Tento článek pouze stručně shrnuje informace z oficiální dokumentace a praktickou zkušenost s krátkým  použitím. Zaměřuje se na Private Store a aplikace zdarma. Nevěnuje se řadě dalších možností, jako je využití vlastních aplikací (LOB). Použití placených aplikací a s tím související fakturace a platby. Napojení na Microsoft 365 subskripce a Volume licensing. Napojení na Management nástroje, jako je Intune či SCCM. Přidání zařízení a využití Windows Autopilot či Device Guard Signing Service (DGSS).

Úvodní přehled

Oficiální dokumentace Microsoft Store for Business and Education mi přijde dost zmatená (a na některých místech z rozhraní je odkaz do Microsoft Store for Education). Na různých místech popisuje to samé. Občas jiným způsobem, často zmiňuje položky menu, které se mi v Microsoft Store for Business vůbec nenachází.

• Microsoft Store for Business and Microsoft Store for Education overview

Webová adresa obchodu je https://businessstore.microsoft.com. Správa se provádí pouze přes web na záložce Manage.

Registrace a Azure AD

Jako první krok se musí Store for Business registrovat. Je potřeba Azure AD Tenant a použít účet Global Administrator organizace. Více Sign up for Microsoft Store for Business or Microsoft Store for Education.

Uživatelé potřebují pro přístup (ať přes web nebo v rámci Microsoft Store) do Store for Business účet v Azure AD. Není potřeba žádná Office 365 subskripce (předplatné).

Princip distribuce aplikací

Microsoft Store for Business obsahuje Private Store, který je dostupný z Windows 10 v rámci aplikace Microsoft Store nebo přes web. Osoby s patřičným oprávněním mohou získat (acquire) aplikace (zdarma nebo zakoupit placené) z Microsoft Store for Business katalogu. Tím se vloží do firemního inventáře a následně je možno vložit do firemního Private Store. Odtud jsou dostupné všem (nebo vybraným) zaměstnancům.

Další možnost je přímo přiřadit aplikaci uživatelům (Assign to Users). Ti dostanou email s odkazem pro instalaci a aplikace se přidá v rámci Microsoft Store do My Library.

Distribuce aplikací tedy může probíhat několika způsoby:

• pomocí Microsoft Store for Business (vždy využívá Microsoft Store na klientovi, pokud je blokovaný, tak nefunguje)
  • přiřazení licence zaměstnanci - odešle odkaz emailem
  • zařazením do Private Store - odtud mohou uživatelé instalovat
• pomocí Management Tool - různé nástroje napojené na Microsoft Store for Business, jako je Microsoft Intune a SCCM/ConfigMgr

Podporované aplikace a licenční modely

Uživatel s oprávněním (obecně Purchaser) může ve Store for Business katalogu vyhledávat aplikace (zdarma a placené).

Podporovány jsou pouze aplikace Universal Windows Apps (Universal Windows Platform apps, dříve Windows Store apps a Metro-style apps, také se používalo označení Modern App oproti klasickým Desktop App) pro Windows 10 (PC, mobilní zařízení, apod. - Apps in Microsoft Store for Business and Education). Vývojáři mohou nahrát vlastní aplikace Line-of-business (LOB) skrze developer center (Working with line-of-business apps).

Store for Business podporuje dva licenční modely aplikací (Apps in Microsoft Store for Business and Education):

• Online - defaultní model, uživatel a zařízení se připojí k Microsoft Store službě a získá aplikaci a licenci, instaluje z cloudu
• Offline - společnost může kešovat aplikace a licence a instalovat je uvnitř interní sítě, přidání Offline aplikace umožní stažení jejího instalátoru (Distribute offline apps)

Základní nastavení

• Settings reference: Microsoft Store for Business and Education
• Allow users to shop

Hlavní nastavení, které ovlivňuje chování webového rozhraní Microsoft Store for Business pro uživatele, a možnost získávat aplikace, se nachází v:

• Manage - Settings - záložka Shop

Přímo v konfiguraci se nachází popisky a odkazy do oficiální dokumentace. Ale v několika případech mi reálné chování nepřijde, že odpovídá popisu. Změna nastavení se často neprojeví hned, ale trvá různě dlouho (i u různých uživatelů se projeví po jiné době).

Konfigurační položky jsou

• Allow users to shop - pokud zakážeme, tak není k dispozici záložka Shop for my group a nemůžeme získávat aplikace, dokumentace uvádí, že nejde přiřazovat role, ale to mi stále šlo
• Make everyone a Basic Purchaser- po zapnutí mají všichni v organizaci (mimo explicitně blokovaných) roli Basic Purchaser, nastavení delší dobu trvá, když se pak přihlásí nějaký uživatel, tak se objeví v Permissions s přiřazenou rolí Basic Purchaser, pokud toto nastavení vypneme, tak těmto uživatelům role zůstane
• Allow app requests - lidé v organizaci mohou odesílat žádosti o aplikace, které nejsou v Private Store, najdou aplikaci (v Shop for my group nebo vyhledávání na webu) a zde mají tlačítko Request app (tam kde nákupčí mají Get the app nebo Buy), tím se odešle žádost emailem správci a také se objeví v Manage - Billing Accounts - Admin approval, pokud není povoleno, tak běžní uživatelé mohou procházet pouze aplikace v Private Store
• Show offline apps - u aplikací (které Offline podporují) umožňuje při jejich získání zvolit, zda chceme Online nebo Offline licenci

Praktické chování

• Make everyone a Basic Purchaser- možná nechápu, jak má Basic Purchaser fungovat, když je zapnuté, tak uživatelé, kteří nemají roli Purchaser (a pokud není povoleno Allow app requests), tak nemají k dispozici záložku Shop for my group a nemohou vyhledávat aplikace, ale zobrazí se jim omezená záložka Manage
• Allow users to shop - pokud zakážeme zároveň s Allow app requests, tak funguje, uživatelé nemohou vyhledávat aplikace mimo Private Store, ale pokud povolíme pouze Allow app requests, tak uživatelům nakupování funguje (i když Allow users to shop není povoleno) podle jejich oprávnění, buď mohou nakupovat nebo žádat o aplikace

Oprávnění uživatelů

• Roles and permissions in Microsoft Store for Business and Education

Všichni uživatelé s rolí Global Admin mohou plně spravovat Microsoft Store for Business a přiřazovat oprávnění dalším uživatelům. Oprávnění se nastavují pomocí několika rolí a přiřazují se v

• Manage - Permissions

Role, které se nabízí, jsou

• Admin - může provádět všechny úkony, včetně možnosti přiřazovat role uživatelům
• Purchaser - může získávat (acquire), distribuovat a spravovat všechny produkty
• Basic purchaser - může získávat a distribuovat produkty, které vlastní, globálně můžeme nastavit, že všichni zaměstnanci jsou Basic purchaser, možná nechápu, co přesně to znamená, ale uživatel s touto rolí nemá možnost získat aplikaci do inventáře
• Device Guard signer - může spravovat nastavení Device Guard, podepisovat politiky a katalogy

Správa aplikací v Private Store

Obecně se bavíme o Microsoft Store for Business, ale zaměřujeme se na využití Private Store a zveřejnění aplikací zdarma.

Microsoft Store for Business obsahuje katalog aplikací a her. Na rozdíl od Microsoft Store z něj nejde rovnou instalovat produkty, ale je potřeba se přihlásit Azure AD účtem a pak se řeší jaká oprávnění má uživatel. Pokud dochází k instalaci aplikace, tak se v obou případech využívá Microsoft Store ve Windows. Pokud je zablokovaný, nebo třeba omezený na firemní Private Store, tak nedovolí nainstalovat nepovolené aplikace.

Pozn.: Nevím, zda je obsah obou katalogů stejný. Ale několik aplikací, které jsem zkusil, jsou v obou katalozích a mají i stejné ID.

V Microsoft Store je volba Get (nebo Buy), která rovnou otevírá Microsoft Store a provádí instalaci. Z Microsoft Store for Business se nejprve musí aplikace získat do firemního inventáře Get the app (nebo Buy) a pak se teprve může instalovat Install.

Získání aplikace (Acquire apps) - zařazení do inventáře

• Acquire apps in Microsoft Store for Business and Education

Postup zařazení aplikace do firemního inventáře

• pomocí vyhledávání (Search the store) nebo na záložce Shop for my group najdeme aplikaci v katalogu
• zvolíme Get the app
• aplikace se přidá do inventáře Products & services
• u aplikace (vedle Install) můžeme kliknout na tři tečky a zvolit Manage - dostaneme se rovnou do distribuce aplikace (popsáno dále)

Odstranění aplikace z inventáře

• Manage app orders in Microsoft Store for Business and Education

Abychom mohli aplikaci odstranit z inventáře, tak nesmí být přiřazena žádnému uživateli a zařazena do Private Store.

• Manage - Order history
• rozklikneme požadovanou aplikaci
• na řádku u položky vpravo jsou tři tečky - Refund
• potvrdíme odstranění z inventáře

Distribuce aplikace - zařazení do Private Store

• Distribute apps using your private store
• Assign apps to employees
• App inventory management for Microsoft Store for Business and Education

Distribuci aplikace můžeme provést přiřazením uživateli nebo zveřejněním v Private Store. Do Private Store můžeme přidat pouze aplikace s Online licencí.

• Manage - Products & services
• záložka Apps & software
• najdeme aplikaci a rozklikneme
• záložka Private store availability - nastavení Everyone přidá aplikaci do Private Store všem uživatelům, můžeme také omezit pouze na uživatele určité Azure AD skupiny - volba Specific Group
• záložka Users - můžeme přiřadit uživatelům Assign to Users, těm se odešle email s odkazem, aplikace se také přidá v uživatelově Microsoft Store do My Library

Existuje ještě druhá možnost, jak přidal aplikaci do Private Store, a to přidáním do kolekce (popisujeme dále). Pokud aplikaci přidáme do defaultní kolekce (Private Store), tak se ji nastaví Private store availability na Everyone, a vše je v pořádku. Ale pokud přidáme do jakékoliv jiné kolekce, tak zůstane No one a uživatelé aplikací nevidí (i když správce ji v kolekci vidí). Dokumentace o tomto nic neuvádí a mě to přijde jako bug.

Odstranění aplikace z Private Store

• Manage - Products & services
• záložka Apps & software
• najdeme aplikaci a rozklikneme
• záložka Private store availability - nastavení No one

Stejně jako přidání do Private Store, tak i odstranění můžeme provést odebráním z kolekce. Tím se nastaví Private store availability na No one.

Pozn.: Ve webovém rozhraní se změny projevují po obnovení stránky. Ale v Microsoft Store to nějakou dobu trvá a uživatel si může ještě po nějakou dobu aplikaci nainstalovat.

Odebrání aplikace uživateli (ne odinstalace)

• Manage - Products & services
• záložka Apps & software
• najdeme aplikaci a rozklikneme
• záložka Users - vidíme seznam uživatelů, kteří si aplikaci nainstalovali nebo jim byla přiřazena
• u uživatele můžeme kliknout na tři tečky a Reclaim license

Uživatel tak ztratí možnost aplikaci nainstalovat (pokud se nachází v Private Store, tak ne), ale již nainstalovaná aplikace se neodstraní. To mi přijde jako velká škoda, že není možno dát pokyn, aby se aplikace u uživatele odinstalovala.

Aplikace ve firemním inventáři

• App inventory management for Microsoft Store for Business and Education

Všechny aplikace v našem inventáři (ať jsou nebo nejsou vložené do Private Store) vidíme v

• Manage - Products & services

Na záložce Apps & software vidíme aplikace přidané z katalogu do inventáře. U každé položky v seznamu je vidět několik údajů. Třeba kolik uživatelů si ji nainstalovalo a zda je v Private Store. Poslední údaj ovšem nefunguje dobře. Pouze dokud poprvé aplikaci nezařadíme do Private Store, tak se ukazuje údaj Not in private store. Po zařazení se změní na In private store. A když následně z Private Store odstraníme, tak se tento údaj nezmění.

Seznam aplikací můžeme filtrovat podle různých údajů, třeba podle typu Online nebo Offline, zda je z Microsoft Store nebo jde o LOB, nebo také zda je v Private store (tedy jen pro ty případy, kdy se správně zobrazuje). Může se hodit vyfiltrovat dosud nezařazené aplikace Private store: Not in private store.

Pokud máme v inventáři nějakou Offline aplikaci, tak v detailech, místo přiřazení uživatelům, máme možnost stáhnout instalaci a licenci.

Kolekce v Private Store (Collection)

• Manage private store settings

Private Store je standardně pojmenovaný podle názvu firmy. Ve webovém rozhraní Microsoft Store for Business, i v aplikaci Microsoft Store, vidíme záložku s tímto jménem v horním menu. Jméno můžeme změnit v

• Manage - Settings - záložka Distribute

Ve webovém rozhraní pod Private Store můžeme vytvářet kolekce (Collection). Ty slouží k seskupování nebo kategorizaci aplikací. Jako první vidíme defaultní kolekci, což je náš Private Store. Do ní se automaticky umísťují aplikace po přidání do Private Store. Tuto kolekci je možno skrýt, pak se uživatelům nezobrazuje.

Můžeme zde vytvářet další pojmenované kolekce a do nich umisťovat aplikace.

• Private Store (naše jméno) - Add a Collection
• zadáme jméno a musíme přidat alespoň jednu aplikaci

Pozn: Jeden z mnoha příkladů, kdy dokumentace neodpovídá realitě. MS v dokumentaci uvádí, že lze kolekci také vytvořit z menu Manage - Products & services v detailu aplikace. Já zde informace o kolekcích nevidím.

Přidávat či odebírat aplikace v kolekci můžeme jednoduše. Jedna aplikace se může nacházet ve více kolekcích. Ale pokud máme v inventáři tisíce aplikací, tak se již nespravuje moc pohodlně.

• Private Store (naše jméno)
• vedle názvu kolekce klikneme na tři tečky - Edit collection
• u produktů použijeme Add nebo Remove

Group Policy pro nastavení Private store na klientech

• Manage access to private store
• Configure access to Microsoft Store

Group Policy obsahuje několik nastavení pro konfiguraci Microsoft Store. Co je velký problém, že na Windows 10 je toto podporováno pouze na edici Enterprise a Education. Nastavení nemají žádný vliv na rozšířené Windows 10 Pro (prý již od verze 1511). Čili ve Windows 10 Pro nemáme možnost zablokovat instalaci všech aplikací z Microsoft Store. Pouze po přihlášení Azure AD účtem se přidá záložka s Private Store.

Nastavení se nachází v cestě

• Computer Configuration (či User Configuration) / Administrative Templates / Windows Components / Store

K dispozici jsou nastavení pro vynucení/zakázání instalace aktualizací, zablokování aplikace Store, zablokování všech aplikací z Microsoft Store a zobrazení pouze Private Store v rámci Microsoft Store.

• Turn off Automatic Download and Install of updates
• Turn off the Store application
• Disable all apps from Microsoft Store
• Only display the private store within the Microsoft Store