บล็อกแอปในอุปกรณ์ Windows 10 หรือ 11 ด้วยการตั้งค่าที่กำหนดเอง

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter และ Frontline Standard; Business Plus; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Enterprise Essentials และ Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

เมื่อจัดการอุปกรณ์ Windows ในองค์กรด้วยการจัดการอุปกรณ์ Windows คุณจะกำหนดได้ว่ามีแอปใดบ้างที่อนุญาตให้ติดตั้งในอุปกรณ์เหล่านั้นโดยเพิ่มการตั้งค่าที่กำหนดเองในคอนโซลผู้ดูแลระบบของ Google โดยให้ระบุแอปในไฟล์ XML ที่อัปโหลดเป็นค่าของการตั้งค่าที่กำหนดเอง คุณจะบล็อกแต่ละแอปหรือไฟล์แอปทั้งหมดที่ตรงกับประเภทที่กำหนด เช่น EXE หรือ MSI ได้

ขั้นตอนที่ 1: ระบุแอปที่อนุญาตและบล็อกในไฟล์ XML

สร้างไฟล์ XML โดยใช้บรรทัดคำสั่งใน PowerShell หรือ GUI ในเครื่องมือแก้ไข Group Policy ของ Windows วิธีการเหล่านี้จะแสดงวิธีสร้างนโยบายเดียว แต่คุณสามารถรวมนโยบายที่เกี่ยวข้องสำหรับแอปที่มีไฟล์ประเภทเดียวกันในไฟล์ XML เดียวได้ โปรดดูตัวอย่าง

ข้อสำคัญ: หากต้องการบล็อกไฟล์แอปประเภทต่างๆ (EXE, MSI, Script, StoreApps และ DLL) คุณต้องสร้างการตั้งค่าขึ้นเองแยกต่างหาก

ตัวเลือกที่ 1 - บรรทัดคำสั่ง (PowerShell)

ใช้โปรแกรมสร้าง GUID ออนไลน์เพื่อรับ GUID แบบสุ่ม เคล็ดลับ: ในเครื่องมือค้นหา ให้ค้นหาโปรแกรมสร้าง GUID ออนไลน์
หากต้องการบล็อกแอปใดแอปหนึ่ง ให้หาข้อมูลแอป หากต้องการบล็อกแอปทั้งหมดที่มีไฟล์บางประเภท ให้ข้ามขั้นตอนนี้
1. ในอุปกรณ์ Windows ให้ดาวน์โหลดไฟล์ที่ดำเนินการได้ของแอป (ไฟล์ที่ลงท้ายด้วย .exe) ที่คุณต้องการบล็อกหรืออนุญาต
2. เปิด PowerShell
3. เรียกใช้ Get-AppLockerFileInformation -path PathToExe | format-list โดยที่ PathToExe คือเส้นทางไปยังไฟล์ที่ดำเนินการได้
4. ในผลลัพธ์ที่แสดงขึ้น ให้ค้นหาและบันทึกค่าในบรรทัด Publisher โดยค่าจะมีรูปแบบต่อไปนี้และตรงกับค่าที่คุณจะใช้ใน XML
  PublisherName\ProductName\BinaryName,BinaryVersion
  
  ชื่อผู้เผยแพร่จะเป็นสตริงแบบยาว O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US และคุณต้องระบุทั้งสตริง
คัดลอก XML ต่อไปนี้ลงในเครื่องมือแก้ไขข้อความ
<RuleCollection Type="ประเภท" EnforcementMode="Enabled"> <FilePublisherRule Id=GUID Name=ชื่อนโยบาย Description=คำอธิบายนโยบาย UserOrGroupSid=Sidของผู้ใช้หรือกลุ่ม Action=[Allow|Deny]> <Conditions> <FilePublisherCondition PublisherName=ชื่อผู้เผยแพร่ BinaryName=ชื่อของไบนารี ProductName=ชื่อผลิตภัณฑ์> <BinaryVersionRange HighSection=เวอร์ชันล่าสุด LowSection=เวอร์ชันแรกสุด /> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection>

แก้ไข XML เพื่อแทนที่ตัวยึดตำแหน่งด้วยค่านั้นๆ สำหรับ Use Case เฉพาะ เช่น การจัดกลุ่มนโยบายหลายประการในไฟล์เดียว โปรดดูตัวอย่าง

ตัวยึดตำแหน่ง	ค่า
Type	ประเภทไฟล์ของแอป (ต้องตรงกับ OMA-URI) สำหรับไฟล์ EXE ให้ป้อน `"Exe"` สำหรับไฟล์ MSI ให้ป้อน `"Msi"` สำหรับไฟล์สคริปต์ ให้ป้อน `"script"` สำหรับไฟล์ DLL ให้ป้อน `"Dll"` สำหรับแอปใน Microsoft Store ให้ป้อน `"Appx"`
GUID	GUID ที่คุณสร้างในขั้นตอนที่ 1
PolicyName	ชื่อของนโยบาย คุณใช้สตริงใดก็ได้
PolicyDescription	คำอธิบายของนโยบาย
UserOrGroupSid	ผู้ใช้หรือกลุ่มที่นโยบายมีผล หากต้องการใช้นโยบายกับผู้ใช้ทุกคนในอุปกรณ์ ให้ป้อน S-1-1-0 หากต้องการใช้นโยบายกับผู้ใช้ที่ต้องการ ให้ป้อน SID ของผู้ใช้คนดังกล่าว คุณจะหา SID ของผู้ใช้ได้โดยเรียกใช้คำสั่งดังนี้ *wmic username* get name,sid** โดยที่ username คือชื่อผู้ใช้ในอุปกรณ์ หากไม่ทราบชื่อผู้ใช้ ให้ดูรายชื่อผู้ใช้ทั้งหมดในอุปกรณ์โดยเรียกใช้ wmic useraccount get name,sid คุณจะป้อนชื่อผู้ใช้ได้เพียงชื่อเดียว หากต้องการใช้นโยบายกับผู้ใช้เพิ่มเติม ให้จัดผู้ใช้เป็นกลุ่ม หรือคัดลอกนโยบายแล้วอัปเดตชื่อ หากต้องการใช้นโยบายกับกลุ่มที่ต้องการ ให้ป้อน SID ของกลุ่ม คุณจะหา SID ของกลุ่มได้โดยเรียกใช้คำสั่งดังนี้ *wmic groupName* get name,sid** โดยที่ groupName คือชื่อของกลุ่มในอุปกรณ์ หากไม่ทราบชื่อกลุ่ม คุณจะดูรายชื่อกลุ่มทั้งหมดในอุปกรณ์ได้โดยการเรียกใช้ wmic group get name,sid
Allow\|Deny	เลือกการดำเนินการสำหรับนโยบายนี้ ไม่ว่าจะเป็นการบล็อกหรืออนุญาตแอปที่ระบุ
PublisherName	ชื่อผู้เผยแพร่แอป (PublisherName จากขั้นตอนที่ 2) คุณใช้ไวลด์การ์ด * ได้ แต่ระบบจะไม่รองรับการจับคู่นิพจน์ทั่วไปและคำนำหน้าหรือคำต่อท้าย
BinaryName	ชื่อไฟล์ของไบนารี (BinaryName จากขั้นตอนที่ 2) คุณใช้ไวลด์การ์ด * ได้ แต่ระบบจะไม่รองรับการจับคู่นิพจน์ทั่วไปและคำนำหน้าหรือคำต่อท้าย เช่น หากต้องการบล็อกไฟล์ EXE ทั้งหมด ให้ป้อน * และเมื่อคุณเพิ่มการตั้งค่าที่กำหนดเอง ให้เลือก OMA-URI ที่ลงท้ายด้วย /EXE/Policy
ProductName	ชื่อของผลิตภัณฑ์ (ProductName จากขั้นตอนที่ 2) คุณใช้ไวลด์การ์ด * ได้ แต่ระบบจะไม่รองรับการจับคู่นิพจน์ทั่วไปและคำนำหน้าหรือคำต่อท้าย
latestVersion	หมายเลขเวอร์ชันล่าสุดของแอปที่นโยบายนี้มีผล หากต้องการบล็อกแอปทุกเวอร์ชัน ให้ป้อน *
earliestVersion	หมายเลขเวอร์ชันแรกสุดของแอปที่นโยบายนี้มีผล หากต้องการบล็อกแอปทุกเวอร์ชัน ให้ป้อน *

บันทึกไฟล์

ตัวเลือกที่ 2 - GUI (เครื่องมือแก้ไขนโยบายกลุ่มของ Windows)

ทำตามวิธีการในส่วน "การสร้าง XML" ในบทความของ Microsoft นี้ แล้วหยุดเมื่อถึงส่วน "Creating the Policy"
หมายเหตุ: วิธีการเหล่านี้อธิบายการสร้างนโยบายสำหรับแอปที่ติดตั้งในอุปกรณ์ หากต้องการสร้างนโยบายสำหรับแอปที่ไม่ได้ติดตั้งไว้ในอุปกรณ์ ในขั้นตอนที่ 6 ให้เลือก Use a packaged app installer as a reference
หลังจากส่งออกไฟล์ XML แล้ว ให้นำนโยบายที่สร้างไว้ออกจากเครื่องมือแก้ไข Groups Policy มิฉะนั้น ระบบจะใช้นโยบายกับอุปกรณ์

ขั้นตอนที่ 2: เพิ่มการตั้งค่าที่กำหนดเอง

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
ในคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู อุปกรณ์อุปกรณ์เคลื่อนที่และปลายทางการตั้งค่าWindows
คลิกการตั้งค่าที่กำหนดเอง
คลิกเพิ่มการตั้งค่าที่กำหนดเอง
วิธีปรับการตั้งค่าที่กำหนดเอง
1. ในช่อง OMA-URI ให้ป้อน ApplicationLaunchRestrictions แล้วเลือก OMA-URI ที่ตรงกับประเภทไฟล์ของแอปในนโยบาย ดังนี้
  - สำหรับไฟล์ EXE ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/EXE/Policy
  - สำหรับแอปที่ดาวน์โหลดได้ใน Microsoft Store ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/AppStore/Policy
  - สำหรับไฟล์ MSI ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestriction/<ป้อนการจัดกลุ่ม>/MSI/Policy
  - สำหรับสคริปต์ PowerShell ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/Script/Policy
  - สำหรับไฟล์ DLL ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/DLL/Policy
  โปรดดูข้อมูลเพิ่มเติมในเอกสารประกอบเกี่ยวกับ AppLocker CSP ของ Microsoft
2. ใน OMA-URI ให้แทนที่ <ป้อนการจัดกลุ่ม> ด้วยสตริงตัวอักษรและตัวเลขแบบสุ่มที่ไม่ซ้ำกันสำหรับการตั้งค่าที่กำหนดเองแต่ละรายการ เช่น หากคุณเพิ่มการตั้งค่าที่กำหนดเอง 1 รายการเพื่อบล็อกไฟล์ EXE และอีก 1 รายการเพื่อบล็อกไฟล์ MSI ให้ใช้ค่าที่ต่างกันสำหรับการตั้งค่าดังกล่าวแต่ละรายการ
3. เมื่อคุณเลือก OMA-URI ช่อง Name จะอัปเดตเป็น "Policy" ป้อนชื่อที่ไม่ซ้ำกันเพื่อช่วยให้คุณสังเกตได้ในรายการการตั้งค่าที่กำหนดเอง
4. สำหรับประเภทข้อมูล ให้เลือกสตริง (XML) คลิกอัปโหลด XML และเลือกไฟล์การกำหนดค่า XML ที่คุณสร้างในส่วนแรก
5. (ไม่บังคับ) ป้อนคำอธิบายที่อธิบายการทำงานของการตั้งค่าที่กำหนดเองและบุคคลที่การตั้งค่ามีผล
คลิกถัดไปเพื่อดำเนินการต่อและเลือกหน่วยขององค์กรที่จะใช้การตั้งค่าที่กำหนดเองนี้ หรือคลิกเพิ่มรายการอื่นเพื่อเริ่มการตั้งค่าอื่น นโยบายเพิ่มเติมจะไม่มีผลกับหน่วยขององค์กรจนกว่าคุณจะคลิกถัดไปและเลือกหน่วยขององค์กร
เลือกหน่วยขององค์กรที่จะใช้นโยบาย
คลิกใช้

หากผู้ใช้ในหน่วยขององค์กรพยายามติดตั้งหรือเปิดแอปที่ถูกบล็อกในอุปกรณ์ Windows ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาดว่าผู้ดูแลระบบบล็อกแอปดังกล่าว

ตัวอย่างไฟล์ XML

อนุญาตเฉพาะแอปที่ลงนามแล้ว (บล็อกทุกแอปที่ไม่ได้ลงนาม)

นโยบายนี้อนุญาตให้ผู้ใช้ติดตั้งเฉพาะแอปที่ลงนามแล้ว และยังบล็อกผู้ใช้จากการติดตั้งแอปที่ไม่ได้ลงนามที่มีประเภทไฟล์ตรงกับที่ระบุใน OMA-URI

หากต้องการบล็อกแอปที่ไม่ได้ลงนามสำหรับไฟล์ทุกประเภท ให้เพิ่มการตั้งค่าที่กำหนดเองให้กับไฟล์แต่ละประเภท และใช้ XML ต่อไปนี้เป็นค่า

หมายเหตุ: ใน RuleCollection ค่า Type ต้องตรงกับประเภทไฟล์ของแอป ค่าอาจเป็น "Exe" สำหรับไฟล์ EXE, "Msi" สำหรับไฟล์ MSI, "Script" สำหรับไฟล์สคริปต์, "Dll" สำหรับไฟล์ DLL หรือ "Appx" สำหรับ StoreApps ใน FilePublisherRule ให้แทนที่ GUID ด้วย GUID ที่สุ่มมาจากโปรแกรมสร้าง GUID ออนไลน์

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">   
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>      
</RuleCollection>

บล็อกบางแอป

หากต้องการบล็อกแอป คุณต้องใส่ส่วน <FilePublisherRule> ที่อนุญาตแอปและการบล็อก <FilePublisherRule> สำหรับแต่ละแอปที่ต้องการบล็อก

โปรดดูรูปแบบทั่วไปด้านล่างนี้

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...เงื่อนไขสำหรับแอปแรกในการบล็อก...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...เงื่อนไขสำหรับแอปที่สองในการบล็อก...
  </FilePublisherRule>
</RuleCollection>

เช่น นโยบายนี้บล็อกไม่ให้ผู้ใช้เรียกใช้ทั้ง "แอป A" และ "แอป B" ซึ่งเป็นไฟล์ EXE

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

บล็อกแอปที่อยู่รวมกันในระบบปฏิบัติการ Windows

ตัวอย่างนี้อ้างอิงจากตัวอย่างในเอกสารประกอบของ Microsoft ซึ่งบล็อกผู้ใช้ไม่ให้ใช้ Windows Mail ก่อนใช้ ให้แทนที่ GUID ด้วย GUID ที่สุ่มมาจากเครื่องมือสร้าง GUID ออนไลน์

หมายเหตุ: ไฟล์แอปนี้คือแอปใน Microsoft Store ฉะนั้น OMA-URI จึงต้องเป็น ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny"> 
    <Conditions> 
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*"> 
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions> 
  </FilePublisherRule>      
</RuleCollection>

_{Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง}

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร

บล็อกแอปในอุปกรณ์ Windows 10 หรือ 11 ด้วยการตั้งค่าที่กำหนดเอง

ขั้นตอนที่ 1: ระบุแอปที่อนุญาตและบล็อกในไฟล์ XML

ขั้นตอนที่ 2: เพิ่มการตั้งค่าที่กำหนดเอง

ตัวอย่างไฟล์ XML

ข้อมูลนี้มีประโยชน์ไหม

หากต้องการความช่วยเหลือเพิ่มเติม

ลองทำตามขั้นตอนต่อไปนี้