น "Policy" ป้อนชื่อที่ไม่ซ้ำกันเพื่อช่วยให้คุณสังเกตได้ในรายการการตั้งค่าที่กำหนดเอง
- สำหรับประเภทข้อมูล ให้เลือกสตริง (XML) คลิกอัปโหลด XML และเลือกไฟล์การกำหนดค่า XML ที่คุณสร้างในส่วนแรก
- (ไม่บังคับ) ป้อนคำอธิบายที่อธิบายการทำงานของการตั้งค่าที่กำหนดเองและบุคคลที่การตั้งค่ามีผล
- ในช่อง OMA-URI ให้ป้อน ApplicationLaunchRestrictions แล้วเลือก OMA-URI ที่ตรงกับประเภทไฟล์ของแอปในนโยบาย ดังนี้
- คลิกถัดไปเพื่อดำเนินการต่อและเลือกหน่วยขององค์กรที่จะใช้การตั้งค่าที่กำหนดเองนี้ หรือคลิกเพิ่มรายการอื่นเพื่อเริ่มการตั้งค่าอื่น นโยบายเพิ่มเติมจะไม่มีผลกับหน่วยขององค์กรจนกว่าคุณจะคลิกถัดไปและเลือกหน่วยขององค์กร
- เลือกหน่วยขององค์กรที่จะใช้นโยบาย
- คลิกใช้
หากผู้ใช้ในหน่วยขององค์กรพยายามติดตั้งหรือเปิดแอปที่ถูกบล็อกในอุปกรณ์ Windows ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาดว่าผู้ดูแลระบบบล็อกแอปดังกล่าว
ตัวอย่างไฟล์ XML
อนุญาตเฉพาะแอปที่ลงนามแล้ว (บล็อกทุกแอปที่ไม่ได้ลงนาม)นโยบายนี้อนุญาตให้ผู้ใช้ติดตั้งเฉพาะแอปที่ลงนามแล้ว และยังบล็อกผู้ใช้จากการติดตั้งแอปที่ไม่ได้ลงนามที่มีประเภทไฟล์ตรงกับที่ระบุใน OMA-URI
หากต้องการบล็อกแอปที่ไม่ได้ลงนามสำหรับไฟล์ทุกประเภท ให้เพิ่มการตั้งค่าที่กำหนดเองให้กับไฟล์แต่ละประเภท และใช้ XML ต่อไปนี้เป็นค่า
หมายเหตุ: ใน RuleCollection
ค่า Type
ต้องตรงกับประเภทไฟล์ของแอป ค่าอาจเป็น "Exe"
สำหรับไฟล์ EXE, "Msi"
สำหรับไฟล์ MSI, "Script"
สำหรับไฟล์สคริปต์, "Dll"
สำหรับไฟล์ DLL หรือ "Appx"
สำหรับ StoreApps ใน FilePublisherRule
ให้แทนที่ GUID ด้วย GUID ที่สุ่มมาจากโปรแกรมสร้าง GUID ออนไลน์
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
หากต้องการบล็อกแอป คุณต้องใส่ส่วน <FilePublisherRule>
ที่อนุญาตแอปและการบล็อก <FilePublisherRule>
สำหรับแต่ละแอปที่ต้องการบล็อก
โปรดดูรูปแบบทั่วไปด้านล่างนี้
<RuleCollection Type="Type" EnforcementMode="Enabled">
<FilePublisherRule...>
...allow apps...
</FilePublisherRule>
<FilePublisherRule...>
...เงื่อนไขสำหรับแอปแรกในการบล็อก...
</FilePublisherRule>
<FilePublisherRule...>
...เงื่อนไขสำหรับแอปที่สองในการบล็อก...
</FilePublisherRule>
</RuleCollection>
หมายเหตุ: ใน RuleCollection
ค่า Type
ต้องตรงกับประเภทไฟล์ของแอป ค่าอาจเป็น "Exe"
สำหรับไฟล์ EXE, "Msi"
สำหรับไฟล์ MSI, "Script"
สำหรับไฟล์สคริปต์, "Dll"
สำหรับไฟล์ DLL หรือ "Appx"
สำหรับ StoreApps ใน FilePublisherRule
ให้แทนที่ GUID ด้วย GUID ที่สุ่มมาจากโปรแกรมสร้าง GUID ออนไลน์
เช่น นโยบายนี้บล็อกไม่ให้ผู้ใช้เรียกใช้ทั้ง "แอป A" และ "แอป B" ซึ่งเป็นไฟล์ EXE
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
<RuleCollection Type="Appx" EnforcementMode="Enabled">
<FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง