Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

Windows 8: Enterprise Sideloading

von Georg Binder 6. February 2013 14:34

Apps können per Enterprise Sideloading dem Endanwender zur Verfügung gestellt werden. Dazu wird der Public Store komplett umgangen, die App unterliegt keinerlei Zertifizierung durch Microsoft oder Dritte, auch ein Store Account wird nicht benötigt. Lediglich an der Sicherheit darf es nicht fehlen, deswegen sind hier Signaturen notwendig, damit auch nichts Böses auf den Rechner kommt.

image

Gleich vorab: nur um eine App zu testen, ist das alles nicht notwendig. Dazu braucht man lediglich ein Microsoft Konto (Live ID) für eine Developer Lizenz bzw. Zertifikat (kostenfrei) und schon kann es losgehen, siehe dazu: Windows 8: Sideloading Apps zu Testwecken

Lizenzen und Voraussetzungen an den Client

Dazu sind einige Voraussetzungen notwendig, als erstes müssen die Clients Sideloading enabled werden, das geht bei:

  • Windows 8.1 Pro oder Enterprise (mit dem Update Pack vom April 2014), muss Domain gejoined sein, „Allow all trusted applications to install” Registry Key bzw. die entsprechende Group Policy muss gesetzt sein, siehe http://technet.microsoft.com/en-us/library/hh852635.aspx – fertig!
  • Bei Windows RT (oder auch für den Fall, dass ein Windows 8.1 Pro/Enterprise nicht domain gejoined ist) muss das Sideloading durch einen Sideloading Key (MAK) freigeschalten werden. Dieser ist durch den ENDKUNDEN zu erwerben z.B. über Open Licence agreement oder bzw. in einigen Verträgen enthalten. Der Keys kostet rund 100 US$ für eine unlimitierte Anzahl an Geräten.
  • Achtung: Bei Windows "Core" oder der Version "mit BING" ist kein Sideloading möglich - hier müsste erst mit dem Pro Pack auf die nächst höhere Version upgegradet werden.

Für Windows RT können diese Schlüssel über die Admin Oberfläche von Windows Intune bereitgestellt werden:

image

Siehe dazu auch: Volume Licensing Guide for Windows 8.1 and Windows RT 8.1

Damit kann mal prinzipiell eine App installiert werden.

Die App

Die App selbst muss signiert sein, siehe dazu http://msdn.microsoft.com/de-DE/library/hh446592(v=vs.85).aspx – erfahrungsgemäß tut man sich um einiges leichter, wenn das ein Zertifikat ist, das von einer CA ausgestellt wurde, der vorab schon vertraut wird, ansonsten muss man sich um die Schlüsselverteilung noch kümmern. Auch hier: mit Intune geht es für Windows RT leichter:

image

Weiters sollte sich die App auch (aber das ist kein technisches Requirement) an alle Guidelines für die Store Apps halten (z.B. UX), die haben schon ihre Berechtigung.

Deployment der App

Jetzt gibt es noch verschiedene Wege, um die App zu verteilen:

  • Mittels User-Script (Add-AppxPackage cmdlet mit der Windows PowerShell)
  • Über die (bestehende) Software-Verteilung
  • Gleich mit im Image
  • Für Domain-Maschinen: Configuration Manager mit der Application Catalog Webseite und der Software Center Applikation
  • Besonders schön ist es mittels Windows Intune samt Company Hub App (oder man baut sich selbst einen Hub, das wäre auch möglich, ein Beispiel findet sich auf Codeplex).

Windows Intune

Und weil es so hübsch ist, noch ein paar Anmerkungen zu Windows Intune. Hier mit kann man nicht nur Windows 8 mit Apps beglücken, sondern auch Windows RT (und Windows Phone, ….).

So lassen sich Pakete für die verschiedenen Betriebssysteme zur Verfügung stellen, die Pakete können entweder sidegeloadete “Line of Business”-Apps sein, deren Pakete man zu Intune rauflädt, oder auch Verweise in den Public Store.

image

In der App werden dann die entsprechenden Links angezeigt:

image

Auch wenn man dieses Portal App auch einzeln aus dem Store laden kann, im Normalfall wird man sein Device gleich mit Intune verbinden, dann bekommt man (neben den Richtlinien aus dem Unternehmen) auch die App automatisch, siehe dazu: Managing "BYO" PCs in the enterprise – der User muss dazu nur seine Domain-Credentials wissen. Weiter, weiter, fertig. Zusätzlich ist die App im Download Center verfügbar, damit sie von Administratoren für Endbenutzer bereitgestellt werden kann, die nicht auf den Windows Store zugreifen können. Und das sowohl für Intune Standalone oder als APPX Paket für System Center, siehe: Company Portal für PCs ohne Windows Store Zugang.

Das Portal kann man natürlich anpassen, Logo austauschen, Texte definieren und sogar aus einem von zwei Hintergründen wählen:

image

Siehe dazu auch unter dem Titel Unified Enterprise Management Solution eine Übersicht über Management von Windows 8, Windows RT, Windows Phone, iOS und Android: http://technet.microsoft.com/en-us/library/hh452635.aspx

Mehr zu Windows Intune: http://www.microsoft.com/en-us/windows/windowsintune/pc-management.aspx

Video zu Sideloading: http://technet.microsoft.com/en-US/windows/dn182797.aspx

[Update 18.11.2014] Unscharfe Formulierung geändert, bei Windows 8 Core (oder BING) ist kein Sideloading möglich, hier müsste erst mit Pro Pack upgegradet werden.. 
[Update 04.04.2014] Aktualisierung für Windows 8.1 Update, Pro kanns nun auch, Keys für RT kosten fast nix mehr. 
[Update 28.02.2014] Link auf Sideloading Artikel des Company Portals für Intune und SCCM hinzugefügt
[Update 25.11.2013] Änderung ab 1. Dez.: Nun auch 10er Stückelung für Sideloading Keys verfügbar, statt nur 100er.
[Update 08.03.2013] Video Link hinzugefügt, Tippfehler ausgebessert.
[Update 07.02.2013] Codeplex und Windows Intune Links hinzugefügt.

 

Comments (3) -

>

2/12/2013 7:51:17 PM#

das ist ja alles schön und gut - eignet sich aber nur für eigenentwickelte metro-apps... und wer macht das schon??

ich hätt gerne einen "internen store" - wo ich den usern nur genau die applikationen aus dem windows store installieren lasse, die intern genehmigt sind etc.
sprich: die user sollen bspw. irgendeine notiz-verwaltung oder den scotty von der öbb aus dem store installieren können, aber nicht dropbox, skype und was weiß ich alles...

juergenAustria | Reply

>
>

2/13/2013 9:30:08 AM#

Das geht zu 100% für Store Apps genauso, wenn Du den ersten Intune Screenshot anschaust, da siehst Du, dass einige Links aus drin sind, die in den Public Store führen. Das sind jene "App Paket für Windows (aus dem Windows Store", in der Portal App Screenshot wäre das z.B. OneNote.

Zusätzlich kann man das durch AppLocker absichern, d.h. es dürfen dann eben wirklich NUR die genehmigten, im Company Portal angezeigten Apps installiert werden. Alle Dropbox und Konsorten können dann nicht installiert werden.

Georg BinderAustria | Reply

>

4/23/2014 11:34:22 AM#

leider ist Windows 8.1 alles andere als Anwender - freundlich. Eine Fehlentwicklung zu noch mehr Abhängigkeit des Kunden.Die weltweite Verbreitung macht die Sache eher schlimmer.

Eugen A.LippDeutschland | Reply

Pingbacks and trackbacks (3)+

>

2/19/2013 3:31:21 PM#

Auszug – Microsoft TechNet NewsFlash 03/2013

Hallo Community,
und weiter geht es mit dem Auszug aus dem Microsoft TechNet Newsflash.
Der Auszug

TechCenter - Blog | Reply

>

6/17/2013 6:19:12 PM#

Pingback from hardwareluxx.de

Windows 8 Store einzelne Apps freigeben f�r Anwender

hardwareluxx.de | Reply

>

5/16/2014 4:50:29 PM#

Was Querladen ist und wie man seelenlose Daten belebt

Was Querladen ist und wie man seelenlose Daten belebt

WindowsBlog | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies