Implementación de aplicaciones MSIX con Microsoft Intune

Microsoft Intune puede implementar aplicaciones empaquetadas con MSIX en dispositivos administrados Windows de forma silenciosa; no se requiere interacción del usuario en tiempo de instalación. En esta guía se describe el flujo de trabajo de implementación completo, incluida la firma de código, la distribución de confianza de certificados, la creación de aplicaciones, la asignación y la solución de problemas.

Prerrequisitos

Antes de implementar una aplicación MSIX a través de Intune, asegúrese de que tiene:

• Un paquete MSIX creado y listo para implementar
• Una suscripción de Microsoft Intune (incluida en Microsoft 365 E3/E5, Enterprise Mobility + Security)
• Microsoft Entra ID grupos que representan a los usuarios o dispositivos de destino
• Un certificado de firma de código (consulte Requisitos de firma de código)

Requisitos de firma de código

Todos los paquetes MSIX implementados a través de Intune deben estar firmados. Windows no instalará un paquete MSIX sin firmar, incluso cuando se implemente a través de MDM.

Tiene dos opciones para firmar certificados:

Opción 1: Certificado autofirmado (sin costo, solo para dispositivos internos o administrados)

Un certificado autofirmado puede firmar el paquete MSIX sin costo alguno, pero el certificado debe ser de confianza en todos los dispositivos de destino. Intune puede distribuir esta confianza automáticamente a través de un perfil de configuración de certificado de confianza .

Esta opción es adecuada cuando todos los dispositivos de destino son administrados por Intune y la aplicación nunca se distribuirá fuera de la organización.

Opción 2: Azure Artifacts Signing (anteriormente Firma confiable) (recomendado para la mayoría de los escenarios)

Azure Firma de artefactos (anteriormente Firma de confianza) proporciona un certificado de confianza por una autoridad certificadora sin necesidad de un token de hardware. Los certificados se integran directamente con canalizaciones de CI/CD (Acciones de GitHub, Azure Pipelines). Para obtener los precios actuales, consulte la página de precios Firma de Artefactos de Azure.

Dado que el certificado es de confianza de la autoridad de certificación, los dispositivos Windows confían en él automáticamente: no se necesitan perfiles de configuración de Intune adicionales. Esta es la opción de menor fricción para la mayoría de los escenarios empresariales.

Para obtener instrucciones sobre cómo firmar el paquete MSIX, consulte Firmar un paquete de aplicación mediante SignTool.

Opción A: Implementar con un certificado autofirmado

Si usa un certificado autofirmado, complete estos pasos antes de crear la aplicación loB. Si usa Azure Artifact Signing, vaya a Opción B.

Paso 1: Crear y exportar el certificado autofirmado

En el equipo de compilación, cree un certificado autofirmado y expórtelo:

# Create a self-signed code signing certificate
$cert = New-SelfSignedCertificate `
    -Subject "CN=MyCompany, O=MyCompany, C=US" `
    -Type CodeSigningCert `
    -CertStoreLocation Cert:\CurrentUser\My `
    -HashAlgorithm SHA256

# Export the public key (.cer) for Intune distribution — no password required
Export-Certificate -Cert $cert -FilePath "MyCompanyCert.cer"

Paso 2: Firmar el paquete MSIX

Inicie sesión con el certificado desde el almacén de certificados local: no se necesita PFX ni contraseña en el equipo de compilación:

# Sign using the certificate thumbprint
signtool sign /fd SHA256 /sha1 $cert.Thumbprint "MyApp.msix"

Paso 3: Crear un perfil de certificado de confianza en Intune

Este perfil transfiere la clave pública del certificado a los dispositivos de destino para que Windows confíe en la firma autofirmada.

1. En el Centro de administración de Intune, vaya aConfiguración de>dispositivos>Crear directiva.
2. Seleccione Windows 10 y versiones posteriores como plataforma, Templates como tipo de perfil y, a continuación, Certificado de confianza
3. Sube el archivo .cer que exportaste en el paso 1
4. Establecer almacén de Destino en Equipo Local - Personas de Confianza
5. Asignar el perfil al mismo dispositivo o grupos de usuarios que recibirán la aplicación
6. Seleccione Crear, Intune envía una notificación push a dispositivos activos y en línea; normalmente realizan la comprobación y reciben el certificado en unos minutos. El intervalo de sincronización en segundo plano es de 8 horas para los dispositivos que pierden la notificación.

Opción B: Implementar con firma de artefactos de Azure (anteriormente Firma de confianza)

Si está utilizando Azure Artifact Signing (anteriormente Firma de confianza), el certificado ya está reconocido como confiable por Windows. No se necesita ningún perfil de certificado de confianza en Intune.

Firme el paquete MSIX mediante la tarea de azure/trusted-signing-action Acciones de GitHub, la integración equivalente de Azure Pipelines, o siguiendo las instrucciones de firma local en la documentación de Azure Artifact Signing (anteriormente firma de confianza).

Creación de una aplicación de línea de negocio en Intune

1. En el Centro de administración de Intune, vaya a Aplicaciones>Todas las aplicaciones>.
2. En Tipo de aplicación, seleccione Aplicación de línea de negocio y, a continuación, seleccione Seleccionar.
3. En el archivo de paquete de aplicación, cargue su archivo firmado .msix (o .msixbundle)
4. Intune lee automáticamente los metadatos del paquete: revisa los campos poblados de Name, Publisher y App version
5. Complete los campos obligatorios restantes:
   • Descripción : lo que hace la aplicación
   • Publisher: el nombre de la organización (rellenado previamente desde el paquete)
   • Contexto de instalación de la aplicación : seleccione Dispositivo para la instalación en toda la máquina (recomendado) o Usuario para la instalación por usuario.
6. Seleccione Siguiente para configurar etiquetas de ámbito si la organización las usa y, después, siguiente de nuevo.
7. En la página Asignaciones , asigne la aplicación:
   • Obligatorio : la aplicación se instala silenciosamente sin petición de usuario.
   • Available para dispositivos inscritos: la aplicación aparece en Portal de empresa para la instalación opcional.
   • Desinstalar : quita la aplicación de los dispositivos de destino.
8. Seleccione Siguiente, revise la configuración y, a continuación, seleccione Crear.

Intune pone en cola la implementación. Los dispositivos reciben e instalan la aplicación durante el siguiente ciclo de sincronización de Intune.

Comprobación de la instalación

Para confirmar que la aplicación se implementó correctamente:

1. En el Centro de administración de Intune, vaya a Aplicaciones>Todas las aplicaciones y seleccione la aplicación.
2. Seleccione Estado de instalación del dispositivo o Estado de instalación del usuario para ver los resultados por dispositivo.
3. Busque el estado de instalación. Estados comunes no instalados:

Para las instalaciones con errores, anote el código de error que se muestra y vea Solución de problemas a continuación.

Administración de actualizaciones

Al publicar una nueva versión de la aplicación, cargue el paquete MSIX actualizado en la misma entrada de aplicación:

1. Vaya a Aplicaciones>Todas las aplicaciones, seleccione la aplicación.
2. Seleccione Propiedades>Editar junto a Información de la aplicación.
3. En archivo de paquete de aplicación, cargue el nuevo .msix archivo.
4. Guardar los cambios: Intune detecta el cambio de versión e inserta la actualización en los dispositivos asignados en la siguiente sincronización.

Solución de problemas

Error de confianza de firma o certificado

Si usa un certificado autofirmado, la instalación de MSIX falla sin mostrar mensajes de error si el certificado de firma no es de confianza en el dispositivo. Para diagnosticar:

• En el Centro de administración de Intune, vaya a los perfiles de configuración del dispositivo y compruebe que el perfil de certificado de confianza muestra Correcto.
• En el dispositivo, abra certlm.msc y compruebe que el certificado de firma aparece en Personas de confianza del equipo > local
• Si el perfil sigue pendiente, desencadene una sincronización manual (consulte Aplicación bloqueada en "Pendiente")

0x80073CF3: el paquete no se pudo actualizar, validar la dependencia o resolver la validación de conflictos.

Este error indica ERROR_INSTALL_PACKAGE_DOWNGRADE : ya hay instalada una versión más reciente del paquete en el dispositivo. Comprobación:

• La versión de MSIX cargada es superior a la versión instalada actualmente en los dispositivos de destino.
• Si es necesario, desinstale el paquete existente del dispositivo antes de volver a intentar la implementación.
• Para conocer otras causas (conflictos de dependencias, falta de coincidencia de marcos), consulte Solución de problemas de implementación de MSIX.

0x80073CF0: no se pudo abrir el paquete

No se pudo abrir el paquete MSIX durante la instalación (ERROR_INSTALL_OPEN_PACKAGE_FAILED). Comprobación:

• El archivo de paquete se cargó completamente y no está dañado
• MSIX es válido, pruébelo abriéndolo localmente antes de cargarlo.
• Vuelva a cargar el paquete si es posible que se haya interrumpido la carga y vuelva a intentar la asignación.

0x80070005: acceso denegado

Indica permisos insuficientes (E_ACCESSDENIED). Compruebe que la cuenta de implementación y el dispositivo de destino tengan el acceso necesario y confirme que la aplicación y los perfiles de certificado necesarios están asignados correctamente. Un error de coincidencia de contexto (aplicación asignada como instalación de usuario , pero el paquete requiere una instalación para toda la máquina) también puede provocarlo; si es así, cambie al contexto de instalación del dispositivo. Para conocer otras causas y pasos de corrección, consulte Solución de problemas de implementación de MSIX.

Aplicación atascada en "Pendiente"

• Desencadene una sincronización manual de Intune: en el dispositivo, vaya a Configuración>Cuentas>Acceso al trabajo o escuela>, seleccione la>de información dela cuenta>.
• O bien, en el Centro de administración de Intune, vaya a Dispositivos> seleccione la > de dispositivos.

Comprobación de los registros de instalación en el dispositivo

Para obtener diagnósticos más profundos, compruebe dos orígenes de registro:

Registro de extensión de administración de Intune : realiza un seguimiento de la actividad de descarga e implementación de la aplicación LOB:

%ProgramData%\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log

AppxDeployment-Server registro de eventos : realiza un seguimiento de la propia instalación de MSIX:

1. Abra Visor de eventos
2. Vaya a Registros de aplicaciones y servicios>Microsoft>Windows>AppxDeployment-Server
3. Filtrar por eventos de error y buscar entradas que coincidan con el nombre de familia del paquete

O desde PowerShell:

Get-AppxLog | Where-Object { $_.Message -match "MyApp" } | Select-Object TimeCreated, Message

Busque en ambos orígenes de registro el nombre de la aplicación o el nombre de familia del paquete para buscar el intento de instalación correspondiente.

Contenido relacionado

• Firmar un paquete de aplicación mediante SignTool
• Documentación de firma de artefactos de Azure (anteriormente Firma de confianza)
• Implementar aplicaciones MSIX con Administrador de configuración
• Solución de problemas de implementación de MSIX
• Crear una aplicación de línea de negocio en Intune (Microsoft docs)