だいぶ久しぶりの更新になってしまいました。
仕事の方でIntuneを使い始めまして、ここの更新が滞っていました。Intuneわかりにくい。
備忘録として、これから触り始める人への取っ掛かりとして、記事を残そうと思います。
アプリ配信について
Intuneではいろんなことができます。
まずはその中でも結構ニーズが高そうな、アプリ配信について残します。
細かい話はいろんな記事で既に載っているのでそちらは先達にお任せしまして、当ブログではそもそもどんな風に使っていけばいいの?どんなところに気を付ければいいの?について記載していきたいと思います。
アプリ配信についての公式はこんな感じ。わかりにくい。
https://learn.microsoft.com/ja-jp/mem/intune/apps/apps-add
アプリケーションを配信するという意味について
Intuneが、クライアントPCに対してパッケージファイルを配信してコマンドを実行します。
そのやり方が何種類かあります。
前提として、配信されるPCはIntuneに登録されている必要がありますし、ユーザーにはE3とかのライセンスが割り当たっている必要があります。
Intuneからアプリ配信するときは、ざっくりと下記の4パターンを使うことがあると思います。
- インストーラが.exeのアプリをインストールしたい場合
- インストーラが.msiのアプリをインストールしたい場合
- MicrosoftStoreのアプリをインストールしたい場合
- MicrosoftStore(レガシ)のアプリをインストールしたい場合
レガシって何だ・・・
.msiの配信は簡単です。ほぼ100%失敗しません。
ただ、Intune上のアプリ配信画面の表記が「業務用アプリ」となっていてmsiと理解が紐づかないので最初は何?どこ?ってなります。
逆にwin32は失敗します。色々できるのですが、半面癖が強いので慣れるまで大変です。
MicrosoftStoreの配信もありますが、何となくしか分かっていません。
何となく使えています。勉強したらまた書きます。
win32
よく使いますし、いろんな使い方ができます。
それ故色んな所で記事が出ていますので、配信するまでのステップでは困らないと思います。
win32形式のアプリが配信される時の実際の動きとしては、
検出規則がクリアされていない場合、クライアントPCのWindowsフォルダの配下に一時フォルダが作られ、そのフォルダにインストーラを配信、その後インストールコマンドを管理者権限で実行、一時フォルダを削除するみたいな動きみたいです。
その後、設定されている検出規則がTrueかFalseかを判定してアプリ配信が成功したか失敗したかを判定しています。
コマンドが間違っていたり、サイレントインストールに対応していないインストーラを配信した場合に失敗してもここでは合否判定していませんので配信の際に設定する「検出規則」に気を付ける必要があります。
win32でアプリ配信するまでの大まかな流れとしては下記4ステップです。
- アプリのインストーラー(.exeとか)を用意する
- インストーラーでサイレントインストール等のオプションがあるか確認する
(インタラクティブなインストール形式だと対応できないので別手段を検討する) - インストーラーを.intunewinパッケージに変換する
- .intunewinファイルをIntuneにアップして配信
win32形式でIntuneにアップするファイルは、「.intunewin」ファイルにしてアップするのですが、そのためには下記サイトから「IntuneWinAppUtil.exe」というツールをダウンロードする必要があります。
IntuneWinAppUtil.exeの使い方やwin32でやれることは下記の記事をご参照いただくのがよいと思います。
https://qiita.com/ShinichiroKosugi/items/c69764daa18d212eeee2
win32の配信で注意する点としては、下記2点をピックアップします。
- 配信しようとしているexeがIntune配信に適しているか?
(サイレントインストールが可能か?) - 検出規則の設定方法
1. 配信しようとしているexeがIntune配信に適しているか?
これについては、exeを1つずつ確認していくしかないと思っています・・・
コマンドプロンプトなどでリファレンスオプション(/?や/help)を付けてみて返答があるかないか・・・
サイレントインストールするオプション(/qや/VERYSILENTなど)があるかないか・・・
こうやって、もしサイレントインストールが可能であれば配信可能です。
そして、配信時のコマンドにインストーラをサイレントで実行できるものを設定します。
サイレントでできないものは例えば、GUIでインストール時の言語を設定したり、利用許諾にチェックを入れさせたりする必要があるものです。
このような操作がコマンドで実行できれば人の手が必要なくなるので、Intuneで配信できます。
これで人の手が必要なものだった場合は、大体手段として「runas」や「PsExec.exe」などを使ったスクリプトを作成して、ユーザーが自分でそのexeを実行できるように準備する方法があります。
(インストーラとスクリプトを.intunewinに固めてクライアントPCに配信することができます。配信先フォルダのスクリプトをダブルクリックしてもらうような手順をユーザーに伝えれば目的は達成できると思います。)
こちらはまた別記事で書こうかと思います・・・
2. 検出規則の設定方法
こちらは分かってしまえば簡単なのですが、分かっていないときにすごいハマりました。
検出規則は、アプリ配信が成功したか失敗したかを判定する条件設定なのですが、実は配信にも影響があります。
端的に言うと、「検出規則をクリアしている状態の配信先には配信を試みない」という仕様があるということです。
例えば、applicationAがインストールされると%USERPROFILE%\AppData\Local\applicationA にアプリのフォルダが作成されるとします。
その場合は検出規則にはきちんと「%USERPROFILE%\AppData\Local\applicationA」を設定してあげないといけないということです。
ちょっと横着して「%USERPROFILE%\AppData\Local」を検出規則にしてしまうと、既に%USERPROFILE%\AppData\Localが存在しているので、そのPCには一生「applicationA」は配信されません・・・(一敗)
加えて、Intuneで配信する前に一回手動でアプリをインストールしてみてどこにフォルダが作成されるのか、アプリがインストールされる前と差分が出るフォルダはどこか、というのを控えておく必要があります。
ちなみに、検出規則に書くパスはWindows標準の環境変数ならきちんと動作します。
%USERPROFILE%とか%TEMP%とか。
アプリ配信、奥が深いというか分かりにくいというか・・・
公式含めて断片的な情報を集めていくしかないので、結構Intuneしんどいです。
あと配信結果が分かるまで結構時間掛かります。(Jamfの優秀さが分かりました)
Intune触るようになってGoogleWorkspaceとchromeBookだけの会社とかないかなー
とか思うようになりました。
今のところネガティブな印象ですが、唯一無二のIT管理システムですのでどのくらい使いこなせるようになれるか、頑張ってみます。
コメント