Microsoft Endpoint Manager – SW Deployment

 
 Marek Honti
  intune, MEM

Pokud pracujete s nástrojem System Center Configuration Managerem (SCCM, resp. MECM), případně s Intunem, pak jste už pravděpodobně zaslechli, že Microsoft od loňského roku nabízí další produkt s podobným názvem – Microsoft Endpoint Manager (MEM).

Microsoft Endpoint Manager

CO je vlastně “nový” tool Microsoft Endpoint Manager? MEM vznikl jako platforma pro řízení všech koncových zařízení ve vašem prostředí. V podstatě jde o integraci SCCM (nově Microsoft Endpoint Configuration Manager -MECM) a Intune do jednoho nástroje, čímž je možné spravovat jak klasické, tak internetové klienty. S tím souvisí i skutečnost, že pokud používáte SCCM a tedy máte zakoupené potřebné licence, můžete „enrollovat“ počítače do Intune pomocí co-managementu, aniž byste potřebovali jakékoliv další licence. Pro další funkce, jako je Windows autopilot, MS Defender ATP nebo Desktop analytics, samozřejme budete nadále potřebovat odpovídající licence. Microsoft Endpoint Manager ale nabízí zjednodušenou správu na integrované platformě. Pro úplnost dodávám, že Intune samotný je pořád k dispozici a MS ho stále nabízí, mimo jiné, i jako řešení pro IOT, ústředny, kiosky a další podobná zařízení. Stejně tak SCCM/MECM nekončí a lze jej stále používat jako samostatný nástroj.

Software Deployment

Při distribuci software pomocí MEM tedy máte dvě možnosti, jak instalační balík vytvořit a nasadit na potřebné počítače - můžete použít MECM, nebo Intune.

Intune

Zákaznící se nás často ptají, zda je možné pomocí Intune deployovat aplikace na klientské stanice. Samozřejmě to možné je, ale ve srovnání s SCCM/MECM je zde několik omezení. Lze distribuovat MSI soubory, Windows 10/Android/iOS Store aplikace (viz přiložený screenshot) a dokonce i EXE soubory – a tady se dostáváme k první „komplikaci“, EXE soubour je totiž potřeba nejdřív zkonvertovat do formátu *.intunewin.

img

Z dalších omezení bych zmínil, že velikost aplikace, resp. “instalačky”, nesmí být větší, než 8GB. Samozřejmě s naprostou většinou aplikací v tomto ohledu nebude problém, nicméně je to omezení, na které je potřeba myslet. Co je třeba vést v patrnosti, je i nutnost používat OS WIN 10 a build alespoň 1607 a vyšší.

Co se samotné přípravy aplikace týče, pokud máte k dispozici MSI, je to snadné. Podobně jako v SCCM systém získá všechny potřebné informace pro vytvoření aplikace ze staženého MSI. V případě EXE souboru je nutné zkonvertovaní do už zmiňovaného formátu intunewin, přičemž můžete použít prověřený nástroj Microsoft-Win32-Content-Prep-Tool, který je ke stažení na githubu, kde zadáte zdrojovou, cílovou složku a specifikujete typ a název souboru, který konvertujete.

  • Pak přidáte v intune aplikaci - v případě EXE souboru je typ aplikace Windows app (Win32)

img

  • Zvolíte vaší zkonvertovanou “instalačku“ ve formátu intunewin

img

  • V našem případě je to Firefox Mozzilla:

    img

  • Na stránce App information pak vyplníte požadované informace:

img

  • Na stránce Program pak vyplníte install command, podobně jako v SCCM budete potřebovat alespoň parametr pro silent instalaci a v ideálním případě i uninstall command:

img

  • Pokud potřebujete, mužete spefikovat i requirements, přičemž pole Operating system architecture a Minimum operating system jsou povinná:

img

  • Na následující stránce je pak potřeba doplnit detekční metodu, stejně jako v SCCM v případě custom aplikace

img

img

  • Lze nastavit Dependecies

img

  • Na stránce Assignments pak nastavíte deployment podle potřeby, tzn. Required/Available/Uninstall

img

  • Poté můžete zkontrolovat nastavení v summary a vytvorit aplikaci:

img

Pokud bychom pro srovnání stejnou aplikaci chtěli nasadit pomocí SCCM, čeká nás relativně míň práce. Stačí stáhnout “exáč“ a v případě Package pouze najít parametry pro bezobslužnou instalaci, případně uninstall string. V případě aplikace je ještě potřeba zjistit detekční metodu.

Osobně bych zatím pro většinu deploymentů upřednostnil SCCM. Jeho použití je zatím snadnější a pokročilejší při přípravě aplikací, obzvlášť v případě různých “custom“ aplikací. V neposlední řadě SCCM nabízí ještě jednu možnost pro instalaci a distribuci specifických aplikací a tou je možnost použití custom task sequence, která umožňuje, v případě potřeby, instalovat více komponent v konkrétním pořadí. Do instalace lze také přidat restart (po kterém pak instalace pokračuje), když je vyžadován a není problém dočasně “disablovat“ bitlocker apod. Pokud s SCCM pracujete, sami víte, kolik custom kroků a pokročilých nastavení můžete v task sekvenci nastavit.

Toto zatím komponenta Intune nástroje MEM neumí. Jsem přesvědčený, že s tempem, s jakým se neustále vyvíjí, nabídne brzy řešení i pro takto specifické případy. Nicméně se stále ukazuje, že SCCM, resp. MECM ještě důchod nějakou dobu nečeká, což je pravděpodobně důvod, proč Microsoft šel cestou integrace dvou nástrojů do jednoho a zatím neuprědnostnil pouze nový cloud tool. S různými verzemi tohoto nástroje pracuji přes deset let a ze zkušenosti mohu říct, že je jen málo věcí, které SCCM/MECM, nedokáže, nebo neumí. Ale nezapomínejme na to, že od vydání první verze “SCCM” (možná ještě někteří z vás pamatují Systems Management Server – SMS, rok vydání 1994) uplynulo už neuvěřitelných 26 let a od vydání první “opravdové” verze SCCM uplynulo let třináct. Co se délky vývoje týče, má tak Intune ještě co dohánět.

Sdílej v médiích

microsoft-endpoint-manager-sw-deployment

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole. Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů.

* Souhlas se zpracováním údajů

map us
map eu