Úvod do sideloadingu Windows 8 aplikací pomocí SC Configuration Manageru

Autorem tohoto článků je Martin Booth, Senior Technical Product Manager v produktovém týmu System Center. Protože jde o téma značně zajímavé a rezonující s informacemi, které přinášíme na českém TechNet blogu, přinášíme vám článek v českém překladu. Originál článku v anglickém jazyce naleznete na blogu Jeffa Bullera.

V článku si popíšeme koncept sideloading procesu a digitálního podepisování interních firemních Windows Store aplikací tak, aby bylo možné tyto aplikace nasadit na Windows 8.1 zařízení pomocí OMA-DM v System Center Configuration Manageru 2012 R2 či Windows Intune.

Co je to sideloading?

Windows Store aplikace jsou novým typem “moderních” aplikací, které fungují v novém uživatelském rozhraní Windows 8.1 a Windows 8 zařízení. Tyto aplikace jsou založeny na Windows Runtime API a od klasických desktopových aplikací se liší zejména designem a možnostmi ovládání z pohledu uživatele (pro podrobnější informace o Windows Store aplikacích se podívejte na článek Seznámení s aplikacemi ve Windows Storu).

Jedinou běžnou možností, jak se dostat k moderní Windows Store aplikaci, je aplikační katalog Windows Store. Tento katalog je k dispozici jak pro aplikace, zaměřené na koncové uživatele, tak pro aplikace firemní. Svou firemní aplikaci můžete publikovat na Windows Store a dát jí tak k dispozici veřejně (s tím, že aplikace po spuštění může vyžadovat firemní uživatelské jméno a heslo, čímž se zamezí použití aplikace neoprávněnými uživateli).

V rámci firemního prostředí ovšem máte k dispozici i další možnost: interní Windows Store aplikaci můžete do firemních zařízení nainstalovat pomocí procesu zvaného sideloading. Výhodou sideloadingu je to, že pro distribuci aplikace nemusíte využít veřejný Windows Store (a odpadá tedy i nutnost projít certifikačním procesem, který publikaci aplikace na Windows Store předchází) a aplikace je k dispozici pouze a výlučně firemním uživatelům.

Aplikace, které nejsou digitálně podepsány certifikátem veřejného Windows Storu, je možné instalovat pouze na zařízení, která mají povolenou funkcionalitu sideloadingu. U edic Windows 8.1 Enterprise, Windows 8 Enterprise, Windows Server 2012 R2 či Windows Server 2012 povolíte sideloading jednoduše zařazením počítače do domény. Abyste povolili sideloading u Windows 8.1 Enterprise či Windows 8 Enterprise počítačů, které nejsou připojeny do domény, případně u počítačů s edicí Windows 8.1 Pro nebo Windows 8 Pro (bez ohledu na to, zda jsou či nejsou připojeny do domény) či Windows RT zařízení, musíte použít sideloading aktivační klíč. Pro informace o tom, kde tyto aktivační klíče sehnat, navštivte stránku Microsoft Volume Licensing.

Firemní Windows Store aplikace mohou být do firemních počítačů sideloadovány pomocí skriptů, kdy instalace je prováděna pro každého uživatele zvlášť, případně lze použít provisioning aplikace do firemních instalačních imagí, takže aplikace je součástí instalace operačního systému na počítači a je instalována každému uživateli, který se na daném počítači přihlásí. S nárůstem využití scénářů BYOD (Bring Your Own Device neboli Přines si své vlastní zařízení), kdy se jedná o zařízení bez připojení do domény a instalace firemní image, ovšem scénáře skriptované či image instalace využít nelze. A zde přichází ke slovu System Center Configuration Manager 2012 R2, který ve spolupráci s cloudovou službou Windows Intune umožňuje sideloading a dává k dispozici interní katalog aplikací firemním uživatelům.

Pokud vás zajímají možnosti sideloadingu bez použití  Configuration Manager, máme pro vás několik tipů na zajímavé články, které popisují požadavky na sideloading a možnosti provedení instalace aplikace per-user či per-device:

Konfigurace sideloading aktivačních klíčů v Configuration Manageru 2012 R2

V Configuration Manageru 2012 R2 máte dvě možnosti, jak přidat sideloading aktivační klíče; buďto v rámci průvodce připojení k Windows Intune Subscription, nebo přímo v sekci “Windows Sideloading Keys” ve správcovské konzoli.

Při prvotní konfiguraci Windows Intune Subscription v Configuration Manageru 2012 R2 máte možnost specifikovat, pro které platformy chcete sideloading povolit, a pokud kromě jiných platforem vyberete i Windows, máte přímo v průvodci možnost přidat sideloading aktivační klíče.

Ve správcovské konzoli pak můžete sideloading aktivační klíče přidávat před i po konfiguraci Windows Intune Subscription. Sekci pro zadávání klíčů naleznete v konzoli v části “Software Library” -> “Application Management” -> “Windows Sideloading Keys”:

Zadání nového klíče je jednoduché, zadáte jméno, samotný klíč, počet aktivací platných pro daný klíč a (volitelně) podrobnější popis:

Jakmile jsou klíče zadány do systému, jsou automaticky přidělovány zařízením v okamžiku připojení do správy. Pokud dojde k vyčerpání počtu aktivací, Configuration Manager začne využívat aktivaci z dalšího klíče zadaného v seznamu.

Monitoring sideloading klíčů

Sideloading klíče je potřeba udržovat pod kontrolou. Pokud dojde k vyčerpání počtu aktivací, další zařízení sice budou zahrnuta do správy, ale nebude možné na ně instalovat aplikace. Configuration Manager 2012 R2 naštěstí nabízí několik možností, jak se ujistit, že je k dispozici dostatečný počet aktivací. Přímo ve správcovské konzoli je vidět celkový počet dostupných aktivačních klíčů, jak je patrné na snímku obrazovky výše v textu.

Dále je k dispozici několik reportů, které pomocí vestavěného SQL Server Reportingu umožňují zobrazit (ať už souhrnně či detailně) využití sideloading aktivačních klíčů. Tyto reporty lze generovat opakovaně a automatizovaně podle daných intervalů, přičemž výstup je možné uložit do souboru, poslat mailem či zobrazit v SharePoint portálu.

K dispozici je rovněž vestavěný alert, který je přednastaven tak, aby varoval správce ve chvíli, kdy počet dostupných sideloading aktivací klesne pod 10 (toto číslo lze měnit podle potřeb).

Jak funguje podepisování aplikací pro Windows 8

Bezpečnostní model Windows 8 vyžaduje, aby kód aplikace byl podepsán autoritou, které firemní zařízení důvěřují. U aplikací, distribuovaných pomocí veřejného Windows Store, je digitální podpis součástí certifikačního procesu a potřebný důvěryhodný certifikát je součástí Windows 8. Ve firemním prostředí můžete buďto aplikaci podepsat pomocí certifikátu, vydaného certifikační autoritou, jejíž certifikát je již součástí důvěryhodných certifikátů přímo v OS Windows, nebo můžete aplikaci podepsat pomocí vlastní PKI a distribuovat certifikát pomocí Configuration Manageru.

Doporučuji spíše druhou možnost, protože díky nutnosti nasazení vlastního certifikátu máte pod kontrolou, na kterých zařízeních bude možné úspěšně nainstalovat a spustit firemní aplikaci. Můžete tak zajistit, že certifikát (a tím pádem i možnost instalace firemních aplikací) bude distribuován pouze na zařízení, která máte zahrnuta ve správě.

Jak tedy firemní aplikaci podepsat? Nejprve doporučuji podívat se na článek na blogu The Deployment Guys, který popisuje požadavky na podepisování aplikací pomocí vlastní PKI a uvádí, jak aplikaci zabalit a podepsat pomocí Visual Studia.

K dispozici jsou i další informační zdroje:

Nasazení certifikátu pomocí Configuration Manageru 2012 R2

Pokud jste aplikaci podepsali pomocí vlastní PKI infrastruktury, dalším krokem je nastavení Configuration Manageru 2012 R2 pro nasazení certifikátu dané certifikační autority do Windows zařízení v okamžiku jejich zařazení pod správu. Nejjednodušší cestou je zadání certifikátu do záložky “Windows” ve vlastnostech Windows Intune Subscription:

Pro podrobnější informace o konfiguraci Windows Intune subscription se podívejte na tento článek knihovny TechNet: https://technet.microsoft.com/en-us/library/jj884158.aspx

Možná vás napadla otázka “Co se stane, pokud vyprší platnost certifikátu, případně platnost podpisu aplikace?” Jak je popsáno v tomto článku: https://technet.microsoft.com/en-us/library/dn469410.aspx, aplikaci nebude dále možné stáhnout. Pokud je certifikát platný, ale vypršel podpis aplikace, je nutné aplikaci znovu podepsat a publikovat, aby nahradila stávající instance aplikace. Pokud vypršela platnost certifikátu, můžete nově podepsat a publikovat aplikaci a následně aktualizovat certifikát ve vlastnostech Windows Intune Subscription.

Závěr

Věřím, že tento článek vnesl více světla do procesu, který Windows využívají sideloading klíče a podepisování aplikací pro zvýšení zabezpečení a lepší možnosti správy. Po provedení těchto kroků můžete Configuration Manager 2012 R2 v kombinaci s Windows Intune využít pro samotnou publikaci aplikací, kterou si popíšeme v pokračování tohoto článku.

Martin Booth