In diesem Artikel möchte ich euch zeigen, wie die Softwareverteilung mit Microsoft Intune in der Praxis funktioniert. In meinem vorherigen Artikel zu Windows Autopilot Deployment habe ich euch bereits gezeigt, wie man Windows Clients in Intune registriert (Natürlich kann man dies auch manuell ohne Autopilot durchführen).
Bei einer modernen Infrastruktur, die sich großteils in der Cloud befindet, funktioniert die Softwareverteilung anders. Es wird kein lokaler Server mehr benötigt, der die Softwareverteilung durchführt. Ein klassisches Beispiel in der Windows-Welt ist der System Center Configuration Manager (SCCM). Wie funktioniert die Softwareverteilung, wenn man keinen separaten Server (egal ob On-Premises oder auch in der Cloud) dafür betreiben will? Dafür gibt es die Softwareverteilung mit Microsoft Intune. In diesem Artikel zeige ich euch ein paar gängige Szenarien, die beliebig übertragbar sind.
Zuerst benötigen wir für Microsoft entsprechende Lizenzen. Microsoft Intune ist in folgenden Plänen enthalten:
- Intune
- Enterprise Mobility + Security E3
- Enterprise Mobility + Security E5
- Microsoft 365 E3
- Microsoft 365 E5
- Microsoft 365 F1
- Microsoft 365 Business
Generell können wir drei unterschiedliche Typen von Software unterscheiden, die auch bei der Softwareverteilung mit Microsoft Intune berücksichtigt werden müssen:
- Office 365 ProPlus Suite
- Windows MSI line-of-business app
- Windows app (Win32)
In diesem Artikel installieren wir die Office 365 ProPlus Suite, Google Chrome und 7-Zip.
Office 365 ProPlus
Die Softwareverteilung von Office 365 auf die Clients ist mit Microsoft Intune sehr einfach.
Dazu fügen wir eine entsprechende Client App vom Typ Office 365 Suite hinzu (Sorry Apple User, aber ich konzentriere mich hier jetzt auf das Windows Deployment).
Danach können wir zuerst ein paar grundlegende Einstellungen vornehmen, wie z.B. den Namen der App.
Im nächsten Schritt können wir die Office 365 Suite noch konfigurieren. Also welche Programme genau installiert werden sollen. Bei einer Click 2 Run Installation von Office 365 ist dies nicht möglich. Dafür bräuchte man dann zumindest das Office Deployment Tool (Wir machen es aber „modern“ mit Microsoft Intune).
Danach sind nun noch ein paar grundsätzliche Einstellungen vorzunehmen, wie z.B. die Häufigkeit der zu installierenden Updates und die Sprache der Office 365 Suite.
Damit ist die Erstellung der App bereits fertig und wir müssen diese nur noch Benutzern oder Geräten zuweisen.
Und schon läuft die Softwareverteilung…
Windows MSI line-of-business app
In diesem Abschnitt geht es um die Installation von MSI-Dateien. Als Beispiel nutzen wir den Browser Google Chrome (Enterprise). Wir laden also die MSI-Datei herunter und fügen eine weitere App hinzu.
Die weiteren Schritte sind ziemlich ähnlich zu denen aus dem vorherigen Abschnitt.
Wir laden in diesem Fall zuerst die MSI-Datei hoch und sehen automatisch einige Meta-Informationen.
Danach müssen wir noch einige Informationen der App vervollständigen, wie z.B. den Namen und die Beschreibung.
Danach muss Chrome ebenfalls wieder Benutzern oder Geräten zugewiesen werden.
Und schon wird auch Chrome per Softwareverteilung ausgerollt. 🙂
Windows app (Win32)
Bei dieser Art von App nehmen wir beispielhaft eine EXE-Datei zur Installation von 7-Zip. Bei diesem Typ muss allerdings noch ein bisschen Vorarbeit geleistet werden. Die App muss mit der Dateiendung .intunewin vorliegen, damit ein Deployment erfolgen kann.
Die Umwandlung in das entsprechende Format funktioniert über ein Tool, dass ihr bei GitHub herunterladen könnt, das Microsoft-Win32-Content-Prep-Tool. Wir führen dann einfach die Datei IntuneWinAppUtil.exe aus und geben nacheinander die notwendigen Parameter an.
Danach haben wir unsere Datei mit der Dateiendung .intunewin erstellt und können diese nun im Microsoft Intune Portal verwenden.
Wir fügen also noch eine weitere App zu unserem Deployment hinzu.
Wie auch schon bei der MSI-Datei im vorherigen Abschnitt müssen wir nun unsere erstellte Datei hochladen.
Auch die generellen App Informationen im nächsten Schritt sind bereits bekannt.
Interessant ist das nächste Blatt, weil hier die Kommandos für die Installation und Deinstallation von 7-Zip festgelegt werden. Bei 7-Zip steht der Parameter /S für die Silent-Installation (ohne Nachfrage, was bei einer automatischen Softwareverteilung vorteilhaft ist) und /D für das Installationsverzeichnis. Dies ist natürlich für jedes Programm anders und muss vor der Konfiguration in Erfahrung gebracht werden.
Im nächsten Schritt müssen noch die Voraussetzungen für das Programm definiert werden. Hier kann z.B. auch der notwendige freie Speicherplatz definiert werden. Bei 7-Zip hält sich dieser aber zum Glück in Grenzen.
Und im letzten notwendigen Schritt muss noch konfiguriert werden, wie Microsoft Intune erkennen kann, dass das Programm bereits installiert ist und es nicht beliebig oft versucht. In diesem Fall machen wir die Installation abhängig, ob die Datei 7z.exe vorhanden ist oder nicht.
Als letzter Schritt muss die App natürlich wieder Benutzern oder Geräten zugewiesen werden.
Und schon ist auch 7-Zip auf unseren Clients vorhanden.
Microsoft Intune bietet natürlich auch eine entsprechende Verwaltung, wo man durchgeführte oder fehlerhafte Installation von Apps erkennen kann.
Aber was, wenn man noch etwas ganz anderes auf die Clients verteilen möchte? Dafür gibt es natürlich auch eine Lösung, und zwar PowerShell.
PowerShell Skripte
Mit Microsoft Intune besteht auch die Möglichkeit, PowerShell Skripte auf den Clients ausführen zu lassen. Diesen Punkt findet man aber an einer anderen Stelle, wie die Softwareverteilung der Apps.
Dort können fertige PowerShell Skripte hochgeladen werden, die beim Einloggen des Benutzers ausgeführt werden. Natürlich hat man die Möglichkeit, die Skripte mit Admin-Rechte auszuführen, auch wenn der Benutzer diese nicht auf dem Client besitzt.
Und wie schon mittlerweile bekannt sein dürfte, muss im letzten Schritt noch eine entsprechende Zuweisung erfolgen.
Und schon werden die PowerShell Skripte auf den Clients ausgeführt.
Ich hoffe, mit den gezeigten Beispielen konnte ich einen guten Einblick in die Softwareverteilung mit Microsoft Intune geben.
Vielen Dank für diese einfache aber dennoch sehr ausführliche Beschreibung! Diese hat mir sehr geholfen eigene Anwendungen über Intunes zu verteilen!
LG
Matze
Vielen Dank für diese schöne Anleitung.
Wie sieht es aus, wenn man alternative Registry-Keys erstellen muss?
Gibt es hierbei über Intune eine Möglichkeit?
Danke im Voraus!
LG Chris
Powershell
Hi, mal ne Frage.
Ich habe eine 7zip.intunewin erstellt. Wenn ich versuche die APP im Portal hochzuladen ist der OK Button aus gegraut:
Name: 7z1900-x64.exe
Plattform: Windows
Größe: 1,37 MiB
MAM aktiviert: Nein
MAM Scope ist aus ALL und nur die Discovery URL ist eingetragen.
Was mache ich falsch?
Beste Grüße
Rolf
Hallo Rolf,
funktioniert schon der Upload der Datei nicht, oder bei der Konfiguration der App?
Viele Grüße
Frank
Nimm doch einfach die MSI 🙂
Mit der klappt es definitiv!
Grüße Andre
[…] Mit Intune kann z.B. auch die Software auf Clients verteilt werden, was ich in einem vorherigen Beitrag bereits beschrieben […]
Noch ein kleiner Nachtrag vom Danny zur Zuweisung (Vielen Dank an dieser Stelle): Des weiteren ein kleiner Tipp: Bei deinem bisherigen Artikel über App Deployment hast du immer etwas ganz wichtiges übersprungen, bei der Zuweisung (Assignment) von der App an die User oder Geräte sagst du einfach zuweisen und fertig. Das funktioniert aber so nicht. Es ist ja ganz entscheidend was man da angiebt damit es automatisch ausgerollt und installiert wird. So werden Apps nur dann automatisch installiert wenn der wert auf ERFORDERLICH steht. Und das auch nur bei einer Win32 App. Ein Programm aus dem Microsoft Store wird nicht automatisch installiert. Sondern nur bereitgestellt.
Hallo Frank,
vielen Dank für deine Anleitung.
Ich habe nicht den Punkt gefunden wie mittels intunwin präparierte Apps geupdatet werden können, wenn eine neue Version bereitgestellt wird.
Ich habe versucht die neue Version einfach hochzuladen und den vorherigen Eintrag upzudaten inc. Änderung der Version. Allerdings installiert er die Updates dann nicht automatisch bei den Clients die diese Software installiert haben.
Gibt es da einen Trick?
Vielen Danke
Hallo Philipp,
hast du es schon mal mit der Bereitstellung als neue App versucht (mit Bedingung, dass die alte Version installiert ist)?
Viele Grüße
Frank
Hi Frank,
danke für den Tipp das ist natürlich eine Möglichkeit.
Gibt es auch einen Trick das es im Unternehmensportal später dann nicht so viele Einträge der jeweiligen App gibt?
Viele Grüße
Hallo Philipp, kenne natürlich die genauen Anforderungen nicht, aber vielleicht hilft dir das weiter: https://docs.microsoft.com/de-de/mem/intune/apps/apps-deploy
Viele Grüße
Frank
Hallo Frank, alles gut und schön, aber leider möchte man auch mal nicht nur an alle Benutzer und alle Geräte verteilen. Wie legt man eine reine Gerätegruppe im Microsoft Endpoint Manager an ? Zum blöden Beispiel „nur Server“.
Hallo Stefan,
Gerätegruppen können einfach über das Azure AD erstellt werden. Diese stehen dann auch im Endpoint Manager zur Verfügung. Nur eine Mischung von Geräte- und Benutzergruppen klappt nicht. Oder meinst du was anderes?
Hey ich danke dir für den lesenswerten Beitrag zur Softwareverteilung. Sehr interessant. Beste Grüße
[…] This post is also available in German language […]