旁加载业务线 (LOB) 应用

旁加载应用是在安装非官方源(如 Microsoft Store)的应用时。 组织可以创建自己的应用,包括业务线 (LOB) 应用。 当你旁加载应用时,你将一个已签名的应用包部署到设备。 你维护这些应用的签名、承载和部署。

若要允许这些应用在 Windows 设备上运行,可能需要启用旁加载。

重要提示

启用旁加载时,允许从 Microsoft Store 外部安装和运行应用。 此操作可能会增加设备和数据的安全风险。 旁加载的应用需要使用设备信任的证书进行签名。

必备条件

  • 已启用旁加载的 Windows 设备。 可以使用组策略或移动设备管理 (MDM) 提供程序(如 Microsoft Intune)启用它。 还可以使用 “设置” 应用手动启用旁加载。

  • 分配给应用的受信任证书。 将安全证书导入本地设备。 此证书允许设备信任应用。

  • 使用同一证书签名的应用包。

提示

与早期版本不同,Windows 10/11:

  • 不需要许可证密钥。
  • 设备不必加入域。

步骤 1:启用旁加载

可以在托管或非托管设备上旁加载应用。

托管设备通常意味着组织拥有它,并根据业务需求应用策略。 可以使用本地组策略或移动设备管理 (MDM) 提供商(如 Microsoft Intune)对其进行管理。 在托管设备上,可以创建一个启用旁加载的策略,然后将此策略分配给目标设备。

非托管设备意味着组织不对其进行管理。 这些设备通常是用户拥有的个人设备。 用户可以使用 “设置” 应用手动启用旁加载。

用户界面

如果你在自己的设备上工作,或者设备是非托管的,请使用“设置”应用。 体验因Windows 11和Windows 10而异。

注意

如果旁加载被组织策略阻止,则用户甚至无法手动启用旁加载。

Windows 11设置

  1. 打开“设置”应用。

  2. 转到 “系统 ”,然后选择“ 面向开发人员”。

  3. 打开 “开发人员模式 ”设置。

  4. 查看通知,然后选择“ ”以继续。

提示

如果在 Windows 版本的此位置中看不到设置,请使用 “查找设置 ”选项。 搜索 开发人员模式 以快速跳转到其位置。

Windows 10设置

  1. 打开“设置”应用。

  2. 转到 “更新 & 安全性 ”,然后选择“ 面向开发人员”。

  3. 打开 “旁加载应用”选项。

  4. 查看通知,然后选择“ ”以继续。

组策略

如果使用组策略,请使用以下策略来启用或阻止旁加载应用:

路径: 计算机配置\管理模板\Windows 组件\应用包部署

  • 允许开发 Windows 应用商店应用并从集成开发环境 (IDE) 安装这些应用
  • 允许安装所有受信任的应用

默认情况下,OS 可能会将这些策略设置为 “未配置”,这意味着已关闭应用旁加载。 如果将这些策略设置为 “已启用”,则用户可以旁加载应用。

MDM

使用Microsoft Intune时,可以在托管设备上启用旁加载应用。 有关详细信息,请参阅以下文章:

其他 MDM 服务器可以使用 ApplicationManagement 策略 CSP 实现类似的行为。

步骤 2:导入安全证书

此步骤将应用证书安装到本地设备。 安装证书会在应用和设备之间创建信任。

  1. 打开应用包的 “属性 ”。

    1. 转到“ 数字签名 ”选项卡。

    2. 选择证书,然后选择 “详细信息 ”以打开数字签名详细信息窗口。

    3. 选择“ 查看证书 ”以打开证书窗口。

    4. 选择“ 安装证书 ”以启动证书导入向导。

  2. “证书导入向导”上,选择“ 本地计算机”。 此操作可能需要管理员进行提升。

  3. 继续该过程,将证书导入 受信任的根证书颁发机构 存储区。

注意

还有其他方法可用于在设备上安装和管理证书。 例如,使用组策略或预配包。

步骤 3:安装应用

启用旁加载并导入证书后,可以使用多种方法在设备上安装应用。

  • 在 Windows 资源管理器中手动打开 .msix.appx 包。

  • 使用基于 Web 的应用安装程序通过网络分发 MSIX 应用。 有关详细信息,请参阅 从网页安装 Windows 应用

  • 使用 Windows PowerShell Add-AppxPackage cmdlet。 有关详细信息,请参阅 Add-AppxPackage

后续步骤

使用 公司门户 和 Microsoft Intune 了解 Windows 11 中的专用应用存储库

有关旁加载的详细信息,请参阅以下有关 Windows 应用开发的文章: