Bloquear aplicaciones en dispositivos con Windows 10 u 11 mediante ajustes personalizados

Ediciones compatibles con esta función: Frontline Starter y Frontline Standard; Business Plus; Enterprise Standard y Enterprise Plus; Education Standard, Education Plus y Endpoint Education Upgrade; Enterprise Essentials y Enterprise Essentials Plus, y Cloud Identity Premium.  Comparar ediciones

Al usar la gestión de dispositivos Windows en tu organización, puedes restringir qué aplicaciones pueden usarse en los dispositivos de tu organización añadiendo ajustes personalizados desde la consola de administración de Google. Para hacerlo, especifica las aplicaciones en un archivo XML que puedes subir como valor del ajuste personalizado. Puedes bloquear aplicaciones concretas o archivos de aplicaciones de determinado tipo, como archivos ejecutables o MSI.

Paso 1: Especifica las aplicaciones permitidas y bloqueadas en un archivo XML

Para crear el archivo XML, puedes utilizar la línea de comandos de PowerShell o la interfaz gráfica de usuario del editor de directivas de grupo de Windows. Estas instrucciones muestran cómo crear una única directiva, pero puedes combinar directivas relacionadas para aplicaciones con el mismo tipo de archivo en un archivo XML. Consulta los ejemplos.

Importante: Es necesario crear ajustes personalizados independientes si quieres bloquear diferentes tipos de archivos de aplicación (EXE, MSI, Script, StoreApp o DLL).

Opción 1: Línea de comandos de PowerShell
  1. Utiliza un generador de GUID online para obtener un GUID aleatorio. Consejo: Escribe generador de GUID online en un buscador.
  2. Si quieres bloquear una aplicación concreta, busca información sobre ella. Si quieres bloquear todas las aplicaciones que tengan un determinado tipo de archivo, puedes saltarte este paso.
    1. En un dispositivo Windows, descarga el archivo ejecutable (el que termina en .exe) de la aplicación que quieres bloquear o permitir.
    2. Abre PowerShell.
    3. Ejecuta Get-AppLockerFileInformation -path RutaDelExe | format-list. Debes sustituir RutaDelExe por la ruta del archivo ejecutable.
    4. En la respuesta, busca y registra los valores en la línea Publisher (Editor). Los valores tienen el siguiente formato y se corresponden con los que utilizarás en el XML:

      NombreDeEditor\NombreDeProducto\NombreDeBinario,VersiónDeBinario

      El nombre del editor es una cadena larga, como O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US, que debes incluir entera.

  3. Copia el siguiente código XML en un editor de texto:

    <RuleCollection Type="Tipo" EnforcementMode="Enabled">
      <FilePublisherRule Id=GUID Name=NombreDeDirectiva Description=DescripciónDeDirectiva UserOrGroupSid=SIDDeUsuarioOGrupo Action=[Allow|Deny]>
         <Conditions>
           <FilePublisherCondition PublisherName=NombreDeEditor BinaryName=NombreDeBinario ProductName=NombreDeProducto>
             <BinaryVersionRange HighSection=VersiónMásReciente LowSection=VersiónMásAntigua />
           </FilePublisherCondition>
         </Conditions>
       </FilePublisherRule>
    </RuleCollection>

  4. Edita el código XML para sustituir los marcadores de posición por sus valores. Para ver casos prácticos específicos, como agrupar varias directivas en un archivo, consulta los ejemplos.
    Marcador de posición Valor
    Tipo

    El tipo de archivo de la aplicación (debe ser el mismo que el OMA-URI):

    • Si es un archivo ejecutable, introduce "Exe".
    • Si es un archivo MSI, introduce "Msi".
    • Si es un archivo Script, introduce "Script".
    • Si es un archivo DLL, introduce "Dll".
    • Si es una aplicación de Microsoft Store, introduce "Appx".
    GUID Es el GUID que has generado en el paso 1.
    NombreDeDirectiva Es el nombre de la directiva y puedes utilizar cualquier tipo de cadena.
    DescripciónDeDirectiva Es una descripción de la directiva.
    SIDDeUsuarioOGrupo Son los usuarios o grupos a los que se aplica la directiva:
    • Para aplicar la directiva a todos los usuarios del dispositivo, introduce S-1-1-0.
    • Para aplicar la directiva a un usuario concreto, introduce su SID; para saber cuál es el del usuario que quieres, introduce en la línea de comandos lo siguiente:

      wmic nombredeusuario get name,sid

      Debes sustituir nombredeusuario por el nombre de usuario del dispositivo; si no sabes cuál es, consúltalo en la lista de usuarios del dispositivo, que puedes generar ejecutando la siguiente línea de comandos:

      wmic useraccount get name,sid

    • Solo puedes introducir un nombre de usuario. Para aplicar la directiva a más usuarios, coloca los usuarios en un mismo grupo o cópiala y cambia el nombre de usuario.

    • Para aplicar la directiva a un grupo concreto, introduce su SID; para saber cuál es el del grupo que quieres, introduce en la línea de comandos lo siguiente:

      wmic nombredegrupo get name,sid

      Debes sustituir nombredegrupo por el nombre del grupo del dispositivo. Si no sabes su nombre, puedes generar la lista de grupos del dispositivo ejecutando la siguiente línea de comandos:

      wmic group get name,sid
    Allow|Deny Selecciona la acción de esta directiva, ya sea bloquear ("Deny") o permitir ("Allow") las aplicaciones especificadas.
    NombreDeEditor Es el nombre del editor de la aplicación (NombreDeEditor en el paso 2). Aquí puedes incluir el carácter comodín *, pero no expresiones regulares que incluyan caracteres comodín de prefijo o sufijo.
    NombreDeBinario

    Es el nombre de archivo del binario (NombreDeBinario en el paso 2). Aquí puedes incluir el carácter comodín *, pero no expresiones regulares que incluyan caracteres comodín de prefijo o sufijo.

    Por ejemplo, para bloquear todos los archivos ejecutables, introduce * y, cuando añadas la configuración personalizada, selecciona el OMA-URI que termina en /EXE/Policy.
    NombreDeProducto Es el nombre del producto (NombreDeProducto del paso 2). Aquí puedes incluir el carácter comodín *, pero no expresiones regulares que incluyan caracteres comodín de prefijo o sufijo.
    VersiónMásReciente Es el número de la versión más reciente de la aplicación a la que se aplica esta directiva. Para bloquear todas las versiones de la aplicación, introduce *.
    VersiónMásAntigua Es el número de la versión más antigua de la aplicación a la que se aplica esta directiva. Para bloquear todas las versiones de la aplicación, introduce *.

  5. Guarda el archivo.

Opción 2: GUI (editor de directivas de grupo de Windows)
  1. Sigue las instrucciones de la sección sobre cómo generar el código XML incluida en este artículo de Microsoft. Deja de seguir las instrucciones cuando llegues a la sección sobre cómo crear una directiva.

    Nota: En estas instrucciones se describe cómo crear una directiva para una aplicación instalada en el dispositivo. Si quieres crear una directiva para una aplicación que no esté instalada en el dispositivo, en el paso 6, selecciona Usar un instalador de aplicaciones empaquetadas como referencia.

  2. Después de exportar el archivo XML, ve al editor de directivas de grupo y quita la directiva que has creado; si no lo haces, se aplicará en el dispositivo.

Paso 2: Añade la configuración personalizada

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luegoMóviles y endpointsy luegoConfiguracióny luegoWindows.
  3. Haz clic en Configuración personalizada.
  4. Haz clic en Añadir un ajuste personalizado.
  5. Configura el ajuste personalizado:
    1. En el campo OMA-URI, introduce ApplicationLaunchRestriction y selecciona el OMA-URI que corresponde al tipo de archivo de la aplicación en la política:
      • Si es un archivo EXE, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Agrupación>/EXE/Policy.
      • Si es una aplicación disponible en Microsoft Store, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Agrupación>/AppStore/Policy
      • Si es un archivo MSI, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Agrupación>/MSI/Policy
      • Si es una secuencia de comandos de PowerShell, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Agrupación>/Script/Policy
      • Si es un archivo DLL, selecciona ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Agrupación>/DLL/Policy

      Para obtener más información, consulta la documentación de Microsoft sobre el proveedor de servicios de configuración de AppLocker.

    2. En el OMA-URI, sustituye <Agrupación> por una cadena alfanumérica aleatoria que sea única para cada ajuste personalizado. Por ejemplo, si añades una configuración personalizada para bloquear archivos ejecutables y otra para bloquear archivos MSI, debes usar un valor distinto para cada una de ellas.
    3. Al seleccionar el OMA-URI, el campo Nombre pasa a mostrar "Directiva". Introduce un nombre único que te ayude a identificarlo en la lista de ajustes personalizados.
    4. En Tipo de datos, selecciona Cadena (XML), haz clic en Subir XML y selecciona el archivo de configuración XML que creaste en la primera sección.
    5. (Opcional) Introduce una descripción de la acción del ajuste personalizado y a quién se aplica.
  6. Haz clic en Siguiente para continuar y selecciona la unidad organizativa a la que se aplica el ajuste personalizado, o bien haz clic en Añadir otra para crear uno nuevo. Las directivas adicionales no se aplicarán a una unidad organizativa hasta que hagas clic en Siguiente y selecciones esa unidad organizativa.
  7. Elige la unidad organizativa a la que quieres aplicar la directiva.
  8. Haz clic en Aplicar.

Si un usuario de la unidad organizativa intenta instalar o abrir una aplicación bloqueada en su dispositivo Windows, verá un mensaje de error en el que se indica que el administrador del sistema la ha bloqueado.

Ejemplos de archivos XML

Permitir solo aplicaciones firmadas (bloquear todas las aplicaciones sin firmar)

Esta directiva permite a los usuarios instalar únicamente aplicaciones firmadas, lo que también impide que los usuarios instalen aplicaciones sin firmar con el tipo de archivo especificado en el OMA-URI.

Para bloquear todas las aplicaciones sin firmar de cualquier tipo de archivo, añade un ajuste personalizado para cada tipo de archivo y usa el siguiente XML para indicar el valor.

Nota: En RuleCollection, Type debe ser el tipo de archivo de la aplicación. El valor puede ser "Exe" para archivos ejecutables, "Msi" para archivos MSI, "Script" para archivos Script, "Dll" en el caso de los archivos DLL o " Appx" para StoreApps. En FilePublisherRule, sustituye GUID por un GUID aleatorio que obtengas de un generador online.

<RuleCollection Type="Tipo" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Permitir todas las aplicaciones firmadas" Description="Permite que todos los usuarios ejecuten aplicaciones firmadas" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">   
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>      
</RuleCollection>
Bloquear aplicaciones concretas

Para bloquear aplicaciones, debes incluir una sección <FilePublisherRule> que permita aplicaciones y los bloqueos <FilePublisherRule> por cada aplicación que quieras bloquear.

El formato general es:

<RuleCollection Type="Tipo" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...permitir aplicaciones...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...condiciones para que la primera aplicación bloquee...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...condiciones para que la primera aplicación bloquee...
  </FilePublisherRule>
</RuleCollection>

 

Nota: En RuleCollection, Type debe ser el tipo de archivo de la aplicación. El valor puede ser "Exe" para archivos ejecutables, "Msi" para archivos MSI, "Script" para archivos Script, "Dll" en el caso de los archivos DLL o " Appx" para StoreApps. En FilePublisherRule, sustituye GUID por un GUID aleatorio que obtengas de un generador online.

Por ejemplo, la siguiente directiva impide que los usuarios ejecuten tanto la "aplicación A" como la "aplicación B", que son archivos ejecutables:

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Permitir todas las aplicaciones firmadas" Description="Permite que todos los usuarios ejecuten aplicaciones firmadas" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Bloquear la aplicación A" Description="Bloquea la aplicación A para todos los usuarios" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Bloquear la aplicación B" Description="Bloquea la aplicación B para todos los usuarios" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions>
 </FilePublisherRule>
</RuleCollection>
Bloquear aplicaciones incluidas en el sistema operativo de Windows
Este ejemplo, basado en el ejemplo de la documentación de Microsoft, impide que los usuarios utilicen Windows Mail. Antes de utilizarlo, sustituye GUID por un GUID aleatorio que obtengas de un generador online.
Nota: Este archivo de aplicación es una aplicación de Microsoft Store, por lo que el OMA-URI debe ser ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Agrupación>/AppStore/Policy.
<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Permitir todas las aplicaciones firmadas" Description="Permite que todos los usuarios ejecuten aplicaciones firmadas" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Bloquear Windows Mail" Description="Bloquea Windows Mail para todos los usuarios" UserOrGroupSid="S-1-1-0" Action="Deny"> 
    <Conditions> 
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*"> 
        <BinaryVersionRange LowSection="*" HighSection="*" /> 
      </FilePublisherCondition> 
    </Conditions> 
  </FilePublisherRule>      
</RuleCollection>


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
17153275889482177876
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false