torstai 11. elokuuta 2011

Windows Intune 2 Beta ja sovellusten jakelu

Windows Intune 2 Beta pitää sisällään paljon odotetun sovellusten jakelun. Asennuspaketit voivat olla EXE- tai MSI-muotoisia ja niiden käyttöönotto on tehty erittäin yksinkertaiseksi. Sovellusjakelussa on vielä pieniä ongelmakohtia MSI-pakettien käytön suhteen, mutta ne toivottavasti korjataan lopulliseen versioon.
 
Jakelut määritellään Windows Intune -hallintasivustolta Ohjelmisto-kohdasta, josta päästään katsomaan yleiskatsausta, tarkastelemaan havaittuja sovelluksia sekä hallitsemaan sovellusjakeluita. Oletuksena pilvitallennustilaa on käytössä 2 Gt, jota voidaan tarvittaessa ostaa lisää, kun beta aika päättyy. Asennuspaketit viedään pilvitallennustilaan, josta työasemat lataavat ne suoraan. Tämä mahdollistaa sovellusten jakelun työasemiinn ilman, että niiden pitää asennuksen aikana olla yrityksen verkossa ja sopii erinomaisesti myös reissaavien koneiden hallintaan. Asennuspakettien siirto tapahtuu BITS:n avulla, joten siirtoon käytettävä kaista ja aikataulu voidaan määritellä.
 
Windows Intune 2 Beta mahdollistaa myös asennuksien seurannan ja Windows Intunen kautta asennettujen sovellusten poistamisen. Ominaisuuksiltaan Windows Intune 2 jää esimerkiksi System Center Configuration Manager -tuotteesta kauaksi, mutta riittää monelle pienelle ja vähän isommallekin yritykselle sovellusten jakeluun mainiosti.
 
Tässä hieman ensimakua Windows Intune 2:n sovellusten jakeluista:

Ohjelmiston yleiskatsaus sivulta nähdään mm. käytössä oleva pilvitallennustila sekä odottatavat asennukset.

clip_image002

Havaitut ohjelmistot -kohdasta nähdään työasemista inventoidut sovellukset sekä koneet, mihin ne ovat asennettu.

clip_image004

Hallitut ohjelmistot -kohdasta voidaan lisätä asennettavia sovelluksia, sekä ottaa ne käyttöön, eli liittää sovellus Windows Intunen koneryhmään, jolle sovellus kohdennetaan.

clip_image006

Asennettava sovellus viedään Windows Intuneen Hallitut ohjelmistot -kohdan Lataa-napilla. Tämä laukaisee työasemalla Windows Intune Software Publisher nimisen sovelluksen, jolla määritetään mm. asennuspaketti, asennuksen parametrit ja kohdeympäristö. Tämän jälkeen media pakataan ja salataan CAB-tiedostoon, sekä siirretään pilvitallennustilaan. Määrittely, pakkaus ja salaus tapahtuvat työaseman päässä, ja CAB-tiedosto puretaan vasta asennuksen yhteydessä kohden työasemalla, joten tiedot pysyvät koko ajan salattuna pilvitallennustilassa.

clip_image008

Asennuspakettia määrittäessä täytyy valita joko EXE- tai MSI-muotoinen asennuspaketti. Muita tiedostotyyppejä ei toistaiseksi tueta, eli mm. skriptit pitää pakata jommankumman tiedostotyypin sisään.

clip_image010

Asennuspakettia määrittäessä on myös tärkeää huomioida onko lähdetiedostot pakattu asennuspaketin sisään vai jätetty sen ulkopuolelle. Jos asennuspaketti sisältää muitakin tiedostoja kuin pelkän asennuspaketin, pitää "Include additional files and subfolders from the same folder" täppä laittaa päälle.

clip_image012

Seuraavaksi määritellään sovelluksen tiedot, joilla sen halutaan näkyvän Windows Intune -hallintasivustolla.

clip_image014

Requirements-kohdassa voidaan määritellä kohdekoneen vaatimuksia. Windows 7:n myötä 64-bittisen käyttöjärjestelmän käyttö on lisääntynyt huimasti Windows XP:hen verrattuna, joten sovelluksistakin tehdään entistä useammin myös 64-bittiset versiot. Yleensä 32-bittiset sovellukset toimivat 64-bittisessä Windows 7:ssa, mutta 64-bittiset sovellukset eivät toimi 32-bittisessä Windows 7:ssa, joten jos yrityksessä on käyttöjärjestelmiä sekä 32- että 64-bittisinä, kannattaa asennuspaketeille määritellä oikeat kohdekoneet jo tässä vaiheessa.

clip_image016

Asennuspaketille voidaan antaa myös asennukseen liittyviä parametrejä. Asennus tapahtuu työasemalla System-tunnuksella täysin pimennossa, joten asennuksen pitää myös olla täysin automatisoitu. MSI-paketeissa asetukset ja määritykset kannattaa laittaa MST-tiedostoon, jotka kopioidaan MSI-paketin kanssa samaan hakemistoon ja saadaan asennukseen mukaan TRANSFORMS-argumentilla. MSI-paketit eivät tarvitse muita parametrejä, koska Windows Intune syöttää asennukselle automaattisesti /QN-parametrin, jolla saadaan silent-asennus aikaiseksi. EXE-tyyppisille asennuspaketeille pitää määritellä silent-parametri sekä mahdollisesti vastaustiedosto, jolla asennusta kontrolloidaan. Valitettavasti EXE-asennuspaketeille ei ole olemassa yhtä ainoata silent-vipua joten pientä tutkimustyötä joutuu aina tekemään.

clip_image018

EXE-asennuspakettia määrittäessä on kaksi lisävälilehteä, joita ei MSI-asennuspaketin määrityksessä ole mukana.
 
Ensimmäisenä on mahdollisuus määrittää, kuinka tunnistetaan, onko sovellus jo asennettu koneelle. Oletuksena mitään tunnistamista ei tehdä, ja asennuspaketti ajetaan koneella, oli se jo siellä tai ei.

Suositeltavaa olisi määritellä tunnistussäännöt. Tunnistukseen voidaan käyttää joko MSI-paketin Product Codea, koneella olevaa tiedostoa tai rekisteriavainta. Sääntöjä voidaan myös luoda useita ja Windows Intune käy ne yksitellen läpi, ellei joku sääntö toteudu, jolloin asennusta ei käynnistetä.

clip_image020

EXE-päätteisissä asennuspaketeissa voidaan määritellä myös paluukoodit. Oletuksena käytetään yleisiä koodeja esim. 0 = onnistunut asennus, mutta asennuspaketille voidaan määritellä myös omat paluukoodit, joiden mukaan Windows Intune raportoi asennukset.

clip_image022

Määritysten jälkeen näytetään yhteenveto asetuksista, pakataan media työaseman päässä ja siirretään se pilvitallennustilaan. Media pakataan salattuun CAB-tiedostoon, joka puretaan vasta asennuksen yhteydessä kohdekoneella.

clip_image024

Siirtämisen jälkeen asennuspaketti ilmestyy Hallitut ohjelmistot -kohtaan Windows Intune -hallintasivustolla. Asennuspaketti voidaan ottaa käyttöön Windows Intunen koneryhmille määritettynä aikana, ja asennuksen tilaa voidaan tarkastella konekohtaisesti.

clip_image026

Ota käyttöön -toiminto näyttää Windows Intuneen määritetyt koneryhmät ja antaa määritellä, mille niistä asennuspaketti asennetaan sekä millä aikataululla. Vaihtoehto "mahdollisimman pian" riippuu Windows Intune -agentin asetuksista, mutta pienin päivitysten tarkistusväli on 8 tuntia.

clip_image028

Määräajan jälkeen pakattu asennuspaketti siirtyy työasemalle, jossa se puretaan, ja asennus käynnistetään. Asennus ajetaan System-tunnuksella taustalla, joten käyttäjän ei tarvitse olla kirjautuneena koneelle asennuksen aikana. Asennuksen päätteeksi asennuskansio poistetaan, mutta CAB-tiedosto jää koneelle.

Tässä vaiheessa saattaa alkaa ongelmat Windows Installer -palvelun kanssa. Windows Installer -palvelu tarvitsee lähdetiedostoja eri tilanteissa kuten esim.
  • asennuksen korjaus
  • uuden käyttäjän tarvitsemien tiedostojen kopiointi profiiliin
  • ja toisinaan asennuksen poisto
Koska purettu lähdehakemisto on poistettu (sekä myös rekisteristä tieto, mikä se oli), ei Windows Installer saa mistään lähdetiedostoja niitä tarvitessaan, jolloin sovelluksen käynnistys saattaa kaatua ilmoitukseen:

clip_image030

Jos käytetty asennuspaketti on saatavilla, ja käyttäjällä on administrator-oikeudet, pystyy hän määrittelemään lähdehakemiston. Peruskäyttäjän kohdalla tilanne on hankalampi, koska Windows Installer käyttää vain luotettuja (=määritettyjä asennuslähteitä) ja peruskäyttäjän oikeuksin niitä ei voida lisätä.

Beta-vaiheessa on pari tapaa hoitaa tilanne MSI-paketteja käytettäessä, jotta lähdetiedostot löytyvät.

Ensimmäisenä vaihtoehtona on laittaa asennuspaketit koneiden saataville joko verkkoon tai paikallisesti koneille, ja kertoa Windows Installer palvelulle luotetut asennuslähteet. Luotettuja asennuslähteitä voidaan lisätä asennuksen aikana SOURCELIST-argumentilla (esimerkiksi SOURCELIST=c:\tools\test).
 
clip_image032
Asennuksen jälkeen Windows Intune poistaa koneelta tiedon asennuskansiosta, mutta SOURCELIST-argumentilla määritetyt sijainnit säilyvät, jolloin lähdetiedostoja tarvittaessa Windows Installer -palvelu käy läpi listan sijainnit, ja hakee lähdetiedostot ensimmäisenä löytyvästä paikasta.

Toinen vaihtoehto on pakata MSI-paketti ”setup.exe-käynnistäjän" sisään. Setup.exen luonnin yhteydessä määritellään paikallinen hakemisto jonne MSI-paketti puretaan setup.exe:n käynnistämisen yhteydessä, ja josta itse asennus suoritetaan. Vaikka Windows Intune poistaa väliaikaisen asennuskansion ja samalla setup.exe:n, jää setup.exe:n tekemä väliaikainen asennuskansio MSI-paketteineen työasemalle. Itseasiassa se jää koneelle, kunnes joku poistaa sen joko käsin tai keskitetysti esim. startup-skripteillä. Sovelluksen poistaminen ei poista tätä väliaikaista asennuskansiota missään vaiheessa.

Kaiken kaikkiaan Windows Intune 2 Beta antoi positiivisen kuvan sovellusjakelun osalta. Siitä saadaan hyvä vaihtoehto yrityksille joille SCCM ja vastaavat ovat liian raskaita, mutta skriptit ja AD:n GPO jakelut riittämättömiä. Jos Windows Intune 2 Beta kiinnostaa, pääsee beta-ohjelmaan osallistumaan täältä -> Windows Intune