Viele Firmen möchten gerne den Microsoft Store abschalten, damit nicht jeder „Netflix“ oder „Ages of Empires“ auf dem Firmengerät installiert. Hier gibt es viele Wege, aber welcher der richtige ist, das hängt davon ab. Das Risiko besteht, wenn der Store falsch abgeschaltet wird, das die integrierten Apps (zum Beispiel der Taschenrechner oder der Fotoviewer) keine Updates erhalten. Doch erstmal müssen noch ein paar Grundlagen geklärt werden, bevor es los geht.
Microsoft Store vs. Store4Business
Eigentlich gibt es zwei Stores bei Microsoft, beide nutzen die gleiche App. Der normale Store richtet sich an Privatpersonen. Hier gibt es alle Apps und Spiele und die Lizenzen hängen an einem privaten Microsoft Konto (Live-ID). Der Store4Business richtet sich an Unternehmen. Hierfür muss der Mitarbeiter mit seinem Unternehmenskonto angemeldet sein. Unternehmenskonto bedeutet in diesem Zusammenhang eine Azure-AD ID, ob mit AD-Sync oder eine reine Online-ID ist unerheblich. Das bedeutet aber auch, ohne Azure-AD keinen Unternehmens-Store.
Warum einen Unternehmens-Store
Es gibt ein paar Gründe, die für einen Unternehmens-Store sprechen. Die wichtigsten sind Themen wie:
- Kontrolle der Anwendungen
- Lizenzmanagement
- Einfachere Verwaltung
Besonders das Thema Lizenzmanagement ist wichtig. Den beim Normalen Store sind die Lizenzen an den Persönlichen Konten der Mitarbeiter gebunden. Verlassen die das Unternehmen, nehmen diese die Lizenzen mit. Beim Store für Unternehmen hängt die Lizenz an einer Unternehmensidentität und kann vom Administrator neu zugewiesen werden.
Auch die Kontrolle der Anwendungen ist wichtig für die IT. Nicht jeder Firma wünscht Spiele oder für die Firmenzwecke nicht notwendige Software.
Probleme beim falschen Abschalten des Stores
Im Netz finden sich die verschiedensten Anleitungen zum Abschalten des Stores. Vom Entfernen der Store App aus dem WIM oder dem OS mit PowerShell befehlen, oder dem blocken der Store Anwendung mit AppLocker oder der Windows Firewall. Es gibt noch viele andere Varianten, aber warum sollte man den Store nicht einfach Blocken?
Das Problem ist, das die Modern Apps nur über den Store möglich sind, nicht über bestehende Software Management Lösungen oder den WSUS. Somit besteht die Gefahr das Sicherheitslücken nicht geschlossen werden.
Varianten des Abschaltens des Microsoft Store
Aber wie kann man den Store jetzt abschalten? Es gibt verschiedene Varianten, abhängig davon was das Ziel ist.
Nur den Store 4 Business nutzen
Für Firmen, die den Store 4 Business nutzen wollen, ist dies die richtige Einstellung. Wenn allerdings kein SSO konfiguriert ist, besteht die Gefahr das sich die Mitarbeiter mit einer Beliebigen Unternehmens-ID anmelden. Gerade bei Studenten besteht die Gefahr, dass sich diese mit einer ID der Fakultät anmelden. Die Fakultäten die Azure-AD, zum Beispiel für Office365, nutzen, haben eine Kompatible ID zu den Unternehmens-ID.
Diese Methode behindert nicht die Aktualisierung der Apps über den Store.
Einstellung über Gruppenrichtlinie
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store > Nur privaten Store im Microsoft Store anzeigen
Alternativ geht das auch im Benutzerkontext
Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store > Nur privaten Store im Microsoft Store anzeigen
Einstellung über Registry
Computer:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsStore\RequirePrivateStoreOnly REG_DWORD 1
Benutzer:
HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsStore\RequirePrivateStoreOnly REG_DWORD 1
Abschalten des Stores
Beim generellen Abschalten des Stores ist es etwas komplizierter. Die Apps können nur aktualisiert werden, wenn diese Einstellung Benutzerspezifisch konfiguriert wird. Wird die Richtlinie in der Computerkonfiguration aktiviert, können keine Updates für Anwendungen durchgeführt werden.
Einstellung über Gruppenrichtlinie
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store > Store-Anwendung deaktivieren
Alternativ geht das auch im Benutzerkontext
Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store > Store-Anwendung deaktivieren
Einstellung über Registry
Computer:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsStore\RemoveWindowsStore REG_DWORD 1
Benutzer:
HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsStore\RemoveWindowsStore REG_DWORD 1
Weitere Einstellungen rund um den Microsoft Store
Automatisches Herunterladen und Installieren von Updates deaktivieren
Normalerweise kann der Benutzer steuern, ob Apps automatisch aktualisiert werden. Wenn die Zentrale IT da ein Wörtchen mitreden möchte, ist dies die Richtige Einstellung.
Einstellung über Gruppenrichtlinie
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store >
Einstellung über Registry
Deaktivieren:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore\AutoDownload REG_DWORD 2
Aktivieren:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore\AutoDownload REG_DWORD 4
Zugriff auf den Store deaktivieren
Eine Einstellung die auf den ersten Blick sehr vielversprechend ist. Leider ändert sich das, wenn man die Beschreibung liest.
„Diese Richtlinieneinstellung legt fest, ob der Store-Dienst verwendet werden soll, um eine Anwendung zum Öffnen einer Datei mit einer nicht bekannten Dateizuordnung zu suchen.“
Quelle: Microsoft Gruppenrichtlinie
Einstellung über Gruppenrichtlinie
Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Internetkommunikationsverwaltung > Internetkommunikationseinstellungen > Zugriff auf den Store
Einstellung über Registry
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer\NoUseStoreOpenWith REG_DWORD 1
Alle Apps aus dem Microsoft Store deaktivieren (Enterprise Edition erforderlich)
„Wenn Sie die Einstellung deaktivieren, werden alle vorinstallierten oder heruntergeladenen Microsoft Store-Apps am Start gehindert. Die Apps werden nicht aktualisiert, und darüber hinaus wird der Store deaktiviert. Wenn Sie die Einstellung aktivieren, werden alle Optionen wieder aktiviert. Diese Einstellung gilt nur für die Enterprise- und Education-Edition von Windows.“
Quelle: Microsoft Gruppenrichtlinie
Die Übersetzung ist aber leider nicht richtig. So muss die Policy deaktiviert werden, damit die Einstellung aktiv wird.
Wichtig ist auch, dies betrifft auch die vorinstallierten Anwendungen wie den Taschenrechner, Karten und die Foto-App. Nicht betroffen ist der Microsoft Edge Browser.
Einstellung über Gruppenrichtlinie
Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store > Alle Apps aus dem Microsoft Store deaktivieren
Einstellung über Registry
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsStore\DisableStoreApps REG_DWORD 1
Wichtige Hinweise
- Testen Sie die Einstellungen. Besonders wenn Sie den Microsoft Store vorher anders behandelt haben. Testen Sie auch, ob die Einstellungen nach einem Release wechsel noch funktionieren.
- Prüfen Sie, ob die Updates wirklich angewendet werden
- Bedenken Sie, einige Einstellungen sind nur mit der Enterprise Edition wirksam. Auch wenn diese vielleicht bei einem Release der Professional wirken, kann das jeder Zeit nicht mehr funktionieren. Dies gab es schon häufiger. Lesen Sie zu dem Thema auch unseren Artikel: „Auswahl der richtigen Windows 10 Edition„.
Schreibe einen Kommentar