Implementar aplicações MSIX com Microsoft Intune

O Microsoft Intune pode implementar aplicações em pacotes MSIX para dispositivos Windows geridos silenciosamente; não é necessária interação do utilizador no momento da instalação. Este guia cobre o fluxo de trabalho completo de implementação, incluindo assinatura de código, distribuição de confiança de certificados, criação de aplicações, atribuição e resolução de problemas.

Pré-requisitos

Antes de implementar uma aplicação MSIX através do Intune, certifique-se de que tem:

  • Um pacote MSIX construído e pronto a ser implementado
  • Uma subscrição Microsoft Intune (incluída no Microsoft 365 E3/E5, Enterprise Mobility + Security)
  • Grupos Microsoft Entra ID que representam os utilizadores ou dispositivos alvo
  • Um certificado de assinatura de código (ver Requisitos de assinatura de código)

Requisitos de assinatura de códigos

Cada pacote MSIX implementado via Intune deve ser assinado. O Windows não instala um pacote MSIX sem assinatura, mesmo quando implementado através de MDM.

Tem duas opções para assinar certificados:

Opção 1: Certificado auto-assinado (sem custos, apenas para dispositivos internos/geridos)

Um certificado auto-assinado pode assinar o seu pacote MSIX sem qualquer custo, mas o certificado deve ser confiável em todos os dispositivos alvo. O Intune pode distribuir esta confiança automaticamente através de um perfil de configuração de Certificado de Confiança .

Esta opção é adequada quando todos os dispositivos-alvo são geridos pelo Intune e a aplicação nunca será distribuída fora da sua organização.

Azure Assinatura de Artefactos (anteriormente Assinatura Confiável) fornece um certificado de confiança CA sem necessidade de token de hardware. Os certificados integram-se diretamente com pipelines CI/CD (GitHub Actions, Azure Pipelines). Para preços atuais, consulte a página de preços Azure Assinatura de Artefactos.

Como o certificado é confiável pela CA, os dispositivos Windows confiam nele automaticamente: não são necessários perfis de configuração adicionais no Intune. Esta é a opção de menor atrito para a maioria dos cenários empresariais.

Para orientações sobre como assinar o seu pacote MSIX, consulte Assinar um pacote de aplicação usando o SignTool.

Opção A: Implementar com um certificado auto-assinado

Se estiver a usar um certificado auto-assinado, complete estes passos antes de criar a aplicação LOB. Se estiver a usar Azure Assinatura de Artefactos, salte para Opção B.

Passo 1: Crie e exporte o seu certificado auto-assinado

Na sua máquina de compilação, crie um certificado auto-assinado e exporte-o:

# Create a self-signed code signing certificate
$cert = New-SelfSignedCertificate `
    -Subject "CN=MyCompany, O=MyCompany, C=US" `
    -Type CodeSigningCert `
    -CertStoreLocation Cert:\CurrentUser\My `
    -HashAlgorithm SHA256

# Export the public key (.cer) for Intune distribution — no password required
Export-Certificate -Cert $cert -FilePath "MyCompanyCert.cer"

Passo 2: Assine o seu pacote MSIX

Assine usando o certificado da sua loja local de certificados — não é necessário PFX ou palavra-passe na máquina de compilação:

# Sign using the certificate thumbprint
signtool sign /fd SHA256 /sha1 $cert.Thumbprint "MyApp.msix"

Sugestão

Se precisar de iniciar sessão numa máquina diferente (por exemplo, num pipeline CI/CD), exporte o PFX usando Export-PfxCertificate e armazene a palavra-passe como variável secreta do pipeline — nunca a codifique num script nem a faça commit no controlo de versão.

Passo 3: Criar um perfil de Certificado de Confiança no Intune

Este perfil envia a chave pública do seu certificado para os dispositivos-alvo para que o Windows confie na assinatura autoassinada.

  1. No centro de administração do Intune, vá a Configuração de Dispositivos>>Criar política
  2. Selecione Windows 10 e posteriores como plataforma, Templates como tipo de perfil, depois Certificado de confiança
  3. Carrega o .cer ficheiro que exportaste no Passo 1
  4. Definir a loja de destino para Computador Local - Pessoas de Confiança
  5. Atribua o perfil ao mesmo dispositivo ou grupos de utilizadores que irão receber a aplicação
  6. Selecionar Criar — O Intune envia uma notificação push para dispositivos ativos e online; Normalmente, fazem o check-in e recebem o certificado em poucos minutos. O intervalo de sincronização em segundo plano é de 8 horas para dispositivos que não recebem notificações.

Importante

Implemente o perfil de Certificado de Confiança antes ou ao mesmo tempo que a aplicação LOB. Se a aplicação chegar ao dispositivo antes de o certificado ser confiável, a instalação falhará.

Opção B: Implementar com Azure Artifact Signing (anteriormente Trusted Signing)

Se estiver a usar Azure Assinatura de Artefactos (anteriormente Assinatura Confiável), o certificado já é confiável para Windows. Não é necessário nenhum perfil de Certificado Confiável no Intune.

Assine o seu pacote MSIX usando a tarefa azure/trusted-signing-action GitHub Actions ou a integração equivalente do Azure Pipelines, ou seguindo as orientações locais de assinatura na documentação Azure Artifact Signing (anteriormente Trusted Signing).

Como criar uma aplicação de Linha de Negócio no Intune

  1. No centro de administração do Intune, vá a Apps>Todas as apps>Adicionar
  2. Em Tipo de Aplicação, selecione Aplicação de Linha de Negócio e depois selecione Selecionar
  3. Na secção de ficheiro de pacote de aplicação, carregue o seu ficheiro assinado .msix (ou .msixbundle)
  4. O Intune lê automaticamente os metadados do pacote — revise os campos preenchidos Name, Publisher e App version.
  5. Preencha os campos necessários restantes:
    • Descrição — o que a aplicação faz
    • Publisher — nome da sua organização (pré-preenchido a partir do pacote)
    • Contexto da instalação da aplicação — selecione Dispositivo para instalação em toda a máquina (recomendado), ou Utilizador para instalação por utilizador
  6. Selecione Seguinte para configurar as etiquetas de âmbito, se a sua organização as utilizar, e depois Seguinte novamente.
  7. Na página de Atribuições , atribua a aplicação:
    • Obrigatório — a aplicação é instalada silenciosamente sem qualquer indicação do utilizador
    • Disponível para dispositivos inscritos — a aplicação aparece em Portal da Empresa para instalação opcional
    • Desinstalar — remove a aplicação dos dispositivos alvo
  8. Selecione Próximo, reveja as suas definições e depois selecione Criar

O Intune coloca a implementação em fila. Os dispositivos recebem e instalam a aplicação durante o próximo ciclo de sincronização do Intune.

Observação

As aplicações MSIX instaladas via Intune como Obrigatório instalam-se silenciosamente no contexto do dispositivo. Os utilizadores não veem um aviso UAC ou assistente de instalação.

Verificar a instalação

Para confirmar que a aplicação foi implementada com sucesso:

  1. No centro de administração do Intune, vá a Apps>Todas as aplicações e selecione a sua aplicação
  2. Selecione Estado de instalação do dispositivo ou Estado de instalação do utilizador para ver os resultados por dispositivo
  3. Consulte o estado de Instalado. Estados comuns não instalados:
Situação Meaning
Não aplicável O dispositivo não está no grupo atribuído
pendente Desdobramento em fila; O dispositivo ainda não sincronizou
Falha Erro de instalação — ver código de erro em detalhe
Não instalado Aplicação ainda não recebida ou instalação adiada

Para instalações falhadas, note o código de erro mostrado e veja a secção de Resolução de Problemas abaixo.

Gestão de atualizações

Quando publicar uma nova versão da sua aplicação, carregue o pacote MSIX atualizado para a mesma entrada da aplicação:

  1. Ir a Apps>Todas as apps, selecionar a sua app
  2. Selecionar Propriedades>Editar ao lado de Informações da Aplicação
  3. Na secção de ficheiro de pacote da App, carregue o novo .msix ficheiro
  4. Guardar as alterações — O Intune deteta a alteração de versão e envia a atualização para os dispositivos atribuídos na próxima sincronização

Observação

O Intune utiliza o número de versão no manifesto MSIX para detetar atualizações. Certifica-te de que incrementas o número de versão no teu .appxmanifest antes de compilar cada lançamento.

Troubleshooting

Falha de confiança de assinatura ou certificado

Se usar um certificado auto-assinado, a instalação do MSIX falha silenciosamente se o certificado de assinatura não for confiável no dispositivo. Para diagnosticar:

  • No centro de administração do Intune, vá aos perfis de Configuração do dispositivo e verifique se o perfil de Certificado de Confiança mostra Sucesso.
  • No dispositivo, abra certlm.msc e verifique se o certificado de assinatura aparece em Local Computer > Trusted People
  • Se o perfil ainda estiver pendente, acione uma sincronização manual (veja a aplicação presa em "Pendente")

0x80073CF3 — O pacote falhou na atualização, na dependência ou na validação de conflito

Este erro indica ERROR_INSTALL_PACKAGE_DOWNGRADE que uma versão mais recente do pacote já está instalada no dispositivo. Verifique:

  • A versão no MSIX carregado é superior à versão atualmente instalada nos dispositivos de destino
  • Se necessário, desinstale o pacote existente do dispositivo antes de tentar novamente a implementação
  • Para causas adicionais (conflitos de dependências, incompatibilidade do framework), veja resolução de problemas de implementação do MSIX

0x80073CF0 — A encomenda não pôde ser aberta

O pacote MSIX não podia ser aberto durante a instalação (ERROR_INSTALL_OPEN_PACKAGE_FAILED). Verifique:

  • O ficheiro do pacote foi carregado completamente e não está corrompido
  • O MSIX é válido — teste abrindo-o localmente antes de carregar
  • Volte a carregar o pacote se o carregamento tiver sido interrompido, depois tente novamente a atribuição

0x80070005 — Acesso negado

Indica permissões insuficientes (E_ACCESSDENIED). Verifique se a conta de implementação e o dispositivo de destino têm o acesso necessário e confirme que a aplicação e quaisquer perfis de certificado necessários estão corretamente atribuídos. Uma incompatibilidade de contexto (aplicação atribuída como instalação de utilizador mas o pacote requer instalação para toda a máquina) também pode causar isto — mudar para o contexto de instalação de dispositivo, se assim for. Para causas adicionais e passos de remediação, veja resolução de problemas de implementação do MSIX.

Aplicação bloqueada em "Pendente"

  • Acionar uma sincronização manual do Intune: no dispositivo, vá a Definições>Contas>Acesso ao trabalho ou escola> e selecione a sua >> Sincronizar
  • Ou, a partir do centro de administração do Intune, vá a Dispositivos> e selecione o >

Verificação dos registos de instalação do dispositivo

Para diagnósticos mais aprofundados, consulte duas fontes de registo:

Registo da Extensão de Gestão Intune — acompanha a atividade de download e implementação da aplicação LOB:

%ProgramData%\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log

AppxDeployment-Server registo de eventos — acompanha a própria instalação do MSIX:

  1. Abrir Visualizador de Eventos
  2. Vá a Registos de Aplicações e Serviços>Microsoft>Windows>AppxDeployment-Server
  3. Filtre eventos de erro e procure entradas que correspondam ao nome da sua família de pacote

Ou do PowerShell:

Get-AppxLog | Where-Object { $_.Message -match "MyApp" } | Select-Object TimeCreated, Message

Pesquise ambas as fontes de registo pelo nome da sua aplicação ou nome da família do pacote para encontrar a tentativa de instalação relevante.

Conteúdo relacionado

  • Last updated on