Distribuire app MSIX con Microsoft Configuration Manager

Microsoft Configuration Manager (ConfigMgr) può distribuire in modo invisibile all'utente le app in pacchetto MSIX nei dispositivi gestiti Windows locali senza interazione dell'utente. Questa guida illustra il flusso di lavoro di distribuzione completo: firma del codice, distribuzione dell'attendibilità del certificato, creazione di applicazioni, destinazione della raccolta, aggiornamenti basati su sostituzione e risoluzione dei problemi.

Prerequisiti

Prima di distribuire un'app MSIX tramite ConfigMgr, assicurarsi di avere:

  • Un pacchetto MSIX compilato e firmato (vedere Requisiti di firma del codice)
  • Percorso UNC del pacchetto MSIX accessibile dal punto di distribuzione di ConfigMgr o dal pacchetto disponibile in un punto di distribuzione di ConfigMgr
  • Un dispositivo o una raccolta di utenti da destinare
  • Gestione configurazione Current Branch (o SCCM 1706 o versione successiva)
  • Abilitazione del sideloading sui dispositivi di destinazione (vedere Abilitare il sideloading)

Requisiti di firma del codice

Ogni pacchetto MSIX distribuito tramite ConfigMgr deve essere firmato. Windows non installerà un MSIX non firmato, anche se distribuito in modo invisibile all'utente tramite ConfigMgr.

È possibile procedere in due modi:

Opzione 1: certificato autofirmato (senza costi, solo per i dispositivi gestiti da dominio)

Un certificato autofirmato può essere usato gratuitamente, ma il certificato deve essere considerato attendibile in ogni dispositivo di destinazione prima della distribuzione. Nei dispositivi gestiti da ConfigMgr si distribuisce l'attendibilità dei certificati usando Criteri di gruppo o un profilo certificato di ConfigMgr.

Questa opzione è adatta quando tutti i dispositivi sono aggiunti a un dominio e gestiti in locale e l'app non verrà mai distribuita oltre l'organizzazione.

Azure Firma artefatti (in precedenza Firma attendibile) fornisce un certificato attendibile dalla CA senza la necessità di un token hardware. Poiché il certificato viene emesso da una CA che Windows già considera attendibile, nei dispositivi di destinazione non è necessaria alcuna distribuzione aggiuntiva del certificato. Per i prezzi correnti, vedere la pagina dei prezzi Azure della firma degli artefatti.

Per indicazioni sulla firma, vedere Firmare un pacchetto dell'app con SignTool.

Abilitare il trasferimento locale nei dispositivi di destinazione

Le app MSIX distribuite all'esterno del Microsoft Store richiedono l'abilitazione del trasferimento locale nei dispositivi di destinazione.

Windows versione Sideloading predefinito Azione richiesta
Windows 11 Abilitata per impostazione predefinita Nessuno
Windows 10 (versione 2004 e successive) Abilitata per impostazione predefinita Nessuno
Windows 10 (prima della versione 2004) Disattivato per impostazione predefinita Abilitare tramite Criteri di gruppo

Per abilitare il caricamento laterale tramite criteri di gruppo nei dispositivi Windows 10 più vecchi:

  1. Aprire Gestione Criteri di gruppo e creare o modificare un GPO per l'unità organizzativa contenente i dispositivi gestiti
  2. Passare a Configurazione computer>Modelli amministrativi>Windows Componenti>App Package Deployment
  3. Abilitare Consenti l'installazione di tutte le app attendibili (anche denominate AllowAllTrustedApps)
  4. Collega il GPO all'unità organizzativa contenente i tuoi dispositivi gestiti

Annotazioni

Su Windows 10 versione 2004 e successive, e su tutti i dispositivi Windows 11, il sideloading è attivo per impostazione predefinita. Il criterio Consenti a tutte le app attendibili di installare non è obbligatorio.

Distribuire l'affidabilità del certificato (solo autofirmato)

Se si usa un certificato autofirmato, è necessario distribuire la chiave pubblica del certificato nei dispositivi di destinazione prima dell'arrivo dell'app. Se si usa la Firma di Artefatti di Azure, ignorare questa sezione.

Utilizzando criteri di gruppo

  1. Esportare la chiave pubblica (.cer) dal certificato di firma
  2. In Gestione Criteri di gruppo, creare o modificare un GPO associato all'unità organizzativa del dispositivo.
  3. Passare a Configurazione computer>Impostazioni di Windows>Impostazioni di sicurezza>Criteri chiave pubblica>Persone fidate
  4. Fare clic con il pulsante destro del mouse su Trusted People>Import (Importa persone attendibili) e selezionare il .cer file
  5. Applicare e collegare il GPO: i dispositivi ricevono il certificato al successivo aggiornamento dei Criteri di gruppo.

Uso di un profilo certificato ConfigMgr

In alternativa, creare un profilo certificato in ConfigMgr:

  1. Nella console di ConfigMgr, passare a Asset e Conformità>Impostazioni di conformità>Accesso alle risorse aziendali>Profili certificati
  2. Creare un profilo certificato CA attendibile e caricare il .cer file
  3. Impostare l'archivio di certificati in Persone attendibili
  4. Distribuire il profilo nella stessa raccolta di dispositivi prima di distribuire l'app

Importante

L'attendibilità del certificato deve raggiungere i dispositivi prima dell'installazione dell'app. Se l'app arriva per prima, l'installazione può non riuscire con un errore di attendibilità del certificato. Distribuire prima i criteri del certificato, quindi l'app.

Creare l'applicazione in ConfigMgr

  1. Nella console di ConfigMgr, vai a Libreria software>Gestione delle applicazioni>Applicazioni
  2. Sulla barra multifunzione selezionare Crea applicazione
  3. Nella pagina General, selezionare Rilevare automaticamente le informazioni su questa applicazione dai file di installazione, impostare il tipo su Windows pacchetto dell'app (*.appx, *.appxbundle, *.msix, *.msixbundle) e specificare il percorso UNC del file MSIX
  4. ConfigMgr legge il manifesto del pacchetto e popola automaticamente Name, Publisher, Version e il metodo di rilevamento: esaminare questi campi
  5. Completare le informazioni di visualizzazione di Software Center (descrizione, icona) nella scheda Software Center , se necessario
  6. Nella pagina Tipi di distribuzione verificare il tipo di distribuzione creato automaticamente. I comandi di installazione e disinstallazione vengono impostati automaticamente per i pacchetti MSIX.
  7. Selezionare Avanti nelle pagine rimanenti, rivedere e selezionare Fine

Annotazioni

ConfigMgr determina automaticamente la logica di installazione e rilevamento per i pacchetti MSIX. Non è necessario specificare stringhe di installazione personalizzate o script di rilevamento.

Distribuire l'applicazione in una raccolta

  1. In Applicazioni fare clic con il pulsante destro del mouse sull'app e scegliere Distribuisci
  2. Nella pagina Generale selezionare il dispositivo o la raccolta di utenti come destinazione
  3. Nella pagina Contenuto verificare che il pacchetto sia distribuito ai punti di distribuzione appropriati
  4. Nella pagina Impostazioni distribuzione :
    • Impostare azione su Installa
    • Impostare Scoposu Obbligatorio per l'installazione invisibile all'utente o Disponibile per la visualizzazione in Software Center
  5. Nella pagina Pianificazione impostare quando la distribuzione diventa disponibile e qualsiasi scadenza
  6. Esaminare e selezionare OK per salvare la distribuzione

I client ricevono la distribuzione nel ciclo di aggiornamento dei criteri successivo (impostazione predefinita: 60 minuti). È possibile attivare una sincronizzazione immediata dal client: aprire Gestione configurazione nell'area di notifica e selezionare il Recupero criteri delle macchine & Ciclo di valutazione.

Gestione degli aggiornamenti

ConfigMgr gestisce gli aggiornamenti MSIX usando la sostituzione dell'applicazione:

  1. Creare una nuova applicazione per la versione aggiornata di MSIX (ripetere i passaggi precedenti)
  2. Nelle proprietà dell'applicazione originale passare alla scheda Sostituzione
  3. Selezionare Aggiungi e scegliere la nuova applicazione come app di sostituzione
  4. Per un normale aggiornamento MSIX in cui l'identità del pacchetto rimane invariata e la versione aumenta, lasciare Disinstalla deselezionata: gli upgrade MSIX avvengono in loco. Selezionare Disinstalla solo quando il nuovo pacchetto non può sostituire quello precedente sul posto, ad esempio dopo una modifica dell'identità del pacchetto o la ricompressione principale.
  5. Distribuire la nuova applicazione come Richiesto nella stessa raccolta

Annotazioni

A differenza di Intune, ConfigMgr non rileva automaticamente le modifiche alla versione MSIX nella stessa voce dell'applicazione. È necessario creare una nuova voce dell'applicazione e configurare la sostituzione per ogni aggiornamento.

considerazioni su Windows 10 e Windows 11

Alcuni comportamenti di distribuzione MSIX differiscono tra Windows 10 e Windows 11:

Scenario Windows 10 Windows 11
Sideloading predefinito Può richiedere l'oggetto Criteri di gruppo (pre-2004) Attivato per impostazione predefinita
Registrazione dell'app per tutti gli utenti Richiede una sessione con privilegi elevati Semplificata
Problemi noti della pacchettizzazione MSIX Altri problemi non retroportati Supporto migliore per la piattaforma

Se vengono visualizzati errori MSIX su Windows 10 che non si verificano su Windows 11, controllare i problemi aperti su microsoft/msix-packaging, poiché alcuni bug che riguardano Windows 10 non sono stati sottoposti a backporting.

Risoluzione dei problemi

Errore di attendibilità del certificato

Se si utilizza un certificato autofirmato e il certificato non ha ancora raggiunto il dispositivo, l'installazione di MSIX fallisce senza avvisi. Per diagnosticare:

  • Eseguire gpresult /r nel dispositivo e verificare che i criteri di gruppo del certificato siano elencati nei criteri applicati
  • Aprire certlm.msc e verificare che il certificato di firma venga visualizzato in Persone attendibili del computer > locale
  • Se il certificato non è presente, controllare la tempistica di applicazione dei criteri: il certificato deve arrivare prima dell'app.

0x80073CF3 - Aggiornamento non riuscito del pacchetto, della dipendenza o della convalida dei conflitti

Questo errore indica ERROR_INSTALL_PACKAGE_DOWNGRADE che una versione più recente del pacchetto è già installata nel dispositivo. Controllare:

  • La versione nel manifesto MSIX è superiore alla versione attualmente installata nel dispositivo
  • Se necessario, disinstallare il pacchetto esistente dal dispositivo prima di ritentare la distribuzione
  • Per altre cause, vedere Risoluzione dei problemi di distribuzione MSIX

0x80073CF0 - Impossibile aprire il file del pacchetto

Il file MSIX non può essere aperto dal percorso del punto di distribuzione. Verifica:

  • Il percorso UNC è accessibile dal client
  • Il punto di distribuzione ha il contenuto distribuito (controllare il Monitoraggio>Stato della distribuzione)
  • Il file non è danneggiato: copiarlo in locale e provare Add-AppxPackage a confermare

0x8007000D — dati non validi / discrepanza di publisher

Il valore Publisher nel manifesto MSIX non corrisponde esattamente all'oggetto del certificato di firma (inclusa la spaziatura e la maiuscola). Ricompilare e firmare nuovamente il pacchetto dopo aver corretto il manifesto.

App bloccata in "In attesa di contenuto"

Il contenuto non è stato distribuito al punto di distribuzione che serve i dispositivi di destinazione. Nella console di ConfigMgr:

  1. Fare clic con il pulsante destro del mouse sul tipo di distribuzione e scegliere Aggiorna punti di distribuzione
  2. Monitorare lo stato della distribuzione in Monitoraggio>Stato della distribuzione>Stato del contenuto

Controllare il log di distribuzione client

Nel dispositivo di destinazione aprire:

C:\Windows\CCM\Logs\AppEnforce.log

Cercare il nome dell'applicazione per trovare il tentativo di installazione, il codice di uscita e i dettagli dell'errore pertinenti.

Contenuti correlati

  • Last updated on