Správa aplikací

• App management overview

Microsoft Intune můžeme využít ke správě klientských aplikací, které využívají naši zaměstnanci. Mobile Application Management označuje skupinu vlastností, které umožňují publikovat, instalovat, konfigurovat, zabezpečovat, monitorovat a aktualizovat aplikace. MAM umožňuje spravovat a chránit data organizace v rámci aplikace.

Intune MAM podporuje dvě konfigurace

• MDM + MAM - MAM správa aplikací na zařízení registrovaných do Intune
• neregistrované zařízení s MAM spravovanými aplikacemi - na zařízeních, která nejsou registrovaná do Intune, můžeme spravovat data organizace a účty

Intune nabízí různé možnosti podle platformy, více App management capabilities by platform.

Životní cyklus aplikací v Intune

• přidání aplikace do Intune - mnoho různých typů aplikací můžeme přidat do Intune, abychom s nimi mohli dále pracovat
• nasazení - přiřadíme aplikaci uživatelům a zařízením, které spravujeme, čímž může dojít k instalaci, dále můžeme monitorovat úspěch nasazení, v některých obchodech s aplikacemi můžeme hromadně nakoupit licence a sledovat jejich využíti
• konfigurace a aktualizace - standardně pro aplikace vychází pravidelně nové verze, nasazené aplikace potřebujeme aktualizovat na tyto nové verze, u některých aplikací můžeme konfigurovat další funkce, jde o iOS/iPadOS a Android App configuration policies
• ochrana - máme různé možnosti, jak chránit data v aplikacích, můžeme využít Conditional Access a App protection policies
• vyřazení a odinstalace - aplikace se může stát zastaralou nebo ji chceme přestat používat, pak je potřeba ji odstranit (odinstalovat)

Typy podporovaných aplikací

• App types in Microsoft Intune

Microsoft dělí aplikace podporované v Intune do řady typů. Při vytváření (přidání) aplikace musíme vybrat korektní typ. Níže je stručný popis kategorií a typů aplikací.

• aplikace z obchodu (Store apps)
  • Store app, jde o aplikace, které jsou nahrané do Microsoft Store, iOS/iPadOS Store nebo Android Store, uživatel musí mít účet v obchodě, aby mohl aplikaci nainstalovat
  • pro Windows aplikace je vhodné volit nový způsob nasazení (Microsoft Store app (new)), kdy vybíráme aplikaci z Microsoft Store
  • iOS aplikace vybíráme z Apple App Store
  • Android Enterprise aplikace vybíráme z Managed Google Play
  • pokud zvolíme starší způsob nasazení Windows aplikace (Microsoft Store app (legacy)), tak zadáme odkaz do Microsoft Store
  • pro Android aplikace zadáme odkaz do Google Play
  • spadají sem také Microsoft 365 Apps pro Windows a macOS (dříve Microsoft Office 365 ProPlus)
  • Microsoft Edge, version 77 and later pro Windows a macOS
  • Microsoft Defender for Endpoint pro macOS
• vlastní nebo obchodní aplikace (Line-of-business apps - LOB apps)
  • já bych označil jako standardní aplikace, které instalujeme z instalačního souboru
  • podporované platformy jsou Windows, macOS, iOS/iPadOS, Android
  • pod Line-of-business app jsou podporovány následující OS (v závorce je formát/přípona podporovaného souboru) Android (.apk), iOS (.ipa), macOS (.pkg), Windows (.msi, .appx, .appxbundle, .msix, .msixbundle)
  • dále sem patří Windows app (Win32) (.intunewin) a macOS apps (DMG) (.dmg obsahující .app), Win32 app je řazena pod LOB app, ale chování je značně odlišné a popisy jsou v dokumentaci zvlášť (často se doporučuje využít spíše Win32 app než Line-of-business app)
  • musíme nahrát instalační soubor, pro Windows může být maximálně 8 GB velký, ostatní max. 2 GB
  • aktualizace provádíme ručně přidáním a nasazením aktualizace pomocí Intune
• vestavěné (integrované) aplikace (Built-in apps)
  • Microsoftem spravované aplikace pro Android a iOS
  • vybereme ze seznamu (nachází se zde řada aplikací jako Acrobat Reader, Excel, Outlook, Jabber, Zoom, Slack)
• aplikace na webu (Web link / Web apps)
  • celá webová aplikace (uživatelské rozhraní, obsah i funkce) se nachází na serveru a přistupuje se pomocí webového prohlížeče, Intune vytvoří odkaz na aplikaci
  • Web application iOS/iPadOS web clip vytvoří odkaz na Home screen, Windows web link vytvoří odkaz do Start Menu Windows
  • Web Link vytvoří odkaz (zástupce) na obrazovce zařízení pro zadané URL
• aplikace z jiných služeb Microsoft
  • zobrazí nebo skryje zástupce na aplikace v Company Portal, jde o aplikace z Azure AD Enterprise (registrované a přiřazené pomocí Intune), Office Online (podle přiřazené licence) a Configuration Manager, nastavuje se v Tenant admin - Customization

Pouze pro LOB aplikace musíme přidat instalační soubor aplikace. Pokud je k dispozici nová verze, tak musíme ručně provést aktualizaci instalace. Ostatní aplikace se aktualizují automaticky (poskytovatel aplikace udržuje aktualizace v daném obchodě). 

První tři typy aplikací provedou instalaci aplikace na zařízení. Poslední dva pouze vytvoří odkaz (zástupce) na webovou adresu aplikace.

Pozn.: Další možnost pro instalaci aplikací na Windows nebo macOS je využití PowerShell nebo Shell skriptu, které jsme zmínili v minulém článku.

Politiky - Policy

Pod aplikacemi v Intune máme k dispozici vytváření politik pro zabezpečení a konfiguraci aplikací. Zde si uvedeme pouze výčet.

• App protection policies - nastavení aplikace pro zabezpečení dat, například můžeme omezit kopírování dat mezi aplikacemi, pro Android, iOS/iPadOS, Windows Information Protection
• App configuration policies - nastavení aplikace pro její běh, pro Android, iOS/iPadOS
• iOS app provisioning profiles - iOS aplikace obsahují Provisioning profile (.mobileprovision) podepsaný certifikátem, když vyprší platnost certifikátu, tak aplikaci nelze spustit, můžeme přiřadit nový profil
• S mode supplemental policies - pro autorizaci dalších aplikací pro běh na Windows 10/11 v S (Security and Performance) módu
• Policies for Office apps - politiky pro aplikace Microsoft 365 Apps for Enterprise, které přistupují k M365 službám

Konfigurace (funkce) související s aplikacemi

Výčet dalších možností, včetně místa konfigurace, které souvisí s aplikacemi.

• Microsoft Store for Business - integrace umožňuje synchronizovat aplikace do Intune, velmi brzy bude zrušen, Tenant admin - Connectors and tokens - Microsoft Store for Business
• Windows Enterprise Certificate - pokud máme Line-of-business apps podepsané vlastním Code-signing Certificate, Tenant admin - Connectors and tokens - Windows enterprise certificate
• Microsoft Configuration Manager - integrace (konektor) s Configuration Manager, Tenant admin - Connectors and tokens - Microsoft Endpoint Configuration Manager
• Apple Business Manager location tokens - využití multilicenčních licencí pro iOS/iPadOS, Location Tokens jsou známe jako Volume Purchase Program (VPP) Tokens, Tenant admin - Connectors and tokens - Apple VPP Tokens
• Managed Google Play - Google Enterprise App Store je jediný zdroj aplikací pro Android Enterprise, Tenant admin - Connectors and tokens - Managed Google Play

Instalace aplikací - Install

Správu aplikací nalezneme v samostatné sekci.

• Microsoft Endpoint Manager admin center - Apps

Správa kategorií pro aplikace

Pro lepší přehled můžeme aplikace zařazovat do jedné nebo více kategorií. Výchozí kategorie nemůžeme měnit, ale můžeme přidat vlastní. Jméno kategorie můžeme zadat pouze v jednom jazyce.

• Microsoft Endpoint Manager admin center - Apps - App categories

Přidání aplikace - Add app

• Add apps to Microsoft Intune

Přidat (a spravovat) aplikaci můžeme v

• Microsoft Endpoint Manager admin center - Apps - All apps

Při přidání nové aplikace (Add) nejprve volíme typ aplikace (App type), který potvrdíme tlačítkem Select. Detaily nastavení se liší podle typu aplikace. Vždy se zde nachází hlavní dva kroky.

V kroku App information vybíráme aplikaci z obchodu, nahráváme instalační soubor či zadáváme URL, a nastavujeme řadu informací o aplikaci. V některých případech se nám základní informace předvyplní, ale často musíme vyplnit ručně.

Vyplňují se položky jako jméno (musí být unikátní), popis, vydavatel, kategorie. Odkaz na adresu s informacemi nebo o ochraně soukromí (Privacy). Můžeme (někdy musíme) nahrát logo (ikonu) pro aplikaci. Řada těchto informací by se mohla načíst z instalačního souboru nebo obchodu, ale funguje to asi pouze pro Microsoft Store (bez ikony) a iOS/iPadOS Store.

V kroku Assignments nastavujeme přiřazení aplikace na skupinu uživatelů nebo zařízení. Můžeme nastavit hned při přidaní aplikace nebo později. Rozebereme v další kapitole.

Poslední krok je vždy Review + create, kde můžeme zkontrolovat nastavení a tlačítkem Create aplikaci vytvořit.

Přiřazení aplikace (instalace) - Assignments

• Assign apps to groups with Microsoft Intune

Po přidání aplikace do Intune je další krok, směrem k instalaci aplikace, její přiřazení na skupinu uživatelů nebo zařízení. Microsoft dokola uvádí, že můžeme nasazovat aplikaci i na zařízení, která nejsou registrovaná v Intune. Ovšem to je velmi omezené. Je k dispozici pouze pro omezené typy aplikací (nemůžeme použít pro Windows) a znamená to, že se aplikace nabídne k instalaci v Company Portal.

Přiřazení (Assignment) může být několika typů (záměrů nasazení - deployment intent)

• Required - požadované či povinné přiřazení provede automatickou instalaci aplikace na registrované zařízení, na některých platformách může být požadováno potvrzení instalace uživatelem
• Available for enrolled devices - aplikace je dostupná přes Company Portal, uživatelé ji mohou volitelně nainstalovat, pro přiřazení můžeme využít pouze uživatelské skupiny (pouze Win32 app může být přiřazena i na skupinu zařízení, v testech mi fungovalo i pro Microsoft Store app)
• Available with or without enrollment - aplikace je dostupná přes Company Portal, uživatelé ji mohou volitelně nainstalovat bez požadavku, aby zařízení bylo registrováno v Intune
• Uninstall - aplikace se odinstaluje ze spravovaného zařízení, pokud ji Intune dříve nainstaloval (Required nebo Available for enrolled devices) ve stejném nasazení

Pozn.: Pro některé typy aplikací můžeme využít pouze některé typy přiřazení. Například Microsoft Store app (legacy) podporuje pouze Available for enrolled devices, macOS line-of-business app podporuje Required a Available for enrolled devices, macOS apps (DMG) podporuje Required a Uninstall.

Postup nastavení přiřazení aplikace

• Microsoft Endpoint Manager admin center - Apps - All apps
• vybereme aplikaci - Properties
• v části Assignments zvolíme Edit
• přidáme skupinu (Add group) uživatelů nebo zařízení do požadovaného typu přiřazení, využít můžeme předpřipravené skupiny All users a All devices, standardně je skupina zahrnuta Included, ale můžeme přepnout na vyloučení Exluded
• uložíme Review + save

Podle typu aplikace můžeme při přiřazení nastavovat další parametry. Jako je Filtr, End user notifications, Availability, Installation deadline, Restart grace period. Dále může jít o VPN, Uninstall on device removal, Install as removable.

End user notifications nabízí možnosti

• Show all toast notifications
• Show toast notifications for computer restarts
• Hide all toast notifications

Dostupnost aplikace

Zajímavé jsou možnosti nastavení dostupnosti (instalace) aplikace. Nastavit můžeme (pro určité typy aplikace) čas spuštění (dostupnosti) App availability, kdy se začne obsah aplikace stahovat a kešovat na klienta nebo se zobrazí v Company Portal. A konečný čas App installation deadline, kdy dojde k instalaci. Můžeme také nastavit Restart grace period (odklad restartu) se zadáním času, varování uživatele a možnost odložení restartu uživatelem.

Odinstalace aplikace - Uninstall

• Uninstall an app

Aplikaci, kterou jsme přes Intune dříve nainstalovali na zařízení uživatele, můžeme odinstalovat. Jde o změnu přiřazení na typ Uninstall. Pro některé typy aplikací není odinstalace podporovaná (třeba pro macOS line-of-business app).

• Microsoft Endpoint Manager admin center - Apps - All apps
• vybereme aplikaci - Properties
• v části Assignments zvolíme Edit
• pokud uživatel/počítač členem skupiny přiřazené k instalaci (Required), tak musíme nejprve odebrat
• přidáme skupinu k odinstalaci (Uninstall)
• uložíme Review + save

Aktualizace aplikací - Update

Store apps

• Microsoft Store apps - App update

Aplikace z obchodu, které jsme na zařízení nainstalovali pomocí přiřazení Required, nebo si je uživatel nainstaloval sám při přiřazení Available for enrolled devices, se automaticky aktualizují (pokud není zakázáno politikou/nastavením, jako Turn off Automatic Download and Install of updates).

Line-of-business apps

• Update a line-of-business app

Vlastní aplikace (Line-of-business app) aktualizujeme ručním nahráním nové verze instalačního souboru. Aktualizace se automaticky nainstalují na uživatelská zařízení, kde je aplikace nainstalována. Není vyžadován (ani možný) žádný zásah uživatele.

• Microsoft Endpoint Manager admin center - Apps - All apps
• vybereme aplikaci - Properties
• v části App information zvolíme Edit
• klikneme na instalační soubor vedle Select file to update a nahrajeme novou verzi
• uložíme změny Review + save
• zkontrolujeme, že se změnila verze aplikace

Některé MSI aplikace jsou automaticky aktualizovány. Aby nedocházelo ke konfliktu, tak můžeme nastavit ignorování kontroly verze. V informacích o aplikaci nastavíme Ignore app version na Yes.

Aby Intune nasadil novou verzi (Windows) APPX souboru, tak musí být zvýšena hodnota Version v AppxManifest.xml. Podobně pro (macOS) PKG soubor, musí být zvýšena hodnota CFBundleShortVersionString.

Windows app (Win32)

• Add Win32 app supersedence

Pro Win32 aplikace můžeme využít Supersedence (nahrazení). To znamená nastavení jednoho nebo více (max 10) vztahů Supersedence, které popisují aktualizaci nebo nahrazení existující Win32 aplikace novou verzí (nebo jinou aplikací). Nahradit můžeme pouze aplikaci, která nemá závislosti (Dependency).

Monitorování aplikací

• Monitor app information and assignments with Microsoft Intune

U aplikací přidaných do Intune můžeme monitorovat jejich vlastnosti a stav přiřazení. Údaje vidíme při rozkliknutí aplikace (Overview). Bohužel se zde zobrazují se značným zpožděním.

• Microsoft Endpoint Manager admin center - Apps - All apps - vybraná aplikace

Více detailů zobrazíme v části Monitor Device install status nebo User install status. Při selhání nasazení se zde zobrazí alespoň stručná chyba.

Souhrnně se můžeme podívat na Apps - Monitor - App install status.

Discovered apps

Na firemních zařízeních Intune zjišťuje informace o aplikacích - Discovered apps. Shromažďuje informace o všech aplikacích (ať jsou spravované nebo ne). Sestava se aktualizuje jednou za sedm dní od registrace zařízení. Intune Management Extension for Win32 Apps shromažďuje informace každých 24 hodin. Detekované aplikace (inventář softwaru) vidíme souhrnně nebo v detailu zařízení.

• Microsoft Endpoint Manager admin center - Apps - Monitor - Discovered apps

Nasazení vybraných typů aplikací

Windows 10/11 aplikace

• Windows 10/11 app deployment by using Microsoft Intune

Instalovat můžeme moderní aplikace, což jsou Universal Windows Platform (UWP) apps, i klasické (desktopové) Win32 aplikace. UWP aplikace využívají balíčkovací formát (Windows app package format) .appx, nověji může jít také o .msix. Pro Win32 aplikace může jít o .msi (Microsoft Software Installer) nebo také .msix.

Aplikaci (v závislosti na jejím typu) můžeme instalovat v jednom ze dvou kontextů (App install context / Install behavior):

• User Context - aplikace se nainstaluje pro přihlášeného uživatele, nasazení v kontextu uživatele
• Device Context (System) - aplikace se nainstaluje přímo do zařízení pro všechny uživatele, nasazení v kontextu zařízení, je podporováno pouze přiřazení Required

Pro Win32 aplikace vytvořené jako Dual Mode musíme vybrat kontext pro všechna přiřazení k dané instanci aplikace. User Mode a Machine Mode aplikace se nastaví automaticky. Po vytvoření není možno měnit. Pouze pro moderní aplikace můžeme později kontext změnit.

Microsoft Store Apps

• Add Microsoft Store apps to Intune (legacy)
• Add Microsoft Store apps to Microsoft Intune

Microsoft Store app (legacy) je stará metoda nasazení aplikace z Microsoft Store, doporučuje se využít poslední metodu Microsoft Store app (new).

Microsoft Store (new) podporuje UWP aplikace, desktopové aplikace zabalené v .msix a nově také Win32 aplikace zabalené v .exe nebo .msi instalátoru. Po nasazení aplikace z Microsoft Store ji Intune automaticky udržuje aktualizovanou na poslední verzi. Zařízení musí mít přístup na Microsoft Store.

Využít můžeme přiřazení Required, Available for enrolled devices a Uninstall. Pro nasazení aplikace se využívá Intune Management Extension.

Aby správně fungovalo nasazení aplikací z Microsoft Store, tak nesmí být nastavena určitá omezení pomocí Group Policy - Store group policies restrictions.

Pozn.: Intune Management Extension je potřeba také pro spouštění skriptů. Pokud jsou splněny podmínky, tak se agent Intune rozšíření pro správu instaluje na zařízení automaticky. Ve chvíli, kdy je PowerShell skript nebo Win32 aplikace přiřazena uživateli či zařízení.

Windows Line of Business (LOB) App vs. Win32 App

Pro nasazení vlastní aplikace na Windows máme dvě možnosti, zvolíme typ Line-of-business app nebo Windows app (Win32).

Pro LOB app můžeme využít jeden soubor formátu .msi, .appx, .appxbundle, .msix, .msixbundle. Nemůžeme využít MSI spolu s transformačním souborem MST. Má omezené možnosti a nemůžeme využít řadu rozšířených funkcí. V nastavení můžeme zadat určité argumenty pro příkazový řádek, ale pokud je potřeba více možností, tak se doporučuje využít Win32 App.

Využít můžeme přiřazení Required, Available for enrolled devices a Uninstall. Pro nasazení aplikace se využívá integrovaný MDM klient (agent) ve Windows 10/11.

Win32 App nabízí více možností pro řízení nasazení aplikace. Podporuje 32-bit i 64-bit architekturu. Využívá se Microsoft Win32 Content Prep Tool pro předzpracování klasické (Win32) aplikace. Tento nástroj převede instalační soubory aplikace (může jich být více) do formátu .intunewin. Podporuje také EXE soubory. Umožňuje nastavit rozšířené parametry, jako Requirements, Detection methods, Dependencies a Supersedence.

Využít můžeme přiřazení Required, Available for enrolled devices a Uninstall. Pro nasazení aplikace se využívá Intune Management Extension.

Podepsání Windows LOB aplikace

• Sign line-of-business apps so they can be deployed to Windows devices with Intune

Aplikace v balíčkovacím formátu .msix nebo .appx musí být digitálně podepsané (zařízení musí podpisu důvěřovat), aby je bylo možno nainstalovat na Windows. Pokud vytváříme vlastní instalátor, tak můžeme podepsat certifikátem pro podpis kódu (Code-signing Certificate) od veřejné certifikační autority. Ale můžeme také využít vlastní CA, její certifikát musíme nahrát do Intune jako Windows enterprise certificate. Podpis můžeme provést řádkovým nástrojem Sign an app package using SignTool.

Moderní aplikace (Windows Store apps) se standardně mohou instalovat pouze z Microsoft Store. Povolení instalace aplikace, která není certifikovaná v Microsoft Store, se označuje jako Sideloading. Instalaci důvěryhodných aplikací na Windows 10/11 musíme povolit pomocí Group Policy Allow all trusted apps to install.

Win32 App

• Win32 app management in Microsoft Intune

Win32 aplikace využívají Intune Management Extension. Microsoft doporučuje, pokud používáme Win32 app, tak nekombinovat s Line-of-business apps (hlavně pro Autopilot enrollment).

Win32 aplikace můžeme do Intune přidat pouze ve formátu .intunewin. Musíme tedy nejprve aplikaci připravit pomocí Content Prep Tool (IntuneWinAppUtil.exe). Nástroj zazipuje všechny soubory a podsložky v instalačním adresáři aplikace (takže Content Prep Tool bychom neměli ukládat do instalační složky). Také detekuje určité atributy, které Intune potřebuje k určení stavu instalace aplikace.

Content Prep Tool (vždy je potřeba používat poslední verzi) můžeme spustit bez parametrů, pak se krok za krok ptá na zadání požadovaných parametrů. Nebo spustíme s parametry, kde můžeme zadat složku s instalací, instalační soubor (setup.exe apod.) a výstupní složku.

IntuneWinAppUtil.exe -c d:\Source\ -s setup.exe -o d:\Intune-apps

Instalátor aplikace může být v různém formátu, nejčastěji patrně EXE nebo MSI. Asi by se hodilo, aby umožňoval tichou instalaci (Silent Installation). Při přidání aplikace musíme zadat příkaz pro instalaci a odinstalaci. Můžeme zadat kompletní příkaz v Intune nebo třeba vytvořit soubory install.cmd a uninstall.cmd do adresáře aplikace.

Například Adobe Acrobat Reader můžeme instalovat přímo z EXE nebo jej rozbalit. Uvnitř se nachází AcroRead.msi a další soubory (jeden z nich je update na aktuální verzi AcroRdrDCUpd2300120064.msp). Dále můžeme využít Acrobat Customization Wizard a vytvořit přizpůsobení instalace (MST soubor). Instalaci pak provádět pomocí

msiexec /i "AcroRead.msi" ALLUSERS=1 /qn TRANSFORMS="AcroRead.mst" /norestart

Odinstalaci můžeme provést

msiexec /x "AcroRead.msi" /q

Hodí se zjistit MSI Product Code, který můžeme použít pro odinstalaci, ale také pro detekci aplikace. Můžeme hledat v registrech HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\. Pro aktuální Acrobat Reader nalezneme {AC76BA86-7AD7-1033-7B44-AC0F074E4100}. Nebo na webu, třeba Adobe Reader Silent Uninstall Strings (Master List). Odinstalace může být

msiexec /x {AC76BA86-7AD7-1033-7B44-AC0F074E4100} /qn

Při přidání Win32 aplikace definujeme několik kroků navíc (oproti většině ostatních). Jde o kroky

• Program - nastavujeme příkazy pro instalaci a odebrání aplikace - Install command, Uninstall command, Install behavior (System / User), Device restart behavior, Specify return codes to indicate post-installation behavior

• Requirements - zadáváme požadavky, které musí zařízení splňovat před instalací aplikace - jako OS, HW parametry (disk, paměť, CPU), další pravidla kontrolující existenci souboru, registru, skript, aplikace se instaluje pouze, když jsou splněny zadané podmínky
• Detection rules - jak se určí, že se již aplikace na zařízení nachází, zadáme buď skript nebo definujeme pravidla (MSI product code a případně verze, soubor, registry), Intune - Understanding Win32 App Detection Rules

• Dependencies - které závislé (Win32) aplikace se musí nainstalovat před instalací této aplikace, instalace může proběhnout automaticky
• Supersedence - nahrazení aplikace novou verzí nebo jinou aplikací

Pro řešení problémů na klientovi se můžeme podívat do logu Intune Management Extension. Ukládají se do složky %programdata%\Microsoft\IntuneManagementExtension\Logs. Pro prohlížení můžeme využít Configuration Manager Trace Log tool - CMTrace.

macOS line-of-business app (PKG)

• How to add macOS line-of-business (LOB) apps to Microsoft Intune

macOS LOB aplikace může být maximálně 2 GB velká. Musí mít nastaveno logo. Je podporován formát .pkg, který musí splňovat určité parametry. Jde o balíček komponent nebo balíček obsahující více balíčků. Nesmí obsahovat sadu nebo obraz disku ani soubor .app. Musí být podepsán Developer ID Installer certifikátem. DMG můžeme konvertovat na PKG pomocí informací v How to deploy DMG or APP-format apps to Intune-managed Macs.

Při přidání aplikace nahrajeme PKG soubor. Některé údaje se mohou předvyplnit, ale další musíme doplnit nebo opravit. Volbu Install as managed můžeme použít pouze, když je v balíčku pouze jedna aplikace (bez vnořených balíčků). Spravované aplikace umožňují provést odinstalaci (řízeně nebo při odstranění MDM profilu).

Využít můžeme přiřazení Required, Available for enrolled devices a Uninstall (pouze pro spravované aplikace).

Pod Included apps se mají zobrazit aplikace, které jsou součástí nahraného souboru. Informace obsahuje App bundle ID (CFBundleIdentifier) a App version (CFBundleShortVersionString). Tyto hodnoty se používají k detekci, že je aplikace nainstalovaná. Pokud nejsou po instalaci všechny nalezeny na klientovi, tak se hlásí stav Failed, i když je aplikace korektně nainstalovaná. První aplikace v seznamu je primární. Microsoft uvádí, že musíme ze seznamu odstranit vše, co není aplikace nebo se neinstaluje do složky Applications na macOS.

V praxi narazíme na problém, že se hlásí instalace jako Failed, často. Třeba i při instalaci Install Company Portal for macOS as a macOS LOB app. Microsoft má pro řešení i návod Error 0x87D13BA2 when you deploy a macOS LOB app. Musíme aplikaci nainstalovat, pak si vypsat seznam instalovaných aplikací a porovnat s tím v Included apps (odebrat vše, co na počítači není). Porovnání je dost náročné.

Když přidáme CompanyPortal-Installer.pkg, tak se v Included apps objeví 17 aplikací. Přitom tam mají být pouze dvě com.microsoft.CompanyPortalMac a com.microsoft.autoupdate2. Můžeme si otevřít PKG soubor, třeba pomocí 7-Zip. Vidíme, že se v něm nachází CompanyPortal-Component.pkg a Office16_all_autoupdate.pkg. U aplikace si můžeme zobrazit soubor PackageInfo. Uvidíme seznam, kde je naše aplikace a pomocné komponenty, které Intune identifikoval jako aplikace. Možná tak jednodušeji identifikujeme, co nechat v Included apps.

macOS app (DMG)

• Add a macOS DMG app to Microsoft Intune

DMG aplikace je soubor bitové kopie (obrazu) disku (Apple Disk Image), který obsahuje jednu nebo více aplikací. .dmg soubor musí obsahovat jeden nebo více souborů .app. Velikost musí být menší než 2 GB. Využít můžeme přiřazení Required a Uninstall.

Pro instalaci DMG aplikací je potřeba Microsoft Intune management agent for macOS. Intune management agent se na klienta nainstaluje automaticky ve chvíli, kdy je uživateli či zařízení přiřazen Shell skript.

Při přidání aplikace nahrajeme DMG soubor. Některé údaje v kroku App information se mohou předvyplnit, ale další musíme doplnit nebo opravit. V kroku Requirements musíme vybrat minimální verzi OS.

Složitější je povinný krok Detection rules, kde určujeme, jak se detekuje, že je aplikace nainstalovaná (aplikace se instaluje, pouze když ještě na zařízení není). Ignore app version určuje, zda se hledá pouze App bundle ID (volíme, pokud se aplikace aktualizuje sama) nebo se také kontroluje App version (pokud je jiné, tak se provede instalace). Toto nastavení se používá i pro odinstalaci.

Do Included apps musíme zadat alespoň jednu aplikaci, která je součástí nahraného souboru. Zadáváme App bundle ID (CFBundleIdentifier) a App version (CFBundleShortVersionString) pomocí kterých se detekuje stav instalace aplikace. Patří sem pouze aplikace, které se instalují (nahrají soubor) do složky Applications.

Údaje můžeme zjistit tak, že aplikaci nainstalujeme na macOS počítač. A pak si zobrazíme informace z nahrané aplikace. Příklad pro aplikaci FortiClient.

defaults read /Applications/FortiClient.app/Contents/Info CFBundleIdentifier 
com.fortinet.FortiClient

defaults read /Applications/FortiClient.app/Contents/Info CFBundleShortVersionString
7.0.6.0208

Můžeme také otevřít DMG soubor, třeba pomocí 7-Zip, a zobrazit informace v souboru <app_name>.app/Contents/Info.plist.

Pravděpodobně ve chvíli, kdy na macOS zařízení není instalovaný Intune management agent, instalace selže a zobrazí se chyba:

This DMG file is not supported. Check the prerequisites for deploying a DMG file. (0x87D30143)

Skripty pro instalaci aplikací

Aplikace můžeme instalovat také pomocí skriptu. Microsoft to v některých případech doporučuje, třeba Install Company Portal for macOS by using a macOS Shell Script. Různé příklady jsou v Intune macOS Shell Script Samples, třeba Company Portal nebo Rosetta 2.