Zenn
✔️

Intuneポータルサイトアプリを使ってWindows Updateを制限している環境でMicrosoft Storeアプリを利用する

2024/02/03に公開
Microsoft 365
Intune
#
wsus
#
mecm
tech

はじめに

Windows Server Update Services(WSUS)やMicrosoft Configuration Manager(MCM)を利用している環境ではインターネット経由でWindows Updateを禁止していると思います。

そんな環境でMicrosoft Storeのアプリ(以下MS Storeアプリ)をインストールしようとすると既存のGPOやレジストリが邪魔をしてきたので忘備録でまとめます。

既存環境

以下の環境を想定しています。

  • MCMでクライアントのWindows Updateを制御している
  • GPOでWindows Updateをインターネットから取得しないようにしている
  • GPOでMS Storeアプリを禁止している

要件

以下の要件を満たすように設定を変更します。

  • インターネット経由でのWindows Updateは禁止する
  • Microsoft Store(内蔵されてるやつ)の利用を禁止するが、Intuneポータルサイトアプリ経由で管理者が指定したMS Storeアプリをインストールできるようにする
  • IntuneでMS Storeアプリを割り当てる ※レガシではないです
    • MS Storeアプリを割り当てるとIntune management extension(Intune管理拡張機能)もインストールされるので、別途PSスクリプトなどの割り当ては不要です。(公開情報)

今回は諸事情でIntuneポータルサイトアプリはMCMで配布しましたが、次節の作業をすることでMicrosoft StoreのIntuneポータルサイトアプリを配布することができると思います(未検証)。

既存設定の変更

Microsoft Storeポリシーの変更

IntuneポータルサイトアプリでMS Storeアプリをインストールする時に影響するポリシーは以下の公開情報にまとめられています。
https://learn.microsoft.com/ja-jp/mem/intune/apps/store-apps-microsoft#common-store-policy-settings-and-their-impact-on-microsoft-store-apps

MS StoreアプリをGPOで禁止している組織は、コンピューターの構成 > 管理用テンプレート > Windowsコンポーネント > ストアのポリシーをすべて有効にしていると思います。

しかし、MS Storeアプリを利用するには [更新プログラムの自動ダウンロードとインストールを無効にする]を未構成 にする必要があります。
※[Microsoft Storeアプリケーションをオフにする]を有効にすることで、ユーザーはMicrosoft Storeを起動できませんがIntuneポータルサイトアプリ経由でインストールしたMS Storeアプリを起動できます。

組み込みの Windows アプリを含む Microsoft Store からの UWP アプリの自動更新を許可し、ユーザーが Microsoft Store または winget.exeからアプリをインストールできないようにする場合は、次のようにします。
[ 更新プログラムの自動ダウンロードとインストールを無効 にする] または [未構成] に設定 し、AND
[ストア アプリケーションを無効にする] を [有効] または [未構成] に設定します。
公開情報

Windows Updateポリシーの変更

Windows Updateに関するGPOも変更する必要があります。
MS StoreアプリはWindows Updateの仕組みも利用しているようす。

[コンピューターの構成] > [管理用テンプレート] > [Windowsコンポーネント] > [Windows Update] [インターネット上の Windows Update に接続しない]を未構成 に変更し 、[Windows Update のすべての機能へのアクセスを削除する]を有効 することで、インターネット経由でのWindows Updateを禁止しつつ、MS StoreアプリがWindows Updateの機能を利用することができます。


上記のうち [インターネット上の Windows Update に接続しない] ポリシーはインターネットから更新プログラムを取得することを禁止しますが、Microsoft ストア アプリの更新もブロックされます。
そのため、インターネットから更新プログラムを取得することは禁止したいが、ストア アプリの更新は行いたい場合、[Windows Update のすべての機能へのアクセスをオフにする] ポリシーを有効にしてください。Japan Microsoft Configuration Manager Support Team Blog

これでいけるかなと思いましたが、まだインストールできない。。。と思って調べると以下のレジストリが邪魔をしてたので削除します。(0=無効にしてもインストールできませんでした)

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations

このレジストリはMCMを利用していると勝手に?追加されてしまうようです。
https://techcommunity.microsoft.com/t5/system-center/sccm-applies-donotconnecttowindowsupdateinternetlocations/m-p/3593302

これでMS Storeアプリをインストールすることができました。
Intuneの管理画面で表示されたエラーコード(0x8024500C)がWindows Updateに関するものだったので今回はトラブルシューティングを行いやすかったです。

おわりに

Microsoft Store for Businessに触ることなく廃止が決定していました。
利用中の組織の方はIntuneポータルサイトアプリへの移行をお早めに!

Discussion