策略 CSP - ApplicationManagement

AllowAllTrustedApps

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApps

使用此策略设置,可以管理受信任的业务线 (LOB) 或开发人员签名的打包Microsoft应用商店应用的安装。

  • 如果启用此策略设置,则可以安装任何 LOB 或开发人员签名的打包Microsoft应用商店应用 (,这些应用必须使用可由本地计算机) 成功验证的证书链进行签名。

  • 如果禁用或未配置此策略设置,则无法安装 LOB 或开发人员签名的打包Microsoft应用商店应用。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 65535

允许的值:

描述
0 显式拒绝。
1 显式允许解锁。
65535 (默认) 未配置。

组策略映射:

名称
名称 AppxDeploymentAllowAllTrustedApps
友好名称 允许安装所有受信任的应用
位置 “计算机配置”
路径 Windows 组件 > 应用包部署
注册表项名称 Software\Policies\Microsoft\Windows\Appx
注册表值名称 AllowAllTrustedApps
ADMX 文件名 AppxPackageManager.admx

AllowAppStoreAutoUpdate

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAppStoreAutoUpdate

指定是否允许自动更新 Microsoft Store 应用。 最受限制的值为 0。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 2

允许的值:

描述
0 不允许。
1 允许。
2 (默认) 未配置。

组策略映射:

名称
名称 DisableAutoInstall
友好名称 关闭更新的自动下载和安装
位置 “计算机配置”
路径 Windows 组件 > 存储
注册表项名称 Software\Policies\Microsoft\WindowsStore
注册表值名称 自动下载
ADMX 文件名 WindowsStore.admx

AllowAutomaticAppArchiving

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAutomaticAppArchiving

此策略设置控制系统是否可以存档不常使用的应用。

  • 如果启用此策略设置,系统将定期检查,并存档不经常使用的应用。

  • 如果禁用此策略设置,则系统不会存档任何应用。

  • 如果未 (默认) 配置此策略设置,则系统将遵循默认行为,即定期检查和存档不常使用的应用,并且用户将能够自行配置此设置。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 65535

允许的值:

描述
0 显式拒绝。
1 显式启用。
65535 (默认) 未配置。 用户的选择。

组策略映射:

名称
名称 AllowAutomaticAppArchiving
友好名称 存档不常用的应用
位置 “计算机配置”
路径 Windows 组件 > 应用包部署
注册表项名称 Software\Policies\Microsoft\Windows\Appx
注册表值名称 AllowAutomaticAppArchiving
ADMX 文件名 AppxPackageManager.admx

AllowDeveloperUnlock

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowDeveloperUnlock

允许或拒绝开发 Microsoft Store 应用程序,并直接从 IDE 安装它们。

  • 如果启用此设置并启用“允许所有受信任的应用安装”组策略,则可以开发Microsoft应用商店应用,并直接从 IDE 进行安装。

  • 如果禁用或未配置此设置,则无法开发Microsoft应用商店应用或直接从 IDE 安装它们。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 65535

允许的值:

描述
0 显式拒绝。
1 显式允许解锁。
65535 (默认) 未配置。

组策略映射:

名称
名称 AllowDevelopmentWithoutDevLicense
友好名称 允许开发打包Microsoft应用商店应用,并从集成开发环境 (IDE)
位置 “计算机配置”
路径 Windows 组件 > 应用包部署
注册表项名称 Software\Policies\Microsoft\Windows\Appx
注册表值名称 AllowDevelopmentWithoutDevLicense
ADMX 文件名 AppxPackageManager.admx

AllowGameDVR

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowGameDVR

Windows 游戏录制和广播。

此设置启用或禁用 Windows 游戏录制和广播功能。 如果禁用此设置,将不允许 Windows 游戏录制。

如果启用或未配置此设置,将允许录制和广播 (流式处理) 。

注意

 仅在桌面Windows 10中强制实施该策略。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

组策略映射:

名称
名称 AllowGameDVR
友好名称 启用或禁用 Windows 游戏录制和广播
位置 “计算机配置”
路径 Windows 组件 > Windows 游戏录制和广播
注册表项名称 Software\Policies\Microsoft\Windows\GameDVR
注册表值名称 AllowGameDVR
ADMX 文件名 GameDVR.admx

AllowSharedUserAppData

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowSharedUserAppData

管理 Windows 应用在已安装应用的用户之间共享数据的能力。

  • 如果启用此策略,Windows 应用可以与该应用的其他实例共享应用数据。 数据通过 SharedLocal 文件夹共享。 此文件夹可通过 Windows.Storage API 获取。

  • 如果禁用此策略,Windows 应用将无法与该应用的其他实例共享应用数据。 如果以前启用了此策略,则以前共享的任何应用数据都将保留在 SharedLocal 文件夹中。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 阻止/不允许,但Microsoft Edge 将书籍文件下载到每个用户的每个用户文件夹。
1 允许。 Microsoft Edge 将书籍文件下载到共享文件夹。 为使此策略正常工作,还必须启用“允许 Windows 应用在用户之间共享应用程序数据”组策略。 此外,用户必须使用学校或工作帐户登录。

组策略映射:

名称
名称 AllowSharedLocalAppData
友好名称 允许 Windows 应用在用户之间共享应用程序数据
位置 “计算机配置”
路径 Windows 组件 > 应用包部署
注册表项名称 Software\Policies\Microsoft\Windows\CurrentVersion\AppModel\StateManager
注册表值名称 AllowSharedLocalAppData
ADMX 文件名 AppxPackageManager.admx

AllowStore

注意

此策略已弃用,可能会在将来的版本中删除。

范围 版本 适用的操作系统
✅ 设备
❌ 用户
不适用 ✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowStore

此策略已弃用。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 禁止。
1 (默认) 允许。

ApplicationRestrictions

注意

此策略已弃用,可能会在将来的版本中删除。

范围 版本 适用的操作系统
✅ 设备
❌ 用户
不适用 ✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/ApplicationRestrictions

此策略已弃用。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

BlockNonAdminUserInstall

范围 版本 适用的操作系统
✅ 设备
❌ 用户
❌ 专业版
✅ 企业版
✅ 教育版
❌ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/BlockNonAdminUserInstall

管理非管理员用户安装 Windows 应用包的能力。

  • 如果启用此策略,非管理员将无法启动 Windows 应用包的安装。 希望安装应用的管理员需要从管理员上下文(例如管理员 PowerShell 窗口)执行此操作。 如果其他策略允许,所有用户仍可通过 Microsoft Store 安装 Windows 应用包。

  • 如果禁用或未配置此策略,所有用户都可以启动 Windows 应用包的安装。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。 所有用户都将能够启动 Windows 应用包安装。
1 已启用。 非管理员用户将无法启动 Windows 应用包的安装。

组策略映射:

名称
名称 BlockNonAdminUserInstall
友好名称 阻止非管理员用户安装打包的 Windows 应用
位置 “计算机配置”
路径 Windows 组件 > 应用包部署
注册表项名称 Software\Policies\Microsoft\Windows\Appx
注册表值名称 BlockNonAdminUserInstall
ADMX 文件名 AppxPackageManager.admx

DisableStoreOriginatedApps

范围 版本 适用的操作系统
✅ 设备
❌ 用户
❌ 专业版
✅ 企业版
✅ 教育版
❌ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/DisableStoreOriginatedApps

禁用会关闭预安装或已下载的 Microsoft Store 中所有应用的启动。 应用不会更新。 你的应用商店也将处于禁用状态。 “启用”将重新打开所有功能。 此设置仅适用于 Windows 的企业版和教育版。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 启用应用启动。
1 禁用应用启动。

组策略映射:

名称
名称 DisableStoreApps
友好名称 禁用Microsoft应用商店中的所有应用
位置 “计算机配置”
路径 Windows 组件 > 存储
注册表项名称 Software\Policies\Microsoft\WindowsStore
注册表值名称 DisableStoreApps
ADMX 文件名 WindowsStore.admx

LaunchAppAfterLogOn

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/LaunchAppAfterLogOn

Windows 应用用分号分隔的包系列名称的列表。 列出的 Windows 应用将在登录后启动。

此策略允许 IT 管理员指定用户登录到设备后可运行的应用程序的列表。

注意

此策略仅适用于新式应用。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: ;)

若要使此策略生效,Windows 应用需要在清单中声明它们将使用启动任务。

示例

<desktop:Extension Category="windows.startupTask">
   <desktop:StartupTask TaskId="CoffeeStartupTask" Enabled="true" DisplayName="ms-resource:Description" />
</desktop:Extension>

MSIAllowUserControlOverInstall

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/MSIAllowUserControlOverInstall

此策略设置允许用户更改通常仅供系统管理员使用的安装选项。

  • 如果启用此策略设置,则将绕过 Windows Installer 的某些安全功能。 它允许完成因违反安全而暂停的安装。

  • 如果禁用或未配置此策略设置,Windows Installer 的安全功能可防止用户更改通常为系统管理员保留的安装选项,例如指定文件安装到的目录。

如果 Windows Installer 发现某安装包允许用户更改受保护的选项,它将停止安装并显示一条消息。 仅当安装程序在有特权的安全上下文中运行时,这些安全功能才会运行,在这种情况下,安装程序可以访问拒绝用户访问的目录。

此策略设置适用于限制较少的环境。 它可用于避免安装程序中阻止安装软件的错误。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
1 已启用。

组策略映射:

名称
名称 EnableUserControl
友好名称 允许用户控制安装
位置 “计算机配置”
路径 Windows 组件 > Windows Installer
注册表项名称 Software\Policies\Microsoft\Windows\Installer
注册表值名称 EnableUserControl
ADMX 文件名 MSI.admx

MSIAlwaysInstallWithElevatedPrivileges

范围 版本 适用的操作系统
✅ 设备
✅ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./User/Vendor/MSFT/Policy/Config/ApplicationManagement/MSIAlwaysInstallWithElevatedPrivileges
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/MSIAlwaysInstallWithElevatedPrivileges

此策略设置指示 Windows Installer 在系统上安装任何程序时使用提升的权限。

  • 如果启用此策略设置,则权限将扩展到所有程序。 这些特权通常是为分配给用户的程序(在桌面上提供)、分配给计算机的程序(自动安装),或在“控制面板”的“添加或删除程序”中提供的程序保留的。 通过此配置文件设置,用户可以安装需要访问用户可能无权查看或更改的目录的程序,包括高度受限制的计算机上的目录。

  • 如果禁用或未配置此策略设置,系统会在安装系统管理员未分发或提供的程序时应用当前用户的权限。

注意

此策略设置同时显示在“计算机配置”和“用户配置”文件夹中。 若要使此策略设置生效,必须同时在两个文件夹中启用它。

注意

熟练用户可以利用此策略设置授予的权限来更改其权限,并获得对受限文件和文件夹的永久访问权限。 请注意,此策略设置的用户配置版本不一定是安全的。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
1 已启用。

组策略映射:

名称
名称 AlwaysInstallElevated
友好名称 始终使用提升的权限进行安装
位置 计算机和用户配置
路径 Windows 组件 > Windows Installer
注册表项名称 Software\Policies\Microsoft\Windows\Installer
注册表值名称 AlwaysInstallElevated
ADMX 文件名 MSI.admx

RequirePrivateStoreOnly

范围 版本 适用的操作系统
✅ 设备
✅ 用户
❌ 专业版
✅ 企业版
✅ 教育版
❌ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./User/Vendor/MSFT/Policy/Config/ApplicationManagement/RequirePrivateStoreOnly
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/RequirePrivateStoreOnly

拒绝访问 Microsoft Store 中的零售目录,但显示专用商店。

  • 如果启用此设置,用户将无法在 Microsoft Store 中查看零售目录,但他们将能够查看专用应用商店中的应用。

  • 如果禁用或未配置此设置,用户可以访问 Microsoft Store 中的零售目录。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 允许公共和专用存储。
1 仅启用专用存储。

组策略映射:

名称
名称 RequirePrivateStoreOnly
友好名称 仅显示Microsoft应用商店中的专用存储
位置 计算机和用户配置
路径 Windows 组件 > 存储
注册表项名称 Software\Policies\Microsoft\WindowsStore
注册表值名称 RequirePrivateStoreOnly
ADMX 文件名 WindowsStore.admx

RestrictAppDataToSystemVolume

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/RestrictAppDataToSystemVolume

在移动应用或安装到其他位置时,防止用户的应用数据移动到另一个位置。

  • 如果启用此设置,则所有用户的应用数据都将保留在系统卷上,而不管应用安装在何处。

  • 如果禁用或未配置此设置,则当应用移动到其他卷时,用户的应用数据也会移动到此卷。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 不受限制。
1 限制。

组策略映射:

名称
名称 RestrictAppDataToSystemVolume
友好名称 防止用户的应用数据存储在非系统卷上
位置 “计算机配置”
路径 Windows 组件 > 应用包部署
注册表项名称 Software\Policies\Microsoft\Windows\Appx
注册表值名称 RestrictAppDataToSystemVolume
ADMX 文件名 AppxPackageManager.admx

RestrictAppToSystemVolume

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/RestrictAppToSystemVolume

使用此策略设置,可以管理在辅助分区、USB 驱动器或 SD 卡等其他卷上安装 Windows 应用。

  • 如果启用此设置,则无法在不是系统卷的卷上移动或安装 Windows 应用。

  • 如果禁用或未配置此设置,则可以在其他卷上移动或安装 Windows 应用。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 不受限制。
1 限制。

组策略映射:

名称
名称 DisableDeploymentToNonSystemVolumes
友好名称 禁止在非系统卷上安装 Windows 应用
位置 “计算机配置”
路径 Windows 组件 > 应用包部署
注册表项名称 Software\Policies\Microsoft\Windows\Appx
注册表值名称 RestrictAppToSystemVolume
ADMX 文件名 AppxPackageManager.admx

ScheduleForceRestartForUpdateFailures

范围 版本 适用的操作系统
✅ 设备
❌ 用户
❌ 专业版
✅ 企业版
✅ 教育版
❌ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/ScheduleForceRestartForUpdateFailures

为确保应用处于最新状态,此策略允许管理员设置一个重复的或一个时间日期,来重启因应用程序正在使用而导致更新失败的应用,进而应用更新。 值类型为字符串。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

允许的值:


展开以查看架构 XML
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema">
  <xs:simpleType name="recurrence" final="restriction">
    <xs:restriction base="xs:string">
      <xs:enumeration value="None" />
      <xs:enumeration value="Daily" />
      <xs:enumeration value="Weekly" />
      <xs:enumeration value="Monthly" />
    </xs:restriction>
  </xs:simpleType>
  <xs:simpleType name="daysOfWeek" final="restriction">
    <xs:restriction base="xs:unsignedByte">
      <xs:minInclusive value="1" />
      <xs:maxInclusive value="127" />
    </xs:restriction>
  </xs:simpleType>
  <xs:simpleType name="daysOfMonth" final="restriction">
    <xs:restriction base="xs:unsignedInt">
      <xs:minInclusive value="1" />
    </xs:restriction>
  </xs:simpleType>
  <xs:element name="ForceRestart">
    <xs:complexType>
      <xs:attribute name="StartDateTime" type="xs:dateTime" use="required" />
      <xs:attribute name="Recurrence" type="recurrence" use="required" />
      <xs:attribute name="RunIfTaskIsMissed" type="xs:boolean" use="required" />
      <xs:attribute name="DaysOfWeek" type="daysOfWeek" />
      <xs:attribute name="DaysOfMonth" type="daysOfMonth" />
    </xs:complexType>
  </xs:element>
</xs:schema>

示例

<SyncML xmlns="SYNCML:SYNCML1.1">
  <SyncBody>
    <Add>
      <CmdID>2</CmdID>
      <Item>
        <Target>
          <LocURI> ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/ScheduleForceRestartForUpdateFailures
          </LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">xml</Format>
        </Meta>
        <Data>
          <ForceRestart StartDateTime="2018-03-28T22:21:52Z"
                        Recurrence="[None/Daily/Weekly/Monthly]"
                        DayOfWeek=”1”
                        DayOfMonth=”12”
                        RunIfTaskIsMissed=”1”/>
        </Data>
      </Item>
    </Add>
  </SyncBody>
</SycnML>

注意

重复检查以区分大小写的方式完成。 例如,该值需要为“Daily”而不是“daily”。 错误的情况将导致 SmartRetry 无法执行。

策略配置服务提供程序