透過 Windows 裝置管理服務管理貴機構的 Windows 裝置時,您可以在 Google 管理控制台中新增自訂設定,決定可在裝置上使用哪些應用程式。只要上傳具體指定應用程式的 XML 檔案,系統就會將其視為自訂設定的值。您可以封鎖個別應用程式,也可以封鎖符合特定類型的所有應用程式檔案 (例如 EXE 或 MSI 檔案)。
步驟 1:在 XML 檔案中指定要允許和封鎖的應用程式
您可以使用 PowerShell 的命令列,或 Windows 群組原則編輯器中的圖形使用者介面建立 XML 檔案。我們會在下文的操作說明中講解如何建置單一原則,但您也可以針對檔案類型相同的應用程式,在單一 XML 檔案中整合所有相關原則。詳情請參閱範例檔案。
重要事項:如要封鎖不同類型的應用程式檔案 (例如 EXE、MSI、Script、StoreApps 和 DLL),您必須分別建立自訂設定。
方法 1:命令列 (PowerShell)- 透過網路上的 GUID 產生器取得一組隨機 GUID。提示:您可以在搜尋引擎中搜尋
GUID 線上產生器。 - 如要封鎖特定應用程式,您必須取得該應用程式的資訊。如要將特定檔案類型的應用程式全數封鎖,則可略過這個步驟。
- 在 Windows 裝置上,下載您要封鎖或允許的應用程式執行檔 (檔名結尾為 .exe)。
- 開啟 PowerShell。
- 執行 Get-AppLockerFileInformation -path <執行檔路徑> | format-list 指令。
- 在回應中找到
Publisher行中的值並記下。這些值的格式如下,並且與您之後在 XML 中使用的值互相對應:<發布者名稱>\<產品名稱>\<二進位檔名稱>,<二進位檔版本>
發布者名稱是像
O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US這樣的長字串,請務必提供完整的字串。
- 將下方的 XML 複製到文字編輯器:
<RuleCollection Type="<類型>" EnforcementMode="Enabled">
<FilePublisherRule Id=<GUID> Name=<原則名稱> Description=<原則說明> UserOrGroupSid=<使用者或群組的 SID> Action=[Allow|Deny]>
<Conditions>
<FilePublisherCondition PublisherName=<發布者名稱> BinaryName=<二進位檔名稱> ProductName=<產品名稱>>
<BinaryVersionRange HighSection=<最新版本> LowSection=<最初版本> />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> - 編輯 XML,將預留位置替換成相應的值。如要將多個原則彙集成一份單一檔案,請參閱範例檔案,內有這類特定用途的詳細說明。
預留位置 值 <類型> 應用程式檔案類型 (必須與 OMA-URI 相符):
- 如果是 EXE 檔案,請輸入
"Exe" - 如果是 MSI 檔案,請輸入
"Msi" - 如果是 Script 檔案,請輸入
"Script" - 如果是 DLL 檔案,請輸入
"Dll" - 如果是 Microsoft Store 應用程式,請輸入
"Appx"
<GUID> 您在步驟 1 中產生的 GUID <原則名稱> 原則的名稱。您可以使用任何字串。 <原則說明> 原則的說明 <使用者或群組的 SID> 要套用原則的使用者或群組: - 如要為裝置上的所有使用者套用原則,請輸入 S-1-1-0。
- 如要為特定使用者套用原則,請輸入對方的 SID。如需取得 SID,請在命令列中執行以下指令:
wmic <使用者名稱> get name,sid
其中 <使用者名稱> 是指裝置上使用者的名稱。如果您不曉得使用者名稱,請執行下列指令,取得裝置上所有使用者的清單:
wmic useraccount get name,sid
-
您只能輸入一個使用者名稱。如要為其他使用者套用原則,請將使用者加入群組,或是複製原則並更新名稱。
- 如要對特定群組套用原則,請輸入群組的 SID。如需取得群組 SID,請在命令列中執行以下指令:
wmic <群組名稱>groupName get name,sid
其中 <群組名稱> 是指裝置上群組的名稱。如果您不知道群組名稱,可以執行下列指令,取得裝置上所有群組的清單:
wmic group get name,sid
Allow|Deny (允許|拒絕) 選取這項原則對應的動作,不論是要封鎖還是允許指定的應用程式皆可 <發布者名稱> 應用程式發布者的名稱 (步驟 2 中的 <發布者名稱>)。您可以使用 * 萬用字元,但系統不支援比對規則運算式,也不支援前置或後置萬用字元。 <二進位檔名稱> 二進位檔的檔案名稱 (步驟 2 中的 <二進位檔名稱>)。您可以使用 * 萬用字元,但系統不支援比對規則運算式,也不支援前置或後置萬用字元。
舉例來說,如要封鎖所有 EXE 檔案,請輸入 *,然後在新增自訂設定時選取結尾是 /EXE/Policy 的 OMA-URI。
<產品名稱> 產品的名稱 (步驟 2 中的 <產品名稱>)。您可以使用 * 萬用字元,但系統不支援比對規則運算式,也不支援前置或後置萬用字元。 <最新版本> 這項原則適用的應用程式最新版本號碼。如要封鎖應用程式的所有版本,請輸入 *。 <最初版本> 這項原則適用的應用程式最初版本號碼。如要封鎖應用程式的所有版本,請輸入 *。 - 如果是 EXE 檔案,請輸入
-
儲存檔案。
- 請參閱這篇 Microsoft 文章,按照「Generating the XML (產生 XML)」一節的指示操作。當您看到「Creating the Policy (建立原則)」一節的操作說明時,請停止操作。
注意:這些操作說明講解的主題是如何為裝置上安裝的應用程式建立原則。如要為裝置上未安裝的應用程式建立原則,請在執行到該文中的步驟 6 時選取 [使用已封裝應用程式安裝程式做為參照]。
- 匯出 XML 檔案後,請在「群組原則」編輯器中移除您建立的原則,否則系統會在裝置上強制執行該原則。
步驟 2:新增自訂設定
-
-
在管理控制台中,依序點選「選單」圖示
「裝置」
「行動裝置和端點」
- 按一下 [自訂設定]。
- 按一下 [新增自訂設定]。
- 調整自訂設定:
- 在 [OMA-URI] 欄位中輸入 ApplicationLaunchRestriction,然後選取與原則中應用程式檔案類型相對應的 OMA-URI:
- 如果是 EXE 檔案,請選取 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy
- 如果是 Microsoft Store 提供的應用程式,請選取 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy
- 如果是 MSI 檔案,請選取 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy
- 如果是 PowerShell 指令碼,請選取 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy
- 如果是 DLL 檔案,請選取 ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy
詳情請參閱 Microsoft 的 AppLocker CSP 說明文件。
- 在 OMA-URI 中,將 <Enter Grouping> 替換成個別自訂設定的隨機英數字串。舉例來說,如果您新增了封鎖 EXE 檔案的自訂設定,同時新增了封鎖 MSI 檔案的另一項設定,請為兩者分別使用不同的值。
- 當您選取 OMA-URI 時,[名稱] 欄位會更新為「政策」。請輸入可在自訂設定清單中方便辨識的專屬名稱。
- 在「資料類型」中選取 [字串 (XML)],接著點選 [上傳 XML],然後選取您在第一節建立的 XML 設定檔。
- (選用) 輸入說明,指出自訂設定的動作及其適用對象。
- 在 [OMA-URI] 欄位中輸入 ApplicationLaunchRestriction,然後選取與原則中應用程式檔案類型相對應的 OMA-URI:
- 點選 [下一步],繼續選取要套用自訂設定的機構單位,或按一下 [新增其他政策] 開始新增另一項政策。在您點選 [下一步] 並選取機構單位之前,系統不會為機構單位套用任何額外政策。
- 選擇要套用政策的機構單位。
- 按一下 [套用]。
如果機構單位中的使用者嘗試在 Windows 裝置上安裝或開啟遭封鎖的應用程式,系統會顯示錯誤訊息,說明該應用程式已遭系統管理員封鎖。
XML 檔案範例
僅允許已簽署的應用程式 (封鎖所有未簽署的應用程式)這項政策僅允許使用者安裝已簽署的應用程式,系統也會禁止使用者安裝屬於 OMA-URI 指定檔案類型的未簽署應用程式。
如要封鎖所有檔案類型的未簽署應用程式,請為每個檔案類型新增自訂設定,並使用下列 XML 做為值。
注意:在 RuleCollection 中,Type 必須與應用程式檔案類型相符。針對 EXE、MSI、Script、DLL 或 StoreApps 檔案,這個值分別可以是 "Exe"、"Msi"、"Script"、"Dll" 或 "Appx"。在 FilePublisherRule 中,將 <GUID> 替換成您從線上 GUID 產生器取得的隨機 GUID。
<RuleCollection Type="<類型>" EnforcementMode="Enabled">
<FilePublisherRule Id=<GUID> Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection> 如要封鎖應用程式,您必須加入用來允許應用程式的 <FilePublisherRule> 部分,並針對要封鎖的各個應用程式新增 <FilePublisherRule> 區塊。
一般格式為:
<RuleCollection Type="<類型>" EnforcementMode="Enabled">
<FilePublisherRule...>
...allow apps...
</FilePublisherRule>
<FilePublisherRule...>
...<第一個應用程式的封鎖條件...>
</FilePublisherRule>
<FilePublisherRule...>
...<第二個應用程式的封鎖條件...>
</FilePublisherRule>
</RuleCollection>
注意:在 RuleCollection 中,Type 必須與應用程式檔案類型相符。針對 EXE、MSI、Script、DLL 或 StoreApps 檔案,這個值分別可以是 "Exe"、"Msi"、"Script"、"Dll" 或 "Appx"。在 FilePublisherRule 中,將 <GUID> 替換成您從線上 GUID 產生器取得的隨機 GUID。
舉例來說,這項政策會禁止使用者同時執行「App A (應用程式 A)」和「App B (應用程式 B)」,其中兩者皆為 EXE 檔案:
<RuleCollection Type="Exe" EnforcementMode="Enabled">
<FilePublisherRule Id=<GUID> Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=<GUID> Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=<GUID> Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection><RuleCollection Type="Appx" EnforcementMode="Enabled">
<FilePublisherRule Id=<GUID> Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
<FilePublisherRule Id=<GUID> Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
<Conditions>
<FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
<BinaryVersionRange LowSection="*" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。
