组策略和打包的应用

使用 MSIX 的开发人员可以使用类似于其他安装程序类型的组策略。

如果已将 Win32 应用打包到 MSIX(或者使用桌面桥生成应用),则应用已启用完全信任功能。 这样就可以从组策略注册表键中读取内容。 在运行时,你的应用将具有与使用其他方法安装的组策略注册表相同的视图。 从 Windows 10 版本 1809 开始,如果你的应用是通用 Windows 平台(UWP)应用,则它可以访问相同的组策略密钥。 有关创建组策略的详细信息,请参阅 本文

如果使用 MSIX 打包工具将现有安装程序转换为 MSIX,则应用无需执行新的工作来支持组策略。 继续像平常对原始安装程序一样管理组策略。 转换为 MSIX 的应用仍可从现有组策略注册表项中读取。

组策略没有内置支持来安装 MSIX 应用程序。

阻止 Microsoft 商店和 MSIX 的策略

你可能对如何从 Microsoft 应用商店应用配置应用更新有自己的要求。 应用商店应用会触发应用(包括第三方应用)以及第一方应用(如计算器和照片)的更新。 如果从计算机中删除应用商店应用,则可能会导致该计算机上没有应用更新。

下面是 Microsoft Store 策略的列表,以及它如何影响 MSIX 包。

关闭自动下载并安装更新

此策略启用或禁用应用更新的自动下载和安装。 如果启用此设置,则会关闭应用更新的自动下载和安装。 如果禁用此设置,则会打开应用更新的自动下载和安装。 如果未配置此设置,则应用更新的自动下载和安装由用户可以使用应用商店中的 设置 更改的注册表设置确定。

  • GPO:Computer Configuration\Administrative Templates\Windows Components\Store
  • 注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore AutoDownload REG_DWORD (数据:enable = 2 = 应用不会更新,禁用 = 4 = 应用将自动更新)
  • 应用更新: 如果启用,将自动下载和安装应用更新将关闭。 如果禁用,则会开启应用更新的自动下载和安装。

关闭应用商店应用程序

此策略拒绝或允许访问应用商店应用程序。 如果启用此设置,将拒绝访问应用商店应用程序。 安装应用更新需要访问应用商店。 如果禁用或未配置此设置,则允许访问应用商店应用程序。

  • GPO:Computer Configuration\Administrative Templates\Windows Components\StoreUser Configuration\Administrative Templates\Windows Components\Store
  • 注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStoreRemoveWindowsStore REG_DWORDHKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsStoreRemoveWindowsStore REG_DWORD
  • 应用更新: 如果在计算机上下文中配置,此策略将关闭应用更新。

Windows 10 2004 企业版上通过应用商店签名的应用和可信的非应用商店应用的概述

下表演示了当 BlockNonAdminUserInstall 策略 已启用AllowAllTrustedApps已启用AllowDevelopmentWithoutDevLicense已启用 时会发生什么情况。

应用安装 结果
Microsoft Store 签名包(双击) 封锁
受信任的非 Microsoft Store 包(双击) 封锁
存储签名包(PowerShell 标准) 封锁
受信任非 Microsoft Store 包(PowerShell 标准) 封锁
Microsoft Store 签名包(PowerShell 提升) 已安装
受信任非 Microsoft Store 包(PowerShell 提升) 已安装

下表演示了在策略 BlockNonAdminUserInstall已启用AllowAllTrustedApps已启用AllowDevelopmentWithoutDevLicense已禁用 的情况下会发生什么情况。

应用安装 结果
Microsoft Store 签名包(双击) 封锁
受信任的非 Microsoft Store 包(双击) 封锁
存储签名包(PowerShell 标准) 封锁
受信任非 Microsoft Store 包(PowerShell 标准) 封锁
Microsoft Store 签名包(PowerShell 提升) 已安装
受信任非 Microsoft Store 包(PowerShell 提升) 已安装

下表演示了启用 BlockNonAdminUserInstall、禁用 AllowAllTrustedApps 和启用 AllowDevelopmentWithoutDevLicense 策略时会发生的情况

应用安装 结果
Microsoft Store 签名包(双击) 封锁
受信任的非 Microsoft Store 包(双击) 封锁
存储签名包(PowerShell 标准) 封锁
受信任非 Microsoft Store 包(PowerShell 标准) 封锁
Microsoft Store 签名包(PowerShell 提升) 已安装
受信任非 Microsoft Store 包(PowerShell 提升) 已安装

下表演示了启用 BlockNonAdminUserInstall、禁用 AllowAllTrustedApps 和禁用 AllowDevelopmentWithoutDevLicense 策略时发生的情况

应用安装 结果
Microsoft Store 签名包(双击) 封锁
受信任的非 Microsoft Store 包(双击) 封锁
存储签名包(PowerShell 标准) 封锁
受信任非 Microsoft Store 包(PowerShell 标准) 封锁
Microsoft Store 签名包(PowerShell 提升) 已安装
受信任非 Microsoft Store 包(PowerShell 提升) 封锁

下表演示了当 BlockNonAdminUserInstall 策略被禁用AllowAllTrustedApps 策略被启用AllowDevelopmentWithoutDevLicense 策略被启用 时会发生什么情况。

应用安装 结果
Microsoft Store 签名包(双击) 已安装
受信任的非 Microsoft Store 包(双击) 已安装
存储签名包(PowerShell 标准) 已安装
受信任非 Microsoft Store 包(PowerShell 标准) 已安装
Microsoft Store 签名包(PowerShell 提升) 已安装
受信任非 Microsoft Store 包(PowerShell 提升) 已安装

下表演示了当 BlockNonAdminUserInstall 策略被 禁用AllowAllTrustedApps启用,且 AllowDevelopmentWithoutDevLicense禁用 时会发生的情况。

应用安装 结果
Microsoft Store 签名包(双击) 已安装
受信任的非 Microsoft Store 包(双击) 已安装
存储签名包(PowerShell 标准) 已安装
受信任非 Microsoft Store 包(PowerShell 标准) 已安装
Microsoft Store 签名包(PowerShell 提升) 已安装
受信任非 Microsoft Store 包(PowerShell 提升) 已安装

下表演示了禁用 BlockNonAdminUserInstall、禁用 AllowAllTrustedApps 和启用 AllowDevelopmentWithoutDevLicense 策略时会发生的情况

应用安装 结果
Microsoft Store 签名包(双击) 已安装
受信任的非 Microsoft Store 包(双击) 已安装
存储签名包(PowerShell 标准) 已安装
受信任非 Microsoft Store 包(PowerShell 标准) 已安装
Microsoft Store 签名包(PowerShell 提升) 已安装
受信任非 Microsoft Store 包(PowerShell 提升) 已安装

下表演示了当 BlockNonAdminUserInstall 策略 已禁用AllowAllTrustedApps已禁用AllowDevelopmentWithoutDevLicense已禁用 时会发生什么。

应用安装 结果
Microsoft Store 签名包(双击) 已安装
受信任的非 Microsoft Store 包(双击) 封锁
存储签名包(PowerShell 标准) 已安装
受信任非 Microsoft Store 包(PowerShell 标准) 封锁
Microsoft Store 签名包(PowerShell 提升) 已安装
受信任非 Microsoft Store 包(PowerShell 提升) 封锁