Uygulama onay işlemi

Uygulama yönetimi için önemli senaryolardan biri, onay gerektiren yazılımlar için denetimli bir yükleme ve kaldırma işlemi sağlamaktır. Configuration Manager altyapısındaki genel yükü azaltmak ve performansı geliştirmek için iş akışı, her uygulama için yüklemeleri ve kaldırmaları yönetmek üzere ayrı koleksiyonlar oluşturulmasını gerektirmez.

Senaryo 1: Uygulamalar yüklenmeden önce onaylanmalıdır

Contoso'daki BT yöneticisi, yazılımlarını kullanıcıların kullanımına açmak için Yazılım Merkezi'ni kullanır. Bu uygulamaların yüklenmeden önce onaylanması gerekir. Yönetici bir uygulamayı tüm kullanıcılara dağıtır ve onay gerektirecek şekilde yapılandırılır.

Kullanıcı Yazılım Merkezi'ndeki uygulama listesine göz atar ancak istek onaylanana kadar uygulamayı yükleyemez. Kullanıcı, isteği Yazılım Merkezi'nden gönderir ve isteğin nedenini belirtir. Cihaz başına kullanıcılar için uygulama isteklerini onayla seçeneği etkinleştirilirse, kullanıcının uygulamayı yüklemek istediği her cihazdan onay istemesi gerekir. Ardından yönetici, isteklerin yapıldığı her kullanıcının cihazı için isteği onaylar veya reddeder.

Not

Configuration Manager bu özelliği varsayılan olarak etkinleştirmez. Kullanmadan önce, cihaz başına kullanıcılar için uygulama isteklerini onaylama isteğe bağlı özelliğini etkinleştirin. Daha fazla bilgi için, bkz. Güncelleştirmelerin isteğe bağlı özelliklerini etkinleştirme.

Yazılım Merkezi, kullanıcının uygulama isteğini kendi cihazından göndermesini gerektirir. Kullanıcı bu iletiyi Yazılım Merkezi'nde görür:

Kullanıcı Yazılım Merkezi'nden onay gerektiren bir uygulama istiyor

Kullanıcı uygulamayı neden istediğini belirtir ve onay isteğini gönderir:

Kullanıcı, onay isteğinin Yazılım Merkezi'nde gönderildiğini bildirdi

Yönetici isteği onayladıktan sonra, kullanıcı uygulamayı cihazına yükleyebilir. Kullanıcı hiçbir işlem gerçekleştirmezse, uygulama iş dışı saatlerde kullanıcı için otomatik olarak yüklenir.

Yazılım Merkezi'nden onaylanan uygulamayı yüken kullanıcı

Senaryo 2: Uygulama onay sistemini tümleştirme

Northwind Traders'ın mevcut bir uygulama onay sistemi var ve yönetici onay sistemini Configuration Manager ile tümleştirmek istiyor.

Yönetici bir uygulamayı tüm kullanıcılara dağıtır ve onay gerektirecek şekilde yapılandırılır. Ardından yönetici, Yazılım Merkezi istemci ayarının Yazılım Merkezi'nde onaylanmamış uygulamaları gizle olarak ayarlanmasını sağlar.

Onaylanmamış uygulamaları gizle Yazılım Merkezi seçeneği

Bu seçenekle, uygulama isteği cihaza yüklenmek üzere onaylanana kadar kullanıcı uygulamayı Yazılım Merkezi'nde görmez. Kuruluşun onay sistemi aracılığıyla onay verildiğinde, düzenleme sistemi Configuration Manager kullanıcı ve cihazı için onaylanan bir istekte bulunabilir. Düzenleme sistemleri Configuration Manager'de WMI yöntemini kullandıCreateApprovedRequest. Bu yöntem daha sonra mevcut Configuration Manager uygulama dağıtım mekanizmasını kullanır. Koleksiyon üyeliklerini değiştirmez ve hemen geçerlilik kazanır. Uygulama artık Yazılım Merkezi'nde kullanıcının kullanımına sunulmuştur.

Yönetici, uygulamayı kullanıcının cihazına otomatik olarak yüklemek için otomasyonunu da yapılandırabilir. Onay verilene kadar diğer kullanıcılar uygulamayı Yazılım Merkezi'nde kullanılabilir olarak görmez. Bu çözüm, ayrı koleksiyonlar oluşturmaya gerek kalmadan yazılım için kullanıcı ve cihaz başına denetim sağlar.

sınıfındaki SMS_UserApplicationRequest WMI yöntemi CreateApprovedRequest aşağıdaki giriş parametrelerine sahiptir:

Gerekli parametreler

  • ClientGUID - İstemcinin benzersiz tanımlayıcısı
  • Username - Kullanıcının benzersiz kullanıcı adı
  • ApplicationID - Uygulamanın model adı

ApplicationID, SMS_Application örneğinin ModelName özelliğidir. Bu değer, sürümü olmayan uygulamanın benzersiz kimliğidir. Örneğin, ScopeId_21A9ED3B-D8C6-49DC-87A6-01F296182F14/Application_40243740-01f2-48db-abf0-c95259986d94.

İsteğe bağlı parametreler

  • Comments - Onaylanan isteğin Yazılım Merkezi'nde görüntülenmesi için açıklamalar. Varsayılan olarak boş bir dize belirtir.

  • AutoInstall - İstek onaylandıktan hemen sonra uygulamayı yükleyin. Varsayılan olarak, bu parametre true'dur.

    Not

    Sürüm 2006 ve önceki sürümlerde bu yöntemi belirli bir uygulama için yalnızca bir kez çağırabilirsiniz. Sürüm 2010'dan başlayarak, bu yöntemi birden çok kez çağırabilirsiniz. AutoInstall parametresi ise$true, istemci uygulamayı yeniden yüklemeyi dener.

Aşağıdaki kod örneği, belirli bir kullanıcı, makine ve uygulama için WMI yönteminin nasıl çağrıldığını gösteren bir Windows PowerShell betiğidir:

$machinename = $args[0]
$username = $args[1]
$appid = $args[2]
$autoInstall = $args[3]
$comments = $args[4]

$scObj=Get-WmiObject -Namespace root\sms -Query 'select SiteCode from sms_providerlocation'
$sitecode = $scObj.SiteCode
$namespace ="root\sms\site_" + $sitecode
$machine = Get-WmiObject -Namespace $namespace -Query "SELECT * FROM SMS_R_SYSTEM WHERE Name = '$machinename'"
$clientGuid = $machine.SMSUniqueIdentifier
Invoke-WmiMethod -Path "SMS_UserApplicationRequest" -Namespace $namespace -Name CreateApprovedRequest -ArgumentList @($appid, $autoInstall, $clientGuid, $comments, $username)

Aşağıdaki komut satırı örnek betiği çalıştırır:

.\CreateApprovedRequest.ps1 "MachineName" "Domain\User" "ScopeId_2E4DAE44-C9A0-4694-8B7A-474424C080D4/Application_88808a3a-86e4-4820-be59-aa7d61cb8c33 "true" "Application has been approved"

Yönetici, onaylanan istekleri Yazılım Kitaplığı>Uygulama Yönetimi>Onay İstekleri'nden Configuration Manager konsolunda görmeye devam edebilir.

Configuration Manager konsolundaki uygulama istekleri düğümü

Sınırlamalar

Bu uygulama onayı WMI yönteminin geçerli sürümünde aşağıdaki sınırlamalar vardır:

  1. Yöntemi CreateApprovedRequest benzersiz bir makine kimliği, uygulama kimliği ve kullanıcı adı birleşimi için yalnızca bir kez çağrılabilir. Yöntem birden çok kez aynı parametrelerle çağrılırsa bir hata döndürür. Bu hatayla ilgili ayrıntılar içindedir SMSProv.log.
  2. Uygulamanın otomatik olarak yüklenmesini etkinleştirmek için WMI yöntemini çağırmadan önce uygulamayı bir kullanıcı veya kullanıcı grupları koleksiyonuna dağıtın. WMI yöntemini çağırdıktan sonra dağıtımı oluşturursanız, uygulama yükleme için kullanıcıya sunulur ve otomatik olarak yüklenmez.

Senaryo 3: Uygulama onayını iptal etme

Yönetici onayı iptal ederse veya uygulama artık kullanımda değilse uygulamayı kaldırın.

Yönetici, Configuration Manager konsolunu, PowerShell betiğini veya WMI'yı kullanarak uygulamanın onayını iptal eder. Uygulama zaten onaylanmış olsa bile, yönetici Reddet seçeneğini kullanabilir. Onay iptali, kullanıcının uygulamayı cihazına yüklemesini engeller. Aynı eylem, uygulama daha önce yüklenmişse kullanıcının cihazında uygulamanın kaldırılmasına da neden olur.

Deny-CMApprovalRequest cmdlet'i hakkında daha fazla bilgi edinin.

Uygulama onaylarını iptal etmek için önkoşullar

  1. Şirket bilgileri istemcisini belirtmek için Bu yeni ayarları seçin ayarını Evet olarak ayarlayın.
  2. İsteğe bağlı Cihaz başına uygulama kullanıcı isteklerini onayla özelliğini etkinleştirin. Daha fazla bilgi için, bkz. Güncelleştirmelerin isteğe bağlı özelliklerini etkinleştirme.

Senaryo 4: Makine tabanlı önceden onaylanan istekler

Api'yi CreateApprovedRequest kullanarak kullanıcı gerektirmeden bir cihaz için önceden onaylanmış bir istek oluşturabilirsiniz. Bu eylem, uygulamaları gerçek zamanlı olarak yüklemenize ve kaldırmanıza olanak tanır. Şu anda bu işlevsellik yalnızca SDK'da kullanılabilir. Makine tabanlı önceden onaylanan isteklerin çalışması için, cihaz başına kullanıcılar için uygulama isteklerini onaylama isteğe bağlı özelliğini de etkinleştirmeniz gerekir. Daha fazla bilgi için, bkz. Güncelleştirmelerin isteğe bağlı özelliklerini etkinleştirme.

Yöneticiler , New-CMApplicationDeployment cmdlet'ini kullanarak onay gerektiren makine tarafından kullanılabilir bir dağıtım oluşturabilir. İşte bir örnek:

New-CMApplicationDeployment -CollectionName "All Systems" -Name "Test app" -DeployAction Install -DeployPurpose Available -ApprovalRequired $true -DistributionPointName 'DistributionPoint.domain.com" -DistributeContent

bayrağı ayarlanmış olarak true oluşturulan requires approval bir dağıtım sunucuda kalır ve daha büyük koleksiyonlarla kullanılabilir. Kullanıcı isteği akışı henüz onay gerektiren makine tarafından hedeflenen dağıtımlar için kullanılamaz. Bu nedenle, tek bir cihaza önceden onaylanan bir istek oluşturana kadar uygulama Yazılım Merkezi'nde görünmez.

Aşağıdaki Windows PowerShell örnek betik, önceden onaylanan istek oluşturmak üzere bir makine ve uygulama için WMI yönteminin nasıl çağrılacağını gösterir:

$machinename = $args[0]
$appid = $args[1]
$autoInstall = $args[2]
$comments = $args[3]

$scObj=Get-WmiObject -Namespace root\sms -Query 'select SiteCode from sms_providerlocation'
$sitecode = $scObj.SiteCode
$namespace ="root\sms\site_" + $sitecode
$machine = Get-WmiObject -Namespace $namespace -Query "SELECT * FROM SMS_R_SYSTEM WHERE Name = '$machinename'"
$clientGuid = $machine.SMSUniqueIdentifier
Invoke-WmiMethod -Path "SMS_ApplicationRequest" -Namespace $namespace -Name CreateApprovedRequest -ArgumentList @($appid, $autoInstall, $clientGuid, $comments)

Aşağıdaki komut satırı örnek betiği çalıştırır:

.\CreateApprovedRequestForMachine.ps1 "MachineName" "ScopeId_2E4DAE44-C9A0-4694-8B7A-474424C080D4/Application_88808a3a-86e4-4820-be59-aa7d61cb8c33 "true" "Application has been approved"

parametresinin autoInstall olarak false ayarlanması, makine tabanlı önceden onaylanan istek için Yapılandırma Yöneticisi'nde hiçbir etkiye sahip değildir. Sitede önceden onaylanan istek oluşturulur oluşturulmaz cihaz uygulamayı yüklemeyi dener. Uygulamayı cihazdan kaldırmak için onay isteğini reddedebilirsiniz.

Belirli bir cihazın tüm kullanıcıları için onaylanan uygulamayı gösteren konsol

Senaryo 5: Daha önce reddedilen bir uygulama isteğini yeniden onaylama

Daha önce reddedilen bir uygulama isteğini yeniden onaylayabilirsiniz. Yeniden onaylama yalnızca SDK API'sinde kullanılabilir. Aşağıdaki PowerShell örnek betiği, isteğin reddedildikten sonra onaylanmasını gösterir:

$machinename = $args[0]
$username = $args[1]
$appid = $args[2]

$scObj=Get-WmiObject -Namespace root\sms -Query 'select SiteCode from sms_providerlocation'
$sitecode = $scObj.SiteCode
$namespace ="root\sms\site_" + $sitecode
$reqObj = Get-WmiObject -Namespace $namespace -Class SMS_UserApplicationRequest | Where {$_.ModelName -eq $appid -and $_.RequestedMachine -eq $machinename -and $_.User -eq $username }
$reqObjPath = $reqObj.__PATH
Invoke-WmiMethod -Path $reqObjPath -Name Approve

Aşağıdaki komut satırı örnek betiği çalıştırır:

.\ReapproveRequest.ps1 "MachineName" "DomainName\Username" "ScopeId_2E4DAE44-C9A0-4694-8B7A-474424C080D4/Application_88808a3a-86e4-4820-be59-aa7d61cb8c33"

Senaryo 6: Uygulama onay istekleri için Email bildirimleri

Yöneticiler, uygulama onay istekleri için e-posta bildirimlerini yapılandırabilir. Uygulama dağıtımı sırasında uygulama onaylayanlarını belirtebilirsiniz. Kullanıcı bir uygulama istediğinde tüm onaylayanlar bir e-posta bildirimi alır ve e-postada sağlanan bağlantıları kullanarak isteği onaylayabilir veya reddedebilir. Ayrıca, iç ağ dışında uygulama isteklerini onaylamayı etkinleştirmek için bulut yönetimi ağ geçidini yapılandırabilirsiniz.

E-posta bildirimleri için önkoşullar

  • Sürüm 2107'den başlayarak SMS Sağlayıcısı .NET sürüm 4.6.2 gerektirir ve sürüm 4.8 önerilir. Sürüm 2103 ve önceki sürümlerde bu rol için .NET 4.5 veya üzeri gerekir. Daha fazla bilgi için Site ve site sistemi önkoşulları.

  • İsteğe bağlı Cihaz başına uygulama kullanıcı isteklerini onayla özelliğini etkinleştirin. Daha fazla bilgi için, bkz. Güncelleştirmelerin isteğe bağlı özelliklerini etkinleştirme.

  • PKI sertifika altyapısı ayarlanmazsa Gelişmiş HTTP'yi etkinleştirin.

    Not

    Gelişmiş HTTP yapılandırması birincil siteye göredir. Hiyerarşideki birincil sitelerden herhangi birinde etkinleştirirseniz, Configuration Manager tüm sağlayıcılarda otomatik olarak imzalanan sertifikalar kullanır. Bu davranış CAS ve diğer birincil siteleri içerir.

E-posta bildirimlerini yapılandırma

  1. Configuration Manager konsolunda Yönetim>Sitesi Yapılandırması ->Siteler'e gidin.
  2. Hiyerarşinizdeki en üst düzey siteyi seçin ve şeritte Site Bileşenlerini Yapılandır'ı seçin.
  3. Email Bildirimi'ni seçerek Özellikler iletişim kutusunu açın.
  4. Uyarılar için e-posta bildirimini etkinleştir'i işaretleyin ve SMTP sunucunuzun bağlantı noktasını belirtin. Microsoft 365 kullanıyorsanız, Microsoft 365 SMTP sunucusunu kullanabilirsiniz.
  5. SMTP sunucusunun FQDN veya IP adresini girin.
  6. Hesap belirtin'i seçin, Ayarla'yı ve ardından Yeni Hesap'ı seçin.
  7. Yeni hesap için bir kullanıcı adı ve parola girin ve Tamam'a tıklayın.
  8. E-posta uyarıları için Gönderen adresini girin.
  9. Uygula'ya tıklayın.
  10. Smtp sunucusunu bir e-posta örneği göndererek test edebilirsiniz. Email Bildirim Özellikleri iletişim kutusunda SMTP Sunucusunu Test Et'i seçin.
    • içindeki NotiCtlr.loghataları gözden geçirin.
    • Bulut yönetimi ağ geçidi kurulmadığında iç ağdaki isteği başarıyla onaylamak veya reddetmek için SMS Sağlayıcısında bir PKI sertifikasıyla SSL'nin yapılandırılması önerilir. Aksi takdirde, "Bu güvenlik sertifikasıyla ilgili bir sorun var" uyarısını içeren sayfayı görürsünüz.

Configuration Manager konsolunda bildirim bileşeni özelliklerini Email

İç ağ dışındaki uygulama isteklerini onaylama

İç ağ dışında uygulama isteklerini onaylamak için ek ayarlar gereklidir:

  1. Yönetim>Sitesi Yapılandırma>Sunucuları ve Site Sistemleri Rolleri>SMS Sağlayıcısı> Özellikleri'nde bulut yönetimi ağ geçidi trafiğine Configuration Manager izinver'i etkinleştirin.
  2. Bulut yönetimi ağ geçidini yapılandırın.
  3. Microsoft Entra kullanıcı Bulma'yı etkinleştirin.
  4. Microsoft Entra ID'de bu yerel uygulama (istemci uygulaması) için aşağıdaki ayarları yapılandırın. Bu ayarlar Azure portal el ile yapılandırılmalıdır.

    • Yeniden yönlendirme URI'si: https://<CMG FQDN>/CCM_Proxy_ServerAuth/ImplicitAuth. Bulut yönetimi ağ geçidi (CMG) hizmetinin tam etki alanı adını kullanın, örneğin GraniteFalls.Contoso.com. Kayıtlı uygulama için yeniden yönlendirme URI'sini gösteren Azure portal

    • Bildirim: oauth2AllowImplicitFlow değerini true olarak ayarlayın. Örneğin: "oauth2AllowImplicitFlow": true,kayıtlı uygulamanın bildirimini gösteren Azure portal

E-posta onay işlemini test edin

Şimdi uçtan uca senaryoyu inceleyelim:

  1. Bir uygulamayı bir kullanıcı koleksiyonu için kullanılabilir olarak dağıtırsınız. Dağıtım Ayarları sayfasında onay için etkinleştirin. Ayrıca, uygulama istekleri hakkında bildirim almak için birkaç e-posta adresi girersiniz.

    Yönetici e-posta adreslerini onaylama ile dağıtım oluşturma

  2. Kullanıcı yeni uygulamayı Yazılım Merkezi'nde görür ve isteği gönderir. Site, uygulama dağıtımında belirtilen adreslere beş dakika içinde e-posta bildirimi gönderir.

    Onaylayan yöneticiye örnek e-posta

  3. E-posta alıcısı Onayla veya Reddet'i seçer. Site uygulama isteğini başarıyla işlediyse tarayıcıda bir başarı iletisi gösterilir.

    • Bir uygulama isteği e-posta yoluyla onaylanırsa veya reddedilirse, bağlantıların süresi dolar ve başka kimse tarafından kullanılamaz.

Bilinen sorunlar

  1. Tıklandıktan sonra Approve veya Deny bağlantılara tıklandığında 404 hatası gösterilir.
    • Yönetici Hizmeti'ne bağlı bir sertifika yok. Configuration Manager tarafından oluşturulan sertifikalar özelliğinin etkinleştirilip etkinleştirilmediğini denetleyin. Aksi takdirde, kendi PKI sertifika altyapınızı ayarlayın.
    • Hataları denetleyin SMS_REST_PROVIDER.log .
  2. There is a problem with this security certificateveya Deny bağlantılara tıklandıktan sonra Approve uyarı.
    • Configuration Manager oluşturulan sertifikaya istemcideki web tarayıcısı tarafından güvenilmez. İç ağda bağlantılar kullanıldığında PKI sertifika altyapısının ayarlanması önerilir.
  3. Service is unavailable, HTTP Error 503 İleti.
    • Yönetici Hizmeti'nin çalışır durumda olup olmadığını denetleyin. Sağlayıcı makinesinde Görev Yöneticisi>Ayrıntıları'na gidin. adlı etkin bir işlem olduğundan emin olun sccmprovidergraph.exe
    • Configuration Manager Konsolu, Yönetim>Sitesi Yapılandırma>Sunucuları ve Site Sistemleri Rolleri>SMS Sağlayıcısı'nı açın. Özellikler'e sağ tıklayın. E-posta onay özelliğinin Bulut Yönetimi Ağ Geçidi ile kullanılması amaçlandığında denetlendiğinden Allow Configuration Manager cloud management gateway traffic. ve özelliğin iç ağdaki istekleri onaylamak veya reddetmek için ne zaman kullanıldığı denetlenmediğinden emin olun.
  4. Cloud Management Gateway aracılığıyla isteği onaylama veya reddetme bağlantıları çalışmaz.
    • Microsoft Entra kullanıcı Bulma özelliğinin etkinleştirildiğini doğrulayın.
    • Uygulama dağıtımı sırasında belirtilen e-posta adresinin kuruluşunuza ait olduğundan emin olun.
  5. Email kullanıcı bir uygulama istediği zaman gönderilmez.
    • E-posta adresinin doğru olduğunu doğrulayın.
    • Uyarılar için e-posta bildirimlerinin yapılandırıldığından emin olun.
    • Hataları denetleyin NotiCtrl.log .
  6. Uygulama Dağıtımı Oluşturma sihirbazında hata.
    • Abonelik oluşturma haklarına sahip olduğunuzdan emin olun. Uygulama dağıtımı sırasında abonelik otomatik olarak oluşturulur.
  • Last updated on