2016/04/20

続報:Windows 10 4 月の累積更新 KB3147458 で gpedit.msc のエラー (とそれに隠れて別のバグも)

6/20 追記) この記事で説明している WindowsStore.admx の問題は、2016 年 5 月の累積的な更新 KB3156421 で修正されました (もしかしたら 6 月の累積的な更新 KB3163018) 。具体的には、新しい WindowsStore.adml が提供され、エラーを発しなくなりました。ここに書いてある手順で古いWindowsStore.admx にした人は、新しい WindowsStore.admx に戻してください。5 月の累積的更新は .adml のほうだけの更新なので、WindowsStore.admxは自分で戻す必要があります。

また、修正されたことで新しいポリシー「コンピューターの構成|ユーザーの構成\Windows コンポーネント\ストア\Windows ストア アプリ内にプライベート ストアのみを表示する」が利用可能になります。プライベート ストアとは、Windows Store for Business で利用可能になる企業向けのプライベート ストアのこと(→ https://www.microsoft.com/ja-jp/business-store/)。ただし、このポリシーを構成しても、それらしい動きにはなりませんでした。

Windows 10 4 月の累積更新 KB3147458 で gpedit.msc のエラー」の続報です。

累積的な更新プログラム KB3147458 をインストールした後に Gpedit.msc
を起動すると...

左の WindowsStore.admx のエラーが出るようになります。また、このエラーが影響して、「コンピューターの構成およびユーザーの構成\管理用テンプレート\Windows コンポーネント\ストア」のポリシーが編集できなります。



左が問題が起きる前。右が 2016 年 4 月の累積的な更新のあと。お店(ストア)が消えています。
WindowsStore.admx と WindowsStore.adml を問題が起きる前後で比較してみると、RequirePrivatesStoreOnly_1 と RequirePrivatesStoreOnly_2 が追加されたのに、WindowsStore.adml は変更になっていない (=対応する言語設定が存在しない) のが不具合の原因のようです。

累積的な更新プログラム KB3147458 をアン インストールすれば元に戻りますが、他の重要なセキュリティ更新とかありますし、累積的な更新プログラム KB3147458はそのままで、古い WindowsStore.admx に戻してあげることにしました。

古い WindowsStore.admx が無いという場合は:
Administrative Templates (.admx) for Windows 10 - 日本語
[URL] https://www.microsoft.com/ja-JP/download/details.aspx?id=48257  


戻してあげるとお店 (ストア) は復活します。PolicyDefinitions フォルダーへのコピーには、ROBOCOPY (/B オプション付き) がお勧め。COPY コマンドやエクスプローラー操作のときのように、アクセス許可の文句を言われません。

[ストア]のポリシーは復活しますが、[ストア アプリケーションをオフにする]ポリシーを試すと、効きませんでした。 問題のない PC もあるので、こちらは KB3147458 とは別の問題かもしれません。ポリシーが効かない原因は、Windows 10 Pro だからでした。→ Can't disable Windows Store in Windows 10 Pro through Group Policy
[URL]
https://support.microsoft.com/en-us/kb/3135657


本来であれば、こうなってくれるはず。Windows 10 Enterprise および Education ならこうなります。


[ストア アプリケーションをオフにする]ポリシーでストアをブロックできない Windows 10 Pro の場合は、[Disable all apps from Windows Store]ポリシーで代用できます。でも...

Disable all apps from Windows Store の有効/無効の意味が逆じゃない?

[Disable all apps from Windows Store ]ポリシーは、有効と無効の挙動が逆になっているような気がします。こちらは、KB3147458 とは無関係。Windows 10 バージョン 1511 からの問題です (1507 には WindowsStore.admx は無かった?)

ストア アプリ (ビルトインおよびダウンロードしたものの両方) を無効にするには、[Disable all apps from Windows Store:有効]ではだめで、[Disable all apps from Windows Store:無効]、つまり“Windows ストアのすべてのアプリを無効にする”を“無効”にする必要があります。

これで、アプリを起動しようとすると、「このアプリは、システム管理者によってブロックされています」と表示されます。また、このポリシーでストア アプリは通知なしで起動しなくなります。そして、電卓も使えなくなります!



[ストア アプリケーションをオフにする]ポリシーと比較すると、ポリシーの適用で設定されるレジストリはこんな感じ。

ストア アプリケーションをオフにする
有効 → HKLM\SOFTWARE\Policies\Microsoft\WindowsStore\RemoveWindowsStore 1
無効 → HKLM\SOFTWARE\Policies\Microsoft\WindowsStore\RemoveWindowsStore 0
Disable all apps from Windows Store
有効 → HKLM\SOFTWARE\Policies\Microsoft\WindowsStore\DisableStoreApps 0
無効 → HKLM\SOFTWARE\Policies\Microsoft\WindowsStore\DisableStoreApps 1

やれやれ...

追記)
[コンピューターの構成(またはユーザーの構成)\ 管理用テンプレート\システム\インターネット通信の管理\インターネット通信の設定]に[ストアへのアクセスをオフにする] (ICM.admx のポリシー) っていうポリシーもあります。

こちらはファイルの関連付けが無いときに[ストアでアプリを探す]オプションを表示するかしないかの設定です。ストアの起動をブロックするものではありません。





さらに追記)
管理用テンプレート (.admx) がエラーになっているコンピューターでは、GPRESULT /H report.html でポリシーの適用状況を調査しようとしても、正常なレポートを得られませんのでご注意あれ。

↓の左の画面はエラーなし、右の画面はエラーありの場合のレポート。ポリシー設定はどちらも同じですが、右の画面はポリシー設定が見えません。管理用テンプレートのエラーは表示だけの問題、あるいはその PC でポリシーを編集できないという問題で、グループ ポリシーの適用には影響しませんが、こんな副作用もあります。

5 件のコメント:

山市 良 さんのコメント...

関連:
TechNet forum: windows10Pro のグループポリシーでストアの制限が有効になりません。

山市 良 さんのコメント...

Windows 10、Windows as a Service なんて言ってないで、いったん止まって、仕様固めたほうがいいんでは? 混在環境だと大変なことになっちゃうと思う。

Ping さんのコメント...

こちらのブログ大変ありがとうございます。あげていただいた 「ストア アプリケーションをオフにする」 ポリシーが Windows 10 Professional 版で無効になるというのは、意図的な動作変更であったが、現在マイクロソフト側もこの仕様変更の必要性についての疑問が上がり、再検討中です。

匿名 さんのコメント...

[ストア アプリケーションをオフにする]が効かなくなる件は
Windows 10 Pro version 1511からの仕様変更とのこと
急な仕様変更に現場で大慌てです。

↑のPingさんのコメントにありますが
> 現在マイクロソフト側もこの仕様変更の必要性についての疑問が上がり、再検討中です。
というのは確かな情報なのでしょうか?
速やかな修正を期待したいものです。

匿名 さんのコメント...

[Disable all apps from Windows Store]だとすべてのモダンアプリ(ストアアプリ)が実行禁止になるため
電卓やフォトのような標準的なアプリまで実行できなくなりますよね。

Windows Store だけを禁止したい
代替案としてソフトフェアの制限のポリシーを使う方法が【参考】サイトに掲載されてました。

[コンピュータの構成] または [ユーザの構成]
 [ポリシー]
  [Windows の設定]
   [セキュリティの設定]
    [ソフトフェアの制限のポリシー]
     [追加の規則]
      (パスの規則)
       パス:%ProgramFiles%\WindowsApps\Microsoft.WindowsStore*
       セキュリティレベル:許可しない

【参考】
SOLVED: Video: How to Disable the Store in Windows 10 Pro Using Group Policy GPO - Up & Running Technologies Calgary
http://www.urtech.ca/2016/05/solved-video-how-to-disable-the-store-in-windows-10-pro-using-group-policy-gpo/