Sideloading Windows 8 et Windows RT avec Windows Intune

Dans le précédent article je décrivais le principe du sideloading sur Windows 8 et Windows RT. Nous avons vu les 3 conditions à respecter pour rendre le sideloading possible, à savoir :

  • Une condition de licence, consistant à installer et activer une clé de sideloading pour Windows 8 Entreprise en workgroup, Windows 8 Pro ou Windows RT. Il n’y a rien à faire sur Windows 8 Entreprise dans un domaine.
  • Une stratégie “Autoriser l’installation des applications approuvées” à activer, par stratégie ou directement dans le registre.
  • Une signature du package de l’application par un certificat reconnu par le poste client, c’est à dire que le certificat de l’autorité de certification émettrice doit être dans le magasin des autorités racines de confiance de l’ordinateur.

Windows Intune est la solution Microsoft de type SaaS pour la gestion des PC et des périphériques mobiles. Pour un aperçu des fonctionnalités de Windows Intune : https://www.microsoft.com/fr-fr/windows/windowsintune/explore.aspx.

Parmi ses fonctionnalités, Windows Intune permet à l’entreprise de déployer des applications sur les PC, tablettes et téléphones de ses utilisateurs. En particulier, Windows Intune gère le déploiement d’applications modernes pour Windows 8 et Windows RT, que ce soient des applications du Windows Store ou des applications métier spécifiques. Pour ces dernières, les contraintes du sideloading s’appliquent, et nous allons voir comment procéder.

Tout d’abord, Windows Intune fait une distinction entre les PC (les PC x86 en général), et les périphériques mobiles (tablettes et téléphones). Pour ce qui nous intéresse ici, Windows 8 Entreprise et Windows 8 Pro sont dans la première catégorie, alors que Windows RT fait partie de la seconde.

Computers & Mobile Devices

Un deuxième principe important de Windows Intune est que l’on cible des utilisateurs, et non pas des machines. D’un côté, un utilisateur peut enregistrer plusieurs PC et périphériques mobiles en sa possession. De l’autre, un administrateur peut déployer une application à destination de groupes d’utilisateurs, de façon obligatoire ou simplement en les mettant à disposition des utilisateurs.

Ce qui amène le troisième principe : ce sont les utilisateurs qui décident des applications qu’ils installent parmi celles qui leur sont mises à disposition, ce qui permet des scénarios de BYOD.

Préparation des clients Windows 8

Dans la pratique, il y a une différence de taille entre le traitement de Windows 8 Pro et Entreprise, et Windows RT. En effet pour Windows 8 il faut installer la stratégie, la clé de sideloading et le certificat de signature manuellement ou par un script : quelques lignes de PowerShell suffisent. Par exemple :

New-Item -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\Appx

Set-ItemProperty -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\Appx -Name AllowAllTrustedApps -Value 1

cscript.exe c:\windows\system32\slmgr.vbs /ipk <clé de sideloading>

cscript.exe c:\windows\system32\slmgr.vbs /ato ec67814b-30e6-4a50-bf7b-d55daf729d1e

certutil.exe -addstore Root <certificat.cer>

Voici ce que cela donne sur un Windows 8 Pro :

Windows 8 Pro Sideloading prep

Remarquez que dans l’exemple ci-dessus on ajoute deux certificats de signature. Il est possible d’en installer autant qu’il faut si les applications à déployer ne sont pas toutes signées avec le même certificat.

Pour Windows RT, il n’y a rien à faire si l’on configure Windows Intune au préalable. En effet, avec Windows RT on est typiquement dans des scénarios de type BYOD ou la simplicité de mise en œuvre pour l’utilisateur est primordiale. Dans ce cas, l’administrateur place dans Windows Intune une ou plusieurs clés de sideloading et un certificat de signature de code ; ceux–ci seront automatiquement déployés sur les postes clients lors de leur enregistrement. Ceci est détaillé dans la section suivante.

Préparation de Windows Intune

Comptes d’utilisateurs dans Windows Intune

La gestion des comptes d’utilisateurs de Windows Intune se passe dans la console des comptes : https://account.manage.microsoft.com/.

Ce n’est pas l’objet de cet article d’entrer dans le détail de la gestion des utilisateurs de Windows Intune.  Je vous renvoie donc à la documentation complète ici en anglais, ou ici en français.

Un conseil cependant : ne pas oublier d’activer les utilisateurs en les plaçant dans le groupe Windows Intune :

image

Configuration de Windows Intune pour les clients Windows RT

Dans la console d’administration (https://admin.manage.microsoft.com/), dans Administration – Mobile Device Management – Windows RT :

Windows RT MDM Setup

Ajouter une clé de sideloading et le certificat (.cer) de signature de code utilisé pour signer les applications à déployer.

Note : L’interface permet l’enregistrement d’un seul certificat de signature de code. Pour déployer des applications signées par des certificats différents, il faudra les enregistrer manuellement sur les clients Windows RT, comme sur les clients Windows 8, avec la ligne de commande certutil.exe -addstore Root <certificat.cer>.

En plus de cela il est recommandé de préparer un CNAME pour le DNS de votre domaine : enterpriseenrollment. Celui-ci doit pointer sur enterpriseenrollment.manage.microsoft.com. Toutefois, ceci n’est pas obligatoire, et, le temps d’un test, on peut tout à fait s’en passer. L’utilisateur final devra simplement taper le nom du serveur enterpriseenrollment-s.manage.microsoft.com lors de l’inscription de sa machine.

Tout ceci est documenté ici en anglais et ici en français. Prenez garde, la traduction française est assez fantaisiste.

Chargement d’applications dans Windows Intune

Je vous renvoie ici à la documentation de Windows Intune sur le déploiement d’applications : ici en anglais, ici en français. La démarche est en deux phases :

  • Dans la console d’administration (https://admin.manage.microsoft.com/), dans Software – Managed Software, Cliquer sur <Add Software> pour envoyer le package .appx vers Windows Intune.

Add Software

  • Cliquer à droite sur le logiciel envoyé, choisir <Manage Deployment>, et choisir un groupe d’utilisateurs :

Deployment

  • Cliquer sur <Next>, choisir le type d’approbation “Available Install” puis cliquer sur <Finish>.

Ceci est bien entendu grossièrement résumé, mais ce n’est pas notre propos aujourd’hui.

Inscription d’un client Windows 8

Pour inscrire un client Windows 8 (Entreprise ou Pro) après l’avoir préparé et préparé Windows Intune comme indiqué précédemment, voici la marche à suivre. Notez que c’est l’utilisateur qui s’en charge, et que le département informatique devra donc en principe lui documenter la procédure.

  • Ouvrir le portail Windows Intune : https://portal.manage.microsoft.com/
    • S’authentifier avec son adresse email et son mot de passe correspondant à son compte d’utilisateur dans Windows Intune.
    • Cliquer sur “Tous mes périphériques”, puis sur “Inscrire votre ordinateur”, puis sur “Télécharger le logiciel”, et enfin exécuter le programme d’installation.

A ce stade, dans le portail Windows Intune, dans la page “Tous mes périphériques”, l’ordinateur nouvellement inscrit doit être présent. D’autre part, dans l’écran de démarrage de Windows se trouvent maintenant deux nouvelles applications : Windows Intune Center et Windows Intune Endpoint Protection (l’antivirus de Windows Intune).

image

  • Dans le Windows Store, installer le Portail d’entreprise :

Store Portail d'entreprise

Dans l’écran d’accueil de Windows :

image

  • Lancer le Portail d’entreprise, s’authentifier avec son email et son mot de passe :

Portail d'entreprise

Les applications mises à disposition par l’administrateur Windows Intune sont accessibles à partir du portail d’entreprise.

Inscription d’un client Windows RT

Pour inscrire un client Windows RT :

  • Dans le panneau de configuration, rechercher et exécuter “Applications de l’entreprise” (ou, plus simplement, lancer companyapps.exe)
  • Entrer ses identifiants (email et mot de passe) :

Applications de l'entreprise - authentification

  • Si le DNS de l’entreprise n’est pas configuré, un avertissement “Impossible de trouver un serveur pour cette demande” est affiché. Cliquer alors sur “Entrer plus d’informations”.

Impossible de trouver un serveur pour cette demande enterpriseenrollment-s.manage.microsoft.com

  • Entrer alors le nom suivant en dace de Adresse de serveur : enterpriseenrollment-s.manage.microsoft.com.

Connecté

Cette procédure d’inscription a pour effet d’installer la clé de sideloading enregistrée par l’administrateur dans la console d’administration de Windows Intune, et d’établir la confiance par un certificat sur le poste client.

Il ne reste plus ensuite qu’à installer l’application Portail d’entreprise de la même manière que pour Windows 8.

Dans les deux cas, Windows 8 comme Windows RT, nous avons donc un portail d’entreprise directement dans l’interface moderne de Windows, qui permet de rechercher et installer toutes les applications mises à disposition par l’entreprise, qu’elles soient privées ou dans le store public.

En conclusion, nous avons vu que le sideloading nécessite quelques manipulations facilement scriptables en préparation, et que Windows RT dispose d’un module d’enregistrement spécifique (companyapps.exe). Au final, nous retrouvons la même application Portail d’entreprise dans les deux cas.