支持提示 - 通过 Intune 了解 Win32 应用程序的部署、交付和处理背后的流程
Microsoft 于 2018 年 10 月发布了 Win32 应用部署预览版,Intune。 从 Intune 部署 Win32 应用程序的功能是一项广泛使用的功能,因为它使你能够实现许多用例。
本文重点介绍在 Win32 应用部署、交付和处理过程中通过 Intune 关联的流。
背景
请参阅以下文档,通过Intune了解 Win32 应用部署背后的基本管理任务:
部署 Win32 应用程序的优点
从 Intune 部署 Win32 应用具有以下优势:
- 现在可以通过将文件转换为 格式来部署
.exe
文件.intunewin
。 - 可以使用检测逻辑来确保应用将下载到设备,并且仅在未按照设置规则检测到应用时才安装。
- 可以创建规则,要求仅当应用满足特定条件时,应用才适用于设备、将其下载到设备或将其安装到设备中。
- 在Intune用户界面中,你本机无法将单个更新部署到Windows 10设备。 如果关键更新必须部署到设备,则可以使用 Win32 应用部署方法。
- 可以为 Win32 应用设置依赖项。 此设置使你能够确定应用的安装顺序或应用的优先级。
从 Intune 部署 Win32 应用程序背后的流程
下图是通过 Intune 部署 Win32 应用后发生的体系结构流。
可通过Intune部署 Win32 应用所需的先决条件,请参阅 Microsoft Intune - 先决条件中的 Win32 应用管理。
可在 Microsoft Win32 内容准备工具中找到 Win32 内容准备工具。
首先,在设备上手动安装 Win32 文件,而无需使用 Intune。 此安装方法是确保应用程序支持无提示安装,安装命令正确,并确保安装文件夹 (可用于检测逻辑) 。
将 Win32 应用交付到客户端背后的流程
下图说明了通过 Intune 将 Win32 应用交付到设备之后发生的流。
由于使用 Intune 部署 Win32 应用,因此请授予对租户当前所在的终结点的访问权限。
有关使用租户 ASU 和相关 CDN) 的完整文档 (,请参阅 PowerShell 脚本和 Win32 应用的网络要求。
如果要在创建文件后查看文件的内容
.intunewin
,请将其扩展名重命名为.zip
。该文件
.intunewin
包含两个文件夹: 内容 和 元数据。 这些文件夹包含安装程序) (应用程序包,以及Detection.xml
包含) 文件加密信息的文件 (。
在设备端处理 Win32 应用的流程
下面是客户端端的 Win32 应用的生命周期。
注意
- 从Intune到设备的 Win32 应用的处理可以列在一系列步骤中。
- 如下一部分所述,每个步骤的 IME 日志记录非常详细。
日志
下面是 Intune 管理扩展的日志文件的位置:
此位置主要包含以下日志文件,用于跟踪所述信息:
- AgentExecutor.log:此日志文件跟踪 (Intune) 部署的 PowerShell 脚本执行。
- ClientHealth.log:此日志文件跟踪 sidecar 代理-客户端运行状况活动。
- IntuneManagementExtension.log:跟踪以下步骤中演示的所有流的 IME 日志。
IME 日志中的详细流
下面是在设备端处理 Win32 应用背后的详细流程,如 IME 日志中所示。 步骤在出现顺序中列出。
步骤 | 日志中的消息 | 说明 |
---|---|---|
1 | Intune管理扩展初始化。 | EMS 代理已启动。 |
2 | 已选中 S 模式。 | |
3 | 内容管理器启动。 | |
4 | 已记录 Deviceid 和 OS 版本。 | |
5 | IME 发现Intune (CDN 的终结点) | 如果阻止了) , (在防火墙中批准这些项目,如前面列出的网络先决条件中所述。 |
6 | 将模拟用户,并请求或授予令牌。 | |
7 | 已发送 PUT 请求。 | |
8 | 你将看到一个 “获取策略” 响应,其中包含管理员在门户中) 配置的整个策略正文 (。 | 可以检查,以确保 IME 收到的策略符合配置的策略。 |
9 | ExecManager 标识应用名称/appid/app 安装意向。 | |
10 | 检查已发现的应用的依赖项。 | 如果发现了依赖项,则首先下载并安装依赖应用。 |
11 | 检查应用的检测规则。 | 评估策略中设置的检测规则。 如果在此阶段在设备中检测到应用,则会跳过以下步骤中 (应用下载和安装尝试,) 。 |
12 | 检查应用 (要求和扩展要求) 的适用性。 | 还可以使用 Powershell 脚本, (需要上传到Intune门户) 运行此要求检查。 |
13 | 下载从发送 Toast 通知开始。 | 用户可以在设备中看到一个直观的通知,指示应用正在下载和安装。 |
14 | 已创建下载作业并设置计时器。 | |
15 | 内容将下载到 C:\Program Files (x86)\Microsoft Intune Management Extension\Content\Incoming\59f9a567-b92d-4dc2-9c7a-fdb94e29275c_1.bin 。 |
|
16 | 下载作业完成,记下花费的时间,记下下载字节数,关闭作业。 | |
17 | 验证加密哈希,开始解密。 | |
18 | 解压缩从 Content\Staging 开始到 C:\Windows\IMECache\59f9a567-b92d-4dc2-9c7a-fdb94e29275c_1 。 |
|
19 | 组织过渡内容。 | |
20 | 安装程序执行开始。 | |
21 | 为系统上下文准备 .msi cmdline。 | |
22 | msiexec /i "7zip.msi" /q /qn ALLUSERS=1 REBOOT=ReallySuppress /norestart |
命令由门户中应用的管理员指定。 |
23 | 安装完成,收集结果。 | |
24 | lpExitCode 0 确定它是否成功。 | |
25 | DeviceRestartBehavior:2 (检查 ,关闭句柄) 设备重启行为。 | 设备重启操作,如门户中管理员定义的策略中所述。 |
26 | 检测规则从 SideCarFileDetectionManager 开始 | 在安装应用后,将再次评估 步骤 11 中评估的检测规则。 |
27 | 已选中路径: C:\Temp ,文件路径: C:\Temp\7zip ,代理正在展开下检查: C:\Temp\7zip ,applicationDetected:True。 |
|
28 | 执行后检测到集 ComplianceStateMessage 和应用程序。 |
|
29 | EnforcementStateMessage:确定检测过程后的输出,再次发送安装状态的 Toast 消息。 | 用户可以在设备中看到一个直观的通知,指示应用安装成功或失败, (适用的) 。 |
30 | 组织暂存内容。C:\Windows\IMECache\59f9a567-b92d-4dc2-9c7a-fdb94e29275c_1 。 |
|
31 | 开始报告应用结果。 | |
32 | 将结果发送到服务。 | Intune管理员可以在Intune门户中查看设备的应用部署状态。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈