Esta va a ser mi primera publicación de mi site personal. Trata sobre el bloqueo de la Microsoft Store a través de Intune en Windows 11. A mí, personalmente, no me importa tener la aplicación de la tienda abierta, de hecho hay variedad de sandbox de cierta utilidad, pero en este caso el responsable de seguridad ( CISO ) de mi empresa, me encargo que indagara en este asunto para los endpoints. Veamos pues cómo podemos hacer esto!
He revisado varios blogs sobre este tema, como el de Andrew Taylor, titulado «Restringiendo Microsoft Store mediante Intune para Pro y Enterprise», que puedes encontrar aquí. Como se puede observar en los comentarios, los resultados varían dependiendo del entorno y la versión del sistema operativo. El último método que probé funcionó perfectamente: las aplicaciones de la tienda se instalaron sin problemas, las aplicaciones integradas se actualizaron correctamente y, además, la tienda se bloqueó exitosamente en el entorno del usuario.
Primero, identifiqué qué configuraciones de CSP (Política de Configuración de Dispositivos) disponibles podrían generar el resultado esperado. Probé las siguientes configuraciones, pero con ninguna logré un resultado deseado. Por lo tanto, decidí probar otra alternativa.
- AllowStore – más info aqui.
- AllowAppStoreAutoUpdate – más info aqui.
- RequirePrivateStoreOnly – más info aqui.
La política CSP completa se encuentra disponible en el siguiente enlace: Política CSP de administración de aplicaciones – Administración de clientes de Windows | Microsoft Learn
Procedimiento
Crea la siguiente política:
- Navega a https://intune.microsoft.com
- Ve a Devices -> Configuration profiles
- Haz clic en Create -> New policy
- Plataforma: Windows 10 and later -> Tipo de perfil: Settings catalog -> Clic Create
- Rellena un nombre común. Por ejemplo: Windows – Microsoft Store – Block
- Haz clic en Next -> Click Add Settings
- Navega a Administrative Templates\Windows Components\Store
- Selecciona Turn off the Store application (User) y configúralo en Enabled
- Scope tags son opcionales
- Asignación: Elige All Users o un grupo específico. * Yo recomendaría probar esto primero con un grupo pequeño de usuarios.
- Finalmente, Create la política.
Una vez que la política esté implementada en el dispositivo (usuario), la tienda estará bloqueada. Sencillo y directo.
Ten en cuenta que esta opción podría no estar disponible en todas las versiones del sistema operativo. Verifica que la política se haya implementado correctamente en los dispositivos a través de Intune y que la tienda esté bloqueada.