皆さん、こんにちは。ヘルプデスクの田中です。
今回は、Intune から Win32 アプリの展開について執筆してみようと思います!
Intune でデバイスを管理するのは勿論ですが、msi ファイルや exe ファイルを適切にデバイスにインストールさせることができれば管理や運用も楽になるかと思います。
では、検証をしていきます!
Intune に登録されたデバイスは勿論ですが、以下のいずれかにもデバイス登録されている必要があります。
<前提条件>
・ Windows 10 バージョン 1607 以降 (Enterprise、Pro、または Education エディション)
・ Azure AD 登録(Azure AD registered)
・ Azure AD 参加(Azure AD joined)
・ Hybrid Azure AD 参加
<参考情報>
Microsoft Intune での Win32 アプリの管理
なお、Windows Autopilot を利用したキッティング等で用いる場合は、LOB (基幹業務アプリ) との混在は失敗する可能性がありますので、気を付ける必要があります。
<参考情報>
Windows 基幹業務アプリを Microsoft Intune に追加する
Win32 アプリとしてアプリをデバイスに展開する場合は、事前に展開するアプリを作成 (変換) する必要があります。前提などは以下を参考にしてください。
<参考情報>
Win32 アプリ コンテンツのアップロードを準備する
今回は、「Azure Information Protection 統合ラベル付けクライアント」を展開してみようと思います。
1. 以下の Github サイトより、Microsoft Win32 コンテンツ準備ツール (IntuneWinAppUtil.exe) をダウンロードします。
IntuneWinAppUtil.exe
2. 項番1 でダウンロードしたファイルを、任意の場所に配置します。
3. 今回展開予定のアプリを任意の場所に配置します。
注意としては、変換するアプリと同じ階層やネストした階層にファイルを配置すると、一緒にラッピングされるため容量が増大します。展開予定のファイル以外は配置しないようにしましょう。
4. コマンドプロンプトを起動して、”IntuneWinAppUtil.exe” の階層まで、ディレクトリを移動後、以下のコマンドを入力します。
.\IntuneWinAppUtil.exe -c "C:\blog\AIP-UL" -s AzInfoProtection_UL.msi -o C:\blog\AIP-UL
なお、コマンドのパラメーターは以下を参照して下さい。
左右にスクロールしてご覧ください。
| コマンド ライン パラメーター | 説明 |
|---|---|
| -h | ヘルプ |
| -c <setup_folder> | すべてのセットアップ ファイルのフォルダー。このフォルダー内のすべてのファイルは、.intunewin ファイルに圧縮されます。 |
| -s <setup_file> | セットアップ ファイル (setup.exe、setup.msi など)。 |
| -o <output_folder> | 生成された .intunewin ファイルの出力フォルダー。 |
| -q | Quiet モード。 |
<参考情報>
Win32 アプリ コンテンツのアップロードを準備する - 使用可能なコマンドライン パラメーター
5. 正常に成功したことを確認します。
6. 拡張子が “.intunewin” のファイルが作成されていることを確認します。
アプリの事前準備は以上となります。
作成したアプリは、MEM管理センターから配信することが可能となります。しかし、適用するグループがない場合は、事前に作成する必要があります。
アプリはユーザー グループ、またはデバイス グループへの配信が可能となります。今回はデバイス グループを利用して配信してみます。
なお、今回はMEM管理センター上からグループの作成を実施していきます。
<参考情報>
Microsoft Intune を使用してアプリをグループに割り当てる
1. ブラウザーから MEM 管理センター (https://endpoint.microsoft.com) を起動し、[グループ] を選択後、[新しいグループ] をクリックします。
2. [新しいグループ] 画面に遷移後、以下を入力、および選択後に [作成] をクリックします。 (その他は既定値)
左右にスクロールしてご覧ください。
| 項目 | 設定 | 備考 |
|---|---|---|
| グループの種類 | セキュリティ | ― |
| グループ名 | TEST-DeviceGroup | ― |
| メンバーシップの種類 | 割り当て済み | |
| メンバー | Test-PC02 | 検証用デバイス |
3. グループが作成されて、デバイスがメンバーとして追加されていることを確認します。
検証用デバイスグループの作成は以上となります。
MEM管理センターからデバイスに対してアプリを配信していきます。
1. MEM管理センター (https://endpoint.microsoft.com) を起動し、[アプリ] – [すべてのアプリ] を選択し、[+追加] をクリックします。
2. [アプリケーションの種類の選択] 画面に遷移後、アプリの種類を “Windows アプリ (Win32)” を選択し、[選択] をクリックします。
3. [アプリの追加] 画面に遷移後、[アプリ パッケージ ファイルの選択] をクリックします。
4. [アプリのパッケージ ファイル] 画面に遷移後、事前に作成したアプリ “AzInfoProtection_UL.intunewin” を選択し、[OK] をクリックします。
5. 発行元に “Microsoft Corp” と入力し、[次へ] をクリックします (その他は既定値)。なお、決まった文字列を入力しないといけないわけではないためご留意下さい。
6. [デバイス再起動] の設定を “何もしない” に変更して、[次へ] をクリックします。
補足ですが、今回は msi ファイルをパッケージ化しています。msi ファイルの場合は、インストール コマンド、および アンインストール コマンドはサイレント用として自動で入力されています。
exe ファイルは自動で入力されないので、運用を考えた場合、サイレントインストールは必須になるため、事前に調べておくことが重要となります。
7. 今回、検証機は64 ビット OS を利用するため、[オペレーティング システムのアーキテクチャ] を “64 ビット”、[最低限のオペレーションシステム] は、企業が利用している OS に合わせて設定します。今回は、“Windows 10 20H2” を選択して、[次へ] をクリックします。
8. 検出規則はアプリがインストールされたかどうかを判定するのに非常に重要な部分となり、誤りが無いように設定をする必要があります。
今回は以下のように設定を実施し、[次へ] をクリックします。
左右にスクロールしてご覧ください。
| 項目 | 設定 | 備考 |
|---|---|---|
| 規則の形式 | 検出規則を手動で構成 | ― |
| 規則の種類 | MSI | msi ファイルの場合指定できます。 |
| MSI 製品コード | {7175C307-79AA-44E0-A3CB-3016E32B1E17} | 自動で入力 |
| MSI 製品のバージョンの確認 | いいえ | ― |
9. 依存関係は特に設定せずに [次へ] をクリックします。もし、展開アプリの前に前提条件としてインストールされていないと動作しないアプリがあれば、依存関係を構成する必要があります。
10. 置き換え (プレビュー) は特に設定せずに、[次へ] をクリックします。
11. スコープ タグも特に設定せずに、[次へ] をクリックします。
12. 割り当てで [グループの追加] をクリックします。
13. [グループ選択] 画面に遷移後、事前に作成した “TEST-DeviceGroup” を選択し、[選択] をクリックします。
14. [すべてのトースト通知を表示する] をクリックします。
15. [割り当ての編集] 画面に遷移後、今回は検証目的となるため、”すべてのトースト通知を表示する” のままとします。
ただ、もし本機能を採用した場合は、トーストの通知がされることで利用ユーザーから問合せを受けることもあると考えられます。そのため、テストが完了し全社員に展開する場合は、”すべてのトーストは非表示にする” を選択した方が良いです。
16. [次へ] をクリックします。
17. [作成] をクリックします。
18. アプリの容量が大きい場合は、アップロードに時間がかかる場合がります。アップロードが完了するまで待ちます。
19. アプリが作成されたことを確認します。
アプリの配信設定は以上となります。
最後にデバイスに対してアプリが配信されるかを確認します。正常に配信が成功したかどうかの判断は、今回トーストを通知する設定にしているため、表示されれば問題ないと考えます。
なお、Win32 アプリの配信は “Microsoft Intune Management Extension” サービスを通じて配信されるため、急ぎ確認したい場合はデバイスを再起動すると良いです。または、サービスを再起動してみてください。
以下の通り、トーストが表示され無事にインストールされました。
プログラムと機能の一覧からも正常にインストールされていることを確認できました。
折角なので MEM 管理センター上からも確認して問題ないことを確認しました。
デバイス上ではインストールが成功しても、MEM 管理センター上からは成功にならない場合などもあったりします。その場合は、検出規則に誤りがある可能性が高いので覚えておいてもらえればと思います。
いかがでしたでしょうか。Intune を利用してアプリの配信が出来ました。最初は慣れるまでは失敗したりすることも多い作業にはなりますが、Intune によるデバイス管理をしつつ、リモート上のデバイスに配信をすることも可能となります。
重要なのはサイレントインストールができることになるので、事前に調べたり時間もかかるかもしれないですが、是非活用してもらえればと思います。
次回も EMS に関連する記事、または自分が興味ある分野について執筆していこうと思います。最後まで読んでいただきありがとうございました!
関連ページ
「Enterprise Mobility + Security 導入支援サービス」はこちら |
