Compartir a través de

Proceso de aprobación de la solicitud

Uno de los escenarios importantes para la administración de aplicaciones es proporcionar un proceso controlado de instalación y desinstalación para el software que requiere aprobación. Para reducir la carga general en la infraestructura de Configuration Manager y mejorar el rendimiento, el flujo de trabajo no requiere la creación de colecciones individuales para administrar instalaciones y desinstalaciones para cada aplicación.

Escenario 1: Las aplicaciones deben aprobarse antes de instalarlas

El administrador de TI de Contoso usa el Centro de software para que el software esté disponible para los usuarios. Estas aplicaciones deben aprobarse antes de instalarlas. El administrador implementa una aplicación en todos los usuarios y la configura para que requiera aprobación.

El usuario examina la lista de aplicaciones en el Centro de software, pero no puede instalar la aplicación hasta que se apruebe la solicitud. El usuario envía la solicitud desde el Centro de software y especifica el motivo de la solicitud. Si la opción Aprobar solicitudes de aplicación para usuarios por dispositivo está habilitada, el usuario tiene que solicitar la aprobación de todos los dispositivos en los que quiera instalar la aplicación. A continuación, el administrador aprueba o deniega la solicitud para cada uno de los dispositivos del usuario donde se realizaron las solicitudes.

Nota:

Configuration Manager no habilita esta característica de forma predeterminada. Antes de usarlo, habilite la característica opcional Aprobar solicitudes de aplicación para usuarios por dispositivo. Para obtener más información, consulte Habilitar características opcionales de las actualizaciones.

El Centro de software requiere que el usuario envíe la solicitud de la aplicación desde su dispositivo. El usuario ve este mensaje en el Centro de software:

El usuario solicita la aplicación que necesita aprobación del Centro de software

El usuario especifica por qué quiere la aplicación y envía la solicitud de aprobación:

El usuario notificó que su solicitud de aprobación se envió en el Centro de software

Una vez que el administrador aprueba la solicitud, el usuario puede instalar la aplicación en su dispositivo. Si el usuario no realiza ninguna acción, la aplicación se instala automáticamente para el usuario durante horas no laborables.

Instalación por parte del usuario de la aplicación aprobada desde el Centro de software

Escenario 2: Integración de un sistema de aprobación de aplicaciones

Northwind Traders tiene un sistema de aprobación de aplicaciones existente y el administrador quiere integrar el sistema de aprobación con Configuration Manager.

El administrador implementa una aplicación en todos los usuarios y la configura para que requiera aprobación. A continuación, el administrador habilita la configuración de cliente del Centro de software en Ocultar aplicaciones no aprobadas en el Centro de software.

Ocultar la opción del Centro de software de aplicaciones no aprobadas

Con esta opción, el usuario no ve la aplicación en el Centro de software hasta que se aprueba la solicitud de aplicación para la instalación en el dispositivo. Cuando se concede la aprobación a través del sistema de aprobación de la organización, el sistema de orquestación puede realizar una solicitud aprobada para el usuario y su dispositivo en Configuration Manager. Los sistemas de orquestación usaron el CreateApprovedRequest método WMI en Configuration Manager. A continuación, este método usa el mecanismo de implementación de aplicaciones Configuration Manager existente. No modifica las pertenencias a colecciones y surte efecto inmediatamente. La aplicación ya está disponible para el usuario en el Centro de software.

El administrador también puede configurar la automatización para instalar automáticamente la aplicación en el dispositivo del usuario. Ningún otro usuario verá la aplicación como disponible en el Centro de software hasta que se conceda la aprobación. Esta solución proporciona control por usuario y por dispositivo del software sin necesidad de crear colecciones independientes.

El método CreateApprovedRequest WMI de la SMS_UserApplicationRequest clase tiene los siguientes parámetros de entrada:

Parámetros necesarios

  • ClientGUID - Identificador único del cliente
  • Username - Nombre de usuario único del usuario
  • ApplicationID - Nombre del modelo de la aplicación

ApplicationID es la propiedad ModelName de la instancia de SMS_Application. Este valor es el identificador único de la aplicación sin la versión. Por ejemplo, ScopeId_21A9ED3B-D8C6-49DC-87A6-01F296182F14/Application_40243740-01f2-48db-abf0-c95259986d94.

Parámetros opcionales

  • Comments - Comentarios para que la solicitud aprobada se muestre en el Centro de software. De forma predeterminada, especifica una cadena vacía.

  • AutoInstall - Instale la aplicación inmediatamente después de que se apruebe la solicitud. De forma predeterminada, este parámetro es true.

    Nota:

    En la versión 2006 y versiones anteriores, solo se podía llamar a este método una vez para una aplicación específica. A partir de la versión 2010, puede llamar a este método más de una vez. Si el parámetro AutoInstall es $true, el cliente intenta instalar la aplicación de nuevo.

El ejemplo de código siguiente es un script Windows PowerShell que muestra cómo invocar el método WMI para un usuario, una máquina y una aplicación específicos:

$machinename = $args[0]
$username = $args[1]
$appid = $args[2]
$autoInstall = $args[3]
$comments = $args[4]

$scObj=Get-WmiObject -Namespace root\sms -Query 'select SiteCode from sms_providerlocation'
$sitecode = $scObj.SiteCode
$namespace ="root\sms\site_" + $sitecode
$machine = Get-WmiObject -Namespace $namespace -Query "SELECT * FROM SMS_R_SYSTEM WHERE Name = '$machinename'"
$clientGuid = $machine.SMSUniqueIdentifier
Invoke-WmiMethod -Path "SMS_UserApplicationRequest" -Namespace $namespace -Name CreateApprovedRequest -ArgumentList @($appid, $autoInstall, $clientGuid, $comments, $username)

La línea de comandos siguiente ejecuta el script de ejemplo:

.\CreateApprovedRequest.ps1 "MachineName" "Domain\User" "ScopeId_2E4DAE44-C9A0-4694-8B7A-474424C080D4/Application_88808a3a-86e4-4820-be59-aa7d61cb8c33 "true" "Application has been approved"

El administrador todavía puede ver las solicitudes aprobadas en la consola de Configuration Manager desdesolicitudes de aprobaciónde administración de aplicaciones de> biblioteca de software>.

Nodo solicitudes de aplicación en la consola de Configuration Manager

Limitaciones

La versión actual de este método WMI de aprobación de la aplicación tiene las siguientes limitaciones:

  1. Solo CreateApprovedRequest se puede llamar al método una vez para un identificador de equipo único, un identificador de aplicación y una combinación de nombre de usuario. Devuelve un error si se llama al método con los mismos parámetros más de una vez. Los detalles sobre este error se encuentran en SMSProv.log.
  2. Para habilitar la instalación automática de la aplicación, implemente la aplicación en una colección de usuarios o grupos de usuarios antes de llamar al método WMI. Si crea la implementación después de llamar al método WMI, la aplicación se pone a disposición del usuario para su instalación y no se instalará automáticamente.

Escenario 3: Revocación de la aprobación de la aplicación

Si el administrador revoca la aprobación o la aplicación ya no está en uso, desinstale la aplicación.

El administrador revoca la aprobación de la aplicación mediante la consola de Configuration Manager, un script de PowerShell o WMI. Incluso si la aplicación ya se aprobó, el administrador puede usar la opción Denegar. Revocar la aprobación impide que el usuario instale la aplicación en su dispositivo. La misma acción también provoca la desinstalación de la aplicación en el dispositivo del usuario si la aplicación se instaló anteriormente.

Obtenga más información sobre el cmdlet Deny-CMApprovalRequest .

Requisitos previos para revocar las aprobaciones de aplicaciones

  1. Establezca la opción Seleccionar estas nuevas opciones para especificar la configuración del cliente de información de empresa en .
  2. Habilite la característica opcional Aprobar solicitudes de aplicación de usuarios por dispositivo. Para obtener más información, consulte Habilitar características opcionales de las actualizaciones.

Escenario 4: Solicitudes aprobadas previamente basadas en máquinas

Puede usar la CreateApprovedRequest API para crear una solicitud aprobada previamente para un dispositivo sin que sea necesario para el usuario. Esta acción le permite instalar y desinstalar aplicaciones en tiempo real. Actualmente, esta funcionalidad solo está disponible en el SDK. Para que las solicitudes aprobadas previamente basadas en máquinas funcionen, también debe habilitar la característica opcional Aprobar solicitudes de aplicación para usuarios por dispositivo. Para obtener más información, consulte Habilitar características opcionales de las actualizaciones.

Los administradores pueden crear una implementación disponible para la máquina que requiera aprobación mediante el cmdlet New-CMApplicationDeployment . Aquí le mostramos un ejemplo:

New-CMApplicationDeployment -CollectionName "All Systems" -Name "Test app" -DeployAction Install -DeployPurpose Available -ApprovalRequired $true -DistributionPointName 'DistributionPoint.domain.com" -DistributeContent

Una implementación creada con la requires approval marca establecida en true permanece en el servidor y se puede usar con colecciones más grandes. El flujo de solicitud de usuario aún no está disponible para las implementaciones de destino automático que requieren aprobación. Por lo tanto, la aplicación no es visible en el Centro de software hasta que se crea una solicitud aprobada previamente para el dispositivo individual.

El siguiente script de ejemplo Windows PowerShell muestra cómo invocar el método WMI para que una máquina y una aplicación creen una solicitud aprobada previamente:

$machinename = $args[0]
$appid = $args[1]
$autoInstall = $args[2]
$comments = $args[3]

$scObj=Get-WmiObject -Namespace root\sms -Query 'select SiteCode from sms_providerlocation'
$sitecode = $scObj.SiteCode
$namespace ="root\sms\site_" + $sitecode
$machine = Get-WmiObject -Namespace $namespace -Query "SELECT * FROM SMS_R_SYSTEM WHERE Name = '$machinename'"
$clientGuid = $machine.SMSUniqueIdentifier
Invoke-WmiMethod -Path "SMS_ApplicationRequest" -Namespace $namespace -Name CreateApprovedRequest -ArgumentList @($appid, $autoInstall, $clientGuid, $comments)

La línea de comandos siguiente ejecuta el script de ejemplo:

.\CreateApprovedRequestForMachine.ps1 "MachineName" "ScopeId_2E4DAE44-C9A0-4694-8B7A-474424C080D4/Application_88808a3a-86e4-4820-be59-aa7d61cb8c33 "true" "Application has been approved"

Establecer el autoInstall parámetro false en no tiene ningún efecto en Configuration Manger para la solicitud aprobada previamente basada en máquina. En cuanto se cree la solicitud aprobada previamente en el sitio, el dispositivo intentará instalar la aplicación. Puede denegar la solicitud de aprobación para quitar la aplicación del dispositivo.

Consola que muestra la aplicación aprobada para todos los usuarios de un dispositivo específico

Escenario 5: Reapprovee una solicitud de aplicación denegada anteriormente

Puede volver a probar una solicitud de aplicación que se denegó anteriormente. Reapproval solo está disponible a través de la API del SDK. El siguiente script de ejemplo de PowerShell muestra la aprobación de una solicitud después de que se haya denegado:

$machinename = $args[0]
$username = $args[1]
$appid = $args[2]

$scObj=Get-WmiObject -Namespace root\sms -Query 'select SiteCode from sms_providerlocation'
$sitecode = $scObj.SiteCode
$namespace ="root\sms\site_" + $sitecode
$reqObj = Get-WmiObject -Namespace $namespace -Class SMS_UserApplicationRequest | Where {$_.ModelName -eq $appid -and $_.RequestedMachine -eq $machinename -and $_.User -eq $username }
$reqObjPath = $reqObj.__PATH
Invoke-WmiMethod -Path $reqObjPath -Name Approve

La línea de comandos siguiente ejecuta el script de ejemplo:

.\ReapproveRequest.ps1 "MachineName" "DomainName\Username" "ScopeId_2E4DAE44-C9A0-4694-8B7A-474424C080D4/Application_88808a3a-86e4-4820-be59-aa7d61cb8c33"

Escenario 6: notificaciones de Email para solicitudes de aprobación de aplicaciones

Los administradores pueden configurar notificaciones por correo electrónico para las solicitudes de aprobación de aplicaciones. Puede especificar aprobadores de aplicaciones durante la implementación de la aplicación. Todos los aprobadores reciben una notificación por correo electrónico cuando un usuario solicita una aplicación y puede aprobar o denegar la solicitud mediante los vínculos proporcionados en el correo electrónico. También puede configurar la puerta de enlace de administración en la nube para habilitar la aprobación de solicitudes de aplicación fuera de la red interna.

Requisitos previos para las notificaciones por correo electrónico

  • A partir de la versión 2107, el proveedor de SMS requiere la versión 4.6.2 de .NET y se recomienda la versión 4.8. En la versión 2103 y versiones anteriores, este rol requiere .NET 4.5 o posterior. Para obtener más información, requisitos previos del sitio y del sistema de sitio.

  • Habilite la característica opcional Aprobar solicitudes de aplicación de usuarios por dispositivo. Para obtener más información, consulte Habilitar características opcionales de las actualizaciones.

  • Si la infraestructura de certificados PKI no está configurada, habilite HTTP mejorado.

    Nota:

    La configuración de HTTP mejorado es por sitio primario. Si lo habilita en cualquiera de los sitios primarios de una jerarquía, Configuration Manager usa certificados autofirmados en todos los proveedores. Este comportamiento incluye cas y otros sitios primarios.

Configuración de notificaciones por correo electrónico

  1. En la consola de Configuration Manager, vaya aConfiguración del sitio de administración> ->Sites.
  2. Seleccione el sitio de nivel superior de la jerarquía y seleccione Configurar componentes de sitio en la cinta de opciones.
  3. Seleccione Email Notificación para abrir el cuadro de diálogo Propiedades.
  4. Active Habilitar la notificación por correo electrónico para las alertas y especifique el puerto del servidor SMTP. Si usa Microsoft 365, puede usar el servidor SMTP de Microsoft 365.
  5. Escriba el FQDN o la dirección IP del servidor SMTP.
  6. Seleccione especificar una cuenta, seleccione Establecer y, a continuación, seleccione Nueva cuenta.
  7. Proporcione un nombre de usuario y una contraseña para la nueva cuenta y haga clic en Aceptar.
  8. Escriba la dirección del remitente para las alertas de correo electrónico.
  9. Haga clic en Aplicar.
  10. Puede probar el servidor SMTP enviando un ejemplo de correo electrónico. Seleccione Probar servidor SMTP en el cuadro de diálogo Propiedades de notificación de Email.
    • Revise los errores en NotiCtlr.log.
    • Se recomienda configurar SSL con un certificado PKI en el proveedor de SMS para aprobar o denegar correctamente la solicitud en la red interna cuando la puerta de enlace de administración en la nube no está configurada. De lo contrario, verá la página que contiene la advertencia "Hay un problema con este certificado de seguridad".

Email propiedades del componente de notificación en la consola de Configuration Manager

Aprobación de solicitudes de aplicación fuera de la red interna

Para aprobar solicitudes de aplicación fuera de la red interna, se requiere una configuración adicional:

  1. Habilite Allow Configuration Manager cloud management gateway traffic in AdministrationSite ConfigurationServers and Site Systems RolesSMS Provider Properties (Permitir Configuration Manager tráfico de puerta de enlace de administración en la nube en servidores de configuración > del sitio de administración> y roles de > sistemas de sitiopropiedadesdel proveedor de> SMS).
  2. Configure la puerta de enlace de administración en la nube.
  3. Habilite Microsoft Entra detección de usuarios.
  4. Configure los siguientes valores para esta aplicación nativa (aplicación cliente) en Microsoft Entra ID. Esta configuración debe configurarse manualmente en el Azure Portal.

    • URI de redirección: https://<CMG FQDN>/CCM_Proxy_ServerAuth/ImplicitAuth. Use el nombre de dominio completo del servicio cloud management gateway (CMG), por ejemplo, GraniteFalls.Contoso.com. Azure Portal que muestra el URI de redirección de la aplicación registrada

    • Manifiesto: establezca oauth2AllowImplicitFlow en true. Por ejemplo: "oauth2AllowImplicitFlow": true,Azure Portal mostrar el manifiesto de la aplicación registrada

Prueba del proceso de aprobación de correo electrónico

Vamos a recorrer el escenario de un extremo a otro:

  1. Implemente una aplicación como disponible para una colección de usuarios. En la página Configuración de implementación , habilite esta opción para su aprobación. Además, escriba algunas direcciones de correo electrónico para recibir notificaciones sobre las solicitudes de aplicación.

    Creación de la implementación con la aprobación de direcciones de correo electrónico de administrador

  2. El usuario ve la nueva aplicación en el Centro de software y envía la solicitud para ella. El sitio envía la notificación por correo electrónico en un plazo de cinco minutos a las direcciones especificadas en la implementación de la aplicación.

    Correo electrónico de ejemplo a un administrador de aprobación

  3. Un receptor de correo electrónico elige Aprobar o Denegar. Se muestra un mensaje correcto en el explorador si el sitio procesó correctamente la solicitud de aplicación.

    • Si una solicitud de aplicación se aprueba o se deniega por correo electrónico, los vínculos expiran y nadie más puede usarlos.

Problemas conocidos

  1. Se muestra un error 404 después Approve de hacer clic en los vínculos o Deny .
    • No hay un certificado enlazado al servicio Administración. Compruebe si la característica de certificados generados por Configuration Manager está habilitada. De lo contrario, configure su propia infraestructura de certificados PKI.
    • Compruebe si SMS_REST_PROVIDER.log hay errores.
  2. There is a problem with this security certificate advertencia después Approve de hacer clic en los vínculos o Deny .
    • el explorador web del cliente no confía en el certificado generado por Configuration Manager. Se recomienda configurar la infraestructura de certificados PKI cuando se usan vínculos en la red interna.
  3. Service is unavailable, HTTP Error 503 Mensaje.
    • Compruebe si el servicio de Administración está en ejecución. En una máquina del proveedor, vaya aDetallesdel Administrador> de tareas. Asegúrese de que hay un proceso activo llamado sccmprovidergraph.exe
    • Abra la consola de Configuration Manager, los servidores deconfiguración> del sitio de administración> y elproveedor de SMSde roles de> sistemas de sitio. Haga clic con el botón derecho en Propiedades. Asegúrese de que Allow Configuration Manager cloud management gateway traffic. se comprueba cuando la característica de aprobación de correo electrónico está pensada para usarse con Cloud Management Gateway y no está activada cuando la característica se usa para aprobar o denegar solicitudes en la red interna.
  4. Los vínculos para aprobar o denegar la solicitud a través de Cloud Management Gateway no funcionan.
    • Compruebe que Microsoft Entra detección de usuarios está habilitada.
    • Asegúrese de que la dirección de correo electrónico especificada durante la implementación de la aplicación pertenece a su organización.
  5. Email no se envía cuando un usuario solicitó una aplicación.
    • Compruebe que la dirección de correo electrónico es correcta.
    • Asegúrese de que están configuradas las notificaciones por correo electrónico para las alertas.
    • Compruebe si hay NotiCtrl.log errores.
  6. Error en el Asistente para crear implementación de aplicaciones .
    • Asegúrese de que tiene derechos para crear una suscripción. La suscripción se creará automáticamente durante la implementación de la aplicación.