Configure access to Microsoft Store

Applies to

• WindowsВ 10
• WindowsВ 10 Mobile

For more info about the features and functionality that are supported in each edition of Windows, see Compare Windows 10 Editions.

IT pros can configure access to Microsoft Store for client computers in their organization. For some organizations, business policies require blocking access to Microsoft Store.

All executable code including Microsoft Store applications should have an update and maintenance plan. Organizations that use Microsoft Store applications should ensure that the applications can be updated through the Microsoft Store over the internet, through the Private Store, or distributed offline to keep the applications up to date.

Options to configure access to Microsoft Store

You can use these tools to configure access to Microsoft Store: AppLocker or Group Policy. For WindowsВ 10, this is only supported on WindowsВ 10 Enterprise edition.

Block Microsoft Store using AppLocker

Applies to: WindowsВ 10 Enterprise, WindowsВ 10 Education, WindowsВ 10 Mobile

AppLocker provides policy-based access control management for applications. You can block access to Microsoft Store app with AppLocker by creating a rule for packaged apps. You’ll give the name of the Microsoft Store app as the packaged app that you want to block from client computers.

For more information on AppLocker, see What is AppLocker? For more information on creating an AppLocker rule for app packages, see Create a rule for packaged apps.

To block Microsoft Store using AppLocker

Type secpol in the search bar to find and start AppLocker.

In the console tree of the snap-in, click Application Control Policies, click AppLocker, and then click Packaged app Rules.

On the Action menu, or by right-clicking on Packaged app Rules, click Create New Rule.

On Before You Begin, click Next.

On Permissions, select the action (allow or deny) and the user or group that the rule should apply to, and then click Next.

On Publisher, you can select Use an installed app package as a reference, and then click Select.

On Select applications, find and click Store under Applications column, and then click OK. Click Next.

Create a rule for packaged apps has more information on reference options and setting the scope on packaged app rules.

Optional: On Exceptions, specify conditions by which to exclude files from being affected by the rule. This allows you to add exceptions based on the same rule reference and rule scope as you set before. Click Next.

Block Microsoft Store using configuration service provider

Applies to: Windows 10 Pro, Windows 10 Enterprise, Windows 10 Education

If you have Windows 10 devices in your organization that are managed using a mobile device management (MDM) system, such as Microsoft Intune, you can block access to Microsoft Store app using the following configuration service providers (CSPs):

For more information on the rules available via AppLocker on the different supported operating systems, see Operating system requirements.

Block Microsoft Store using Group Policy

Applies to: WindowsВ 10 Enterprise, WindowsВ 10 Education

Not supported on Windows 10 Pro, starting with version 1511. For more info, see Knowledge Base article #3135657.

You can also use Group Policy to manage access to Microsoft Store.

To block Microsoft Store using Group Policy

Type gpedit in the search bar to find and start Group Policy Editor.

In the console tree of the snap-in, click Computer Configuration, click Administrative Templates, click Windows Components, and then click Store.

In the Setting pane, click Turn off the Store application, and then click Edit policy setting.

On the Turn off the Store application setting page, click Enabled, and then click OK.

Enabling Turn off the Store application policy turns off app updates from Microsoft Store.

Block Microsoft Store on Windows 10 Mobile

Applies to: WindowsВ 10 Mobile

If you have mobile devices in your organization that you upgraded from earlier versions of WindowsВ PhoneВ 8 to WindowsВ 10 Mobile, existing policies created using the Windows Phone 8.1 CSPs with your MDM tool will continue to work on WindowsВ 10 Mobile. If you are starting with WindowsВ 10 Mobile, we recommend using AppLocker to manage access to Microsoft Store app.

When your MDM tool supports Microsoft Store for Business, the MDM can use these CSPs to block Microsoft Store app:

Show private store only using Group Policy

Applies to Windows 10 Enterprise, version 1607, WindowsВ 10 Education

If you’re using Microsoft Store for Business and you want employees to only see apps you’re managing in your private store, you can use Group Policy to show only the private store. Microsoft Store app will still be available, but employees can’t view or purchase apps. Employees can view and install apps that the admin has added to your organization’s private store.

To show private store only in Microsoft Store app

Type gpedit in the search bar, and then select Edit group policy (Control panel) to find and start Group Policy Editor.

In the console tree of the snap-in, go to User Configuration or Computer Configuration > Administrative Templates > Windows Components, and then click Store.

Right-click Only display the private store within the Microsoft Store app in the right pane, and click Edit.

This opens the Only display the private store within the Microsoft Store app policy settings.

On the Only display the private store within the Microsoft Store app setting page, click Enabled, and then click OK.

Запуск приложения Microsoft Store Launch the Microsoft Store app

В этом разделе описывается схема MS-Windows-Store: URI. This topic describes the ms-windows-store: URI scheme. Приложение может использовать эту схему URI для запуска приложения Microsoft Store на определенные страницы в хранилище с помощью метода лаунчуриасинк . Your app can use this URI scheme to launch the Microsoft Store app to specific pages in the store by using the LaunchUriAsync method.

В этом примере показано, как открыть Microsoft Store на странице игры. This example shows how to open the Store to the Games page:

Справка по схеме URI ms-windows-store: ms-windows-store: URI scheme reference

Описание Description	Схема универсального кода ресурса (URI) URI scheme
Запускает домашнюю страницу Магазина. Launches the home page of the Store.		ms-windows-store://home ms-windows-store://home
Запускает вертикаль верхнего уровня в Магазине. Launches a top-level vertical in the Store.

Примечание. Не у всех пользователей есть доступ ко всем вертикалям. Note: Not all users have access to all verticals.

Запускает страницу сведений о продукте (PDP). Launches the product details page (PDP) for a product.

Код продукта в Магазине рекомендуется использовать клиентам с Windows 10, он работает во всех версиях ОС, однако предыдущие методы решения этой задачи (например, с помощью PFN) по-прежнему поддерживаются. Store ID is recommended for customers on Windows 10, and will work on all OS versions, but the earlier ways of doing it (ex: PFN) are still supported.

Эти значения можно найти в центре партнеров на странице удостоверение приложения в разделе Управление приложениями для каждого приложения. These values can be found in Partner Center on the App identity page in the App management section for each app.

Microsoft Store Apps не удается запустить, если реестр по умолчанию или разрешения на файл изменены

В этой статье помогают устранить проблему, из-за которой нельзя запустить приложение Microsoft Store, если изменен реестр по умолчанию или разрешения на файл.

Оригинальная версия продукта: Windows 10 — все выпуски
Исходный номер КБ: 2798317

Эта статья предназначена для ИТ-специалистов. Для домашних пользователей, которые сталкиваются с проблемами приложений Microsoft Store, перейдите к устранению проблем с приложениями из Microsoft Store.

Проблема 1

При выборе приложения Microsoft Store приложение начинает запускаться, а затем Windows возвращается на стартовый экран. На экране не отображается ошибка.

Событие Microsoft-Windows-Immersive-Shell 5961 входит в журналы приложений и служб\Microsoft\Windows\Apps\Microsoft-Windows-TWinUI/Operational event log path:

Часть приложения в примере события , будет изменяться в зависимости от приложения, которое не удается запустить.

Префиксы для других встроенных приложений Microsoft Store включают:

Проблема 2

Нельзя запускать приложение Microsoft Store, открывать начните экран и использовать поиск в Windows. Кроме того, вы получаете следующий журнал событий в журналах приложений:

Если вы используете Process Monitor для отслеживания исполняемых или связанных с приложениями файлов, возможно, будет отказано в доступе. В нем указывается отсутствие разрешений для текущего пользователя с логотипом. Он включает следующее:

Ульи реестра и его подкайки:

1. HKEY_CLASSES_ROOT
2. HKEY_LOCAL_MACHINE\Drivers
3. HKEY_LOCAL_MACHINE\HARDWARE
4. HKEY_LOCAL_MACHINE\SAM
5. HKEY_LOCAL_MACHINE\SOFTWARE
6. HKEY_LOCAL_MACHINE\SYSTEM
7. HKEY_USERS

Для подсистемы файлов:

1. Файлы программы — содержимое папок «Чтение, чтение и выполнение» и «Содержимое папки списков»
2. Windows . Содержимое папки «Чтение, чтение и выполнение» и «Содержимое папки списков»
3. \ Пользователи \AppData\Local\Microsoft\Windows\WER — специальные разрешения (папки списков и данные чтения, а также создание папок и данных приложения)

Причина проблемы 1

Разрешения реестра и файловой системы, возможно, были изменены по умолчанию.

Группа All Application Packages — это хорошо известная группа с заранее. Группа должна иметь определенный доступ к определенным расположениям реестра и файловой системы, чтобы приложения Microsoft Store функционировали должным образом.

Причина проблемы 2

Эта проблема возникает из-за того, что разрешения на чтение отсутствуют из всех или всех ключей. В этом случае 0xc000027b регистрируется. Эта ошибка без исключения отсутствует разрешение для ВСЕХ ПАКЕТОВ ПРИЛОЖЕНИЙ в расположении реестра или расположения подсистемы файлов.

Разрешение реестра и файловой системы должно быть отобрано в состояние, которое позволит microsoft Store App функционировать

Только измените разрешение ключей реестра, которые, как известно, вызывают ошибку с отказом в доступе. Неправильное изменение разрешения ключей реестра может вызвать серьезные проблемы или непреднамеренно ослабить параметры безопасности.

Обширные изменения разрешений, распространяемые в реестре и файловой системе, не могут быть отменены. Корпорация Майкрософт предоставит коммерчески обоснованные усилия в соответствии с вашим контрактом на поддержку. Однако в настоящее время откат этих изменений не может быть откатом. Мы можем гарантировать только то, что вы можете вернуться к рекомендуемые параметры вне коробки, переформатируя жесткий диск и переустановив операционную систему.

Если вы используете групповую политику для управления разрешениями или не уверены, используется ли группа политика для управления разрешениями, выполните следующие действия:

• Отсоединять компьютер от домена или поместить компьютер в тестовый OU с включенным наследованием политик блока. Это действие не позволяет групповой политике на основе домена повторно использовать изменения разрешений и снова нарушать современные приложения после их исправлений.
• Добавление разрешений, в которых они требуются, в следующих подробностях.
• Изменить групповую политику, которая управляет разрешениями, чтобы она больше не ломала современное приложение.

Разрешение реестра и файловой системы необходимо вернуть в состояние, которое позволит приложению Microsoft Store функционировать. Следуйте этому методу, чтобы устранить проблему:

1. Определите, были ли изменены разрешения файловой системы. Если нет, см. в разделе Дополнительные сведения ниже.
2. Если да, то как они изменились? Вручную или с групповой политикой?
3. Определите, были ли изменены разрешения реестра, если нет, см. в разделе Дополнительные сведения ниже.
4. Если да, то как они изменились? Вручную или с групповой политикой?
5. Проверка secpol и GPPs в частности.

Определите, были ли изменены разрешения файловой системы

Проверьте папки, указанные ниже. Определите, есть ли у группы «Все пакеты приложений» указанный доступ. Большинство, но не все каталоги Windows, Program Files и WER также выдают разрешения группе «Все пакеты приложений».

• Файлы программы — содержимое папок «Чтение, чтение и выполнение» и «Содержимое папки списков»
• Windows . Содержимое папки «Чтение, чтение и выполнение» и «Содержимое папки списков»
• Пользователи \AppData\Local\Microsoft\Windows\WER — специальные разрешения (папки списков и данные чтения, а также создание папок и данных приложения)

Определите, изменились ли разрешения реестра

Проверьте указанные ниже ключи реестра. Убедитесь, что группа «Все пакеты приложений» имеет разрешения на чтение следующих путей реестра:

• HKEY_CLASSES_ROOT
• HKEY_LOCAL_MACHINE\Drivers
• HKEY_LOCAL_MACHINE\HARDWARE
• HKEY_LOCAL_MACHINE\SAM
• HKEY_LOCAL_MACHINE\SOFTWARE
• HKEY_LOCAL_MACHINE\SYSTEM
• HKEY_USERS

Большинство, но не все подкайки указанных выше ключей реестра будут предоставлять группе «Все пакеты приложений» доступ к считывке.

Определите, используется ли группа политика для управления разрешениями

Во входе на компьютер в качестве пользователя, столкнулись с проблемой.

Откройте команду администрирования, а затем запустите следующую команду:

Откройте файл gpreport.html и расширь следующий путь:

Параметры компьютера > политики\Параметры Windows\Параметры безопасности. Найди файловую систему и реестр. Если они существуют, GP назначает разрешение. Необходимо изменить GP, чтобы включить необходимые разрешения для группы «Все пакеты приложений».

Действия по устранению проблемы

В зависимости от того, как были изменены разрешения файловой системы, определится, как восстановить проблему. Наиболее распространенные способы изменения разрешений вручную и групповой политики.

Убедитесь, что перед широкой развертываемой проверкой разрешения в лаборатории. Всегда резервное копирование любых важных данных перед изменением разрешений реестра и файловой системы.

Исправление разрешений файловой системы, измененных вручную

1. Open File Explorer.
2. Просмотрите c:\Program Files.
3. Щелкните правой кнопкой мыши и выберите свойства.
4. Откройте вкладку Безопасность.
5. Выберите кнопку Advanced.
6. Выберите кнопку Разрешения на изменение.
7. Выберите кнопку Добавить.
8. Выберите ссылку Выберите главную.
9. Выберите кнопку расположения и выберите локальный компьютер.
10. Добавьте имя группы «Все пакеты приложений» и выберите ок.
11. Убедитесь, что Type = разрешить и применяется к = Эта папка, подмостки и файлы.
12. Проверьте содержимое & read &, list folder contents and Read.
13. Проверьте, как заменить все разрешения на объекты для детей с помощью записей разрешений, наследуемых из этого почтового ящика объекта.
14. Выберите Apply и OK.
15. Повторите для c:\Windows.
16. Повторите для c:\Users, но предоставить группе Полный контроль всех пакетов приложений.
17. Выберите Apply и OK.

Исправление разрешений файловой системы, измененных групповой политикой

Администратор групповой политики сделает следующие действия:

• Открытая административная консоль групповой политики.
• Найдите GPO, идентифицированную на шаге Определите,используется ли групповой политика для управления разрешениями.
• Щелкните правой кнопкой мыши и выберите изменение.
• Перейдите к компьютеру расположения Configuration\Policy\Windows Settings\Security Settings\File System .
• Если для уже созданных путей есть запись, ее можно изменить. Если запись не существует, создайте новую запись для каждого пути.
• Чтобы создать новую запись, щелкните правой кнопкой мыши файловую систему и выберите добавить файл.
• Просмотрите путь c:\Program Files, выберите ОК.
• Выберите кнопку Добавить.
• Выберите кнопку расположения и выберите имя локального компьютера.
• Добавьте группу Все пакеты приложений и выдайте им разрешения на чтение, чтение и выполнение и содержимое папки List.
• Выберите Apply и OK.
• Выберите параметр Replace existing permissions on all subfolders and files with inheritable permissions option.
• Повторите для C:\Windows.
• Повторите для C:\Users, однако, предоставить группе Полный контроль всех пакетов приложений.

Необходимо дождаться изменения групповой политики для репликации всем контроллерам домена и обновлению параметров групповой политики для всех клиентов.

Обработка изменений файловой системы может понести некоторую задержку с логотипом при первой обработке этой политики. Последующие логотипы не будут влиять, если в политику не будут внесены изменения. В качестве альтернативы можно использовать сценарий, который пользователем называется почтовый логотип, запускается в качестве запланированной задачи.

Исправление разрешений реестра, измененных вручную

• Откройте regedit.exe.
• Щелкните правой кнопкой мыши HKEY_Users и выберите свойства.
• Убедитесь, что все пакеты приложений прочитать.
• Повторите для HKEY_CLASSES_ROOT.
• Расширение HKEY_LOCAL_MACHINE. Проверьте оборудование subkeys, SAM, SOFTWARE, SYSTEM. Убедитесь, что у всех пакетов приложений есть разрешение на чтение.

Исправление разрешений реестра, измененных групповой политикой

Администратор групповой политики сделает следующие действия:

• Открытая административная консоль групповой политики.
• Найдите GPO, идентифицированную на шаге Определите,используется ли групповой политика для управления разрешениями.
• Щелкните правой кнопкой мыши и выберите изменение.
• Перейдите к компьютеру расположения Configuration\Policy\Windows Settings\Security Settings\Registry .
• Щелкните правой кнопкой мыши и выберите Добавить ключ.
• Выберите CLASSES_ROOT.
• Выберите кнопку Добавить.
• Выберите кнопку расположения и выберите имя локального компьютера.
• Добавьте группу Все пакеты приложений и придайте им чтение.
• Повторите для пользователей.
• Повторите для MACHINE\HARDWARE, MACHINE\SAM, MACHINE\SOFTWARE и MACHINE\SYSTEM.

Дополнительные сведения

Изменения списка управления доступом к файловой системе и реестру

Windows XP и более поздние версии Windows ужесточили разрешения по всей системе. Поэтому не следует вносить существенные изменения в разрешения по умолчанию.

Дополнительные изменения в списке управления доступом на дискреционный доступ (DACL) могут привести к недействительности всех или большинства тестов на совместимость приложений, которые проводит Корпорация Майкрософт. Часто такие изменения не подвергались тщательному тестированию, которое корпорация Майкрософт делала в других параметрах. Случаи поддержки и опыт работы с полями показали, что изменения DACL изменяют фундаментальное поведение операционной системы, часто непреднамеренно. Эти изменения влияют на совместимость и стабильность приложений и уменьшают функциональные возможности как производительности, так и возможностей.

Из-за этих изменений мы не рекомендуем изменять DACLs файловой системы на файлах, включенных в операционную систему в производственных системах. Мы рекомендуем вам оценить любые другие изменения ACL на фоне известной угрозы, чтобы понять все потенциальные преимущества, которые изменения могут предоставить определенной конфигурации. По этим причинам наши руководства внося только минимальные изменения DACL и только в Windows 2000. Для Windows 2000 требуется несколько незначительных изменений. Эти изменения описаны в руководстве по затвердевлению безопасности Windows 2000.

Обширные изменения разрешений, распространяемые в реестре и файловой системе, не могут быть отменены. Новые папки, например папки профилей пользователей, которые не присутствовали при первоначальной установке операционной системы, могут быть затронуты. Поэтому вы не можете откатать исходные DACLs, если вы:

• удаление параметра групповой политики, который выполняет изменения DACL
• применение системных по умолчанию

Изменения daCL в папке %SystemDrive% могут привести к следующим сценариям:

• Корзина больше не функционирует так, как задумано, и файлы не могут быть восстановлены.
• Снижение безопасности, которое позволяет не администратору просматривать содержимое корзины администратора.
• Отказ профилей пользователей работать как ожидалось.
• Снижение уровня безопасности, которое обеспечивает интерактивным пользователям доступ к некоторым или всем профилям пользователей в системе.
• Проблемы с производительностью, когда многие изменения DACL загружаются в объект групповой политики, который включает длительное время логотипа или повторные перезапуски целевой системы.
• Проблемы с производительностью, включая замедление работы системы, каждые 16 часов или около того, когда параметры групповой политики повторно привносят.
• Проблемы с совместимостью приложений или сбои приложения.

Чтобы помочь вам удалить худшие результаты таких разрешений на доступ к файлам и реестрам, Корпорация Майкрософт обеспечит коммерчески обоснованные усилия в соответствии с вашим контрактом на поддержку. Однако в настоящее время откат этих изменений не может быть откатом. Мы можем гарантировать только то, что вы можете вернуться к рекомендуемые параметры вне коробки, переформатируя жесткий диск и переустановив операционную систему.

Например, изменения в реестре DACLs затрагивают большие части ульев реестра и могут привести к тому, что системы перестают функционировать, как ожидалось. Изменение DACLs на ключах единого реестра создает меньше проблем для многих систем. Мы рекомендуем тщательно рассмотреть и проверить эти изменения перед их реализацией. И мы можем гарантировать только то, что вы можете вернуться к рекомендуемые параметры, если переформатировать и переустановить операционную систему.