WinRT アプリの企業内での展開手法について€¦ · – オンプレミスで提供するデバイス管理ソリューション – SCCM 2012 SP1/R2 でWinRT アプリの展開に対応

© 2014 Microsoft Corporation. All rights reserved

WinRT アプリの企業内での展開手法について

日本マイクロソフト株式会社

© 2014 Microsoft Corporation. All rights reserved 22

アジェンダ

WinRT アプリの概要

企業 IT による配布（サイドローディング）

– アプリケーションインストールの許可設定

– サイドローディングキーの配布

– 電子証明書の配布

– アプリケーションの配布

WinRT アプリの管理

– WinRT アプリのインストール状況の取得

– WinRT アプリの利用制御

まとめ

Appendix


WinRT アプリの概要


Windows 8.1 のユーザーインターフェース

デスクトップ UI/デスクトップアプリの利用

Windows 8 スタイル UI/WinRT アプリの利用

2 つの UI を 1 つの OS に内包し、

用途に応じたアプリケーションの利用環境を提供


Windows ストアアプリ(ストアより入手)

WinRT アプリ(サイドローディング)

デスクトップ版Internet Explorer

(アドインの追加が可能)

メールや Internet Explorer(標準搭載)

Office や Win32、.Netアプリケーション

（より早く情報を入手する）（コンテンツを作る）

Windows アプリの分類


WinRT アプリのインストール

WinRT アプリをインストールするための 2 つの方法を提供


企業 IT による配布（サイドローディング）


Windows 8.1 Pro

プロダクトキー

が必要

機能として

提供(ドメイン参加時)

Windows 8.1 Enterprise

Windows RT 8.1 WinRT アプリの

配布基盤として利用可能

サイドローディング (企業 IT によるカスタム LOB アプリの配布)

Windows 8.1 Enterprise、Windows 8.1 Pro が実行されドメインに参加している PC で利用可能

Windows RT 8.1、ドメインに参加していない Windows 8.1 Enterprise、Windows 8.1 Pro には追加のサイドローディングキーのインストールが必要

– サイドローディングキーの入手方法

• Select, EA, ESA などの契約をお持ちのお客様はマイクロソフトボリュームライセンスサービスセンター (VLSC) より入手が可能

• 上記ライセンス契約をお持ちでないお客様は、認証回数無制限のサイドローディングキーの購入が必要

WinRT アプリのインストールは PowerShell や System Center 2012 Configuration Manager (SCCM 2012) SP1/R2, Windows Intune 経由で実施

※ Windows 8.1 Pro は Update 適用時に上記動作、Update 未適用時は、サイドローディングキーが必ず必要


サイドローディングに必要な設定

• アプリケーションインストールの許可設定

• アプリケーション配布前に設定

• グループポリシーで、Windows ストア以外からのアプリインストールを許可

• サイドローディングキーの配布と、認証

• アプリケーション利用前に実施

• ライセンスキーを各クライアントデバイスに配布して、アクティベーションを実施

• 電子証明書の配布

• アプリケーション利用前に実施

• WinRT アプリの署名を行った証明書を信頼するように、必要な証明書を配布

• アプリケーションの配布

• デバイスに対する配布（プロビジョニング）

• 利用ユーザーに対する配布（Power Shell スクリプト、アプリケーション配布基盤の利用）


アプリケーションインストールの許可設定

グループポリシー（または、ローカルポリシー）で、「信頼できるすべてのアプリのインストールを許可する」を有効化

サイドローディングを行う全てのエディションで設定を実施

– Windows 8.1 Enterprise（ドメイン環境）

– Windows 8.1 Enterprise（非ドメイン環境）

– Windows 8.1 Pro（ドメイン環境）

– Windows 8.1 Pro（非ドメイン環境）

– Windows RT 8.1

■グループポリシーの保存先コンピューターの構成¥管理用テンプレート¥Windows コンポーネント¥アプリパッケージの展開


サイドローディングキーの配布と認証

サイドローディングキーをクライアントにインストールし、オンラインでの認証を実施

ドメイン環境下の Windows 8.1 Enterprise, Windows 8.1 Pro では実施の必要なし

サイドローディングキーの入手– 以下のボリュームライセンスプログラム契約をお持ちのお客様には(購入製品に関わらず) マイクロソフトボリュームライセンスサービスセンター

(VLSC) より入手が可能

• Enterprise Agreement

• Enterprise Subscription Agreement

• Enrollment for Education Solutions (Campus and School Agreement のもの)

• School Agreement

• Select および Select Plus

– 上記ライセンス契約をお持ちでないお客様は、認証回数無制限のサイドローディングキーの購入が必要

サイドローディングキーのインストールと認証– コマンドプロンプトから実行

• slmgr /ipk <サイドローディングプロダクトキー>

• slmgr /ato <ライセンス認証 ID>

※サイドローディングキーのライセンス認証 ID

ec67814b-30e6-4a50-bf7b-d55daf729d1e

※入力例

slmgr /ato ec67814b-30e6-4a50-bf7b-d55daf729d1e

– キーのインストールは、OS イメージに対しても可能

– VAMT によるキーのインストールやアクティベーションの集中管理も可能

slmgr /dlv コマンドによるライセンス情報の表示例

※ Windows 8.1 Pro は Update 適用時に上記動作、Update 未適用時は、サイドローディングキーの配布と認証が必要


電子証明書の配布

WinRT アプリの署名で使われている証明書を信頼する設定を実施

– Windows 8.1 にあらかじめ登録されている CA （証明書発行機関）より発行された証明書で署名されている場合は実施の必要なし

– 組織内で構築された独自 CA の証明書で署名されている場合などに実施

各クライアントの「信頼された証明機関」に、証明書発行元のルート証明書を登録

– 各クライアントでそれぞれ証明書を登録

– グループポリシーを利用して証明書を登録

グループポリシーによるルート証明書の登録


アプリケーションの配布

デバイスへの配布と、ユーザーへの配布の２種類の方法で実施

デバイスへの配布

– OS イメージへのプロビジョニング

• デバイスへ展開する OS イメージにあらかじめ WinRT アプリを登録する方法

• デバイスへログオンした全ユーザーで利用可能

ユーザーへの配布

– PowerShell によるインストール

• Add-AppxPackage コマンドを利用して登録

– System Center 2012 SP1/R2 Configuration Manager による配布

• SCCM 2012 SP1/R2 で、WinRT アプリの配布に対応

• エンドユーザー向けのポータルサイトからの、エンドユーザー主導のインストール

– Windows Intune による配布

• WinRT アプリの配布に対応

• 企業向けセルフサービスアプリケーションから、エンドユーザー主導のインストール


OSイメージへのプロビジョニングによるWinRT アプリの配布

監査モード

OS インストール時のOOBE フェーズでCtrl + Shift + F3 キーを入力

または

Sysprep による監査モードへの切り替え

WinRT アプリのプロビジョニング

DISM コマンドやPowerShell によるWinRT アプリの追加

例：DISM /Online /Add-ProvisionedAppxPackage/PackagePath:C:¥App1.appx /SkipLicense

例：Add-AppxProvisionedPackage -Online -FolderPath C:¥Appx

※依存アプリパッケージがある場合は、同時に指定

プロビジョニングされた WinRT アプリ

– Windows イメージにインストール済みの WinRT アプリ

– すべてのユーザーに対して、初回ログオン時にインストール

– 監査モードから WinRT アプリの追加を実施

• プロビジョニング可能な WinRT アプリは最大 24 個まで

• “信頼できるすべてのアプリのインストールを許可する” グループポリシーの有効化が必要


PowerShell によるインストール

WinRT アプリの展開

PowerShell コマンドレットによるWinRT アプリの追加

例：add-appxpackage C:¥app0.appx

例：add-appxpackage C:¥app1.appx –DependencyPath C:¥winjs.appx

PowerShell コマンドレットを使ったインストール

– 個別のユーザーに対してインストール

– Appx ファイルパッケージを、PowerShell で指定してコマンドを実行

– 依存アプリパッケージがある場合は、同時に指定


System Center 2012 SP1/R2 Configuration Manager による配布

SCCM 2012 SP1/R2 のアプリケーション配布機能を利用して配布

– オンプレミスで提供するデバイス管理ソリューション

– SCCM 2012 SP1/R2 で WinRT アプリの展開に対応

– WinRT アプリをユーザーまたは、デバイスに割り当て

– エンドユーザー向けのセルフサービスポータルサイトからの展開

• 各ユーザーごとにインストールが許可されたアプリケーションのみ表示

• 利用 OS の言語に合わせて、ポータル画面の言語を自動で設定

• 承認リクエストと組み合わせた利用も可能

• Windows ストア上のアプリへのリンクも配布可能

Windows 8.1 (x86, x64)

IT管理者

SCCM 2012 SP1/R2アプリケーションポータル

Windows ストア

サイドローディングストアへのリンク配信


SCCM 2012 R2 によるサイドローディングの利用イメージ

(1) インストールするWinRT アプリを選択後インストールボタンをクリックする

(2) インストールの確認が求められる。Yes を選択し、インストールを開始する

(3) インストール完了の通知が表示されるOK を選択し、インストールを終了する

(4) インストールされたWinRT アプリはアプリ一覧画面に表示されるので必要に応じてスタート画面に追加


Windows Intune による配布

Windows Intune のアプリケーション配布機能を利用

– クラウドから提供するクライアントデバイス管理ソリューション

– 2012年12月リリースの Windows Intune で WinRT アプリの展開に対応

– エンドユーザー向けのセルフサービスポータルアプリ（“会社のポータル”）からの展開

提供機能

– アプリケーションのインストールと検索

• WinRT アプリケーションのインストール

• Windows Store アプリへのリンクを提供

• Web アプリケーションのリンク (URL) を提供

• アプリケーションのカテゴライズと検索機能を提供

– デバイス管理機能

• Windows Intune での管理対象デバイスの追加と削除

• ユーザー所有のモバイルデバイスをリモートワイプ

Windows 8/Windows RT はコンテンツワイプ

• 管理対象デバイスの名称変更

– ヘルプデスク・サポートデスクとの連携

• ポータルサイトとして会社名、メールアドレス、電話番号、連絡先、お知らせを表示

• サポートデスクの Web サイトを表示

Windows 8 / RT

Windows 8.1 / RT 8.1


WinRT アプリの管理


OS 標準機能による WinRT アプリのインストール状況の取得

下記の PowerShell により、特定の PC 上に存在するすべてのユーザーのインストール済み WinRT アプリの情報を参照可能Get-AppxPackage -Allusers


SCCM 2012 SP1/R2 による WinRT アプリのインストール状況の取得

SCCM 2012 SP1/R2 による WinRT アプリのインストール情報の参照例


WinRT アプリの利用制御

AppLocker による WinRT アプリの利用制御

– グループポリシーを使用し、ユーザー PC で使用する各アプリの利用制御が可能

– ホワイトリストを容易に自動生成

– 未承認アプリや有害なアプリの使用を防止


まとめ


エディションサイドローディング

サイドローディングキーの入手

キーの有効化

ポリシーの有効化

Windows 8.1 NO ーーー

Windows RT 8.1 YES 必要* 必要必要

Windows 8.1 Proドメイン不参加

YES 必要* 必要必要

Windows 8.1 Proドメイン参加

YES 不要不要必要

Windows 8.1 Enterpriseドメイン非参加

YES 必要* 必要必要

Windows 8.1 Enterpriseドメイン参加

YES 不要不要必要

＊ SA (ソフトウェアアシュアランス) 特典として、サイドローディングキーが提供されます。

まとめ

エディション別による、企業 IT による配布 (サイドローディング) の条件

※ボリュームライセンス契約の種類により、無償入手可能


WinRT アプリ導入手法比較

アプリケーション展開基盤

Phase 展開対象PC 展開タイプ証明書展開SideLoading

キーの認証SideLoadingポリシー適用

備考

System Center2012 R2

Configuration Manager

Win8.1利用中

ドメイン参加済み

PUSH/PULLGPOによる自動展開

GPOによるスクリプト実行

/アプリ配布によるスクリプト実行 /

VAMT

GPOによる自動適用

・PULL による展開はWeb(アプリケーションカタログ)を利用・PUSH についてはアプリケーション配布の仕組みとログオンユーザーによる実行を利用して対応・アプリケーションカタログの方を利用した場合でも、

配布設定でスケジュール指定をすれば強制インストール（push）が可能・VAMTの利用はイントラネット上の端末に限る

ワークグループ PUSH/PULLアプリ配布機能

によるスクリプト実行

アプリ配布機能によるスクリプト

実行 / VAMT

アプリ配布機能によるスクリプト

実行

・PULL 展開にはWeb(アプリケーションカタログ)にアクセス可能なドメインユーザー対象に限る・アプリケーションカタログの方を利用した場合でも、

配布設定でスケジュール指定をすれば強制インストール（push）が可能・VAMTの利用はイントラネット上の端末に限る

WindowsIntune

Win8.1利用中


PULLGPOによる自動展開


/VAMT


・PULL による展開はポータルサイトから実施・VAMTの利用はイントラネット上の端末に限る

ワークグループ PULL 手動手動 / VAMT 手動・事前のポリシー設定および証明書配布、サイドローディングキーのインストールと認証を行う必要がある・VAMTの利用はイントラネット上の端末に限る

Windows RT 8.1

PULL自動

(Intune)自動

(Intune)自動

(Intune)

・展開可能な証明書は一つのみ。・アプリごとに複数の証明書を展開する場合には手動での展開が必要・VAMTの利用はイントラネット上の端末に限る

ActiveDirectory

Win8.1利用中


PUSHGPOによる自動展開


/VAMT


・ユーザー単位のログオンスクリプトで対応・インストールの成否については確認不可・VAMTの利用はイントラネット上の端末に限る

USB メモリFile Server

Win8.1利用中

すべてのPCスクリプト

(PowerShell)手動手動 / VAMT 手動

・各ユーザー単位でスクリプトの実行が必要・VAMTの利用はイントラネット上の端末に限る

プロビジョニングWin8.1

OS展開前

キッティング用ひな形PC

スクリプト(DISM)

手動手動手動・事前導入可能なWinRTアプリケーションの本数に制限あり

AD : Active DirectoryGPO : Group Policy Object (http://technet.microsoft.com/ja-jp/windowsserver/grouppolicy/bb310732.aspx)VAMT : ボリュームアクティベーション管理ツール (http://msdn.microsoft.com/ja-jp/library/hh824953.aspx)

http://technet.microsoft.com/ja-jp/windowsserver/grouppolicy/bb310732.aspx

http://msdn.microsoft.com/ja-jp/library/hh824953.aspx

© 2014 Microsoft Corporation. All rights reserved 2626＊ SA (ソフトウェアアシュアランス) 特典として、サイドローディングキーが提供されます。

まとめ

アプリ配布の種類

デバイスへの配布

OS イメージへのプロビジョニング

ユーザーへの配布

PowerShell によるインストール

System Center 2012 SP1/R2Configuration Manager

による配布

Windows Intune による配布


Appendix


WinRT アプリ配布の評価用途で利用可能なアプリ

Windows 8 Company Storehttp://companystore.codeplex.com/releases/view/102020

– フォルダー構成

• WinRT アプリの本体：CompanyStore_1.1.0.23_AnyCPU.appx

• WinRT アプリの利用に必要となる証明書：CompanyStore_1.1.0.23_AnyCPU.cer

※ Windows 8 Company Store ご利用の際は、お客様のご責任のもとでご利用下さい。

http://companystore.codeplex.com/releases/view/102020


WinRT アプリ評価用ライセンス (開発者用ライセンス)

開発者用ライセンス– WinRTアプリの開発・テスト・評価用途で提供されるライセンス

– 以下の PowerShell コマンドにて開発者ライセンス取得のダイアログを表示可能Show-WindowsDeveloperLicenseRegistration ※管理者権限が必要となります。

– 開発者ライセンスの取得にはマイクロソフトアカウントが必要


関連Link

Windows アセスメント & デプロイメントキット (Windows ADK for Windows 8.1)http://www.microsoft.com/en-us/download/details.aspx?id=39982

Windows ADK による Windows の展開http://technet.microsoft.com/ja-jp/library/hh824947.aspx

Windows ADK によるイメージの作成手順http://download.microsoft.com/download/9/7/9/97983C57-B297-4FBE-AA2B-F8736739B5F4/W8_Migration_WP_ADK.docx

OS プレインストール PC (OEM PC) の再イメージング (コピーによる社内展開) について http://support.microsoft.com/kb/945472/ja

WinRT アプリの追加と削除の方法http://technet.microsoft.com/ja-jp/library/hh852635.aspx

スタート画面のカスタマイズhttp://technet.microsoft.com/ja-jp/library/hh825239.aspx

既定のアプリケーションの関連付けをエクスポートまたはインポートする方法http://technet.microsoft.com/ja-jp/library/hh825038.aspx

Windows イメージのキャプチャ時にドライバー構成を保持する方法http://technet.microsoft.com/ja-jp/library/hh825712.aspx

Removing or Updating Windows 8 built-in Windows Store apps causes Sysprep to failhttp://support.microsoft.com/kb/2769827

Sysprep の機能と既知の問題についてhttp://support.microsoft.com/kb/928386/ja

Windows 8.1 のアップグレードパスについてhttp://technet.microsoft.com/ja-jp/windows/dn528378

http://www.microsoft.com/en-us/download/details.aspx?id=39982

http://technet.microsoft.com/ja-jp/library/hh824947.aspx

http://download.microsoft.com/download/9/7/9/97983C57-B297-4FBE-AA2B-F8736739B5F4/W8_Migration_WP_ADK.docx

http://support.microsoft.com/kb/945472/ja





http://support.microsoft.com/kb/2769827

http://support.microsoft.com/kb/928386/ja

https://aps.mail.microsoft.com/owa/redir.aspx?C=E1LuOcw1O0qB8bkKmJbX7TcyIgXCw9AIzM-aAnqwKIMm2JeMzKINdy5Ti4f-zxKpng9hHZX_Jts.&URL=http://technet.microsoft.com/ja-jp/windows/dn528378


本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うもの

ではなく、提示された情報の信憑性については保証できません。

本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。

すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段

（電子的、機械的、複写、レコーディング、その他）、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。

Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される場合を除いて、本書の提供は

これらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。

© 2013 Microsoft Corporation. All rights reserved.

Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における等力商標または商標です。

その他、記載されている会社名および製品名は、一般に各社の商標です。

Documents

WinRT アプリの企業内での展開手法について€¦ · – オンプレミスで提供するデバイス管理ソリューション – SCCM 2012 SP1/R2 でWinRT アプリの展開に対応