WinRT アプリの企業内での展開と管理

© 2014 Microsoft Corporation. All rights reserved

WinRT アプリの企業内での展開手法について

2

2

アジェンダ

 WinRT アプリの概要

 企業 IT による配布（サイド ローディング）

– アプリケーション インストールの許可設定

– サイドローディング キー の配布

– 電子証明書の配布

– アプリケーションの配布

 WinRT アプリの管理

– WinRT アプリのインストール状況の取得

– WinRT アプリの利用制御

 まとめ

 Appendix

© 2014 Microsoft Corporation. All rights reserved

4

4

Windows 8.1 のユーザーインターフェース

デスクトップ UI/

デスクトップ アプリの利用

Windows 8 スタイル UI/

WinRT アプリの利用

2 つの UI を 1 つの OS に内包し、

用途に応じたアプリケーションの利用環境を提供

© 2014 Microsoft Corporation. All rights reserved

5

5

Windows ストア アプリ

(ストアより入手)

(サイドローディング)

WinRT アプリ

デスクトップ版

Internet Explorer

(アドインの追加が可能)

メールや Internet Explorer

(標準搭載)

Office や Win32、

.Netアプリケーション

（より早く情報を入手する）

（コンテンツを作る）

Windows アプリの分類

6

6

WinRT アプリのインストール

© 2014 Microsoft Corporation. All rights reserved

8

8

Windows 8.1 Pro

プロダクトキー

が必要

機能として

提供

(ドメイン参加時)

Windows 8.1 Enterprise

Windows RT 8.1

WinRT アプリの

配布基盤として利用可能

サイドローディング (企業 IT による カスタム LOB アプリの配布)

 Windows 8.1 Enterprise、Windows 8.1 Pro が実行されドメインに参加している PC で利用可能

 Windows RT 8.1、ドメインに参加していない Windows 8.1 Enterprise、Windows 8.1 Pro

には追加のサイドローディング キーのインストールが必要

– サイドローディング キーの入手方法

• Select, EA, ESA などの契約をお持ちのお客様は マイクロソフト ボリューム ライセンス サービス センター (VLSC) より

入手が可能

• 上記ライセンス契約をお持ちでないお客様は、認証回数無制限のサイドローディングキーの購入が必要

 WinRT アプリのインストールは PowerShell や System Center 2012 Configuration Manager (SCCM

2012) SP1/R2, Windows Intune 経由で実施

© 2014 Microsoft Corporation. All rights reserved

9

9

サイド ローディングに必要な設定

• アプリケーションインストールの許可設定

• アプリケーション配布前に設定

• グループポリシーで、Windows ストア以外からのアプリインストールを許可

• サイドローディング キーの配布と、認証

•

アプリケーション利用前に実施

•

ライセンス キーを各クライアント デバイスに配布して、アクティベーションを実施

• 電子証明書の配布

•

アプリケーション利用前に実施

•

WinRT アプリの署名を行った証明書を信頼するように、必要な証明書を配布

• アプリケーションの配布

•

デバイスに対する配布（プロビジョニング）

•

利用ユーザーに対する配布（Power Shell スクリプト、アプリケーション配布基盤の利用）

10

10

アプリケーション インストールの許可設定

 グループポリシー（または、ローカルポリシー）で、

「信頼できるすべてのアプリのインストールを許可する」を有効化

 サイドローディングを行う全ての エディションで

設定を実施

– Windows 8.1 Enterprise（ドメイン環境）

– Windows 8.1 Enterprise（非ドメイン環境）

– Windows 8.1 Pro（ドメイン環境）

– Windows 8.1 Pro（非ドメイン環境）

– Windows RT 8.1

■グループ ポリシーの保存先

コンピューターの構成¥管理用テンプレート¥Windows コンポーネント¥アプリ パッケージの展開

© 2014 Microsoft Corporation. All rights reserved

11

11

サイドローディング キーの配布と認証

 サイドローディング キーをクライアントにインストールし、オンラインでの認証を実施

 ドメイン環境下の Windows 8.1 Enterprise, Windows 8.1 Pro では実施の必要なし

 サイドローディングキーの入手

–

以下のボリューム ライセンス プログラム契約をお持ちのお客様には(購入製品に関わらず) マイクロソフト ボリューム ライセンス サービス センター

(VLSC) より入手が可能

• Enterprise Agreement

• Enterprise Subscription Agreement

• Enrollment for Education Solutions (Campus and School Agreement のもの)

• School Agreement

• Select および Select Plus

–

上記ライセンス契約をお持ちでないお客様は、認証回数無制限の

サイドローディングキーの購入が必要

 サイドローディングキーのインストールと認証

–

コマンドプロンプトから実行

• slmgr /ipk <サイドローディング プロダクト キー>

• slmgr /ato <ライセンス認証 ID>

※サイドローディング キーのライセンス認証 ID

ec67814b-30e6-4a50-bf7b-d55daf729d1e

※入力例

slmgr /ato ec67814b-30e6-4a50-bf7b-d55daf729d1e

–

キーのインストールは、OS イメージに対しても可能

–

VAMT によるキーのインストールや

アクティベーションの集中管理も可能

slmgr /dlv コマンドによるライセンス情報の表示例

12

12

電子証明書の配布

 WinRT アプリの署名で使われている証明書を信頼する設定を実施

– Windows 8.1 にあらかじめ登録されている CA （証明書発行機関）より発行された証明書で

署名されている場合は実施の必要なし

– 組織内で構築された独自 CA の証明書で署名されている場合などに実施

 各クライアントの「信頼された証明機関」に、証明書発行元のルート証明書を登録

– 各クライアントでそれぞれ証明書を登録

– グループポリシーを利用して証明書を登録

グループポリシーによるルート証明書の登録

© 2014 Microsoft Corporation. All rights reserved

13

13

アプリケーションの配布

 デバイスへの配布と、ユーザーへの配布の２種類の方法で実施

 デバイスへの配布

– OS イメージへのプロビジョニング

• デバイスへ展開する OS イメージにあらかじめ WinRT アプリを登録する方法

• デバイスへログオンした全ユーザーで利用可能

 ユーザーへの配布

– PowerShell によるインストール

• Add-AppxPackage コマンドを利用して登録

– System Center 2012 SP1/R2 Configuration Manager による配布

• SCCM 2012 SP1/R2 で、WinRT アプリの配布に対応

• エンドユーザー向けのポータルサイトからの、エンドユーザー主導のインストール

– Windows Intune による配布

• WinRT アプリの配布に対応

14

14

OSイメージへのプロビジョニングによるWinRT アプリの配布

監査モード

OS インストール時の

OOBE フェーズで

Ctrl + Shift + F3

キーを入力

または

Sysprep による

監査モードへの切り替え

WinRT アプリのプロビジョニング

DISM コマンドや

PowerShell による

WinRT アプリの追加

例：DISM /Online /Add-ProvisionedAppxPackage

/PackagePath:C:¥App1.appx /SkipLicense

例：Add-AppxProvisionedPackage -Online

-FolderPath C:¥Appx

※依存アプリパッケージがある場合は、同時に指定

 プロビジョニングされた WinRT アプリ

– Windows イメージにインストール済みの WinRT アプリ

– すべてのユーザーに対して、初回ログオン時にインストール

– 監査モードから WinRT アプリの追加を実施

• プロビジョニング可能な WinRT アプリは最大 24 個まで

• “信頼できるすべてのアプリのインストールを許可する” グループポリシーの有効化が必要

© 2014 Microsoft Corporation. All rights reserved

15

15

PowerShell によるインストール

WinRT アプリの展開

PowerShell コマンドレットによるWinRT アプリの追加

例：add-appxpackage C:¥app0.appx

例：add-appxpackage C:¥app1.appx –DependencyPath C:¥winjs.appx

 PowerShell コマンドレットを使ったインストール

– 個別のユーザーに対してインストール

– Appx ファイルパッケージを、PowerShell で指定してコマンドを実行

– 依存アプリパッケージがある場合は、同時に指定

16

16

System Center 2012 SP1/R2 Configuration Manager による配布

 SCCM 2012 SP1/R2 のアプリケーション配布機能を利用して配布

– オンプレミスで提供するデバイス管理ソリューション

– SCCM 2012 SP1/R2 で WinRT アプリの展開に対応

– WinRT アプリ をユーザーまたは、デバイスに割り当て

– エンドユーザー向けのセルフサービス ポータルサイトからの展開

• 各ユーザーごとにインストールが許可されたアプリケーションのみ表示

• 利用 OS の言語に合わせて、ポータル画面の言語を自動で設定

• 承認リクエストと組み合わせた利用も可能

• Windows ストア上のアプリへのリンクも配布可能

Windows 8.1 (x86, x64)

IT管理者

SCCM 2012 SP1/R2

アプリケーション

ポータル

Windows

ストア

サイドローディング

ストアへの

リンク配信

© 2014 Microsoft Corporation. All rights reserved

17

17

SCCM 2012 R2 によるサイドローディングの利用イメージ

(1) インストールする

WinRT アプリを選択後

インストールボタンを

クリックする

(2) インストールの確認が

求められる。Yes を選

択し、インストールを

開始する

(3) インストール完了の

通知が表示される

OK を選択し、インス

トールを終了する

(4) インストールされた

WinRT アプリは

アプリ一覧画面に表示

されるので必要に応じ

てスタート画面に追加

18

18

Windows Intune による配布

 Windows Intune のアプリケーション配布機能を利用

– クラウドから提供するクライアントデバイス管理ソリューション

– 2012年12月リリースの Windows Intune で WinRT アプリの展開に対応

– エンドユーザー向けのセルフサービス ポータルアプリ

（“会社のポータル”）からの展開

 提供機能

– アプリケーションのインストールと検索

• WinRT アプリケーションのインストール

• Windows Store アプリへのリンクを提供

• Web アプリケーションのリンク (URL) を提供

• アプリケーションのカテゴライズと検索機能を提供

– デバイス管理機能

• Windows Intune での管理対象デバイスの追加と削除

• ユーザー所有のモバイル デバイスをリモート ワイプ

 Windows 8/Windows RT はコンテンツ ワイプ

• 管理対象デバイスの名称変更

– ヘルプデスク・サポート デスクとの連携

• ポータル サイトとして会社名、メール アドレス、

電話番号、連絡先、お知らせを表示

• サポート デスク の Web サイトを表示

Windows 8 / RT

Windows 8.1 / RT 8.1

© 2014 Microsoft Corporation. All rights reserved

20

20

OS 標準機能による WinRT アプリのインストール状況の取得

 下記の PowerShell により、特定の PC 上に存在するすべてのユーザーのインストール済み WinRT アプリ

の情報を参照可能

Get-AppxPackage -Allusers

© 2014 Microsoft Corporation. All rights reserved

21

21

SCCM 2012 SP1/R2 による WinRT アプリのインストール状況の取得

22

22

WinRT アプリの利用制御

 AppLocker による WinRT アプリの利用制御

– グループ ポリシーを使用し、ユーザー PC で使用する各アプリの利用制御が可能

– ホワイトリストを容易に自動生成

– 未承認アプリや有害なアプリの使用を防止

© 2014 Microsoft Corporation. All rights reserved

24

24

エディション

サイド

_{ローディング}

サイド

ローディング

キーの入手

キーの

有効化

ポリシーの有効

化

Windows 8.1

NO

ー

ー

ー

Windows RT 8.1

YES

必要*

必要

必要

Windows 8.1 Pro

ドメイン不参加

YES

必要*

必要

必要

Windows 8.1 Pro

ドメイン参加

YES

不要

不要

必要

Windows 8.1 Enterprise

ドメイン非参加

YES

必要*

必要

必要

Windows 8.1 Enterprise

ドメイン参加

YES

不要

不要

必要

まとめ

 エディション別による、企業 IT による配布 (サイド ローディング) の条件

© 2014 Microsoft Corporation. All rights reserved

25

25

WinRT アプリ導入手法比較

アプリケーション

展開基盤 Phase 展開対象PC 展開タイプ 証明書展開 SideLoadingキーの認証 SideLoadingポリシー適用 備考

System Center 2012 R2 Configuration Manager Win8.1 利用中 ドメイン 参加済み PUSH/PULL GPOによる自動展開 GPOによる スクリプト実行 /アプリ配布による スクリプト実行 / VAMT GPOによる 自動適用 ・PULL による展開はWeb(アプリケーションカタログ)を利用 ・PUSH についてはアプリケーション配布の仕組みとログオンユーザーによ る実行を利用して対応 ・アプリケーションカタログの方を利用した場合でも、 配布設定でスケジュール指定をすれば強制インストール（push）が可能 ・VAMTの利用はイントラネット上の端末に限る ワークグループ PUSH/PULL によるスクリプトアプリ配布機能 実行 アプリ配布機能 によるスクリプト 実行 / VAMT アプリ配布機能 によるスクリプト 実行 ・PULL 展開にはWeb(アプリケーションカタログ)にアクセス可能なドメイ ンユーザー対象に限る ・アプリケーションカタログの方を利用した場合でも、 配布設定でスケジュール指定をすれば強制インストール（push）が可能 ・VAMTの利用はイントラネット上の端末に限る Windows Intune Win8.1利用中 ドメイン 参加済み PULL GPOによる自動展開 GPOによる スクリプト実行 /VAMT GPOによる 自動適用 ・PULL による展開はポータルサイトから実施・VAMTの利用はイントラネット上の端末に限る ワークグループ PULL 手動 手動 / VAMT 手動 ・事前のポリシー設定および証明書配布、サイドローディングキーのインストールと認証を行う必要がある ・VAMTの利用はイントラネット上の端末に限る Windows RT

8.1 PULL (Intune)自動 (Intune)自動 (Intune)自動

・展開可能な証明書は一つのみ。

・アプリごとに複数の証明書を展開する場合には手動での展開が必要 ・VAMTの利用はイントラネット上の端末に限る

Active

Directory Win8.1利用中 ドメイン参加済み PUSH GPOによる自動展開

GPOによる スクリプト実行 /VAMT GPOによる 自動適用 ・ユーザー単位のログオンスクリプトで対応 ・インストールの成否については確認不可 ・VAMTの利用はイントラネット上の端末に限る USB メモリ

File Server Win8.1利用中 すべてのPC (PowerShell)スクリプト 手動 手動 / VAMT 手動 ・各ユーザー単位でスクリプトの実行が必要・VAMTの利用はイントラネット上の端末に限る

プロビジョニング Win8.1OS 展開前

キッティング用

ひな形PC スクリプト(DISM) 手動 手動 手動 ・事前導入可能なWinRTアプリケーションの本数に制限あり

AD : Active Directory

GPO : Group Policy Object (http://technet.microsoft.com/ja-jp/windowsserver/grouppolicy/bb310732.aspx) VAMT : ボリュームアクティベーション管理ツール (http://msdn.microsoft.com/ja-jp/library/hh824953.aspx)

26

26

まとめ

 アプリ配布の種類

デバイスへの配布

OS イメージへのプロビジョニング

ユーザーへの配布

PowerShell によるインストール

System Center 2012 SP1/R2

Configuration Manager

による配布

Windows Intune による配布

© 2014 Microsoft Corporation. All rights reserved

28

28

WinRT アプリ配布の評価用途で利用可能なアプリ

 Windows 8 Company Store

http://companystore.codeplex.com/releases/view/102020

– フォルダー構成

• WinRT アプリの本体：CompanyStore_1.1.0.23_AnyCPU.appx

• WinRT アプリの利用に必要となる証明書：CompanyStore_1.1.0.23_AnyCPU.cer

© 2014 Microsoft Corporation. All rights reserved

29

29

WinRT アプリ評価用ライセンス (開発者用ライセンス)

 開発者用ライセンス

– WinRTアプリ の開発・テスト・評価用途で提供されるライセンス

– 以下の PowerShell コマンドにて開発者ライセンス取得のダイアログを表示可能

Show-WindowsDeveloperLicenseRegistration ※管理者権限が必要となります。

– 開発者ライセンスの取得にはマイクロソフトアカウントが必要

30

30

関連Link



Windows アセスメント & デプロイメント キット (Windows ADK for Windows 8.1)

http://www.microsoft.com/en-us/download/details.aspx?id=39982



Windows ADK による Windows の展開

http://technet.microsoft.com/ja-jp/library/hh824947.aspx



Windows ADK によるイメージの作成手順

http://download.microsoft.com/download/9/7/9/97983C57-B297-4FBE-AA2B-F8736739B5F4/W8_Migration_WP_ADK.docx



OS プレインストール PC (OEM PC) の再イメージング (コピーによる社内展開) について

http://support.microsoft.com/kb/945472/ja



WinRT アプリの追加と削除の方法

http://technet.microsoft.com/ja-jp/library/hh852635.aspx



スタート画面のカスタマイズ

http://technet.microsoft.com/ja-jp/library/hh825239.aspx



既定のアプリケーションの関連付けをエクスポートまたはインポートする方法

http://technet.microsoft.com/ja-jp/library/hh825038.aspx



Windows イメージのキャプチャ時にドライバー構成を保持する方法

http://technet.microsoft.com/ja-jp/library/hh825712.aspx



Removing or Updating Windows 8 built-in Windows Store apps causes Sysprep to fail

http://support.microsoft.com/kb/2769827



Sysprep の機能と既知の問題について

http://support.microsoft.com/kb/928386/ja



Windows 8.1 のアップグレード パスについて

© 2014 Microsoft Corporation. All rights reserved  本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うもの ではなく、提示された情報の信憑性については保証できません。  本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。  すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段 （電子的、機械的、複写、レコーディング、その他）、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。  Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される場合を除いて、本書の提供は これらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。

 © 2013 Microsoft Corporation. All rights reserved.

 Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における等力商標または商標です。  その他、記載されている会社名および製品名は、一般に各社の商標です。