Intuneからアプリ配布する二つの方法を解説!
「AutopilotとIntuneによるPCセットアップ」シリーズ第三回目となる今回は、アプリ配布について解説します。
Intuneからのアプリを配布する場合、大きく二つの選択肢があります。一つは、Microsoft社経由で提供されているモジュールを使用する方法。もう一つは、インストールモジュールを管理者が準備し、Intuneにアップロードして配布する方法です。
この二つのアプリ配布方法について、みていきましょう。
\過去の記事はこちら/
目次[非表示]
Microsoft社経由で提供されているモジュールを使用する方法
まず一つ目の、Microsoft社経由で提供されているモジュールを使用する方法についてです。
Microsoft365アプリについて
標準で準備されているMicrosoft365アプリから説明していきます。
Microsoft365アプリの配布設定方法は以下の二種類があります。
- GUIで設定できる構成デザイナー
- XML構成ファイルを使用した方法
GUIで設定できる構成デザイナー
構成デザイナーとは、システムやアプリケーションの構成を設計し、管理するためのツールやユーザーインターフェースのことです。
構成デザイナーはGUI(※1)をクリックしていくだけなので、比較的簡易に配布可能です。
※1 GUI(グラフィカルユーザーインターフェース):コンピュータやデジタルデバイスとユーザーの間での情報のやり取りを、視覚的に行うための仕組み。アイコン、ボタン、メニュー、ウィンドウなどの視覚的な要素を使用してユーザーと対話する。
XML構成ファイルを使用した方法
XML構成ファイル(※2)も従来Officeを配布していた方ならご存じの「Office 展開ツール」で使用されるXMLファイルを使用するものですので、特に難しい設定ではないと思います。
設定が終わったら、デバイスかユーザーか、割り当てるグループを設定して作業は終了です。
※2 XMLファイル:Extensible Markup Language(拡張可能なマークアップ言語)で記述されたファイル形式のこと。データを保存、転送、共有するために広く使用されている。
Microsoft365以外のアプリについて
Microsoft365以外のアプリは、Microsoft Storeで提供されています。
以前のMicrosoft Storeですが、管理者がStoreで提供されているアプリの「Intune のリンク」URLを自分で調べ、配布用に設定する必要がありました。
この設定方法は、お世辞にも使いやすいものではなかったのですが、現状は「Microsoft Store アプリ (レガシ)」として残っています。
それが、「Microsoft Store アプリ (新規)」に変わったことで劇的に使用が簡易になりました。
URLを自分で調べずとも、Intune管理センターからStoreアプリの検索が出来るようになっています。
検索結果から望んだアプリを選択して、割り当てるグループを設定して作業は終了です。
現在一部のアプリはプレビューになっていますが、Storeから配布されたアプリは自動更新に対応していますので、後述するモジュールを別途準備しなければならないアプリについても、Storeに公開されるようになれば利用を検討してもよいと思われます。
インストールモジュールをIntuneにアップロードして配布する方法
続いて二つ目の方法、インストールモジュールをIntuneにアップロードして配布する方法について説明します。
こちらの場合、最も重要な前提として、インストールモジュールがサイレントインストールに対応していることです。
サイレントインストールとは、セットアップ画面をユーザーに表示させず、プロダクトキー等の入力画面も必要なく、ユーザーが意識しない形でインストールが行われる方法です。
最近では、ほとんどのアプリケーションがサイレントインストールオプションを準備していますが、対応していないアプリケーションもあるため注意が必要です。
サイレントインストールに対応していないアプリケーションについては、残念ながらIntuneから配布は出来ません。
ただし、代替策は存在しますので、後ほど説明します。
さらに、インストールモジュールは、「エンタープライズ用」「IT管理者用」となっているオフラインでもインストール可能なモジュールを入手する必要があります。
インストールモジュールのサイズが小さく、インストールの際に、インターネットから追加モジュールをダウンロードするタイプのインストーラーは使用できません。
判断に迷う場合は、アプリケーションの提供元に問い合わせるとよいでしょう。
インストールモジュールが準備できたら、Intune管理センターからモジュールをアップロードするのですが、モジュールの種類によって方法が異なります。
MSI形式とEXE形式
Windowsの場合、インストールモジュールはMSI形式とEXE形式の二つが一般的です。
MSI形式
MSI形式はWindowsインストーラー(msiexec.exe)を利用してインストールする形式で、Intune管理センターでそのままアップロードすることが可能です。
モジュールにはセットアップ情報などが含まれているため、Intuneにアップロードした後、割り当てるグループを設定して作業は終了です。
必要な場合はインストールオプションを指定することも出来ます。
MSI形式のインストールは、Intune管理センターでは「基幹業務アプリ」と表現されています。
EXE形式
MSI形式に対して、EXE形式のモジュールはいくつかの注意が必要となります。
まず、EXE形式の場合はIntuneにそのまま取り込むことが出来ません。
別途、「Microsoft Win32 コンテンツ準備ツール」というコマンドラインツールをGithubから入手し、intunewinという形式に変換する必要があります。
intunewin形式に変換することで、Intune管理センターからアップロードが出来るのですが、MSI形式と異なり、追加で必要な情報があります。
その必要となってくる情報というのが、インストールモジュールを実行する際、サイレントインストールとサイレントアンインストールを指定するためのコマンドラインオプションです。
このオプションはインストールモジュールによって異なるため、アプリケーションの提供元が公開している技術情報や、Webを検索する等して情報を入手する必要があります。
なお、インストールコマンドは必須ですが、アンインストールコマンドは正確である必要はありません。
Intune管理センターで設定する際には必須の入力項目となっていますが、アンインストールする場合も、サイレントインストールで実施しなければなりません。対応していないアプリケーションの場合でも、アンインストールコマンドに何かしらの情報の入力は必要です。
そのような場合や、Intuneからアンインストールを実行しない場合は、インストールコマンドと同様の内容を入力するなど、なんらかの情報を入力しておけば問題ありません。
アンインストールコマンドが分からない場合は、[設定]アプリに表示され、そこからアンインストールできるタイプのアプリであれば、レジストリにアンインストールコマンドが記録されていますので、それを入力するのが確実でしょう。
コマンドラインオプションについては、Intuneから配布する前に、実際に手入力してみて動作を確認しておくと失敗が少ないです。
さらに、インストール済みかどうかを検出するための情報(検出規則)も必要となります。
この検出規則をもとにアプリケーションのインストール可否を判断します。
EXE形式は事前準備しなければいけない情報がいろいろとありますが、その反面、インストールに必要な物理メモリ量や最小CPU速度、事前にインストールしておかなければならない依存関係があるアプリケーションを指定できるなど、細かい制御が可能となっています。
そのため、MSI形式のモジュールであっても、あえてintunewin化して配布する場合があります。
EXE形式のインストールは、Intune管理センターでは「Windowsアプリ(Win32)」と表現されています。
Microsoft Win32 コンテンツ準備ツール
先ほど少し触れた、「Microsoft Win32 コンテンツ準備ツール」について説明します。
「Microsoft Win32 コンテンツ準備ツール」は前述したように、Microsoft社がGithubに公開している、誰でも自由にダウンロードできるCUI(※3)ツールです。
※3 CUI:コマンドと呼ばれる文字列を入力することで操作するUIです。
実行ファイル名は「IntuneWinAppUtil.exe」で、必須で指定しなければならないコマンドライン引数は以下の通りです。
すべてのセットアップファイルを入れたフォルダを指定します。
このフォルダ内のすべてのファイルは、intunewin形式のファイルに圧縮されます。
セットアップファイル (setup.exe、setup.msi など)を指定します。
生成された .intunewin ファイルの出力フォルダを指定します。
ここで重要なのは、「-c」で指定したフォルダのすべてのファイルが一括でまとめられるということと、セットアップファイルはどんな形式でも問題ないということです。
前述で、サイレントインストールできないアプリケーションは、Intuneから配布できませんが、代替策はあると記載しました。
「IntuneWinAppUtil.exe」はEXE形式のインストールモジュールを変換するツールですが、それ以外の使用方法もあります。
それがサイレントインストールできないアプリケーションへの代替策です。手順を以下に記載します。
- フォルダにサイレントインストールできないアプリケーションのインストール用モジュールを格納する。
- それらをまとめた(Intunewin化)形でクライアント端末に配布する。
- あとはユーザー自身でインストールしてもらう。
例えば、バッチファイルで配布用のフォルダを作成し、そのフォルダに手動でのインストールが必要なアプリケーションのインストールモジュール、ユーザー用のインストール手順書などを配布、さらにデスクトップ上に配布フォルダへのショートカットリンクを作るという方法が考えられます。
この方法を応用すると、ユーザーのデスクトップに任意のWebショートカットや手順書を配布することもできます。
さらに、バッチファイルによるレジストリの編集などもでき、Powershellスクリプトも標準で準備されている方法よりも細かい制御を加えることができます。
つまり管理者の工夫次第で、アプリ以外にも様々なものをIntuneから配布出来るようになります。
まとめ
Intuneのアプリケーション配布機能を利用し、ユーザーの使用するアプリケーションを管理者がきちんと管理することは、ユーザーの利便性につながると共に、セキュリティへの対策にもなります。
Intuneからアプリケーションを配布し、バージョンを管理しておけば、脆弱性が見つかったアプリケーションを素早くバージョンアップしたり、アンインストールしたりすることができます。
作業をユーザーに任せることなく、管理者側できちんと管理することで、企業のセキュリティは格段に向上するでしょう。
さて、リモートによるPCのセットアップ方法として、AutopilotとIntuneを使用して何ができるかを三回に分けて解説しました。
これまで説明したことは、Intuneができることの一部にすぎません。
本記事では、Windowsについて説明しましたが、iOSやAndroidも同様にゼロタッチでのキッティングができる機能が実装されています。
登録したデバイスの監視や情報保護等、多くの機能がIntuneには実装されています。
また、Microsoft 365のその他のサービスと連携することで、より高度な設定も可能となり、リモートワークには欠かせないツールといえるでしょう。
アイエスエフネットではWindows AutopilotやIntuneなど、各種Microsoft365機能の導入支援を行っています。
Windows AutopilotとIntuneによるPCキッティングの自動化についてご興味をお持ちの方はぜひ、アイエスエフネットまでお問い合わせください。
関連記事
