Windows 10 Pro Edition: App Store mittels GPO oder PowerShell blockieren

    Der Windows Store ist in vielen Unternehmen unerwünscht.Viele Firmen­kunden wollen nicht, dass Mit­arbeiter nach Belieben Apps aus dem Windows-Store instal­lieren. Bisher konnten Admins die Store App mit einer GPO-Einstellung blockieren. Seit der Version 1511 funk­tioniert diese aber nur mehr in der Enter­prise Edition. Für die Pro Edition gibt es jedoch noch Alternativen.

    Während Benutzer keine herkömmlichen Win32-Anwendungen installieren dürfen, wenn sie nicht über administrative Rechte verfügen, gilt diese Einschränkung bei Store Apps nicht. Sie werden nämlich nicht unter %ProgramFiles%, sondern als Appx-Paket für jeden User separat in dessen Profil eingerichtet.

    Nur Enterprise Edition deaktiviert App Store

    Aus diesem Grund existieren alternative Mechanismen, um Benutzer am Installieren von Store Apps zu hindern. Die einfache Variante besteht darin, die Store App mittels Gruppen­richtlinien zu blockieren. Ein feiner abgestuftes Verfahren bietet dagegen die Enterprise Edition mit App Locker, das auch ein Whitelisting für Store Apps erlaubt.

    Die Einstellung "Store-Anwendung deaktivieren" greift nur mehr in der Enterprise Edition.

    Microsoft gab nun in einem Support-Dokument bekannt, dass die GPO-Einstellung Store-Anwendung deaktivieren in der Edition Pro ab der Version 1511 von Windows 10 nicht mehr greift. Somit bleiben beide Verfahren zum Blockieren von Store Apps der Enterprise Edition vorbehalten.

    Diese Meldung wird in der Pro Edition künftig nicht mehr zu sehen sein.

    Alternative: Alle Store Apps blockieren

    Wer jedoch die Kosten für die Enterprise Edition und die damit verbundene Software Assurance vermeiden möchte, wird sich nach alternativen Lösungen umsehen. Eine davon ist die Einstellung Disable all apps from Windows Store. Sie findet sich ebenfalls unter Richtlinien => Administrative Vorlagen => Windows-Komponenten => Store, im Gegensatz zu Store-Anwendung deaktivieren jedoch nur im Zweig Computer­konfiguration.

    Die beste Alternative besteht darin, alle Store Apps zu deaktivieren.

    Sie blockiert erwartungsgemäß nicht nur die Store App, sondern zusätzlich alle von Microsoft vorinstallierten sowie alle selbst herunter­geladenen Modern Apps. IT-Abteilungen, die ihre Anwender an der Nutzung des Stores hindern wollen, werden in der Regel mit dieser verschärften Variante kein Problem haben. Die kostenlosen Dreingaben von Windows 10 dürften zudem den meisten Benutzern ohnehin nicht fehlen.

    Sobald diese Einstellung wirksam ist, quittiert Windows 10 den Aufruf jeder Store App mit dieser Meldung.

    Derzeit greift diese Einstellung auch bei der Pro Edition, so dass man auf diese Form der Store-Blockade ausweichen kann. Zu beachten ist dabei, dass man Disable all apps from Windows Store deaktivieren muss, um die Apps zu blockieren.

    Store App löschen

    Desweiteren bleibt noch ein brachiales, aber wirksames Vorgehen, um den App Store ein für alle Mal zu schließen. Es besteht darin, die Store App zu deinstallieren. Das klappt zwar weder über Gruppenrichtlinien noch über die GUI, aber PowerShell ist dazu in der Lage:

    Remove-AppxPackage (Get-AppxPackage -Name Microsoft.WindowsStore)

    Diesen Aufruf kann man in ein Login-Script übernehmen, um die Store App automatisch zu eliminieren (siehe dazu den ausführlichen Beitrag zum Löschen und Wiederherstellen der Store App).

    Microsoft-Konten sperren

    Ein weiterer naheliegender Ansatz, um den App Store auf einem anderen Weg zu sperren, besteht im Blockieren von Microsoft-Konten. Sie sind Voraussetzung dafür, dass man Apps aus dem Store installieren kann.

    Zuständig für das Sperren von MS-Accounts ist die Einstellung Konten: Microsoft-Konten blockieren unter Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Lokale Richtlinien => Sicherheits­optionen. Sie verhindert , dass man sich über ein solches Konto an Windows anmelden oder dieses in der Benutzerverwaltung anlegen kann.

    Die Store App lässt sich von der Sperre der Microsoft-Konten nicht beeindrucken.

    Wenn man sich jedoch im Store authentifizieren muss, dann greift dieser Mechanismus nicht. Die App ist sogar in der Lage, anhand der Anmeldedaten ein Microsoft-Konto auf dem lokalen PC anzulegen, obwohl der Benutzer selbst in der App Einstellungen das nicht darf.

    5 Kommentare

    Bild von Sebastian
    Sebastian sagt:
    6. April 2017 - 10:19

    Hallo,

    ich fürchte, das ist inzwischen auch wieder überholt. Aktuell findet sich in der GPO "Alle Apps aus dem Windows Store deaktivieren" folgende Beschreibung:

    Wenn Sie die Einstellung deaktivieren, werden alle vorinstallierten oder heruntergeladenen Windows Store-Apps am Start gehindert. Die Apps werden nicht aktualisiert, und darüber hinaus wird der Store deaktiviert. Wenn Sie die Option aktivieren, werden Apps und Store wieder aktiviert. Diese Einstellung gilt nur für die Enterprise- und Education-Edition von Windows.

    Damit fällt diese Hau-den-Store-weg-Alternative auch wieder flach. :-(

    Trotzdem vielen Dank und viele Grüße,
    Sebastian

    Bild von Wolfgang Sommergut
    6. April 2017 - 11:00

    In der Praxis ist es aber einen Versuch wert, ob MS die betreffenden GPO-Einstellungen für die Pro wirklich deaktiviert hat. Jene für die Konfiguration der Taskbar soll offiziell auch der Enterprise Edtiion vorbehalten bleiben, funktioniert in der Pro Edition 1607 aber trotzdem noch.

    Bild von Sebastian
    Sebastian sagt:
    6. April 2017 - 11:11

    Dann muss ich leider vermelden, in diesem Fall haben sie es wirklich getan. Zum Test habe ich beide obige GPOs gesetzt:

    Alle Apps aus dem Windows Store deaktivieren: Deaktiviert
    Store-Anwendung deaktivieren: Aktiviert

    Trotzdem funktionieren der Store und alle vorinstallierten Apps nach wie vor "tadellos".

    Aber das mit der Taskbar per XML ist gut zu wissen. ;-)

    VG,
    Sebastian

    Bild von Sebastian
    Sebastian sagt:
    6. April 2017 - 11:12

    Ups, sorry, hab verpeilt auf den "Antworten-Button" zu drücken. ;-)

    Bild von Eric
    Eric sagt:
    19. April 2017 - 12:43

    Wir blockieren den Zugriff einfach über die "Software Restriction Policies". Einfach eine neue "Additional Rule" hinzufügen & den Zugriff auf:

    %programfiles%\WindowsApps\Microsoft.WindowsStore*

    blockieren.