Jak wprowadzić firmowe aplikacje na Windows 8

Wraz z premierą Windows 8 Microsoft wprowadza mechanizm kontrolowanej instalacji aplikacji, bazując na rozwiązaniach sklepu Windows Store i mechanizmach z produktów korporacyjnych.

Od premiery nowych systemów operacyjnych Windows 8 i RT domyślnym sposobem instalacji aplikacji z nowym interfejsem użytkownika (Modern UI) będzie sklep Windows Store. Aplikacje tam publikowane przechodzą testy, przy czym sklep obsługuje płatności i aktualizację. Ponieważ korporacje nie zawsze chcą udostępniać aplikacje napisane przez własny dział deweloperski, wprowadzono mechanizm umożliwiający kontrolowaną dystrybucję oprogramowania przeznaczonego do pracy w systemach Windows 8 i Windows RT.

Pierwszym sposobem, w jaki firma może zainstalować aplikacje Modern UI na swoich komputerach, jest publikacja w Windows Store, tak aby aplikacja była dostępna, ale nie była widoczna w katalogu ani w wynikach wyszukiwania. Aby zainstalować takie oprogramowanie, niezbędna jest znajomość konkretnego łącza URL.

Drugą metodą jest wprowadzenie aplikacji Modern UI poza Windows Store bezpośrednio na urządzenia (sideloading). Najprościej zrealizować to wtedy, gdy stacja kliencka pracuje w systemie Windows 8 Enterprise dołączonym do domeny lub gdy instalacja odbywa się na serwerze Windows 2012. Jeśli stacja robocza korzysta z Windows 8 Pro, nie jest dołączona do domeny lub jest to Windows RT, niezbędny jest zakup opcji SPAK (Sideloading Product Activation Key), co umożliwia dostarczenie aplikacji działającej w nowym interfejsie użytkownika (Modern UI).

Aby wprowadzić aplikację za pomocą instalacji spoza Windows Store, niezbędne jest narzędzie WACK (Windows App Certification Kit), które dokona odpowiednich testów (są one przeprowadzane przy zgłaszaniu aplikacji do Windows Store), a następnie taką zapakowaną aplikację należy podpisać zaufanym przez systemy certyfikatem. Dział IT musi skonfigurować zgodę na instalację z zaufanych źródeł, a następnie po walidacji za pomocą WACK, sprawdzeniu zgodności, może nastąpić dystrybucja na komputery użytkowników. Aby rozdystrybuować aplikację na stacje robocze, można wykorzystać skrypty PowerShell (komendy import-module appx oraz add-appxpackage, metoda działa przez użytkownika), DISM (Deployment Image Servicing and Management, metoda ta działa także w skrypcie PowerShell i dotyczy komputera), MDT (Microsoft Deployment Toolkit) oraz System Center ConfigMgr. W każdym przypadku na stacji roboczej niezbędna jest licencja Enterprise, dostępna wyłącznie w programie licencyjnym Software Assurance lub zakup możliwości instalacji własnego oprogramowania za pomocą SPAK.

Zarządzanie aplikacjami

Dział IT musi zarządzać wszystkimi programami, które są zainstalowane na stacjach roboczych. Aby ułatwić zadanie, wprowadzono kontrolowanie instalacji oraz zainstalowanego oprogramowania za pomocą AppLockera.

Obecnie AppLocker obsługuje nie tylko programy desktopowe zainstalowane lub dostępne w firmowych zasobach (przypisane lub publikowane przez Active Directory), ale także zasoby dostępne ze sklepu Windows Store. Oznacza to, że dział IT może zabronić instalacji aplikacji z Windows Store, ale zezwolić na sideloading albo wprowadzić zgodę na instalację niektórych aplikacji ze sklepu. Narzędzie to jednak zarządza aplikacjami desktopowymi (tradycyjnymi) osobno od aplikacji dla Modern UI.

W odróżnieniu od blokowania uruchamiania aplikacji za pomocą opcji polis GPO, AppLocker umożliwia kontrolowanie aplikacji nie na podstawie skrótu kryptograficznego i nazwy każdego pliku EXE z osobna, ale według reguł przypisanych do paczki. Jest to o wiele prostsze i wymaga mniej pracy po stronie IT, ponadto reguły kontroli będą działać także w przypadku aktualizacji aplikacji, która zmieni skrót kryptograficzny pliku wykonywalnego, a niekiedy także jego nazwę. Gotowe reguły można wdrożyć za pomocą Active Directory.

Oprócz skanowania instalacji AppLocker umożliwia także wygenerowanie listy zainstalowanych aplikacji, umożliwiając odpowiedź na jedno z najczęściej stawianych pytań - co jest zainstalowane na każdej stacji roboczej?