Windows 10 veya 11 cihazlarda uygulamaları özel ayarlarla engelleme

Bu özelliğin desteklendiği sürümler: Frontline Starter ve Frontline Standard; Business Plus; Enterprise Standard ve Enterprise Plus; Education Standard, Education Plus ve Endpoint Education Upgrade; Enterprise Essentials ve Enterprise Essentials Plus; Cloud Identity Premium.  Sürümünüzü karşılaştırın

Windows cihaz yönetimini kullanarak kuruluşunuzdaki Windows cihazları yönetirken, Google Yönetici konsolunda özel ayarlar ekleyerek bu cihazlarda hangi uygulamalara izin verileceğini belirleyebilirsiniz. Bir XML dosyası oluşturup söz konusu uygulamaları girebilir ve özel ayarın değeri olarak bu dosyayı yükleyebilirsiniz. Tek tek uygulamaları ya da EXE veya MSI dosyaları gibi belirli bir türle eşleşen tüm uygulama dosyalarını engelleyebilirsiniz.

1. Adım: Bir XML dosyası oluşturup izin verilen ve engellenen uygulamaları belirtin

XML dosyasını oluşturmak için PowerShell'de komut satırını veya Windows Grup İlkesi düzenleyicisinde GUI'yi kullanabilirsiniz. Bu talimatlar tek bir politikanın nasıl oluşturulacağını gösterir, ancak aynı dosya türüne sahip uygulamalarla ilgili politikaları tek bir XML dosyasında birleştirebilirsiniz. Örneklere bakın.

Önemli: Farklı türdeki uygulama dosyalarını (EXE, MSI, Script, StoreApps ve DLL) engellemek için ayrı özel ayarlar oluşturmanız gerekir.

1. Seçenek - Komut satırı (PowerShell)
  1. Rastgele bir GUID almak için çevrimiçi bir GUID oluşturucu kullanın. İpucu: Bir arama motorunda çevrimiçi GUID oluşturucu araması yapın.
  2. Belirli bir uygulamayı engellemek istiyorsanız uygulama bilgilerini alın. Belirli bir dosya türüne sahip tüm uygulamaları engellemek istiyorsanız bu adımı atlayabilirsiniz.
    1. Bir Windows cihazda, engellemek veya izin vermek istediğiniz uygulama yürütülebilir dosyasını (.exe uzantılı dosya) indirin.
    2. PowerShell'i açın.
    3. Get-AppLockerFileInformation -path ExeYolu | format-list komutunu çalıştırın (komutun ExeYolu kısmı yürütülebilir dosyanın yoludur).
    4. Yanıtta, Publisher satırındaki değerleri bulup kaydedin. Değerler aşağıdaki biçimdedir ve XML'de kullanacağınız değerlere karşılık gelir:

      YayıncıAdı\ÜrünAdı\İkiliProgramAdı,İkiliProgramSürümü

      Yayıncı adı O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US gibi uzun bir dizedir ve dizenin tamamını eklemeniz gerekir.

  3. Aşağıdaki XML komutunu bir metin düzenleyiciye kopyalayın:

    <RuleCollection Type="Tür" EnforcementMode="Enabled">
      <FilePublisherRule Id=GUID Name=PolitikaAdı Description=PolitikaAçıklaması UserOrGroupSid=KullanıcıVeyaGrupSID'si Action=[Allow|Deny]>
         <Conditions>
           <FilePublisherCondition PublisherName=YayıncıAdı BinaryName=İkiliProgramAdı ProductName=ÜrünAdı>
             <BinaryVersionRange HighSection=SonSürüm LowSection=İlkSürüm />
           </FilePublisherCondition>
         </Conditions>
       </FilePublisherRule>
    </RuleCollection>

  4. XML dosyasını düzenleyerek yer tutucuları değerleriyle değiştirin. Birden fazla politikayı tek bir dosyada gruplama gibi belirli kullanımlar için örneklere bakın.
    Yer Tutucu Değer
    Tür

    Uygulama dosyası türü (OMA-URI ile eşleşmelidir):

    • EXE dosyaları için "Exe" yazın
    • MSI dosyaları için "Msi" yazın
    • Komut dosyası dosyaları için "Script" yazın
    • DLL dosyaları için "Dll" yazın
    • Microsoft Store uygulamaları için "Appx" yazın
    GUID 1. adımda oluşturduğunuz GUID
    PolitikaAdı Politikanın adı. Herhangi bir dizeyi kullanabilirsiniz.
    PolitikaAçıklaması Politikanın açıklaması
    KullanıcıVeyaGrupSID'si Politikanın uygulanacağı kullanıcılar veya gruplar:
    • Politikayı cihazdaki tüm kullanıcılara uygulamak için S-1-1-0 yazın.
    • Politikayı belirli bir kullanıcıya uygulamak için kullanıcının SID'sini girin. Kullanıcının SID'sini almak için komut satırında şu komutu çalıştırın:

      wmic kullanıcıadı get name,sid

      Burada kullanıcıadı, cihazdaki kullanıcının kullanıcı adıdır. Kullanıcı adını bilmiyorsanız aşağıdaki komutu çalıştırarak cihazdaki tüm kullanıcıların listesini alın:

      wmic useraccount get name,sid

    • Yalnızca bir kullanıcı adı girebilirsiniz. Politikayı daha fazla kullanıcıya uygulamak için kullanıcıları bir gruba yerleştirin veya politikayı kopyalayıp adını güncelleyin.

    • Politikayı belirli bir gruba uygulamak için grubun SID'sini girin. Grup SID'sini almak için komut satırında şu komutu çalıştırın:

      wmic grupAdı get name,sid

      Burada grupAdı, cihazdaki grubun adıdır. Grubun adını bilmiyorsanız aşağıdaki adımları uygulayarak cihazdaki tüm grupların listesini alabilirsiniz:

      wmic group get name,sid
    Allow|Deny Bu politikanın belirtilen uygulamaları engelleyip engellemediğini belirten işlemi seçin
    YayıncıAdı Uygulamanın yayıncısının adı (2. adımdaki YayıncıAdı). * joker karakterini kullanabilirsiniz. Ancak, normal ifade eşleşmesi ve önek veya sonek joker karakterler desteklenmez.
    İkiliProgramAdı

    İkili programın dosya adı (2. adımdaki İkiliProgramAdı). * joker karakterini kullanabilirsiniz. Ancak, normal ifade eşleşmesi ve önek veya sonek joker karakterler desteklenmez.

    Örneğin, tüm EXE dosyalarını engellemek için * ve özel ayarı eklerken /EXE/Policy ile biten OMA-URI'yi seçin.
    ÜrünAdı Ürünün adı (2. adımdaki ÜrünAdı). * joker karakterini kullanabilirsiniz. Ancak, normal ifade eşleşmesi ve önek veya sonek joker karakterler desteklenmez.
    SonSürüm Bu politikanın uygulanacağı uygulamanın son sürüm numarası. Uygulamanın tüm sürümlerini engellemek için * girin.
    İlkSürüm Bu politikanın uygulanacağı uygulamanın ilk sürüm numarası. Uygulamanın tüm sürümlerini engellemek için * girin.

  5. Dosyayı kaydedin.

2. Seçenek - GUI (Windows Grup İlkesi düzenleyicisi)
  1. Bu Microsoft makalesinin "Generating the XML" (XML Oluşturma) bölümündeki talimatları uygulayın. "Creating the Policy" (Politika Oluşturma) bölümüne geldiğinizde talimatları izlemeyi bırakın.

    Not: Bu talimatlar, cihazda yüklü bir uygulama için nasıl politika oluşturulacağını açıklar. Cihazda yüklü olmayan bir uygulama için politika oluşturmak istiyorsanız 6. adımda Use a packaged app installer as a reference (Paketlenmiş bir uygulama yükleyiciyi referans olarak kullan) seçeneğini belirleyin.

  2. XML dosyasını dışa aktardıktan sonra, Grup İlkesi düzenleyicide oluşturduğunuz politikayı kaldırın. Aksi takdirde, politika cihazda zorunlu olarak uygulanır.

2. Adım: Özel ayarı ekleyin

  1. Google Yönetici konsolu hesabınızda oturum açın.

    Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.

  2. Yönetici Konsolu'nda Menü ardından Cihazlar ardından Mobil cihazlar ve uç noktalar ardından Ayarlar ardından Windows'a gidin.
  3. Özel ayarlar'ı tıklayın.
  4. Özel ayar ekle'yi tıklayın.
  5. Özel ayarı yapılandırın:
    1. OMA-URI alanına ApplicationLaunchRestriction değerini girin ve politikadaki uygulamanın dosya türüne karşılık gelen OMA-URI'yi seçin:
      • EXE dosyaları için ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Grubu Girin>/EXE/Policy'yi seçin.
      • Microsoft Store'da sunulan uygulamalar için ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Grubu Girin>/AppStore/Policy'yi seçin
      • MSI dosyaları için ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Grubu Girin>/MSI/Policy'yi seçin
      • PowerShell komut dosyaları için ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Grubu Girin>/Script/Policy'yi seçin.
      • DLL dosyaları için ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Grubu Girin>/DLL/Politika'yı seçin

      Daha fazla bilgi için Microsoft AppLocker CSP dokümanlarına bakın.

    2. OMA-URI'deki <Grubu Girin> kısmını her özel ayar için benzersiz olan rastgele bir alfanümerik dizeyle değiştirin. Örneğin, EXE dosyalarını engellemek için bir özel ayar ve MSI dosyalarını engellemek için başka bir ayar ekliyorsanız her özel ayar için farklı bir değer kullanın.
    3. OMA-URI'yı seçtiğinizde Name alanı "Politika" ile güncellenir. Özel ayarlar listesinde tanımlamanıza yardımcı olacak benzersiz bir ad girin.
    4. Data type için String (XML) seçeneğini belirleyin, XML Dosyası Yükle'yi tıklayın ve ilk bölümde oluşturduğunuz XML yapılandırma dosyasını seçin.
    5. (İsteğe bağlı) Özel ayarın işlemini ve kimin için geçerli olduğunu belirten bir açıklama girin.
  6. Devam edip özel ayarın uygulanacağı kuruluş birimini seçmek için İleri'yi tıklayın veya başka bir ayar başlatmak için Başka bir tane ekle'yi tıklayın. İleri'yi tıklayıp kuruluş birimini seçene kadar kuruluş birimine ek politikalar uygulanmaz.
  7. Politikanın uygulanacağı kuruluş birimini seçin.
  8. Uygula'yı tıklayın.

Kuruluş birimindeki bir kullanıcı, Windows cihazına engellenen bir uygulamayı yüklemeyi veya açmayı denerse uygulamanın sistem yöneticisi tarafından engellendiğini belirten bir hata mesajı alır.

Örnek XML dosyaları

Yalnızca imzalı uygulamalara izin verme (İmzasız tüm uygulamaları engelleme)

Bu politika, kullanıcıların yalnızca imzalanmış uygulamaları yüklemesine izin verir. Ayrıca, kullanıcının OMA-URI'de belirtilen dosya türüne sahip imzalanmamış uygulamaları yüklemesini de engeller.

Tüm dosya türlerindeki imzalanmamış tüm uygulamaları engellemek istiyorsanız her dosya türü için özel bir ayar ekleyin ve değer için aşağıdaki XML komutunu kullanın.

Not: RuleCollection'daki Type kısmı, uygulama dosyası türüyle eşleşmelidir. Değer, EXE dosyaları için "Exe", MSI dosyaları için "Msi", Komut dosyası için "Script", DLL dosyaları için "Dll", StoreApp için "Appx" olmalıdır. FilePublisherRule'daki GUID kısmını çevrimiçi bir GUID oluşturucudan aldığınız rastgele bir GUID ile değiştirin.

<RuleCollection Type="Tür" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">   
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>      
</RuleCollection>
Belirli uygulamaları engelleme

Uygulamaları engellemek için, uygulamalara izin veren bir <FilePublisherRule> bölümü ve engellemek istediğiniz her uygulama için bir <FilePublisherRule> bölümü eklemelisiniz.

Genel biçim şöyledir:

<RuleCollection Type="Tür" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...engellenecek ilk uygulama için koşullar...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...engellenecek ikinci uygulamanın koşulları...
  </FilePublisherRule>
</RuleCollection>

 

Not: RuleCollection'daki Type kısmı, uygulama dosyası türüyle eşleşmelidir. Değer, EXE dosyaları için "Exe", MSI dosyaları için "Msi", Komut dosyası için "Script", DLL dosyaları için "Dll", StoreApp için "Appx" olmalıdır. FilePublisherRule'daki GUID kısmını çevrimiçi bir GUID oluşturucudan aldığınız rastgele bir GUID ile değiştirin.

Örneğin, aşağıdaki politika kullanıcıların "A Uygulaması"nı ve "B Uygulaması"nı çalıştırmasını engeller:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="A UYGULAMASI" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="B UYGULAMASI" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions>
 </FilePublisherRule>
</RuleCollection>
Windows işletim sisteminde paket olarak verilen uygulamaları engelleme
Microsoft dokümanındaki örneği temel alan bu örnek, kullanıcıların Windows Mail'i kullanmasını engeller. Kullanmadan önce, GUID kısmını çevrimiçi bir GUID oluşturucusundan aldığınız rastgele bir GUID ile değiştirin.
Not: Bu uygulama dosyası bir Microsoft Store uygulamasıdır. Bu nedenle OMA-URI ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Grubu Girin>/AppStore/Policy olmalıdır.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny"> 
    <Conditions> 
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*"> 
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions> 
  </FilePublisherRule>      
</RuleCollection>


Google, Google Workspace ve ilgili markalarla logolar Google LLC'nin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?

Daha fazla yardıma mı ihtiyacınız var?

Bir sonraki adımları deneyin:

Yardım topluluğunda yayınlayın Topluluk üyelerinden sorularınıza cevap alın
Bize ulaşın Bize daha fazla bilgi verin, size yardımcı olalım
true
14 günlük ücretsiz deneme sürümünüzü hemen kullanmaya başlayın

Profesyonel e-posta, çevrimiçi depolama, paylaşılan takvimler, video toplantılar ve daha fazlası. G Suite ücretsiz deneme sürümünüzü hemen kullanmaya başlayın.

Arama
Aramayı temizle
Aramayı kapat
Ana menü
14830295914543001164
true
Yardım Merkezinde Arayın
true
true
true
true
true
73010
false
false