Deploy delle App Windows 8 Style UI

imageWindows 8 introduce la possibilità di creare e distribuire App Windows 8 Style UI (ex Metro UI Style), tali applicazioni si differenziano dalle normali applicazioni perché essendo sviluppate  tramite WinRT e non girano nel Desktop (accessibile tramite una Tile). Queste nuove App sono più orientate all’utilizzo del computer in mobilità quindi la loro finalità sarà quella di sfruttare hardware come lo schermo touch, la fotocamera, i vari sensori e risparmiare CPU e banda di rete quando non utilizzate.

Insomma queste App vanno ad affiancarsi a quelle per così dire classiche Win32 e .NET permettendo a sviluppatori singoli e software house di diffondere applicazioni simili a quelle che possiamo trovare oggi su Windows Phone, ma col beneficio di poter sfruttare una dimensione maggiore dello schermo, quindi gli scenari a mio avviso più indicati per questo tipo di applicazioni potranno essere:

  • Semplici applicazioni dedicate alla produttività personale semplici e intuitive da utilizzare tramite lo schermo touch
  • Versioni pensate per l’uso o la consultazione in mobilità di applicativi gestionali, di business intelligence e perché no al monitoraggio dell’infrastruttura IT
  • Applicazioni per la redazione “sul campo” di articolo, blog post e per la gestione fotografica
  • Giochi

Per un approfondimento tecnico su WinRT e lo sviluppo delle App Windows 8 Style UI si vedano:

imageUn primo esempio di App Windows 8 Style UI con cui probabilmente in una infrastruttura aziendale sarà molto probabile dover gestire è il Remote Desktop Client (Remote Desktop), infatti oltre alla versione per Desktop in Windows 8 esiste anche la versione Windows 8 Style UI che va scaricata dal Windows Store App. Per info sull’utilizzo della Remote Desktop App si vedano:

A questo punto occorre comprendere il modello di deploy delle App Windows 8 Style UI e quindi va subito detto che la modalità di default è quella di accedere al Windows Store Apps tramite un Windows Live ID e installare l’applicazione. L’App verrà installata nel profilo dell’utente, quindi se il computer è utilizzato da più utenti dovrà essere installata da ciascun utente, questo se può sembrare a primo avviso scomodo è però logico in quanto le Apps sono acquistate (tranne ovviamente quelle free) e quindi non è detto che gli altri utenti del computer le abbiano acquistate, non solo ma anche nel caso lo abbiano fatto in caso di aggiornamenti non e detto che tutti gli utenti vogliano rimanere allineati sulla stessa versione dell’App. Questo è anche uno dei motivi per cui in Windows 8 soprattutto negli scenari consumer può aver senso autenticarsi col proprio Windows Live ID a riguardo si veda Signing in to Windows 8 with a Windows Live ID.

Autorizzazioni predefinite per tutti i pacchetti di applicazioneInoltre le Apps Windows 8 Style UI sono eseguite con diritti limitati rispetto alle normali applicazioni come descritto in Gestione dell’accesso client a Windows Store (per maggiori dettagli si veda il link):

“Le app di Windows vengono eseguite con diritti utente molto limitati rispetto alle app non-Windows 8 che vengono eseguite con diritti utente standard per impostazione predefinita. Le app di Windows possono accedere solo alle risorse (ovvero file, cartelle, chiavi del Registro di sistema e interfacce DCOM) per cui dispongono dei diritti di accesso. Ad esempio se in C:\Personal Docs viene creata una nuova cartella e in tale cartella vengono copiati file, nessuna delle app di Windows può accedervi perché non dispone dei diritti di accesso. Per le autorizzazioni di accesso alle risorse di sistema critiche, come ad esempio la cartella Windows\System32 è comunque disponibile una regola speciale (ACE) che concede alle app di Windows le autorizzazioni necessarie per l’esecuzione.”

Dal punto di vista aziendale come descritto in Gestione dell’accesso client a Windows Store sono disponibili altre possibilità di deploy  per  Windows 8 Style UI tra cui il Sideload che viene descritto come segue:

“Il trasferimento mediante sideload, disponibile sia in Windows 8 che in Windows Server 2012, si riferisce all’installazione diretta di app in un dispositivo, senza passare per Windows Store. Le app LOB non devono essere certificate da Microsoft e non possono essere installate da Windows Store, ma devono essere firmate mediante un certificato collegato a un certificato radice attendibile. È consigliabile che gli amministratori IT utilizzino la stessa certificazione tecnica eseguita da Windows Store sulle app line-of-business.”

Per App LOB (Line Of Business) si intende quanto segue:

“LOB è l’acronimo di line-of-business. Le app line-of-business richiedono l’autenticazione degli utenti mediante credenziali aziendali, informazioni interne per l’accesso, o sono progettate specificatamente per uso interno. Un esempio è una nota spese fornita dal reparto IT per i dipendenti.”

E’ possibile utilizzare le GPO per controllare l’accesso al Windows Store in ambiente aziendale:

“Gli amministratori IT possono utilizzare i criteri di gruppo per consentire o vietare agli utenti di accedere a Windows Store, definire il download automatico degli aggiornamenti delle app acquisite da Windows Store e gestire le funzionalità di trasferimento mediante sideload per l’installazione di app.”

In particolare tramite GPO è possibile:

  • Controllare le impostazioni di privacy di Windows Store
  • Attivare o disattivare l’accesso a Windows Store per specifici computer o per specifici utenti e gruppi
  • Fare in modo che Windows Store scarichi automaticamente (ma non installi) gli aggiornamenti disponibili

E’ possibile controllare quali App possono essere installate (di Windows Store o  app LOB trasferite tramite sideload) mediante App Locker.

I controlli del Windows Store mediante AppLocker e GPO sono però disponibili solo su computer appartenenti ad un dominio Active Directory inoltre non è possibile:

  • Gestire gli aggiornamenti delle APP
  • Avviare automaticamente gli aggiornamenti delle App, dovrà sempre essere l’utente ad avviare il processo di aggiornamento

Per aggiungere App LOB tramite Sideload occorre attivare l’impostazione dei Criteri di gruppo Consenti l’installazione di tutte le applicazioni attendibili.

Per eseguire App LOB aggiunte tramite Sideload occorre attivare un codice Product Key per l’attivazione del sideload oppure aggiungere il PC a un dominio Active Directory per il quale sia attivata l’impostazione dei Criteri di gruppo Consenti l’installazione di tutte le applicazioni attendibili.

Per attivare il sideload in Windows 8 Enterprise o Windows Server 2012 occorre aggiungere il computer a un dominio Active Directory.

Per attivare il sideload su Windows 8 Pro o Windows RT o in un PC con Windows 8 Enterprise che non appartiene al dominio occorre necessariamente usare un codice Product Key per l’attivazione del sideload.

Fino a quando il PC non avrà soddisfatto tutti i requisiti per il sideload, nei riquadri delle app nel menu Start verrà visualizzato il simbolo X nell’angolo inferiore destro, per indicare che un problema sta impedendo l’esecuzione dell’app.

Quanto ho riportato è specificato in How to Add and Remove Apps e Windows ADK Release Notes:

[August 2012] Sideloading apps on Windows 8
Sideloading is supported on the following editions when you activate a sideloading product key:

    • Windows 8 Pro
    • Windows 8 Enterprise*

* The sideloading product key is not required with Windows 8 Enterprise when the computer is joined to an active directory domain.

Sideloading is also supported on Windows RT. The group policy service is not enabled by default on Windows RT. You must enable the service before policies can be applied to the computer.

To sideload line-of-business apps on Windows Server 2012, the computer must be joined to an active directory domain.

Una volta ottenuta Product Key per l’attivazione del Sideload occorre eseguire la seguente procedura per l’attivazione:

  • Aprire un prompt dei comandi (cmd.exe) con privilegi ammnistrativi
  • Digitare Slmgr /ipk <sideloading product key>

Per ulteriori informazioni su come configurare il sideload e su come aggiungere e rimuovere App tramite Windows PowerShell o Deployment Image Servicing and Management (DISM) si vedano:

Conclusioni

  • Solo le applicazioni LOB per cui sia ha a disposizione il pacchetto di installazione appx fornito dall’ISV possono essere installate tramite Sideload.
  • Il Sideload è attivabile per i computer a dominio con Windows 8 Enterprise o Windows Server 2012.
  • Per attivare il Sideload in computer Windows 8 Enterprise o Windows Server 2012 fuori dominio o in  computer con Windows 8 Pro o Windows RT occorre una Product Key.

Per informazioni sull’edizione Windows 8 Enterprise si veda Introducing Windows 8 Enterprise and Enhanced Software Assurance for Today’s Modern Workforce.

Un altro modo per gestire le App Windows 8 Style UI verrà offerto da System Center 2012 Configuration Manager SP1 attualmente in Beta infatti come riportato al seguente Top 8 New Features in System Center 2012 Configuration Manager SP1 with Wally Mead tra le novità ci sarà anche il deploy delle App:

Deploying Windows 8-style applications – Deploy enterprise Windows 8-style apps as well as integration with the Windows Store