Come rimuovere le app Microsoft Store preinstallate via Group Policy
Introduzione
Qualche giorno fa abbiamo visto come rimuovere le app Microsoft Store preinstallate tramite Microsoft Intune, potete recuperare l’articolo alla pagina Come rimuovere le app Microsoft Store preinstallate con Microsoft Intune – Endpoint Ninja. In questo nuovo approfondimento vedremo invece come ottenere lo stesso risultato tramite Group Policy, così da coprire anche gli scenari in cui la gestione passa ancora da Active Directory e Criteri di gruppo.
La logica di base resta la stessa. Anche in questo caso, infatti, non stiamo parlando di una disinstallazione manuale eseguita app per app, ma di una funzionalità nativa di Windows che consente di rimuovere un set definito di app Microsoft Store preinstallate in modo supportato. Quello che cambia è il canale di gestione: se nel primo scenario la configurazione passava da Intune, qui vedremo come applicarla tramite Group Policy in ambienti on-premises o ibridi. . In questo articolo vedremo quindi come creare la policy, dove si trova l’impostazione nel Group Policy Management Editor, quali app possono essere gestite, cosa aspettarsi lato client e quali verifiche conviene fare per confermare che la configurazione sia stata applicata correttamente.
Edizioni supportate, requisiti e limiti
La rimozione delle app Microsoft Store preinstallate tramite policy è supportata solo su Windows 11, versione 25H2 o successive, e solo nelle edizioni Enterprise ed Education. Nel caso della gestione tramite Group Policy, i dispositivi devono essere domain-joined, così da poter ricevere correttamente la configurazione tramite GPO. La policy lavora a livello device, quindi va progettata nel contesto computer e non utente.
Per usare questa impostazione tramite Criteri di gruppo serve anche un altro prerequisito: i template amministrativi ADMX devono essere aggiornati a una versione di Windows 11 che includa il criterio. In un ambiente Active Directory questo significa dover aggiornare correttamente il Central Store con i file .admx e .adml più recenti, così che il setting sia visibile nel Group Policy Management Editor.
Anche in questo scenario, la configurazione non agisce su qualsiasi app installata nel sistema, ma solo su un elenco definito di app inbox supportate da Windows. Finché la policy resta attiva per una determinata app, Windows ne blocca anche la reinstallazione. Va inoltre considerato che la funzionalità non è supportata negli ambienti multi-session e che la rimozione di un’app comporta anche la cancellazione degli eventuali dati locali associati sul disco. Prima del rollout, quindi, conviene valutare bene l’impatto sui dispositivi e informare gli utenti se necessario.
C’è poi un ultimo aspetto da tenere presente durante i test. La policy non rimuove immediatamente le app nella sessione già aperta: l’applicazione avviene durante l’OOBE, al sign-in successivo a un aggiornamento della policy oppure al sign-in successivo a un upgrade del sistema operativo. Per i profili utente già esistenti, questo significa che l’app può restare visibile fino a quando l’utente non effettua un nuovo sign-out/sign-in. Per questo motivo, quando fate le verifiche, non bisogna aspettarsi un comportamento immediato subito dopo il collegamento o l’aggiornamento del GPO.
Quali app Microsoft Store si possono rimuovere
Anche nel caso della configurazione tramite Group Policy, non è possibile scegliere liberamente qualsiasi app installata nel sistema. La funzionalità supporta solo un elenco definito di app Microsoft Store preinstallate, gestite nativamente dalla policy RemoveDefaultMicrosoftStorePackages. Questo punto va tenuto presente fin dall’inizio, perché la feature è utile per i casi coperti da Windows, ma non nasce come soluzione generica per rimuovere qualsiasi applicazione presente sul dispositivo. L’elenco delle app supportate può inoltre essere aggiornato nelle release future
Le app attualmente gestibili sono riportate nella tabella seguente, insieme al relativo ID usato dalla policy:
Nome App | ID nel payload CSP/XML |
|---|---|
Calculator | WindowsCalculator |
Camera | WindowsCamera |
Clipchamp | Clipchamp |
Copilot | Copilot |
Feedback Hub | WindowsFeedbackHub |
Gaming App | GamingApp |
Media Player | MediaPlayer |
Microsoft 365 Copilot | MicrosoftOfficeHub |
Microsoft News | BingNews |
Microsoft Photos | Photos |
Microsoft Solitaire Collection | MicrosoftSolitaireCollection |
Microsoft Sticky Notes | MicrosoftStickyNotes |
Microsoft Teams | MSTeams |
Microsoft To Do | Todo |
Notepad | WindowsNotepad |
Outlook for Windows | OutlookForWindows |
Paint | Paint |
Quick Assist | QuickAssist |
Screen Sketch / Snipping Tool | ScreenSketch |
Sound Recorder | WindowsSoundRecorder |
Weather | BingWeather |
Windows Terminal | WindowsTerminal |
Xbox Gaming Overlay | XboxGamingOverlay |
Xbox Identity Provider | XboxIdentityProvider |
Xbox Speech To Text Overlay | XboxSpeechToTextOverlay |
Xbox TCUI | XboxTCUI |
Se l’app che volete rimuovere non rientra tra quelle previste dalla policy, dovrete necessariamente usare un altro approccio. Il riferimento da tenere monitorato nel tempo resta la pagina ufficiale Enabling policy-based in-box app removal, in particolare la sezione dedicata a RemoveDefaultMicrosoftStorePackages, dove Microsoft pubblica l’elenco aggiornato delle app supportate.
Come creare la policy via Group Policy Management
Per configurare questa impostazione tramite Group Policy, il primo passaggio è verificare che nel dominio siano disponibili i template amministrativi ADMX aggiornati alla versione di Windows 11 che include il criterio. Per questa funzionalità, oggi il riferimento è il set di template di Windows 11 25H2, perché è da questa release che la rimozione delle app Microsoft Store preinstallate viene resa disponibile anche lato Group Policy.
Installazione ADMX e ADML
Come prima cosa, scarichiamo dal Microsoft Download Center il pacchetto ufficiale Download Administrative Templates (.admx) for Windows 11 2025 Update (25H2) – V2.0. Il download è disponibile come file .msi e contiene i template amministrativi aggiornati necessari per rendere disponibile il nuovo criterio anche nel Group Policy Management Editor.
Una volta completato il download, eseguiamo il pacchetto MSI dalla cartella in cui è stato salvato oppure direttamente dal pannello dei download del browser.
All’avvio del wizard di installazione, selezioniamo Next per proseguire.
Nella schermata relativa alla licenza (EULA), selezioniamo la casella “I accept the terms in the License Agreement“ e proseguiamo con Next.
Nella schermata di setup, prendiamo nota del percorso in cui verranno estratti i file ADMX/ADML (oppure modifichiamolo tramite Browse, se necessario). Quindi selezioniamo nuovamente Next.
Avviamo l’installazione selezionando Install.
L’estrazione dei file richiede in genere pochi secondi. Attendiamo il completamento della procedura.
Al termine, selezioniamo Finish per chiudere la finestra.
Copia dei file ADMX e ADML nel Central Store
Nel prossimo step copieremo i file nel Central Store (SYSVOL) per renderli disponibili nella Group Policy Management Console. In un dominio Active Directory, quando esiste un Central Store, gli strumenti di Group Policy lo verificano automaticamente e utilizzano i file ADMX/ADML presenti lì (invece dei template locali), garantendo linearità tra tutte le postazioni amministrative e tra i Domain Controller.
Dopo aver installato il pacchetto MSI degli Administrative Templates, i file vengono estratti in una cartella PolicyDefinitions sul computer (tipicamente sotto C:\Program Files (x86)\Microsoft Group Policy\<versione>\PolicyDefinitions come visto in Figura 5). A questo punto l’operazione corretta è copiare i contenuti nel Central Store del dominio, che dovreste avere in \\vostro-dominio.com\SYSVOL\ vostro-dominio.com\policies\PolicyDefinitions. I file presenti nel Central Store vengono poi replicati su tutti i Domain Controller tramite SYSVOL.
Per evitare sorprese in produzione, qui conviene adottare un approccio conservativo. La prima cosa da fare è una copia di backup della cartella PolicyDefinitions già presente, così da avere una strada rapida per il rollback in caso di conflitti o problemi sui template. Se volete lavorare in modo ancora più ordinato, potete anche preparare il nuovo set di file in una cartella separata, ad esempio PolicyDefinitions-25H2, usarla come area di staging per le verifiche e solo dopo aggiornare il Central Store. Questa cartella, però, resta solo un contenitore operativo, perché il percorso letto da GPMC resta sempre PolicyDefinitions.
Infine, quando copiate i file, non dimenticate che servono sia i .admx sia i corrispondenti .adml nelle rispettive sottocartelle lingua, ad esempio it-IT o en-US. È uno degli errori più frequenti in questa fase, infatti copiare solo gli ADMX fa comparire criteri incompleti o descrizioni mancanti nell’editor delle GPO.
Se il vostro obiettivo fosse importare solo il minimo indispensabile per questa specifica impostazione, il file di riferimento è AppxPackageManager.admx, insieme al relativo file lingua AppxPackageManager.adml, perché è lì che si trova il criterio Remove Default Microsoft Store packages from the system. Operativamente, però, io eviterei aggiornamenti parziali del set di template amministrativi. Funzionano in alcuni casi, ma nel tempo rendono più difficile capire quali file sono stati aggiornati, con quale versione e per quale motivo. In un dominio gestito in modo ordinato è molto più sano aggiornare il pacchetto ADMX/ADML in modo consistente, mantenere traccia della versione caricata nel Central Store e lasciare una strada semplice anche a chi dovrà metterci mano in futuro.
A copia completata, aprendo la Group Policy Management Console dovreste vedere il nuovo criterio sotto Computer Configuration > Administrative Templates > Windows Components > App Package Deployment. Se i file ADMX e ADML sono stati copiati correttamente nel Central Store, il criterio sarà disponibile nel Group Policy Management Editor e potrà essere configurato come qualsiasi altra impostazione amministrativa del computer.
Creazione GPO per la rimozione delle app Microsoft Store preinstallate
A questo punto possiamo creare una GPO dedicata alla rimozione delle app Microsoft Store preinstallate. Per farlo, apriamo la Group Policy Management Console, ad esempio cercando Group Policy Management dal menu Start oppure eseguendo gpmc.msc dalla finestra Esegui (Win + R).
Una volta aperta la Group Policy Management Console, espandiamo il dominio e selezioniamo Group Policy Objects. Da qui facciamo clic con il tasto destro nel riquadro centrale e scegliamo New per creare un nuovo oggetto Criteri di gruppo.
A questo punto assegniamo un nome descrittivo alla GPO, ad esempio Remove Preinstalled Microsoft Store Apps, e confermiamo con OK. Scegliere un nome chiaro è utile fin da subito, soprattutto se nel dominio sono già presenti molti criteri o se la gestione viene condivisa tra più amministrator.
La nuova GPO comparirà subito sotto Group Policy Objects. Facciamo quindi clic con il tasto destro sul criterio appena creato e selezioniamo Edit, così da aprire il Group Policy Management Editor e passare alla configurazione vera e propria.
Impostazioni GPO App Package Deployment
All’interno dell’editor, navighiamo nel percorso Computer Configuration > Administrative Templates > Windows Components > App Package Deployment. In questo nodo troviamo diversi criteri legati alla gestione dei pacchetti AppX, ma quello che ci interessa in questo scenario è Remove default Microsoft Store packages from the system.
Apriamo quindi il criterio Remove Default Microsoft Store packages from the system e impostiamolo su Enabled. Dopo averlo abilitato, possiamo selezionare dall’elenco le app Microsoft Store preinstallate che vogliamo rimuovere. Le app che non vengono selezionate resteranno invece disponibili sul sistema. Una volta completata la scelta, confermiamo con Apply e poi con OK per salvare la configurazione.
Distribuire la GPO App Package Deployment
Una volta completata la configurazione della GPO, possiamo passare alla distribuzione sui client. Anche qui conviene mantenere un approccio prudente e partire da un pilota ristretto, collegando il criterio a un’OU di test che contenga pochi dispositivi, possibilmente differenti per modello o configurazione. In questo modo è più semplice verificare il comportamento della policy prima di estenderla al resto dell’ambiente.
Nel nostro esempio utilizzeremo un’OU chiamata Workstations. In un contesto reale, però, avrebbe più senso partire da un’OU dedicata al pilota. Per collegare il criterio, facciamo clic con il tasto destro sull’OU scelta e selezioniamo Link an Existing GPO… dal menu contestuale.
Nella finestra successiva selezioniamo la GPO appena creata, ad esempio Remove Preinstalled Microsoft Store Apps, e confermiamo con OK.
Da questo momento la policy risulta collegato all’OU selezionata. I client inizieranno a riceverlo secondo il normale ciclo di elaborazione delle Group Policy, quindi all’avvio del computer e poi durante i successivi refresh in background. Per velocizzare i test è possibile forzare l’aggiornamento con gpupdate /force, ma questo non significa necessariamente vedere sparire subito l’app nella sessione già aperta. Come già visto nei paragrafi precedenti, per questa specifica funzionalità la rimozione segue il comportamento previsto dalla policy e può diventare effettiva al successivo accesso utente o durante il provisioning del dispositivo.
Troubleshooting
Per le verifiche lato client vale la pena richiamare gli stessi controlli già visti nell’articolo dedicato alla configurazione tramite Intune, perché la funzionalità di Windows è la stessa e cambiano soprattutto il canale di gestione e il metodo con cui la policy arriva sul dispositivo. Per questo motivo, se volete approfondire nel dettaglio i controlli su Registro di sistema, Event Viewer e PowerShell, potete fare riferimento al capitolo Troubleshooting dell’articolo Come rimuovere le app Microsoft Store preinstallate con Microsoft Intune – Endpoint Ninja. In questa guida, invece, ci concentriamo sui passaggi essenziali utili per verificare rapidamente che la GPO sia stata recepita correttamente dal client.
Per accelerare i test, un primo passaggio utile è forzare il refresh delle Group Policy con gpupdate /force, eseguendolo da Prompt dei comandi, Windows Terminal o PowerShell. Questo consente al dispositivo di recepire più rapidamente la nuova configurazione, evitando di aspettare il normale ciclo di aggiornamento dei criteri. Come già detto va però tenuto presente che, anche dopo il refresh, la rimozione delle app non è immediata nella sessione già aperta: per questa specifica funzionalità il comportamento effettivo entra in gioco al successivo sign-in.
Una volta aggiornati i criteri, un primo controllo rapido può essere fatto nel registro di sistema. Se la policy è attiva, Windows scrive i valori configurati sotto il percorso HKLM\SOFTWARE\Policies\Microsoft\Windows\Appx\RemoveDefaultMicrosoftStorePackages. La presenza di questo ramo è già un buon indicatore del fatto che il dispositivo ha ricevuto correttamente la configurazione. Da qui si può poi proseguire, se necessario, con le verifiche più puntuali già viste sull’altro articolo, ad esempio Event Viewer e controllo dei pacchetti via PowerShell.
Conclusioni
La possibilità di rimuovere le app Microsoft Store preinstallate tramite Group Policy aggiunge finalmente un’opzione nativa anche per gli ambienti Active Directory che continuano a gestire i client in modo on-premises o ibrido. Per gli scenari supportati, questo significa poter evitare script custom, task sequence dedicate o altre personalizzazioni costruite solo per fare pulizia delle app inbox, adottando invece una configurazione più ordinata e più semplice da mantenere nel tempo. La funzionalità resta però circoscritta, almeno per il momento, su Windows 11 versione 25H2 o successive, solo nelle edizioni Enterprise ed Education, e lavora su un elenco definito di app supportate.
La parte che merita più attenzione non è tanto la creazione del GPO, quanto il modo in cui questa policy si comporta davvero lato client. Parliamo infatti di un’impostazione device-level, che non agisce come una disinstallazione immediata nella sessione già aperta, ma entra in gioco durante il provisioning del dispositivo o al successivo accesso utente dopo l’aggiornamento della policy. Se tenete fermi questi punti, aggiornate correttamente il Central Store e partite da un pilot ristretto, anche lato Group Policy questa funzione può entrare senza difficoltà nello standard di gestione dei vostri endpoint Windows.
