Processo di approvazione delle applicazioni

Uno degli scenari importanti per la gestione delle applicazioni consiste nel fornire un processo di installazione e disinstallazione controllato per il software che richiede l'approvazione. Per ridurre il carico complessivo sull'infrastruttura Configuration Manager e migliorare le prestazioni, il flusso di lavoro non richiede la creazione di singole raccolte per gestire installazioni e disinstallazioni per ogni applicazione.

Scenario 1: le applicazioni devono essere approvate prima di essere installate

L'amministratore IT di Contoso usa Software Center per rendere il software disponibile per gli utenti. Queste applicazioni devono essere approvate prima di essere installate. L'amministratore distribuisce un'applicazione a tutti gli utenti e la configura per richiedere l'approvazione.

L'utente esplora l'elenco delle applicazioni in Software Center, ma non può installare l'applicazione fino a quando la richiesta non viene approvata. L'utente invia la richiesta da Software Center e specifica il motivo della richiesta. Se l'opzione Approva le richieste di applicazione per gli utenti per dispositivo è abilitata, l'utente deve richiedere l'approvazione a ogni dispositivo in cui vuole installare l'applicazione. L'amministratore approva o nega quindi la richiesta per ogni dispositivo dell'utente in cui sono state effettuate richieste.

Nota

Configuration Manager questa funzionalità non viene abilitata per impostazione predefinita. Prima di usarlo, abilitare la funzionalità facoltativa Approva le richieste di applicazione per gli utenti per dispositivo. Per altre informazioni, vedere Enable optional features from updates (Abilitare le funzioni facoltative dagli aggiornamenti).

Software Center richiede all'utente di inviare la richiesta per l'applicazione dal proprio dispositivo. L'utente visualizza questo messaggio in Software Center:

L'utente specifica il motivo per cui vuole l'applicazione e invia la richiesta di approvazione:

Dopo che l'amministratore ha approvato la richiesta, l'utente può installare l'applicazione nel dispositivo. Se l'utente non esegue alcuna azione, l'applicazione viene installata automaticamente per l'utente durante l'orario non lavorativo.

Scenario 2: Integrare un sistema di approvazione dell'applicazione

Northwind Traders dispone di un sistema di approvazione delle applicazioni esistente e l'amministratore vuole integrare il sistema di approvazione con Configuration Manager.

L'amministratore distribuisce un'applicazione a tutti gli utenti e la configura per richiedere l'approvazione. L'amministratore abilita quindi l'impostazione client di Software Center su Nascondi applicazioni non approvate in Software Center.

Con questa opzione, l'utente non visualizza l'applicazione in Software Center fino a quando la richiesta dell'applicazione non viene approvata per l'installazione nel dispositivo. Quando l'approvazione viene concessa tramite il sistema di approvazione dell'organizzazione, il sistema di orchestrazione può effettuare una richiesta approvata per l'utente e il dispositivo in Configuration Manager. I sistemi di orchestrazione hanno usato il CreateApprovedRequest metodo WMI in Configuration Manager. Questo metodo usa quindi il meccanismo di distribuzione dell'applicazione Configuration Manager esistente. Non modifica le appartenenze alla raccolta e diventa immediatamente effettiva. L'applicazione è ora disponibile per l'utente in Software Center.

L'amministratore può anche configurare l'automazione per installare automaticamente l'applicazione nel dispositivo dell'utente. Nessun altro utente visualizzerà l'applicazione come disponibile in Software Center fino a quando non viene concessa l'approvazione. Questa soluzione fornisce il controllo per utente e dispositivo del software senza la necessità di creare raccolte separate.

Il metodo CreateApprovedRequest WMI nella SMS_UserApplicationRequest classe dispone dei parametri di input seguenti:

Parametri obbligatori

• ClientGUID - Identificatore univoco del client
• Username - Nome utente univoco dell'utente
• ApplicationID - Nome del modello dell'applicazione

ApplicationID è la proprietà ModelName dell'istanza di SMS_Application. Questo valore è l'ID univoco dell'applicazione senza la versione. Ad esempio, ScopeId_21A9ED3B-D8C6-49DC-87A6-01F296182F14/Application_40243740-01f2-48db-abf0-c95259986d94.

Parametri facoltativi

• Comments - Commenti per la richiesta approvata da visualizzare in Software Center. Per impostazione predefinita, specifica una stringa vuota.

• AutoInstall - Installare l'applicazione immediatamente dopo l'approvazione della richiesta. Per impostazione predefinita, questo parametro è true.

  Nota

  Nella versione 2006 e versioni precedenti è possibile chiamare questo metodo una sola volta per un'app specifica. A partire dalla versione 2010, è possibile chiamare questo metodo più volte. Se il parametro AutoInstall è $true, il client tenta di installare nuovamente l'app.

L'esempio di codice seguente è uno script Windows PowerShell che illustra come richiamare il metodo WMI per un utente, un computer e un'applicazione specifici:

$machinename = $args[0]
$username = $args[1]
$appid = $args[2]
$autoInstall = $args[3]
$comments = $args[4]

$scObj=Get-WmiObject -Namespace root\sms -Query 'select SiteCode from sms_providerlocation'
$sitecode = $scObj.SiteCode
$namespace ="root\sms\site_" + $sitecode
$machine = Get-WmiObject -Namespace $namespace -Query "SELECT * FROM SMS_R_SYSTEM WHERE Name = '$machinename'"
$clientGuid = $machine.SMSUniqueIdentifier
Invoke-WmiMethod -Path "SMS_UserApplicationRequest" -Namespace $namespace -Name CreateApprovedRequest -ArgumentList @($appid, $autoInstall, $clientGuid, $comments, $username)

La riga di comando seguente esegue lo script di esempio:

.\CreateApprovedRequest.ps1 "MachineName" "Domain\User" "ScopeId_2E4DAE44-C9A0-4694-8B7A-474424C080D4/Application_88808a3a-86e4-4820-be59-aa7d61cb8c33 "true" "Application has been approved"

L'amministratore può comunque visualizzare le richieste approvate nella console di Configuration Manager dallerichieste di approvazionedella gestione> delle applicazioni della libreria> software.

Limitazioni

La versione corrente di questo metodo WMI di approvazione dell'applicazione presenta le limitazioni seguenti:

1. Il CreateApprovedRequest metodo può essere chiamato una sola volta per una combinazione univoca di ID computer, ID applicazione e nome utente. Restituisce un errore se il metodo viene chiamato con gli stessi parametri più volte. I dettagli su questo errore si trovano in SMSProv.log.
2. Per abilitare l'installazione automatica dell'applicazione, distribuire l'applicazione in una raccolta di utenti o gruppi di utenti prima di chiamare il metodo WMI. Se si crea la distribuzione dopo aver chiamato il metodo WMI, l'applicazione viene resa disponibile all'utente per l'installazione e non verrà installata automaticamente.

Scenario 3: Revocare l'approvazione dell'applicazione

Se l'amministratore revoca l'approvazione o l'applicazione non è più in uso, disinstallare l'applicazione.

L'amministratore revoca l'approvazione dell'applicazione usando la console Configuration Manager, uno script di PowerShell o WMI. Anche se l'applicazione è già stata approvata, l'amministratore può usare l'opzione Nega. Revocare l'approvazione impedisce all'utente di installare l'applicazione nel dispositivo. La stessa azione causa anche la disinstallazione dell'applicazione nel dispositivo dell'utente se l'applicazione è stata installata in precedenza.

Altre informazioni sul cmdlet Deny-CMApprovalRequest .

Prerequisiti per revocare le approvazioni delle app

1. Impostare l'impostazione Selezionare queste nuove impostazioni per specificare il client delle informazioni aziendali su Sì.
2. Abilitare la funzionalità facoltativa Approva le richieste dell'applicazione per gli utenti per ogni dispositivo. Per altre informazioni, vedere Enable optional features from updates (Abilitare le funzioni facoltative dagli aggiornamenti).

Scenario 4: Richieste pre-approvate basate su computer

È possibile usare l'API CreateApprovedRequest per creare una richiesta pre-approvata per un dispositivo senza che sia necessario alcun utente. Questa azione consente di installare e disinstallare le applicazioni in tempo reale. Attualmente questa funzionalità è disponibile solo nell'SDK. Per il funzionamento delle richieste pre-approvate basate su computer, è anche necessario abilitare la funzionalità facoltativa Approva le richieste di applicazione per gli utenti per dispositivo. Per altre informazioni, vedere Enable optional features from updates (Abilitare le funzioni facoltative dagli aggiornamenti).

Gli amministratori possono creare una distribuzione disponibile nel computer che richiede l'approvazione usando il cmdlet New-CMApplicationDeployment . Ecco un esempio:

New-CMApplicationDeployment -CollectionName "All Systems" -Name "Test app" -DeployAction Install -DeployPurpose Available -ApprovalRequired $true -DistributionPointName 'DistributionPoint.domain.com" -DistributeContent

Una distribuzione creata con il requires approval flag impostato su true rimane nel server e può essere usata con raccolte di dimensioni maggiori. Il flusso di richiesta utente non è ancora disponibile per le distribuzioni destinate al computer che richiedono l'approvazione. L'applicazione non è quindi visibile in Software Center fino a quando non si crea una richiesta pre-approvata per il singolo dispositivo.

Lo script di esempio Windows PowerShell seguente illustra come richiamare il metodo WMI per un computer e un'applicazione per creare una richiesta pre-approvata:

$machinename = $args[0]
$appid = $args[1]
$autoInstall = $args[2]
$comments = $args[3]

$scObj=Get-WmiObject -Namespace root\sms -Query 'select SiteCode from sms_providerlocation'
$sitecode = $scObj.SiteCode
$namespace ="root\sms\site_" + $sitecode
$machine = Get-WmiObject -Namespace $namespace -Query "SELECT * FROM SMS_R_SYSTEM WHERE Name = '$machinename'"
$clientGuid = $machine.SMSUniqueIdentifier
Invoke-WmiMethod -Path "SMS_ApplicationRequest" -Namespace $namespace -Name CreateApprovedRequest -ArgumentList @($appid, $autoInstall, $clientGuid, $comments)

La riga di comando seguente esegue lo script di esempio:

.\CreateApprovedRequestForMachine.ps1 "MachineName" "ScopeId_2E4DAE44-C9A0-4694-8B7A-474424C080D4/Application_88808a3a-86e4-4820-be59-aa7d61cb8c33 "true" "Application has been approved"

L'impostazione del autoInstall parametro su false non ha alcun effetto in Configuration Manger per la richiesta pre-approvata basata su computer. Non appena viene creata la richiesta pre-approvata nel sito, il dispositivo tenterà di installare l'applicazione. È possibile negare la richiesta di approvazione per rimuovere l'applicazione dal dispositivo.

Scenario 5: Riapprovare una richiesta di applicazione negata in precedenza

È possibile riapprovare una richiesta di applicazione negata in precedenza. Il riapprovazione è disponibile solo tramite l'API SDK. Lo script di esempio di PowerShell seguente illustra l'approvazione di una richiesta dopo che è stata negata:

$machinename = $args[0]
$username = $args[1]
$appid = $args[2]

$scObj=Get-WmiObject -Namespace root\sms -Query 'select SiteCode from sms_providerlocation'
$sitecode = $scObj.SiteCode
$namespace ="root\sms\site_" + $sitecode
$reqObj = Get-WmiObject -Namespace $namespace -Class SMS_UserApplicationRequest | Where {$_.ModelName -eq $appid -and $_.RequestedMachine -eq $machinename -and $_.User -eq $username }
$reqObjPath = $reqObj.__PATH
Invoke-WmiMethod -Path $reqObjPath -Name Approve

La riga di comando seguente esegue lo script di esempio:

.\ReapproveRequest.ps1 "MachineName" "DomainName\Username" "ScopeId_2E4DAE44-C9A0-4694-8B7A-474424C080D4/Application_88808a3a-86e4-4820-be59-aa7d61cb8c33"

Scenario 6: Email notifiche per le richieste di approvazione dell'applicazione

Gli amministratori possono configurare le notifiche tramite posta elettronica per le richieste di approvazione dell'applicazione. È possibile specificare i responsabili approvazione dell'applicazione durante la distribuzione dell'applicazione. Tutti i responsabili approvazione ricevono una notifica tramite posta elettronica quando un utente richiede un'applicazione e possono approvare o rifiutare la richiesta usando i collegamenti forniti nel messaggio di posta elettronica. È anche possibile configurare il gateway di gestione cloud per abilitare l'approvazione delle richieste di applicazioni all'esterno della rete interna.

Prerequisiti per le notifiche tramite posta elettronica

• A partire dalla versione 2107, il provider SMS richiede .NET versione 4.6.2 e la versione 4.8 è consigliata. Nella versione 2103 e versioni precedenti, questo ruolo richiede .NET 4.5 o versione successiva. Per altre informazioni, vedere Prerequisiti del sito e del sistema del sito.

• Abilitare la funzionalità facoltativa Approva le richieste dell'applicazione per gli utenti per ogni dispositivo. Per altre informazioni, vedere Enable optional features from updates (Abilitare le funzioni facoltative dagli aggiornamenti).

• Se l'infrastruttura di certificati PKI non è configurata, abilitare HTTP avanzato.

  Nota

  La configurazione per HTTP avanzato è per ogni sito primario. Se lo si abilita in uno dei siti primari in una gerarchia, Configuration Manager usa certificati autofirmati in tutti i provider. Questo comportamento include il sito cas e altri siti primari.

Configurare le notifiche di posta elettronica

1. Nella console Configuration Manager passare aConfigurazione sito di amministrazione> ->Siti.
2. Selezionare il sito di primo livello nella gerarchia e selezionare Configura componenti del sito nella barra multifunzione.
3. Selezionare Email Notifica per aprire la finestra di dialogo Proprietà.
4. Selezionare Abilita notifica tramite posta elettronica per gli avvisi e specificare la porta del server SMTP. Se si usa Microsoft 365, è possibile usare il server SMTP di Microsoft 365.
5. Immettere l'FQDN o l'indirizzo IP del server SMTP.
6. Selezionare per Specificare un account, selezionare Imposta e quindi nuovo account.
7. Specificare un nome utente e una password per il nuovo account e fare clic su OK.
8. Immettere l'indirizzo mittente per gli avvisi di posta elettronica.
9. Fare clic su Applica.
10. È possibile testare il server SMTP inviando un esempio di posta elettronica. Selezionare Test server SMTP nella finestra di dialogo Proprietà notifica Email.
    • Esaminare gli errori in NotiCtlr.log.
    • È consigliabile configurare SSL con un certificato PKI nel provider SMS per approvare o rifiutare correttamente la richiesta nella rete interna quando il gateway di gestione cloud non è configurato. In caso contrario, verrà visualizzata la pagina contenente l'avviso "Si è verificato un problema con questo certificato di sicurezza".

Approvare le richieste di applicazione all'esterno della rete interna

Per approvare le richieste di applicazione all'esterno della rete interna, sono necessarie impostazioni aggiuntive:

1. Abilitare Consenti Configuration Manager traffico del gateway di gestione cloud nei serverdi configurazione> del sito di amministrazione> e nelleproprietàdel provider> SMSdei ruoli del> sistema del sito.
2. Configurare il gateway di gestione cloud.
3. Abilitare Microsoft Entra individuazione utente.
4. Configurare le impostazioni seguenti per questa app nativa (app client) in Microsoft Entra ID. Queste impostazioni devono essere configurate manualmente nel portale di Azure.

   • URI di reindirizzamento: https://<CMG FQDN>/CCM_Proxy_ServerAuth/ImplicitAuth. Usare il nome di dominio completo del servizio Cloud Management Gateway (CMG), ad esempio GraniteFalls.Contoso.com.

   • Manifesto: impostare oauth2AllowImplicitFlowsu true. Ad esempio: "oauth2AllowImplicitFlow": true,

Testare il processo di approvazione della posta elettronica

Verrà illustrato lo scenario end-to-end:

1. Si distribuisce un'applicazione come disponibile per una raccolta di utenti. Nella pagina Impostazioni distribuzione abilitarla per l'approvazione. Immettere anche alcuni indirizzi di posta elettronica per ricevere notifiche sulle richieste dell'applicazione.

   

2. L'utente visualizza la nuova applicazione in Software Center e invia la richiesta. Il sito invia la notifica tramite posta elettronica entro cinque minuti agli indirizzi specificati nella distribuzione dell'applicazione.

   

3. Un ricevitore di posta elettronica sceglie Approva o Nega. Nel browser viene visualizzato un messaggio di esito positivo se il sito ha elaborato correttamente la richiesta dell'applicazione.

   • Se una richiesta di applicazione viene approvata o negata tramite posta elettronica, i collegamenti scadono e non possono essere usati da altri utenti.

Problemi noti

1. Viene visualizzato un errore 404 dopo Approve aver fatto clic sui collegamenti.Deny
   • Non è presente un certificato associato al servizio Amministrazione. Verificare se la funzionalità certificati generati Configuration Manager è abilitata. In caso contrario, configurare l'infrastruttura dei certificati PKI.
   • Verificare la SMS_REST_PROVIDER.log presenza di eventuali errori.
2. There is a problem with this security certificate avviso dopo Approve aver fatto clic sui collegamenti o Deny .
   • Configuration Manager certificato generato non è considerato attendibile dal Web browser nel client. È consigliabile configurare l'infrastruttura dei certificati PKI quando vengono usati collegamenti nella rete interna.
3. Service is unavailable, HTTP Error 503 Messaggio.
   • Controllare se il servizio Amministrazione è in esecuzione. In un computer provider passare aDettagligestione> attività. Assicurarsi che sia presente un processo attivo denominato sccmprovidergraph.exe
   • Aprire la console di Configuration Manager, i serverdi configurazione> del sito di amministrazione> e ilprovider SMSdei ruoli> del sistema del sito. Fare clic con il pulsante destro del mouse su Proprietà. Assicurarsi che Allow Configuration Manager cloud management gateway traffic. sia selezionata quando la funzionalità di approvazione della posta elettronica deve essere usata con Cloud Management Gateway e non verificare quando la funzionalità viene usata per approvare o negare le richieste nella rete interna.
4. I collegamenti per approvare o negare la richiesta tramite Cloud Management Gateway non funzionano.
   • Verificare che Microsoft Entra'individuazione utente sia abilitata.
   • Assicurarsi che l'indirizzo di posta elettronica specificato durante la distribuzione dell'applicazione appartenga all'organizzazione.
5. Email non viene inviato quando un utente ha richiesto un'applicazione.
   • Verificare che l'indirizzo di posta elettronica sia corretto.
   • Assicurarsi che le notifiche tramite posta elettronica per gli avvisi siano configurate.
   • Verificare la presenza di NotiCtrl.log errori.
6. Errore nella creazione guidata distribuzione dell'applicazione .
   • Assicurarsi di disporre dei diritti per creare una sottoscrizione. La sottoscrizione verrà creata automaticamente durante la distribuzione dell'applicazione.