Microsoft změnil název aplikace System Center Configuration Manager (SCCM) ve verzi 1910 na Microsoft Endpoint Configuration Manager (součást značky Microsoft Endpoint Manager) a používá se označení Configuration Manager (ConfigMgr). V článku používám primárně zkratky a často zůstávám u starého SCCM.
Microsoft obecně mluví o využití Management Tools pro distribuci (instalaci) aplikací z Microsoft Store for Business (MSfB). Jelikož MSfB umí aplikace pouze nabízet, ale ne instalovat či odinstalovat. Primárně se jedná právě o Microsoft Endpoint Configuration Manager nebo Microsoft Intune, ale může jít i o jiný MDM nástroj. Zde řešíme pouze Configuration Manager.
Dokumentace
Oficiální
- Manage apps from the Microsoft Store for Business and Education with Configuration Manager
- Configure Azure services for use with Configuration Manager
- Configure an MDM provider
- Distribute apps with a management tool
Články popisující napojení SCCM na Microsoft Store for Business a nasazení aplikací
- Deploying Microsoft Store for Business Apps from ConfigMgr
- SCCM Sync with MSfB Microsoft Store for Business | ConfigMgr
- Add Microsoft Store Application to ConfigMgr | SCCM | MSfB
- Create Microsoft Store Apps available in ConfigMgr Application
- Deploy Microsoft Store Apps using ConfigMgr | SCCM
Zprovoznění napojení SCCM/ConfigMgr do MSfB a synchronizace aplikací
Konfigurace Azure Services - vytvoření konektoru
- Configuration Manager Console
- otevřeme \Administration\Overview\Cloud Services\Azure Services
- klikneme na Configure Azure Services (nesmíme zde již mít službu Microsoft Store for Business vytvořenou)
- zadáme název (třeba
Microsoft Store for Business Connector
) a zvolíme službu Microsoft Store for Business
- u Web app klikneme na Browse
- v dalším okně Create
- vyplňujeme Create Server Application (oficiální dokumentace Create Server Application dialog)
- Application Name - s tímto názvem se vytvoří aplikace v Azure AD a následně využívá v MSfB, třeba
ConfigMgrService
- HomePage URL, App ID URI - není využíváno v SCCM/ConfigMgr, ale je důležité pro Azure AD, nemusí jít o existující adresu, oficiálně se uvádí jako default
https://ConfigMgrService
- Secret Key validity period podle bezpečnosti volíme 1 rok, 2 roky nebo žádné vypršení (což bychom asi použít neměli)
- klikneme na Sign in a přihlásíme se účtem správce Azure AD
- Application Name - s tímto názvem se vytvoří aplikace v Azure AD a následně využívá v MSfB, třeba
- pokud proběhne přihlášení v pořádku, tak tlačítko zešedne, zobrazí se Signed in successfully!, a vyplní se jméno našeho Tenantu
- v tu chvíli se také v Azure AD vytvoří Enterprise Application se zadaným názvem (nalezneme ji v Azure Active Directory admn center - Enterprise applications)
- klikneme na OK
- v okně Server App již máme vybranou aplikaci, tak opět potvrdíme OK
- v hlavním okně průvodce se vyplní Web app naším vytvořeným jménem
- klikneme na Next
- zadáme konfigurační parametry (oficiální dokumentace Supplemental information and configuration)
- na serveru musíme vytvořit sdílenou složku, kam bude mít počítačový účet SCCM práva, zde se budou ukládat kešované údaje synchronizovaného obsahu z Microsoft Store for Business (pouze pro Offline aplikace), síťovou cestu zadáme do formuláře, třeba
\\SCCM\BusinessStore
- zvolíme používané jazyky
- na serveru musíme vytvořit sdílenou složku, kam bude mít počítačový účet SCCM práva, zde se budou ukládat kešované údaje synchronizovaného obsahu z Microsoft Store for Business (pouze pro Offline aplikace), síťovou cestu zadáme do formuláře, třeba
- klikneme na Next, shrne se konfigurace, znovu Next a Close
Pozn.: Na sdílené složce se vytvořila podsložka wsfb. V SCCM/ConfigMgr vidíme vytvořenou službu a poslední stav synchronizace je Failed.
Problém s přihlášením do Azure AD
Měl jsem Microsoft Endpoint Configuration Manager verze 1910. V kroku Create Server Application při přihlášení účtem Azure AD správce se vrátila chyba (vlastní přihlášení podle logu Azure AD proběhlo v pořádku).
Failed to Create Client App. Server app might not be present in the tenant specified. For More details you can refer to the AdminUILog
V logu C:\Program Files (x86)\Microsoft Configuration Manager\AdminConsole\AdminUILog\SmsAdminUI.log
nebylo o moc více informací.
[1, PID:11228][01/19/2021 08:42:48] :System.AggregateException One or more errors occurred. at System.Threading.Tasks.Task.ThrowIfExceptional(Boolean includeTaskCanceledExceptions) at System.Threading.Tasks.Task`1.GetResultCore(Boolean waitCompletionNotification) at System.Threading.Tasks.Task`1.get_Result() at Microsoft.ConfigurationManagement.AdminConsole.CloudServicesManagement.AAD.AADDataHandler.RetrieveTenantDetailsFromAzureLoginCredentials() System.ArgumentNullException Value cannot be null. Parameter name: type at Microsoft.Data.Edm.EdmUtil.CheckArgumentNull[T](T value, String parameterName) [1, PID:11228][01/19/2021 08:42:48] :System.InvalidOperationException Failed to sign in to Azure.One or more errors occurred. at Microsoft.ConfigurationManagement.AdminConsole.CloudServicesManagement.AAD.AADDataHandler.RetrieveTenantDetailsFromAzureLoginCredentials() at Microsoft.ConfigurationManagement.AdminConsole.CloudServicesManagement.Dialogs.AADAppDetailsDialog.SignIn_(Object sender, EventArgs e) [1, PID:11228][01/19/2021 08:42:58] :System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. [1, PID:11228][01/19/2021 08:42:58] :Failed to get a response for OData query: v1.0/ConsoleUsageData/AdminService.UpdateConsoleHeartbeat.
Problém se řeší v pár diskusích. Obecně je doporučení vytvořit aplikaci v Azure AD manuálně, což je dost práce.
U nás se problém vyřešil tím, že se provedl upgrade Microsoft Endpoint Configuration Manager na verzi 2010. Pak již celé nastavení prošlo bez chyb.
Nastavení Microsoft Store for Business
Ve webové správě Microsoft Store for Business musíme přidat Management tool - náš Configuration Manager (vytvořenou Azure AD aplikaci). Tím mu dáme práva přístupu.
- Manage - Settings - záložka Distribute
- klikneme na + Add Management tool
- vyhledáme aplikaci, kterou jsme vytvořili (
ConfigMgrService
) podle jména a přidáme Add
- u aplikace klikneme na Activate
Synchronizace z Microsoft Store for Business do SCCM/ConfigMgr
- vrátíme se do SCCM
- \Administration\Overview\Cloud Services\Azure Services
- vybereme naši službu
- klikneme na Sync from Microsoft Store for Business (nebo počkáme na automatickou synchronizaci)
- po chvíli klikneme na Refresh a měl by se změnit stav poslední synchronizace na Succeeded
Otázka je, jak často probíhá synchronizace. Patrně lze konfigurovat, u mne je to každých 30 minut. Nevím, jak mám chápat informaci z dokumentace Synchronize app data to Configuration Manager (synchronization occurs every 24 hours)
Summary of capabilities. V jednom článku uváděli, že synchronizace probíhá každých 10 minut.
Můžeme se podívat na detaily do logu synchronizace (standardní cesta) C:\Program Files\Microsoft Configuration Manager\Logs\WsfbSyncWorker.log
. Ve starých záznamech vidím, že se nepovedlo načíst klíč v registrech, takže se používá defaultní interval 24 hodin. Pak asi došlo ke konfiguraci a objevil se i záznam, že minimální interval pro synchronizaci je 10 minut. Následovalo několik chyb autorizace, kdy nebyla služba povolena v Microsoft Store for Business. Poté již začala probíhat korektně každých 30 minut.
SCCM/ConfigMgr a aplikace z Microsoft Store
Seznam aplikací z MSfB
Aplikace synchronizované z Microsoft Store for Business vidíme (a můžeme standardně použít) v
- \Software Library\Overview\Application Management\License Information for Store Apps
Aplikace Online vs. Offline
Jestli použijeme Online nebo Offline verzi aplikace z Microsoft Store for Business je značný rozdíl v instalaci, správě a také v podmínkách, které musí být splněny u klientů.
Při nasazení Online aplikace se instaluje (stahuje data) z Microsoft Store. SCCM/ConfigMgr dá pouze pokyn, že se má daná aplikace nainstalovat, a dokonce neumí správně vyhodnotit výsledek instalace a nekontroluje verzi aplikace. Aplikace se následně automaticky aktualizuje z Microsoft Store (prostě je to úplně stejné, jako by si ji uživatel instaloval sám).
Pro instalaci Online aplikace je potřeba připojení k internetu a Azure AD účet. Minimální verze Windows 10 1703. A hlavně, zařízení musí být Azure AD joined, Hybrid Azure AD joined nebo Azure AD registered. Pokud je zařazeno pouze do lokální (On-Premises) domény a není ani registrováno v Azure AD, tak instalace neproběhne (i když se tváří, že ano, viz. popis na konci článku).
Offline aplikace instaluje SCCM/ConfigMgr z kešovaných dat přímo v On-Premises síti. Zařízení nemusí mít připojení do Microsoft Store ani k internetu. Nejsou potřeba Azure AD účty ani připojení/registrace zařízení. Uživatel nemůže aplikaci aktualizovat, musí se provádět Offline aktualizace pomocí SCCM/ConfigMgr. Microsoft uvádí, že pokud se nějaká aplikace získá jako Offline, tak se nesmí uživatelům publikovat do Microsoft Store.
Odstranění předinstalovaných Windows 10 aplikací
Nějaké podrobnější návody na internetu (řeší tam třeba nalezení aplikací, které vyhledávání v MSfB nenajde)
- Remove Windows 10 In-Box Apps with ConfigMgr or Intune and the Microsoft Store for Business
- The modern way to remove Windows 10 in-box apps without them reinstalling
Ve Windows 10 je od Microsoftu předinstalovaná řada Universal Windows Platform aplikací (označuje se jako Windows 10 In-Box Apps). Ty se ještě liší s různými verzemi Windows 10. Některé z nich nejsou pro firemní prostředí přínosem, ale spíše problémem. Odstranit se dají pomocí různých skriptů, ale jednodušší a více profesionální řešení může být právě využití SCCM/ConfigMgr a napojení na Microsoft Store for Business.
Při odinstalaci (odebrání) aplikací nemusí být splněny podmínky, jako při instalaci Online aplikací (hlavně není třeba účet/napojení do Azure AD). Stručný postup:
- v Microsoft Store for Business přidáme aplikaci do firemního inventáře
- synchronizujeme do SCCM/ConfigMgr
- \Software Library\Overview\Application Management\License Information for Store Apps
- najdeme aplikaci, zvolíme Create Application a projdeme průvodce
- \Software Library\Overview\Application Management\Applications
- najdeme aplikaci a zvolíme Deploy
- vybereme kolekci, jako akci zvolíme Uninstall a standardně nastavíme další parametry
Instalace Online aplikace
Instalace se provádí stejně, jako bylo popsáno v předchozí kapitole o odinstalování, pouze se volí akce Install. Pokud ovšem počítač, na který aplikaci instalujeme, není registrován nebo připojen do Azure AD, tak instalace nefunguje. Problém je, že na klientovi i v SCCM/ConfigMgr se zobrazí informace, že byla instalace úspěšně provedena. Ale aplikace se nenainstaluje.
Ověření nebo registraci do Azure AD můžeme provést na klientovi v Settings - Accounts - Access work or school. Zde musíme vidět připojený účet nebo jej připojit pomocí Connect.
Zatím zde nejsou žádné komentáře.