A screenshot of a video game

Windows 10 und der Microsoft Store

35c67af7fbf74bf5937348eb588df1a5

Viele Firmen möchten gerne den Microsoft Store abschalten, damit nicht jeder „Netflix“ oder „Ages of Empires“ auf dem Firmengerät installiert. Hier gibt es viele Wege, aber welcher der richtige ist, das hängt davon ab. Das Risiko besteht, wenn der Store falsch abgeschaltet wird, das die integrierten Apps (zum Beispiel der Taschenrechner oder der Fotoviewer) keine Updates erhalten. Doch erstmal müssen noch ein paar Grundlagen geklärt werden, bevor es los geht.

Microsoft Store vs. Store4Business

Eigentlich gibt es zwei Stores bei Microsoft, beide nutzen die gleiche App. Der normale Store richtet sich an Privatpersonen. Hier gibt es alle Apps und Spiele und die Lizenzen hängen an einem privaten Microsoft Konto (Live-ID). Der Store4Business richtet sich an Unternehmen. Hierfür muss der Mitarbeiter mit seinem Unternehmenskonto angemeldet sein. Unternehmenskonto bedeutet in diesem Zusammenhang eine Azure-AD ID, ob mit AD-Sync oder eine reine Online-ID ist unerheblich. Das bedeutet aber auch, ohne Azure-AD keinen Unternehmens-Store.

Warum einen Unternehmens-Store

Es gibt ein paar Gründe, die für einen Unternehmens-Store sprechen. Die wichtigsten sind Themen wie:

  • Kontrolle der Anwendungen
  • Lizenzmanagement
  • Einfachere Verwaltung

Besonders das Thema Lizenzmanagement ist wichtig. Den beim Normalen Store sind die Lizenzen an den Persönlichen Konten der Mitarbeiter gebunden. Verlassen die das Unternehmen, nehmen diese die Lizenzen mit. Beim Store für Unternehmen hängt die Lizenz an einer Unternehmensidentität und kann vom Administrator neu zugewiesen werden.

Auch die Kontrolle der Anwendungen ist wichtig für die IT. Nicht jeder Firma wünscht Spiele oder für die Firmenzwecke nicht notwendige Software.

Probleme beim falschen Abschalten des Stores

Im Netz finden sich die verschiedensten Anleitungen zum Abschalten des Stores. Vom Entfernen der Store App aus dem WIM oder dem OS mit PowerShell befehlen, oder dem blocken der Store Anwendung mit AppLocker oder der Windows Firewall. Es gibt noch viele andere Varianten, aber warum sollte man den Store nicht einfach Blocken?

Das Problem ist, das die Modern Apps nur über den Store möglich sind, nicht über bestehende Software Management Lösungen oder den WSUS. Somit besteht die Gefahr das Sicherheitslücken nicht geschlossen werden.

Varianten des Abschaltens des Microsoft Store

Aber wie kann man den Store jetzt abschalten? Es gibt verschiedene Varianten, abhängig davon was das Ziel ist.

Nur den Store 4 Business nutzen

Für Firmen, die den Store 4 Business nutzen wollen, ist dies die richtige Einstellung. Wenn allerdings kein SSO konfiguriert ist, besteht die Gefahr das sich die Mitarbeiter mit einer Beliebigen Unternehmens-ID anmelden. Gerade bei Studenten besteht die Gefahr, dass sich diese mit einer ID der Fakultät anmelden. Die Fakultäten die Azure-AD, zum Beispiel für Office365, nutzen, haben eine Kompatible ID zu den Unternehmens-ID.

Diese Methode behindert nicht die Aktualisierung der Apps über den Store.

Werbung
Window Store beim start mit aktivierter Richtlinie "Nur privaten Store im Microsoft Store anzeigen"
Window Store beim start mit aktivierter Richtlinie „Nur privaten Store im Microsoft Store anzeigen“
Window Store nach der Anmeldung mit aktivierter Richtlinie "Nur privaten Store im Microsoft Store anzeigen"
Window Store nach der Anmeldung mit aktivierter Richtlinie „Nur privaten Store im Microsoft Store anzeigen“

Einstellung über Gruppenrichtlinie

Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store > Nur privaten Store im Microsoft Store anzeigen

Alternativ geht das auch im Benutzerkontext

Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store > Nur privaten Store im Microsoft Store anzeigen

Einstellung über Registry

Computer:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsStore\RequirePrivateStoreOnly REG_DWORD 1

Benutzer:

HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsStore\RequirePrivateStoreOnly REG_DWORD 1

Abschalten des Stores

Beim generellen Abschalten des Stores ist es etwas komplizierter. Die Apps können nur aktualisiert werden, wenn diese Einstellung Benutzerspezifisch konfiguriert wird. Wird die Richtlinie in der Computerkonfiguration aktiviert, können keine Updates für Anwendungen durchgeführt werden.

041519 0541 Windows10un3

Einstellung über Gruppenrichtlinie

Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store > Store-Anwendung deaktivieren

Alternativ geht das auch im Benutzerkontext

Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store > Store-Anwendung deaktivieren

Einstellung über Registry

Computer:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsStore\RemoveWindowsStore REG_DWORD 1

Benutzer:

HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsStore\RemoveWindowsStore REG_DWORD 1

Weitere Einstellungen rund um den Microsoft Store

Automatisches Herunterladen und Installieren von Updates deaktivieren

Normalerweise kann der Benutzer steuern, ob Apps automatisch aktualisiert werden. Wenn die Zentrale IT da ein Wörtchen mitreden möchte, ist dies die Richtige Einstellung.

Werbung
Ansicht des Microsoft Stores nach Deaktivierung der automatischen App Updates mit der Policy "Automatisches Herunterladen und Installieren von Updates deaktivieren"
Ansicht des Microsoft Stores nach Deaktivierung der automatischen App Updates mit der Policy „Automatisches Herunterladen und Installieren von Updates deaktivieren“
Ansicht des Microsoft Stores nach Aktivierung der automatischen App Updates mit der Policy "Automatisches Herunterladen und Installieren von Updates deaktivieren"
Ansicht des Microsoft Stores nach Aktivierung der automatischen App Updates mit der Policy „Automatisches Herunterladen und Installieren von Updates deaktivieren“

Einstellung über Gruppenrichtlinie

Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store >

Einstellung über Registry

Deaktivieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore\AutoDownload REG_DWORD 2

Aktivieren:

Werbung
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore\AutoDownload REG_DWORD 4

Zugriff auf den Store deaktivieren

Eine Einstellung die auf den ersten Blick sehr vielversprechend ist. Leider ändert sich das, wenn man die Beschreibung liest.

„Diese Richtlinieneinstellung legt fest, ob der Store-Dienst verwendet werden soll, um eine Anwendung zum Öffnen einer Datei mit einer nicht bekannten Dateizuordnung zu suchen.“

Quelle: Microsoft Gruppenrichtlinie
Screenshot beim öffnen von unbekannten Dateiendungen vor aktivieren der Richtlinie "Zugriff auf den Store deaktivieren"
Screenshot beim öffnen von unbekannten Dateiendungen vor aktivieren der Richtlinie „Zugriff auf den Store deaktivieren“
Screenshot beim öffnen von unbekannten Dateiendungen nach aktivieren der Richtlinie "Zugriff auf den Store deaktivieren"
Screenshot beim öffnen von unbekannten Dateiendungen nach aktivieren der Richtlinie „Zugriff auf den Store deaktivieren“

Einstellung über Gruppenrichtlinie

Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Internetkommunikationsverwaltung > Internetkommunikationseinstellungen > Zugriff auf den Store

Einstellung über Registry

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer\NoUseStoreOpenWith REG_DWORD 1

Alle Apps aus dem Microsoft Store deaktivieren (Enterprise Edition erforderlich)

„Wenn Sie die Einstellung deaktivieren, werden alle vorinstallierten oder heruntergeladenen Microsoft Store-Apps am Start gehindert. Die Apps werden nicht aktualisiert, und darüber hinaus wird der Store deaktiviert. Wenn Sie die Einstellung aktivieren, werden alle Optionen wieder aktiviert. Diese Einstellung gilt nur für die Enterprise- und Education-Edition von Windows.“

Quelle: Microsoft Gruppenrichtlinie

Die Übersetzung ist aber leider nicht richtig. So muss die Policy deaktiviert werden, damit die Einstellung aktiv wird.

Werbung

Wichtig ist auch, dies betrifft auch die vorinstallierten Anwendungen wie den Taschenrechner, Karten und die Foto-App. Nicht betroffen ist der Microsoft Edge Browser.

Screenshot beim starten von Apps nach aktivieren der Richtlinie "Alle Apps aus dem Microsoft Store deaktivieren"
Screenshot beim starten von Apps nach aktivieren der Richtlinie „Alle Apps aus dem Microsoft Store deaktivieren“

Einstellung über Gruppenrichtlinie

Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Store > Alle Apps aus dem Microsoft Store deaktivieren

Einstellung über Registry

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsStore\DisableStoreApps REG_DWORD 1

Wichtige Hinweise

  • Testen Sie die Einstellungen. Besonders wenn Sie den Microsoft Store vorher anders behandelt haben. Testen Sie auch, ob die Einstellungen nach einem Release wechsel noch funktionieren.
  • Prüfen Sie, ob die Updates wirklich angewendet werden
  • Bedenken Sie, einige Einstellungen sind nur mit der Enterprise Edition wirksam. Auch wenn diese vielleicht bei einem Release der Professional wirken, kann das jeder Zeit nicht mehr funktionieren. Dies gab es schon häufiger. Lesen Sie zu dem Thema auch unseren Artikel: „Auswahl der richtigen Windows 10 Edition„.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

New articles in english

RSS-Fehler: https://www.infrastructureheroes.org/feed is invalid XML, likely due to invalid characters. XML error: Invalid document end at line 2504, column 84
Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.