Bereitstellen von MSIX-Apps mit Microsoft Intune

Microsoft Intune können MSIX-verpackte Apps automatisch auf verwalteten Windows Geräten bereitstellen. Zur Installation ist keine Benutzerinteraktion erforderlich. Dieses Handbuch behandelt den vollständigen Bereitstellungsworkflow, einschließlich Codesignatur, Zertifikatvertrauensverteilung, App-Erstellung, Zuweisung und Problembehandlung.

Voraussetzungen

Stellen Sie vor der Bereitstellung einer MSIX-App über Intune folgendes sicher:

  • Ein MSIX-Paket, das für die Bereitstellung erstellt und einsatzbereit ist
  • Ein Microsoft Intune-Abonnement (enthalten in Microsoft 365 E3/E5, Enterprise Mobility + Security)
  • Microsoft Entra ID Gruppen, die die Zielbenutzer oder -geräte darstellen
  • Ein Codesignaturzertifikat (siehe Codesignaturanforderungen)

Codesignaturanforderungen

Jedes über Intune bereitgestellte MSIX-Paket muss signiert sein. Windows installiert kein nicht signiertes MSIX-Paket, auch wenn es über MDM bereitgestellt wird.

Sie haben zwei Möglichkeiten zum Signieren von Zertifikaten:

Option 1: Selbstsigniertes Zertifikat (keine Kosten nur für interne/verwaltete Geräte)

Ein selbstsigniertes Zertifikat kann Ihr MSIX-Paket kostenlos signieren, aber das Zertifikat muss auf jedem Zielgerät vertrauenswürdig sein. Intune kann diese Vertrauensstellung automatisch über ein Konfigurationsprofil für vertrauenswürdige Zertifikate verteilen.

Diese Option eignet sich, wenn alle Zielgeräte intune verwaltet werden und die App niemals außerhalb Ihrer Organisation verteilt wird.

Azure Artifact Signing (vormals vertrauenswürdige Signatur) stellt ein ca-vertrauenswürdiges Zertifikat ohne Hardwaretoken bereit. Zertifikate werden direkt in CI/CD-Pipelines (GitHub Actions, Azure Pipelines) integriert. Aktuelle Preise finden Sie auf der Preisseite von Azure Artifact Signing.

Da das Zertifikat von der Zertifizierungsstelle als vertrauenswürdig eingestuft wird, vertrauen Windows-Geräte automatisch darauf, und es sind keine zusätzlichen Intune-Konfigurationsprofile erforderlich. Dies ist die Option zur niedrigeren Reibung für die meisten Unternehmensszenarien.

Anleitungen zum Signieren Ihres MSIX-Pakets finden Sie unter Signieren eines App-Pakets mit SignTool.

Option A: Bereitstellen mit einem selbstsignierten Zertifikat

Wenn Sie ein selbstsigniertes Zertifikat verwenden, führen Sie diese Schritte bevor Sie die LOB-App erstellen. Wenn Sie Azure Artefaktsignierung verwenden, fahren Sie mit Option B fort.

Schritt 1: Erstellen und Exportieren Ihres selbstsignierten Zertifikats

Erstellen Sie auf Ihrem Buildcomputer ein selbstsigniertes Zertifikat, und exportieren Sie es:

# Create a self-signed code signing certificate
$cert = New-SelfSignedCertificate `
    -Subject "CN=MyCompany, O=MyCompany, C=US" `
    -Type CodeSigningCert `
    -CertStoreLocation Cert:\CurrentUser\My `
    -HashAlgorithm SHA256

# Export the public key (.cer) for Intune distribution — no password required
Export-Certificate -Cert $cert -FilePath "MyCompanyCert.cer"

Schritt 2: Signieren Ihres MSIX-Pakets

Melden Sie sich mit dem Zertifikat aus Ihrem lokalen Zertifikatspeicher an – keine PFX- oder Kennwortanforderung auf dem Buildcomputer:

# Sign using the certificate thumbprint
signtool sign /fd SHA256 /sha1 $cert.Thumbprint "MyApp.msix"

Tipp

Wenn Sie sich auf einem anderen Computer (z. B. in einer CI/CD-Pipeline) anmelden müssen, exportieren Sie die PFX-Datei mit Export-PfxCertificate und speichern Sie das Kennwort als geheime Pipeline-Variable — codieren Sie es niemals hart in einem Skript oder übertragen Sie es in die Quellcodeverwaltung.

Schritt 3: Erstellen eines vertrauenswürdigen Zertifikatprofils in Intune

Dieses Profil verschiebt den öffentlichen Schlüssel Ihres Zertifikats an Zielgeräte, sodass Windows der selbstsignierten Signatur vertraut.

  1. Wechseln Sie im Intune Admin Center zu Geräte>Konfiguration>Richtlinie erstellen
  2. Wählen Sie Windows 10 und höher als Plattform, Templates als Profiltyp aus, und Trusted certificate
  3. Laden Sie die in Schritt 1 exportierte .cer Datei hoch
  4. Festlegen des Zielspeichers auf lokalen Computer – Vertrauenswürdige Personen
  5. Weisen Sie das Profil denselben Geräte- oder Benutzergruppen zu, die die App erhalten.
  6. Wählen Sie "Erstellen" aus – Intune sendet eine Pushbenachrichtigung an aktive Onlinegeräte; sie einchecken und erhalten das Zertifikat in der Regel innerhalb weniger Minuten. Das Hintergrundsynchronisierungsintervall beträgt 8 Stunden für Geräte, die die Benachrichtigung verpassen.

Von Bedeutung

Stellen Sie das Profil des vertrauenswürdigen Zertifikats vor oder gleichzeitig mit der Line-of-Business-App bereit. Wenn die App das Gerät erreicht, bevor das Zertifikat vertrauenswürdig ist, schlägt die Installation fehl.

Option B: Deployment mit Azure Artefakt-Signierung (ehemals Trusted Signing)

Wenn Sie Azure Artifact Signing (ehemals vertrauenswürdige Signatur) verwenden, wird das Zertifikat bereits von Windows als vertrauenswürdig eingestuft. In Intune ist kein vertrauenswürdiges Zertifikatprofil erforderlich.

Signieren Sie Ihr MSIX-Paket mit der GitHub Actions Aufgabe azure/trusted-signing-action oder der entsprechenden Azure Pipelines-Integration, oder folgen Sie dem Leitfaden zum lokalen Signieren in der Dokumentation Azure Artifact Signing (ehemals Vertrauenswürdige Signierung).

Erstellen einer Branchen-App in Intune

  1. Wechseln Sie im Intune Admin Center zu "Apps>>.
  2. Wählen Sie unter App-Typ "Line-of-Business-App" und dann "Auswählen" aus.
  3. Laden Sie unter "App-Paketdatei" Ihre signierte .msix (oder .msixbundle) Datei hoch.
  4. Intune liest die Paketmetadaten automatisch – überprüfen Sie die ausgefüllten Name, Publisher und App-Versionfelder
  5. Füllen Sie die verbleibenden erforderlichen Felder aus:
    • Beschreibung – Funktionsweise der App
    • Publisher – Name Ihrer Organisation (vorgefüllt aus dem Paket)
    • App-Installationskontext – Wählen Sie "Gerät für computerweite Installation" (empfohlen) oder "Benutzer " für die Installation pro Benutzer aus.
  6. Wählen Sie "Weiter" aus, um Bereichstags zu konfigurieren, wenn Ihre Organisation sie verwendet, und klicken Sie dann erneut auf "Weiter" .
  7. Weisen Sie auf der Seite " Aufgaben" die App zu:
    • Erforderlich – Die App wird ohne Benutzeraufforderung im Hintergrund installiert.
    • Available for enrolled devices – Die App erscheint im Unternehmensportal zur optionalen Installation.
    • Deinstallieren – entfernt die App von zielbezogenen Geräten.
  8. Wählen Sie "Weiter" aus, überprüfen Sie Ihre Einstellungen, und wählen Sie dann "Erstellen" aus.

Intune stellt die Bereitstellung in die Warteschlange. Geräte empfangen und installieren die App während des nächsten Intune-Synchronisierungszyklus.

Hinweis

MSIX-Apps, die über Intune als erforderliche Installation im Gerätekontext still installiert werden. Benutzern wird keine UAC-Eingabeaufforderung oder ein Installations-Assistent angezeigt.

Überprüfen der Installation

So bestätigen Sie, dass die App erfolgreich bereitgestellt wurde:

  1. Wechseln Sie im Intune Admin Center zu "Alle Apps>" , und wählen Sie Ihre App aus.
  2. Wählen Sie den Geräteinstallationsstatus oder den Installationsstatus des Benutzers aus, um die Ergebnisse pro Gerät anzuzeigen.
  3. Suchen Sie nach dem Status "Installiert" . Allgemeine nicht installierte Zustände:
Status Bedeutung
Nicht zutreffend Das Gerät befindet sich nicht in der zugewiesenen Gruppe.
Ausstehend Bereitstellung in der Warteschlange; das Gerät wurde noch nicht synchronisiert.
Fehler Installationsfehler – siehe Fehlercode in Details
Nicht installiert App wurde noch nicht empfangen oder verzögert installiert

Beachten Sie bei fehlgeschlagenen Installationen den angezeigten Fehlercode, und lesen Sie die nachstehende Problembehandlung .

Updateverwaltung

Wenn Sie eine neue Version Ihrer App veröffentlichen, laden Sie das aktualisierte MSIX-Paket in denselben App-Eintrag hoch:

  1. Wechseln Sie zu "Alle Apps>", wählen Sie Ihre App aus.
  2. Eigenschaften und Bearbeiten neben App-Informationen auswählen
  3. Laden Sie unter "App-Paketdatei" die neue .msix Datei hoch.
  4. Speichern der Änderungen – Intune erkennt die Versionsänderung und pusht das Update auf zugewiesene Geräte bei der nächsten Synchronisierung.

Hinweis

Intune verwendet die Versionsnummer im MSIX-Manifest, um Updates zu erkennen. Stellen Sie sicher, dass Sie die Versionsnummer in Ihrem .appxmanifest erhöhen, bevor Sie jede Veröffentlichung erstellen.

Problembehandlung

Signatur- oder Zertifikatvertrauensfehler

Wenn Sie ein selbstsigniertes Zertifikat verwenden, schlägt die MSIX-Installation im Hintergrund fehl, wenn das Signaturzertifikat auf dem Gerät nicht vertrauenswürdig ist. So diagnostizieren Sie Folgendes:

  • Wechseln Sie im Intune Admin Center zu den Konfigurationsprofilen des Geräts, und überprüfen Sie, ob das Profil "Vertrauenswürdiges Zertifikat" "Erfolgreich" angezeigt wird.
  • Öffnen Sie auf dem Gerät certlm.msc, und überprüfen Sie, ob das Signaturzertifikat in "Vertrauenswürdige Personen" des lokalen Computers > angezeigt wird.
  • Wenn das Profil noch Ausstehend ist, lösen Sie eine manuelle Synchronisierung aus (siehe App, die im Status 'Ausstehend' festhängt)

0x80073CF3 – Paket-Fehler bei Aktualisierung, Abhängigkeits- oder Konfliktvalidierung

Dieser Fehler gibt an ERROR_INSTALL_PACKAGE_DOWNGRADE : Eine neuere Version des Pakets ist bereits auf dem Gerät installiert. Überprüfen:

  • Die Version im hochgeladenen MSIX ist höher als die version, die derzeit auf Zielgeräten installiert ist.
  • Deinstallieren Sie bei Bedarf das vorhandene Paket vom Gerät, bevor Sie die Bereitstellung wiederholen.
  • Weitere Ursachen (Abhängigkeitskonflikte, Frameworkkonflikt) finden Sie unter MSIX-Bereitstellungsproblembehandlung

0x80073CF0 - Paket konnte nicht geöffnet werden

Das MSIX-Paket konnte während der Installation (ERROR_INSTALL_OPEN_PACKAGE_FAILED) nicht geöffnet werden. Prüfen:

  • Die Paketdatei wurde vollständig hochgeladen und ist nicht beschädigt.
  • MsIX ist gültig – Test durch lokales Öffnen vor dem Hochladen
  • Laden Sie das Paket erneut hoch, wenn der Upload unterbrochen wurde, und versuchen Sie dann erneut die Aufgabe.

0x80070005 – Zugriff verweigert

Gibt unzureichende Berechtigungen an (E_ACCESSDENIED). Stellen Sie sicher, dass das Bereitstellungskonto und das Zielgerät über den erforderlichen Zugriff verfügen, und bestätigen Sie, dass die App und alle erforderlichen Zertifikatprofile ordnungsgemäß zugewiesen sind. Ein Kontextkonflikt (app zugewiesen als Benutzerinstallation , aber das Paket erfordert eine computerweite Installation) kann dies auch verursachen – wechseln Sie in diesem Fall zum Geräteinstallationskontext . Weitere Ursachen- und Korrekturschritte finden Sie unter MSIX-Bereitstellungsproblembehandlung.

App bleibt in "Ausstehend" hängen

  • Auslösen einer manuellen Intune-Synchronisierung: Wechseln Sie auf dem Gerät zu "EinstellungenKontenBerufliches oder schulisches Konto" und wählen Sie "InformationenSynchronisieren" aus.
  • Oder wechseln Sie im Intune Admin Center zu "Geräte> auswählen", um das Gerät ">" auszuwählen.

Überprüfen von Installationsprotokollen auf dem Gerät

Überprüfen Sie für eine tiefere Diagnose zwei Protokollquellen:

Intune-Verwaltungserweiterungsprotokoll – verfolgt lob-App-Download- und Bereitstellungsaktivitäten:

%ProgramData%\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log

AppxDeployment-Server Ereignisprotokoll – verfolgt die MSIX-Installation selbst:

  1. Öffnen Sie Ereignisanzeige
  2. Wechseln Sie zu Applications and Services Logs>Microsoft>Windows>AppxDeployment-Server
  3. Nach Fehlerereignissen filtern und nach Einträgen suchen, die ihrem Paketfamiliennamen entsprechen

Oder über PowerShell:

Get-AppxLog | Where-Object { $_.Message -match "MyApp" } | Select-Object TimeCreated, Message

Durchsuchen Sie beide Protokollquellen nach Ihrem App-Namen oder Paketfamiliennamen, um den entsprechenden Installationsversuch zu finden.

Verwandte Inhalte

  • Last updated on