Warum man den Windows Store nicht ignorieren sollte …

Regelmäßig begegnet mir bei meinen Gesprächen mit Kunden das Thema „Microsoft Store“ bzw. „Windows Store“ von Microsoft. Ist das nicht dasselbe? – fragt sich jetzt vielleicht der/die ein oder andere LeserIn. Ist es nicht, deshalb möchte ich zunächst einmal den Unterschied erklären, um Verwechselungen zu vermeiden.
Microsoft hat zwei Arten von „Windows Store“. Beide Stores nutzen dieselbe Anwendung in Microsoft Windows 10, die Modern-App „Microsoft Store“. Neben dem normalen Store, der sich an Privatkunden richtet, gibt es auch einen „Store 4 Business“.

Der Microsoft Store (Für Privatkunden)

Der „normale“ Store ist für Privatkunden gedacht. Es ist das, was man normalerweise in der Store App sieht und in den meisten Firmen nicht möchte. Schließlich gibt es hier eine Menge an Werbung für Spiele, Filme, und andere – nicht immer produktive – Inhalte. Das Gesamtangebot des Microsoft Stores bietet aber viel mehr: Auch Programme, die aus Sicht des Benutzers mehr Produktivität versprächen sind fester Bestandteil. Trotzdem ist die Installation vieler dieser Anwendungen von Unternehmen oder der IT nicht gewünscht:

Meist zählen dazu:

  • WhatsApp
  • Skype
  • Passwort-Manager
  • Cloudspeicher und File-Share Anwendungen

Manche mögen sich jetzt fragen, was an einem Passwort-Manager schlecht sein soll. Ich sage mal so: Das kommt ganz darauf an, wer ihn programmiert hat. Leider haben Hacker schon des öfteren  manipulierte Anwendungen in fast allen Anwendungskatalogen bereitgestellt – und darüber Zugangsdaten abgefischt.  Es ist also eine Frage des Vertrauens.

Ein weiterer Gesichtspunkt, der für Unternehmen relevant ist: Das Unternehmen hat im Falle einer Nutzung des Microsoft Stores keine Kontrolle über die geteilten Daten. Beispiel: Ein Mitarbeitet nutzt nicht verwaltete Dateiablagen und Freigabewerkzeuge. Dies kann nicht nur aus datenschutzrechtlichen Gründen problematisch sein. Ein weiteres Problem des Privatkunden Stores ist die Lizensierung für kostenpflichtige Anwendungen. Der Privatkunden Store nutzt eine persönliche Microsoft Live-ID, diese ist Nutzerbezogen und nicht Unternehmensbezogen. Somit nimmt der Anwender die Lizenz quasi mit, wenn er das Unternehmen verlässt. Dies ist gerade bei teureren Anwendungen wie Adobe Photoshop Elements oder verschiedenen PDF Werkzeugen nicht zu vernachlässigen. Die Abrechnung im Privatkunden Store erfolgt typischerweise über Kreditkarten.

Der Microsoft Store 4 Business (Für Unternehmen)

Der Microsoft Store 4 Business nutzt dieselbe Anwendung, wie der Privatkunden Store, bietet aber mehr Kontrollmöglichkeiten für die IT-Abteilung: Dazu zählt die verwendete Identität des Anwenders und die Steuerung von verfügbaren Inhalten.

Zunächst das Thema Identität: Hier wird keine Live-ID, sondern ein AzureAD Konto genutzt.

Um dieses Konto zu nutzen muss das Unternehmen Teile seiner Active Directory Daten in das Azure AD synchronisieren. Es entsteht allerdings der Vorteil dass, wenn ein Anwender das Unternehmen verlässt, er das Konto nicht automatisch mitnimmt. So kann die IT Abteilung die Lizenzen von einem unternehmensbezogenen Konto entfernen und neu zuweisen.

Ein weiterer Vorteil: Lizenzen für Anwendungen können nicht nur neu zugewiesen werden, sondern auch in höheren Anzahlen beschafft und verteilt werden. Je nach Rahmenbedingungen, sind außerdem andere Zahlweisen, wie Einzugsermächtigung, nutzbar.

Freigabe von Anwendungen

Die wichtigste Funktion, die der Microsoft 4 Business Store dem für Privatanwender voraus hat, aber ist aber das gesteuerte zur Verfügung stellen von Anwendungen. Über den Active Directory synchronisierte Gruppen können Anwendungen freigeschaltet und Lizenzen zugewiesen werden. Dies ermöglicht eine granulare Verteilung von Anwendungen.

Warum man die Store Anwendung nicht blockieren / löschen sollte

Im Rahmen des letzten ITPro-Labs haben wir eine anonyme Umfrage unter den Teilnehmern gemacht, wie die Microsoft Store App genutzt wird. Ungefähr die Hälfte der Teilnehmer gab an, die Anwendung gelöscht, blockiert und anderweitig funktionsunfähig gemacht zu haben.

Doch warum ist das der falsche Weg? Hier ein paar gute Gründe die dagegen sprechen:

  • Updates der vorinstallierten Anwendungen (z.B. Calc, Ausschneiden und Skizieren, Microsoft Whiteboard) erfolgen über Store App oder Windows Updates 4 Business (Nicht WSUS oder SCCM!)
  • GUI Anteile der Treiber kommen als Microsoft Store App (z.B. Killer Control Center). Das ist nichts was sich die Hersteller ausgesucht haben, das ist Vorgabe von Microsoft.
  • Unternehmensportal-Anwendungen für Microsoft Intune kommen über den Microsoft Store
  • Weitere Microsoft Anwendungen und Werkzeuge gibt es nur als Store Anwendung (z.B. MSIX Packaging Tool)
  • Sprachpakete für Windows 10 sind seit 1803 Store Anwendung (Work-a-round möglich)
  • Späteres „hinzufügen“ der Store Anwendung für die Nutzung des Store 4 Business unter Umständen nicht möglich
  • Erste kritische Sicherheitslücken wurden als Store Anwendung behoben: Microsoft entdeckt eine kritische Lücke und schleißt die über den Microsoft Store

Wie man den Microsoft Store nicht abschalten sollte

Wer allen Vorteilen zum Trotz entscheidet, den Microsoft Store auf den Unternehmens-Rechnern zu löschen. Der sollte das zumindest richtig machen! Als Principal Engineer sehe ich viele Umgebungen bei Kunden. Hier sind mal ein paar kreative falsche Wege den Microsoft Store zu reglementieren:

  • Paketdateien hart aus dem Dateisystem löschen
  • Änderung an den Datei-Berechtigungen (Jeder – Lesen verweigern)
  • Ausführungsverhinderung über Anti-Viren-Lösung
  • AppBlocker Policy
  • Remove-AppxPackage
  • Remove-AppxProvisionedPackage

Doch wie macht man es richtig? Es kommt auf das Ziel an. Ich empfehle die Steuerung über Gruppenrichtlinien, oder zur Not, Registry-Schlüssel.

Den Store als Ganzes abschalten, ohne die Updatefunktion zu beeinträchtigen

Richtlinie „Store-Anwendung deaktivieren“ im Benutzerkontext. Wichtig: Im Computerkontext wird die Ausführung auch für das System unterbunden und die Updatefunktion auch.

Nur den Microsoft Store 4 Business zulassen

Richtlinie: „Nur den Store 4 Business nutzen“ hilft, wenn der Privatkunden Store blockiert werden soll.

Weitere Möglichkeiten zur Konfiguration des Microsoft Store

Weitere Möglichkeiten zu Konfigurationen rund um den Microsoft Store mit praktischen Screenshots der Auswirkungen der Änderungen, finden Sie im Artikel „Windows 10 und der Microsoft Store“.

Die Zukunft der Microsoft Store Anwendung

Ich werde auch öfters mal von Kunden angesprochen ob der Microsoft Store eine Zukunft hat. Gerade die Änderung im Treiber Modell und andere Gründe lässt mich an dem Gerücht, das der Store vor dem Aus stehen soll, zweifeln. Die einzige Quelle die sich bei dieser Andeutung finden lassen, ist ein Beitrag auf ZDNet von Mary Jo Foley, und auch hier bleibt einiges an Interpretationsspielraum. Auch in den Roadmaps oder Release Informationen zu Windows 10 findet sich zurzeit keine Abkündigung oder Änderungsmitteilung.

About the Author: Fabian Niesen