Bereitstellen von MSIX-Apps mit Microsoft Configuration Manager

Microsoft Configuration Manager (ConfigMgr) kann MSIX-verpackte Apps ohne Benutzerinteraktion automatisch auf lokalen verwalteten Windows Geräten bereitstellen. Dieses Handbuch behandelt den vollständigen Bereitstellungsworkflow: Codesignatur, Zertifikatvertrauensverteilung, Anwendungserstellung, Sammlungsadressierung, Außersenzbasierte Updates und Problembehandlung.

Voraussetzungen

Stellen Sie vor der Bereitstellung einer MSIX-App über ConfigMgr folgendes sicher:

  • Ein msIX-Paket erstellt und signiert (siehe Codesignaturanforderungen)
  • Ein UNC-Pfad zum MSIX-Paket, auf das über den ConfigMgr-Verteilungspunkt zugegriffen werden kann, oder das Paket, das auf einem ConfigMgr-Verteilungspunkt verfügbar ist
  • Ein Gerät oder eine Benutzersammlung, die als Ziel verwendet werden soll
  • Konfigurations-Manager Current Branch (oder SCCM 1706 oder höher)
  • Querladen auf Zielgeräten aktiviert (siehe Querladen aktivieren)

Codesignaturanforderungen

Jedes über ConfigMgr bereitgestellte MSIX-Paket muss signiert werden. Windows installiert kein nicht signiertes MSIX, auch wenn es über ConfigMgr still bereitgestellt wird.

Sie haben zwei Möglichkeiten:

Option 1: Selbstsigniertes Zertifikat (keine Kosten nur für von der Domäne verwaltete Geräte)

Ein selbstsigniertes Zertifikat kann kostenlos verwendet werden, aber das Zertifikat muss auf jedem Zielgerät vor der Bereitstellung als vertrauenswürdig eingestuft werden. Auf configMgr-verwalteten Geräten verteilen Sie die Zertifikatvertrauensstellung mithilfe von Gruppenrichtlinien oder einem ConfigMgr-Zertifikatprofil.

Diese Option eignet sich, wenn alle Geräte in die Domäne eingebunden und lokal verwaltet werden, und die App wird niemals über Ihre Organisation verteilt.

Azure Artifact Signing (vormals vertrauenswürdige Signatur) stellt ein ca-vertrauenswürdiges Zertifikat ohne Hardwaretoken bereit. Da das Zertifikat von einer Zertifizierungsstelle ausgestellt wird, die Windows bereits als vertrauenswürdig einstuft, ist keine zusätzliche Bereitstellung von Zertifikaten auf den Zielgeräten erforderlich. Aktuelle Preise finden Sie auf der Preisseite von Azure Artifact Signing.

Anleitungen zum Signieren finden Sie unter Signieren eines App-Pakets mit SignTool.

Querladen auf Zielgeräten aktivieren

MSIX-Apps, die außerhalb der Microsoft Store bereitgestellt werden, erfordern das Querladen auf Zielgeräten.

Windows-Version Sideloading-Standardfunktion Aktion erforderlich
Windows 11 Standardmäßig aktiviert Nichts
Windows 10 (Version 2004 und höher) Standardmäßig aktiviert Nichts
Windows 10 (vor Version 2004) Standardmäßig deaktiviert Aktivieren über Gruppenrichtlinien

So aktivieren Sie das Querladen über Gruppenrichtlinien auf älteren Windows 10 Geräten:

  1. Öffnen Sie die Gruppenrichtlinienverwaltung , und erstellen oder bearbeiten Sie ein Gruppenrichtlinienobjekt für die OU, die Ihre verwalteten Geräte enthält.
  2. Navigieren Sie zu Computerkonfiguration>Administrative Templates>Windows Components>App Package Deployment
  3. Installation aller vertrauenswürdigen Apps zulassen aktivieren (auch bezeichnet als AllowAllTrustedApps)
  4. Verknüpfen Sie das Gruppenrichtlinienobjekt mit der OU, die Ihre verwalteten Geräte enthält

Hinweis

Auf Windows 10 Version 2004 und höher und allen Windows 11 Geräten ist das Querladen standardmäßig aktiviert. Die Richtlinie Alle vertrauenswürdigen Apps zur Installation zulassen ist nicht erforderlich.

Verteilung des Zertifikatsvertrauens (nur selbstsigniertes)

Wenn Sie ein selbstsigniertes Zertifikat verwenden, müssen Sie den öffentlichen Schlüssel des Zertifikats auf Zielgeräten bereitstellen, bevor die App eintrifft. Wenn Sie Azure Artefaktsignierung verwenden, überspringen Sie diesen Abschnitt.

Verwenden von Gruppenrichtlinien

  1. Exportieren des öffentlichen Schlüssels (.cer) aus Ihrem Signaturzertifikat
  2. In der Gruppenrichtlinienverwaltung erstellen oder bearbeiten Sie ein Gruppenrichtlinienobjekt für Ihre Geräte-OU.
  3. Navigieren Sie zu Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>Richtlinien für öffentliche Schlüssel>Vertrauenswürdige Personen
  4. Klicken Sie mit der rechten Maustaste auf "Vertrauenswürdige Personen>importieren ", und wählen Sie Ihre Datei aus .cer .
  5. Anwenden und Verknüpfen des Gruppenrichtlinienobjekts – Geräte erhalten das Zertifikat bei der nächsten Gruppenrichtlinienaktualisierung

Verwenden eines ConfigMgr-Zertifikatprofils

Erstellen Sie alternativ ein Zertifikatprofil in ConfigMgr:

  1. Wechseln Sie in der ConfigMgr-Konsole zu "Assets and Compliance>Compliance Settings>Company Resource Access>Certificate Profiles".
  2. Erstellen Sie ein Profil für ein vertrauenswürdiges CA-Zertifikat und laden Sie Ihre .cer Datei hoch.
  3. Festlegen des Zertifikatspeichers auf vertrauenswürdige Personen
  4. Stellen Sie das Profil in derselben Gerätesammlung bereit, bevor Sie die App bereitstellen.

Von Bedeutung

Das Zertifikatvertrauen muss auf den Geräten etabliert sein, bevor die App installiert wird. Wenn die App zuerst eintrifft, kann die Installation mit einem Zertifikatvertrauensfehler fehlschlagen. Stellen Sie zuerst die Zertifikatrichtlinie und dann die App bereit.

Erstellen der Anwendung in ConfigMgr

  1. Wechseln Sie in der ConfigMgr-Konsole zu Softwarebibliothek>Anwendungsverwaltung>Anwendungen
  2. Wählen Sie im Menüband "Anwendung erstellen" aus.
  3. Auf der Seite General wählen Sie Automatisch Informationen zu dieser Anwendung aus Installationsdateien erkennen, legen Sie den Typ auf Windows App-Paket (*.appx, *.appxbundle, *.msix, *.msixbundle) fest, und geben Sie den UNC-Pfad zu Ihrer MSIX-Datei an.
  4. ConfigMgr liest das Paketmanifest und füllt Name, Publisher, Version und Erkennungsmethode aus. Überprüfen Sie diese Felder.
  5. Vollständige Software Center-Anzeigedaten (Beschreibung, Symbol) auf der Registerkarte Software Center falls gewünscht.
  6. Bestätigen Sie auf der Seite "Bereitstellungstypen " den automatisch erstellten Bereitstellungstyp. Die Installations- und Deinstallationsbefehle werden automatisch für MSIX-Pakete festgelegt.
  7. Wählen Sie "Weiter" durch die verbleibenden Seiten aus, überprüfen und "Fertig stellen" aus.

Hinweis

ConfigMgr bestimmt automatisch die Installations- und Erkennungslogik für MSIX-Pakete. Sie müssen keine benutzerdefinierten Installationszeichenfolgen oder Erkennungsskripts angeben.

Die Anwendung in einer Sammlung bereitstellen

  1. Klicken Sie in Anwendungen mit der rechten Maustaste auf Ihre App, und wählen Sie "Bereitstellen" aus.
  2. Wählen Sie auf der Seite „Allgemein“ die Gerätesammlung oder die Benutzersammlung aus, die als Ziel festgelegt werden soll.
  3. Vergewissern Sie sich auf der Seite "Inhalt ", dass das Paket an die entsprechenden Verteilungspunkte verteilt wird.
  4. Auf der Seite "Bereitstellungseinstellungen" :
    • Aktion auf Installation festlegen
    • Zweck auf Erforderlich setzen für die unbeaufsichtigte Installation oder auf Verfügbar, um im Software Center anzuzeigen.
  5. Legen Sie auf der Seite "Terminplanung " fest, wann die Bereitstellung verfügbar ist, und einen beliebigen Stichtag.
  6. Überprüfen Sie und wählen Sie OK, um die Bereitstellung zu speichern.

Clients erhalten die Bereitstellung im nächsten Aktualisierungszyklus der Richtlinien (Standardintervall: 60 Minuten). Sie können eine sofortige Synchronisierung vom Client auslösen: Öffnen Sie Konfigurations-Manager in der Taskleiste und wählen Sie Abruf- und Bewertungszyklus für Maschinenrichtlinien.

Updateverwaltung

ConfigMgr verwaltet MSIX-Updates mithilfe von Anwendungsablösung:

  1. Erstellen sie eine neue Anwendung für die aktualisierte MSIX-Version (wiederholen Sie die vorstehenden Schritte).
  2. Wechseln Sie in den Eigenschaften der ursprünglichen Anwendung zur Registerkarte " Supersedence "
  3. Wählen Sie "Hinzufügen" aus, und wählen Sie die neue Anwendung als abgelöste App aus.
  4. Für ein normales MSIX-Update, bei dem die Paketidentität gleich bleibt und die Version zunimmt, lassen Sie "Uninstall" deaktiviert – MSIX-Upgrades erfolgen direkt. Überprüfen Sie nur die Deinstallation , wenn das neue Paket das alte Paket nicht ersetzen kann, z. B. nach einer Paketidentitätsänderung oder einer großen Neupackung.
  5. Bereitstellen Sie die neue Anwendung als Erforderlich für dieselbe Sammlung

Hinweis

Im Gegensatz zu Intune erkennt ConfigMgr keine MSIX-Versionsänderungen für denselben Anwendungseintrag automatisch. Sie müssen einen neuen Anwendungseintrag erstellen und für jedes Update Supersedence konfigurieren.

Überlegungen zu Windows 10 im Vergleich zu Windows 11

Einige MSIX-Bereitstellungsverhalten unterscheiden sich zwischen Windows 10 und Windows 11:

Szenario Windows 10 Windows 11
Sideloading-Standardfunktion Kann möglicherweise GPO (vor 2004) erfordern. Standardmäßig aktiviert
App-Registrierung für alle Benutzer Erfordert eine Sitzung mit erhöhten Rechten Vereinfacht
Bekannte MSIX-Paketfehler Weitere unbackportierte Probleme Bessere Plattformunterstützung

Wenn bei Windows 10 speziell MSIX-Fehler auftreten, die unter Windows 11 nicht nachvollziehbar sind, sollten Sie die offenen Probleme in microsoft/msix-packaging überprüfen – einige Fehler, die Windows 10 betreffen, wurden nicht zurückportiert.

Problembehandlung

Zertifikatvertrauensfehler

Wenn sie ein selbstsigniertes Zertifikat verwenden und das Zertifikat das Gerät noch nicht erreicht hat, schlägt die MSIX-Installation im Hintergrund fehl. So diagnostizieren Sie Folgendes:

  • Führen Sie gpresult /r auf dem Gerät aus und bestätigen Sie, dass die Gruppenrichtlinie des Zertifikats unter den angewendeten Richtlinien aufgeführt ist.
  • Öffnen Sie certlm.msc, und überprüfen Sie, ob das Signaturzertifikat in vertrauenswürdigen Personen des lokalen Computers > angezeigt wird.
  • Wenn das Zertifikat fehlt, überprüfen Sie den Zeitpunkt der Richtlinienanwendung – das Zertifikat muss vor der Anwendung eingehen.

0x80073CF3 – Fehler bei Aktualisierung, Abhängigkeit oder Konfliktüberprüfung des Pakets

Dieser Fehler gibt an ERROR_INSTALL_PACKAGE_DOWNGRADE : Eine neuere Version des Pakets ist bereits auf dem Gerät installiert. Überprüfen:

  • Die Version im MSIX-Manifest ist höher als die auf dem Gerät installierte Version.
  • Deinstallieren Sie bei Bedarf das vorhandene Paket vom Gerät, bevor Sie die Bereitstellung wiederholen.
  • Weitere Ursachen finden Sie unter MSIX-Bereitstellung – Problembehandlung

0x80073CF0 – Paketdatei kann nicht geöffnet werden

Die MSIX-Datei kann nicht über den Verteilungspunktpfad geöffnet werden. Überprüfen:

  • Auf den UNC-Pfad kann über den Client zugegriffen werden.
  • Der Verteilungspunkt hat den Inhalt verteilt (Überprüfen Sie den Überwachungsstatus>der Verteilung)
  • Die Datei ist nicht beschädigt – kopieren Sie sie lokal, und versuchen Sie Add-AppxPackage , dies zu bestätigen.

0x8007000D – Ungültige Daten/Herausgeberkonflikt

Der Wert Publisher im MSIX-Manifest stimmt nicht genau mit dem Subjekt des Signaturzertifikats überein (einschließlich Abstand und Großschreibung). Erstellen Sie das Paket neu, und signieren Sie es erneut, nachdem Sie das Manifest korrigiert haben.

App bleibt in "Auf Inhalt warten" hängen

Der Inhalt wurde nicht an den Verteilungspunkt verteilt, der die Zielgeräte bedient. In der ConfigMgr-Konsole:

  1. Klicken Sie mit der rechten Maustaste auf den Bereitstellungstyp, und wählen Sie "Verteilungspunkte aktualisieren" aus.
  2. Überwachen Sie den Fortschritt der Verteilung unter Überwachung>, Verteilungsstatus> und Inhaltsstatus.

Überprüfen des Clientbereitstellungsprotokolls

Öffnen Sie auf dem Zielgerät:

C:\Windows\CCM\Logs\AppEnforce.log

Suchen Sie nach dem Namen Ihrer Anwendung, um den relevanten Installationsversuch, den Exit-Code und die Fehlerdetails zu finden.

Verwandte Inhalte

  • Last updated on