Modern Apps auf Windows-8-Clients installieren

Windows 8 ist bekanntlich ein Zwitterwesen, das zwei unterschiedliche grafische Oberflächen bietet, unter denen verschiedene Arten von Anwendungen ausgeführt werden. Diese unterscheiden sich nicht nur in der Bedienung und im Aussehen, sondern beruhen auch auf jeweils eigenen Programmiermodellen. Doch damit nicht genug, die Distribution von Metro-Apps folgt anderen Gesetzmäßigkeiten als die von herkömmlichen Windows-Anwendungen.

Auch wenn die Metro-Oberfläche den Desktop-Anwendern als das neue Startmenü verkauft wird, so besteht ihr wesentlicher Zweck doch darin, eine neue Generation von Anwendungen auszuführen, die auf der Windows Runtime (WinRT) basieren. Sie sind primär für die Touch-Bedienung auf mobilen Geräten gedacht, beispielsweise auf Tablets.

Anforderungen durch mobile Geräte

Die Ausrichtung von Metro auf mobile Geräte, die im Unternehmen meistens ergänzend zu einem PC genutzt werden, wirkt sich bei der Software-Verteilung in zweierlei Hinsicht aus. Zum einen soll die Installation auch ohne Zugang zum Firmennetz möglich sein, zum anderen sollen die Apps einem User auf seinen verschiedenen Geräten folgen. Das Roaming von Programmen verlangt darüber hinaus nach einer Lizenzierung, die nicht mehr abhängig vom Gerät, sondern pro User erfolgt.

Office 2013 als Modell für Apps aus der Cloud

Microsoft folgt beiden Trends beispielhaft mit Office 2013, das im Abo-Modell über die Cloud bezogen werden kann und das ein Benutzer neben seinem PC auf bis zusätzlichen 5 Clients installieren darf. Im Vergleich zur herkömmlichen Software-Distribution rückt der Self-Service-Aspekt in den Vordergrund, bei der die Endbenutzer die Installation der Anwendungen selbst veranlassen.

Dabei schwindet die Bedeutung der IT-Abteilung, weil der Hersteller selbst alle Mechanismen zum Erwerb, zur Verteilung und das Update der Software als Cloud-Service bereitstellt.

Windows Store als Standard-Channel für Metro-Apps

Auch die Distribution von Metro-Anwendungen folgt mit dem Windows Store dem Cloud-Konzept, wobei der User selbst bestimmt, welche Programme er beziehen möchte. Der Windows Store ist in Windows 8 per Voreinstellung aktiviert, und um dort einzukaufen, benötigt man nur eine Live-ID.

Wenn Unternehmen vermeiden möchten, dass die Mitarbeiter beliebige Apps auf ihre Arbeitsgeräte herunterladen, dann können sie den Zugang zum Store per Gruppenrichtlinie für bestimmte User, Gruppen oder PCs sperren.

Apps aus dem Store per Whitelisting sperren

Eine solche Maßnahme verhindert auch den Bezug von geschäftlich sinnvollen Apps, so dass die IT-Abteilung damit in die Rolle als ungeliebter Blockierer kommt. Andererseits bietet Microsoft keine differenzierte Administration des Stores, die etwa erlauben würde, dass eine Firma dort für ihre Mitarbeiter ausgesuchte Anwendungen für den Download freigibt.

Wenn die IT den Zugang zum Store nicht ganz blockieren, aber gleichzeitig nicht alle Apps zulassen möchte, dann empfiehlt Microsoft den Einsatz von AppLocker für das Whitelisting von Metro-Apps. Dieses Feature ist nur in der Enterprise-Edition von Windows enthalten und kann die Installation von unerwünschten Anwendungen aus dem Windows Store verhindern.

App-Hersteller erhalten genaue Nutzungsdaten

Beim Vertrieb von Metro-Anwendungen über den Windows Store kann der Anbieter entscheiden, ob er sie direkt an den einzelnen Endbenutzer verkauft, oder ob er die Anwendung als freien Download bereitstellt, der nach dem Erwerb der Lizenzen durch das Unternehmen freigeschaltet wird.

Im Unterschied zu herkömmlicher Software hat der Hersteller bei Metro-Apps einen genauen Überblick darüber, wer seine Software auf welchen Geräten ausführt. Wenn Programme über den Store bezogen werden, dann kann sie der Anbieter nämlich mit einer digitalen Quittung versehen, die für jeden User und jedes Gerät eindeutig ist.

Metro-Apps selbst installieren

Wenn Firmen unter Windows 8 Metro-Apps nutzen möchten, aber die Mitarbeiter sie nicht über den Store beziehen sollen, dann besteht die Möglichkeit, die Anwendungen im LAN zu verteilen. Für dieses so genannte Sideloading müssen indes einige Bedingungen erfüllt sein.

Am einfachsten funktioniert dies mit Windows 8 Enterprise Edition, wenn die PCs einer Domäne angehören. In diesem Fall kann das Sideloading durch eine Gruppenrichtlinie erlaubt werden, wobei die installierten Metro-Apps von einer Zertifizierungsstelle signiert sein müssen, der auf dem Zielrechner vertraut wird.

Mehr Aufwand bei einfacheren Windows-Editionen

Bei anderen Editionen von Windows 8 oder bei PCs, die keiner Domäne angehören, muss das Sideloading ebenfalls erst freigeschaltet werden, entweder durch die genannte Group Policy oder durch manuelles Setzen des betreffenden Werts in der Registry (HKLM\Software\­Policies\­Microsoft\­Windows\Appx­\AllowAllTrustedApps = 1), wenn der Rechner einer Workgroup angehört. Außerdem muss auf jedem Zielrechner ein spezieller Produktschlüssel über ein Script aktiviert werden.

Per Default keine Rechte im Dateisystem

Zu den Restriktionen von Metro-Apps gehört nicht nur, dass sie mit einem Zertifikat von einer anerkannten Stelle signiert sein müssen und dass der Administrator das Sideloading über ein GPO erst freizuschalten hat. Nach erfolgreicher Installation sind Apps die Zugriffe auf das Dateisystem verwehrt, so dass ihnen erst explizit die Rechte für die nötigen Verzeichnisse und Dateien eingeräumt werden müssen.

Eigenes Package-Format für Apps

Die Distribution von Metro-Apps bedarf eigener Tools, weil sie nicht im MSI-Format vorliegen, sondern als App-Packages. Die Produkte zur Software-Verteilung müssen zudem in der Lage sein, die verschiedenen Plattformen mit den korrekten App-Versionen zu bedienen, weil neben den bisherigen Wintel-Systemen auch ARM-Prozessoren mit Windows RT unterstützt werden.

Neben dem SCCM 2012 bietet Microsoft auch kostenlose Tools an, die Metro-Apps installieren können. Dabei handelt es sich um das in Windows 8 stark erweitere DISM sowie um Cmdlets für Powershell. DISM kann wie gewohnt Packages online und offline in Windows-Images installieren.

Installation in Online- und Offline-Images

Wird ein Appx-Package in ein Windows-Abbild vor dem Deployment auf die PCs eingespielt, dann wird die App für jeden User auf dem Gerät eingerichtet, sobald sie sich zu ersten Mal anmelden. Installiert man eine App hingegen auf einem eingeschalteten Windows, dann erhält sie nur der gerade angemeldete Benutzer. Ähnlich verläuft das Verteilen von Updates, die für jeden User getrennt installiert werden müssen.

Eigener Management-Client für Windows RT

Für ARM-Geräte mit Windows RT integriert Microsoft einen eigenen Management-Client in das Betriebssystem. Er umfasst einen Agent sowie eine Metro-App, über die der User Anwendungen aussuchen und installieren kann ("Self Service Portal"). Die Steuerung des Management-Clients erfolgt über einen von Microsoft betriebenen Cloud-Service.

Geräte unter Windows RT sind zwar nicht in der Lage, einer Domäne beitreten, aber der Administrator kann Benutzern aufgrund ihrer Zugehörigkeit zu AD-Gruppen bestimmte Apps zuteilen. Darüber hinaus kann er festlegen, welche Bedingungen ein Endgerät erfüllen muss, damit dort Enterprise-Apps installiert werden dürfen. Dazu zählen etwa Passwort-Policies oder die Verschlüsselung von Laufwerken.