Mit dem Windows Store für Unternehmen bietet Microsoft die Möglichkeit für Organisationen den App-Store in Windows 10 besser zu nutzen. Es lassen sich Anwendungen zuweisen und Lizenzen zentral verwalten. Auch Anwender mit Windows 10 for Mobile profitieren davon.
Bereits mit Windows 8 und Windows 8.1 hat Microsoft den Windows Store für Apps in Windows integriert. In Windows 10 hat Microsoft den Store noch weiter ausgebaut und mit dem Store für Windows Phone zusammengelegt. Das Smartphone-Betriebssystem von Microsoft wurde in diesem Zusammenhang zu Windows 10 for Mobile umbenannt und baut in der neuen Version auf den gleichen Kernel wie die Desktop-Versionen von Windows 10 auf.
Mit Windows 10 bietet Microsoft darüber hinaus den Windows Store für Unternehmen (Windows Store for Busines), mit dem Organisationen Volumenlizenzen von Apps erwerben oder eigene Apps veröffentlichen können. Der Store lässt sich aber nur ab Windows 10 Version 1511 nutzen, ältere Versionen können sich nicht anbinden. Administratoren können über Gruppenrichtlinien die Verwendung des Stores untersagen oder über den Windows Store für Unternehmen festlegen, welche Firmen-Apps in der Store-App zur Verfügung stehen. Der Windows Store für Unternehmen erlaubt auch das Zuweisen von Apps und eine zentrale Verwaltung der Firmenlizenzen. Unabhängig davon, wie Unternehmen den Windows Store nutzen wollen, sollten sich Administratoren Gedanken darüber machen, ob und wie auf den Rechnern mit Windows 10 der Store nutzbar sein soll. Wir geben Hinweise, welche Möglichkeiten es gibt.
Windows Store mit Gruppenrichtlinien steuern
In Windows 10 ist der Store bereits nach der Installation automatisch verfügbar. Anwender im Unternehmen können im Store Apps herunterladen und installieren. Für Unternehmensrechner ist das durchaus relevant, da durch die Installation von Apps auf den PCs die Arbeitsstationen von Anwendern nahezu unkontrollierbar sind und für die Installation von Apps keinerlei Administratorrechte notwendig sind. Da Apps aus dem Windows Store auch die Zuweisung der Standard-Apps ändern können, kann es schnell zu Problemen auf Endgeräten kommen, welche die IT-Abteilung wiederum belasten. Es besteht allerdings die Möglichkeit per Gruppenrichtlinie die Store-App auf Windows 10-Rechnern zu deaktivieren. Allerdings ist dazu der Einsatz von Windows 10 Enterprise notwendig. Windows 10 Professional kann zwar auch mit Gruppenrichtlinien umgehen, allerdings lässt sich die Store-App in dieser Edition nicht deaktivieren.
Es muss generell beachtet werden, dass Windows 10 Professional wesentlich weniger Gruppenrichtlinien-Einstellungen unterstützt, als Windows 10 Enterprise. Dazu zählen neben der Deaktivierung des Stores auch die Möglichkeiten zur Anpassung des Startmenüs und weitere Einstellungen. Microsoft hat in der TechNet eine Liste veröffentlicht, welche GPO-Einstellungen nur mit Windows 10 Enterprise und Windows 10 Education (entspricht Windows 10 Enterprise) möglich sind.
Die entsprechenden Einstellungen des Stores zur Deaktivierung sind in den Gruppenrichtlinien über die folgenden Wege zu finden:
Computer Configuration >Administrative Templates >Windows Components > Store >Turn off the Store application
User Configuration > Administrative Templates > Windows Components > Store > Turn off the Store
Die Deaktivierung kann also auf Ebene eines Benutzers erfolgen und allen Rechnern, auf denen der Benutzer arbeitet, oder auf Ebene der PCs und aller Anwender, die mit dem PC arbeiten. Auf deutschen Rechnern sind die Einstellungen über folgenden Weg zu finden:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Store
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Store
Über die Einstellung „Alle Apps aus dem Store deaktivieren“ lässt sich für Windows-10-Rechner festlegen, dass alle vorinstallierten oder heruntergeladenen Store-Apps am Start gehindert werden. Die Apps werden außerdem nicht aktualisiert und der Store wird deaktiviert. Auch diese Option gilt nur für die Enterprise- und Education-Edition von Windows 10.
Microsoft Edge mit Richtlinien steuern
Der Nachfolger des Internet Explorers wurde in Windows 10 Anniversary Update weiter ausgebaut. Es ist jetzt zum Beispiel möglich, Erweiterungen zu installieren. Die Installation erfolgt auch hier über den Store. Das ist allerdings in Unternehmen nicht immer gewünscht. Microsoft Edge lässt sich über Gruppenrichtlinien steuern, genauso wie der Store. Zu finden sind die Einstellungsmöglichkeiten über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Microsoft Edge“. Hier können Administratoren zahlreiche Einstellungen vornehmen, um die Arbeit mit Microsoft Edge zu verbessern.
In den Gruppenrichtlinien-Einstellungen von Microsoft Edge lässt sich festlegen, dass die Anwender keine Erweiterungen im Browser installieren dürfen. Dazu wird die Richtlinieneinstellung „Erweiterungen zulassen“ angepasst. Wird die Option auf „Deaktivieren“ gesetzt, dürfen Anwender keine Erweiterungen installieren. Neben dieser Sicherheitseinstellungen stehen an dieser Stelle weitere Möglichkeiten zur Verfügung, welche weitgehend selbsterklärend sind.
Windows Store für Unternehmen produktiv im Unternehmen nutzen
Der Windows Store ist aber nicht nur ein lästiges Werkzeug, das Unternehmen unbedingt blockieren müssen, sondern er lässt sich auch dazu nutzen Produktiv-Anwendungen des Unternehmens auf den Rechnern der Anwender zur Verfügung zu stellen. Dazu bietet Microsoft auch den „Windows Store für Unternehmen“ (Windows Store for Business). Die Anbindung ist aber nur für Windows-10-Rechner möglich sowie für Smartphones und Tablets mit Windows 10 for Mobile.
Im Fokus dieses Stores stehen natürlich vor allem die Produktivitäts-Apps für Unternehmen. Der Store erlaubt Unternehmen eine zentrale Verwaltung der Windows-Apps und deren Lizenzen. Im Store lassen sich auch selbstentwickelte Apps veröffentlichen, die auf den Rechnern im Unternehmen verteilt werden können. Neben kostenpflichtigen Apps und Apps des Unternehmens stehen auch kostenlose Apps bereit, die Anwender bei entsprechender Berechtigung auf ihren Rechnern installieren dürfen. Generell gibt es im Store verschiedene Arten von Apps:
- Apps für die Universelle Windows-Plattform
- Universelle Windows-Apps für Telefon, Surface Hub, IOT-Geräte, HoloLens
In den Einstellungen der App ist jeweils zu sehen für welche Systeme diese eingesetzt werden kann. Die Apps sind allerdings nur für Windows 10 und Windows 10 for Mobile nutzbar, Windows 8/8.1 und Windows Phone 8/8.1-Geräte lassen sich an den Store nicht anbinden. Sobald Unternehmen an den Store angebunden sind, können Anwender die Apps installieren. Den Zugang zu Apps können die Anwender zum Beispiel über Links erhalten, die Administratoren oder Einkäufer mit entsprechenden Rechten per E-Mail versenden. Anwender erhalten den Link zur App in der E-Mail. Die Zuweisung erfolgt einfach und unkompliziert über den App-Store.
Natürlich lässt sich auch eine Store-App für den Zugriff nutzen sowie zusätzliche Verwaltungstools, in denen Apps zugewiesen werden können. In diesem Fall müssen sich die Anwender mit einem Konto aus Azure Active Directory oder Office 365 am Windows Store anmelden. Der Private Store für Unternehmens-Apps im Windows Store für Unternehmen erscheint dann in einem weiteren Menü oben rechts.
Verschiedene Lizenzmodelle nutzen
Im Windows Store für Unternehmen gibt es vor allem zwei verschiedene Lizenzmodelle: Online- und Offline-Lizenzen. Die Online-Lizenzierung entspricht im Großen und Ganzen der Lizenzierung des herkömmlichen Windows Stores und ist der Standard auch im Windows Store für Unternehmen. Um eine Online-lizenzierte-App zu nutzen, müssen Anwender über das Internet mit dem Store verbunden sein, um eine Lizenz für die App zu erwerben.
Die Offline-Lizenzierung ist eine spezielle Variante für den Windows Store für Unternehmen. Er erlaubt die Lizenzierung von Apps im lokalen Netzwerk, ohne dass die Rechner der Anwender mit dem Internet oder dem Store verbunden sind. Diese Technik hat Microsoft mit Windows 10 eingeführt. Als Bezahloption für Apps können Unternehmen vor allem Kreditkarten hinterlegen. Die Lizenzen hinterlegen Administratoren im lokalen Netzwerk, zur Installation der App ist in diesem Fall keine Anbindung an den Store notwendig.
Microsoft Azure und Windows Store verbinden
Die Steuerung des Stores erfolgt weitgehend über eine Weboberfläche, die Anmeldung über Microsoft Azure oder Office 365 for Business. Dazu müssen sich Administratoren mit einem Konto anmelden, das in Azure Active Directory positioniert ist, das ist auch in Office 365 für Business der Fall. Die Anwender müssen sich im Unternehmen ebenfalls in den meisten Fällen über Azure Active Directory anmelden, damit der Store vernünftig nutzbar ist, und Apps installierbar sind. Natürlich lassen sich lokale AD-Strukturen weiterhin parallel zu Azure Active Directory einsetzen. Der Clouddienst hat vor allem die Aufgabe Anmeldungen für Cloudlösungen wie den Unternehmens-App-Store durchzuführen.
Mit dem Store für Unternehmen haben Firmen auch die Möglichkeit Volumenkäufe für Apps durchzuführen. Die Lizenzen werden dazu im Konto des Unternehmens gespeichert. Zugewiesene Anwender dürfen die App installieren, und damit die Lizenzen produktiv nutzen. Das ermöglicht den Kauf von zahlreichen Apps auf einmal, und die dedizierte Zuweisung an einzelne Rechner mit Windows 10 oder Smartphones/Tablets mit Windows 10 for Mobile. Neben dem öffentlich zugänglichen Bereich des Windows Store für Unternehmen, können Administratoren und Entwickler in einem privaten Store-Bereich eigene Apps hochladen und zur Verfügung stellen. Hier lassen sich aber auch die Apps aus dem Windows Store für Unternehmen bereitstellen und Anwendern zuweisen.
Delegierung des Zugriffs und der Verwaltung
Administratoren können die Verwaltung und Nutzung des App-Stores delegieren. Die generelle Einrichtung wird zwar von Administratoren vorgenommen, die Verwaltung der Apps übernehmen aber zum Beispiel die Einkäufer. Diese haben zwar nicht das Recht auf die Konteneinstellungen zuzugreifen, können aber Apps erwerben und verteilen. Die Verwaltung dazu erfolgt über Gruppenmitgliedschaften in Azure Active Directory.
Die Verwaltung der Berechtigungen kann zum Beispiel in der Weboberfläche des Windows Store für Unternehmen im Bereich Permissions erfolgen. Die Weboberfläche bietet darüber hinaus im Bereich Manage\Inventory eine Inventarisierung der installierten Apps aus dem Store. Hier lassen sich die Apps auch in den Private Store des Unternehmens überführen, der wiederum in den Windows Store-Apps der Anwender auf den Windows 10-Rechnern als eigener Bereich erscheint.
Für jede App, die im Store zur Verfügung steht, lässt sich überprüfen welche Anwender im Unternehmen die App bereits nutzen. Außerdem können Administratoren die App zuweisen oder Lizenzen erneuern. Das Zuweisen erfolgt am einfachsten über eine E-Mail-Adresse aus Azure Active Directory oder auch Office 365.
In der Order History ist zu sehen, welche Apps die Anwender vom Store bereits heruntergeladen und installiert haben. Damit Administratoren und Anwender auf den Windows Store für Unternehmen zugreifen können, muss die Firewall im Unternehmen den Zugriff gestatten. Generell ist die Anbindung auch Proxyfähig. In diesem Fall müssen aber verschiedene Freigaben vorgenommen werden.
So stellen Administratoren und Einkäufer Apps zur Verfügung
Nach der Anmeldung am Windows Store für Unternehmen, können Administratoren oder Einkäufer die veröffentlichten Apps für das Unternehmen kaufen. Für jede App ist zu sehen, auf welchen Windows-Geräten diese generell funktioniert. Durch einen Klick auf „Get the app“ wird die App für das Unternehmen zur Verfügung gestellt.
Soll die App im Privaten Store des Unternehmens erscheinen, kann nach dem Erwerb über die Schaltfläche „Add to private store“ das Hinzufügen erfolgen. Der Vorgang dauert eine Zeit, Microsoft nennt als Zeitdauer etwa 12 Stunden. Danach erscheint die App im Private Store des Unternehmens und kann durch Anwender gefunden und installiert werden. Jede App im Inventar kann dem Private Store hinzugefügt werden.
Neben der Installation über Links, die per E-Mail verschickt werden, oder verschiedenen Verwaltungstools, können Anwender die Apps auch mit der Windows Store-App installieren. Über diese besteht der Zugriff zum Privaten Store des Unternehmens. Dazu muss aber eine Anmeldung an Azure Active Directory erfolgen. Organisationen mit MDM-basierter App-Verwaltung können über eine Richtlinie festlegen, dass nur der private Store genutzt werden darf. Sie verwenden dazu die Richtlinie „ApplicationManagement/RequirePrivateStoreOnly“.
Fazit
Der herkömmliche Windows Store ist in Unternehmen als Installationsquelle für Anwendungen nicht gerne gesehen. Mit dem Windows Store für Unternehmen stellt Microsoft aber ein effizientes Werkzeug zur Verfügung, mit dem Unternehmen den Anwendern Apps zur Verfügung stellen können, die diese für die Arbeit nutzen können.
Die Verwaltung lässt sich delegieren, und im Windows Store für Unternehmen sind lediglich Apps verfügbar, die produktiv genutzt werden können. Auch kostenlose Apps lassen sich problemlos hinzufügen. Die Verwaltung erfolgt vor allem in der Weboberfläche. Allerdings lässt sich der Store nicht als Ersatz für herkömmliche Windows-Anwendungen nutzen sowie deren Verwaltung. Es ist also kaum zu erwarten, dass Windows Store für Unternehmen Softwareverteilungstools wie System Center Configuration Manager ersetzt. Im besten Fall wird der Store als zusätzliches Mittel integriert, um einzelne Anwendungen oder Tools für die Benutzer im Netzwerk zur Verfügung zu stellen.