Intune – Comment déployer une application au format EXE ?
Sommaire
I. Présentation
Comment utiliser Microsoft Intune pour installer des applications sur les postes des utilisateurs ? Voilà une question que vous devez être nombreux à vous poser à partir du moment où vous avez des licences Intune en votre possession. La bonne nouvelle, c'est que dans ce tutoriel, nous allons apprendre à déployer une application au format exécutable (.exe) sur des appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune !
Intune est une solution polyvalente capable de déployer des applications sur différents types d'appareils (Android, iOS, Windows, etc.) et de différentes façons (notamment via le Microsoft Store). Dans ce premier article sur le déploiement d'applications avec Intune, nous allons effectuer nous attaquer au format EXE : c'est généralement celui qui donne du fil à retordre aux administrateurs systèmes... Dans Intune, nous allons donc créer et assigner une application Win32 à des appareils Windows.
L'application qui va nous servir de "cobaye", c'est une application qui me suit depuis très longtemps : Notepad++. Mais, vous pouvez prendre une autre application... Bien qu'il y aura surement des ajustements à effectuer.
Remarque : Intune peut s'appuyer sur le gestionnaire de paquets WinGet et le catalogue d'apps du Microsoft Store pour déployer des applications UWP ou Win32 (ceci étant encore en preview). C'est très intéressant, car cette méthode facilite grandement le déploiement d'applications via Intune.
II. Prérequis
Pour qu'une application soit déployée sur un appareil Windows par l'intermédiaire d'Intune, il y a plusieurs prérequis à respecter et à prendre en considération. Voici un résumé en quelques points clés :
- Versions et éditions du système d'exploitation Windows : Windows 10 (build 1607 ou supérieur) ou Windows 11 - Prise en charge des éditions Pro, Enterprise et Education
- État de l'appareil Windows : jonction dans Microsoft Entra ID obligatoire (directe ou hybride) et inscrit dans Intune
- Poids de l'application : le total de toutes les sources de l'application déployée ne doit pas excéder 30 Go (la limite a évoluée fin 2023, car avant, c'était 8 Go)
Il est à noter que "Intune Management Extension" doit également être présent sur les appareils. Son installation est automatique et elle est effectuée la première fois qu'une application ou un script est attribué à un appareil.
III. L'outil Microsoft Win32 Content Prep Tool
Pour déployer une application Win32 avec Intune, nous devons créer un package au format ".intunewin". Pour cela, nous allons utiliser un utilitaire mis à disposition par Microsoft : Win32 Content Prep Tool. Il s'utilise en ligne de commande.
Vous devez le télécharger sur GitHub, via le lien suivant :
Une fois sur GitHub, cliquez sur "Code" puis "Download ZIP" pour obtenir l'archive ZIP du projet. Décompressez l'archive sur votre PC. Pour ma part, ce sera à l'emplacement suivant :
C:\TEMP\Microsoft-Win32-Content-Prep-Tool-masterIV. Préparer le package .intunewin
L'objectif c'est que l'exécutable de Notepad++ devienne un package ".intunewin". Tout d'abord, nous devons télécharger l'exécutable 64 bits de Notepad++ sur cette page du site officiel :
À l'heure où cet article est rédigé, la dernière version est : Notepad++ 8.6 (désormais la version 8.6.2 est disponible, mais la logique reste la même). Le téléchargement effectué depuis le site officiel nous donne le fichier "npp.8.6.Installer.x64.exe". Ce fichier sera stocké à cet endroit sur mon ordinateur :
C:\TEMP\SOFTWARE\npp.8.6.Installer.x64.exeLa suite se passe dans la ligne de commande...
Ouvrez une console PowerShell, et positionnez-vous dans le répertoire de l'outil Win32 Content Prep Tool.
cd C:\TEMP\Microsoft-Win32-Content-Prep-Tool-masterIl y a deux manières d'utiliser cet outil :
- Appeler l'exécutable dans la console et "répondre aux questions" en mode interactif
- Appeler l'exécutable et préciser les arguments et leurs valeurs dans la console
Pour prendre en main cet outil, nous allons utiliser le mode interactif. Exécutez cette commande :
.\IntuneWinAppUtil.exeL'outil nous pose 4 questions :
- Please specify the source folder - Dans quel répertoire se situe l'exécutable source, donc "C:\TEMP\SOFTWARE"
- Please specify the setup file - Spécifier l'emplacement du fichier d'installation (.exe), donc "C:\TEMP\SOFTWARE\npp.8.6.Installer.x64.exe"
- Please specify the output folder - Spécifier dans quel répertoire créer le fichier de sortie (.intunewin), donc "C:\TEMP\SOFTWARE" (ou ailleurs)
- Do you want to specify catalog folder (Y/N) - Spécifier le répertoire d'un catalogue, donc indiquez "n" pour "non"
Quelques secondes plus tard, le package est créé !
Dans le dossier de sortie, nous avons bien un fichier ".intunewin" qui accompagne le fichier ".exe" utilisé comme source !
Le package est prêt. La suite va se passer dans Microsoft Intune !
Remarque : dans le cas présent, le package intunewin contient uniquement notre exécutable. Toutefois, pour le déploiement de certaines applications, il peut s'avérer nécessaire d'ajouter d'autres fichiers, notamment des scripts PowerShell.
V. Créer la stratégie d'application Intune
Connectez-vous au centre d'administration Microsoft Intune. Voici un lien direct si besoin :
Quand vous êtes prêt, suivez ces étapes :
1 - Cliquez sur "Applications" dans le menu situé à gauche de l'écran
2 - Cliquez sur "Toutes les applications"
3 - Cliquez sur le bouton "Ajouter" pour créer une nouvelle application
Puisque nous sommes dans "Toutes les applications", le menu latéral affiche une longue liste avec toutes les possibilités pour tous les systèmes supportés. Ici, nous devons sélectionner "Application Windows (Win32)".
La première étape consiste à charger le package intunewin. Suivez ces trois étapes :
1 - Cliquez sur "Sélectionner un fichier de package d'application".
2 - Pour l'option "Fichier de package d'application", chargez le fichier .intunewin.
3 - Validez via le bouton "OK".
Voilà, nous y sommes ! L'assistant de création d'une nouvelle application Intune est devant nous !
A. Informations sur l'application
La première étape consiste à renseigner les paramètres généraux de l'application, notamment son nom, une description, un éditeur, une version, une catégorie, etc... Ainsi qu'un logo. Il est recommandé de renseigner les informations et d'inclure un logo, car ce sont des données visibles dans le Company Portal / Portail d'entreprise.
Quand c'est fait, passez à l'étape suivant en cliquant sur le bouton "Suivant".
B. Programme : commande d'installation, commande de désinstallation, etc.
C'est probablement la partie de la configuration la plus touchy car vous devez indiquer les commandes d'installation et de désinstallation. C'est à vous d'effectuer les tests et recherches nécessaires pour trouver les bonnes commandes afin de pouvoir effectuer une installation silencieuse sur les appareils (afin d'automatiser l'installation en arrière-plan). Il convient de faire des tests en local pour ensuite indiquer les valeurs sur Intune.
Il y a des commutateurs populaires et cela dépend en partie du logiciel utilisé pour effectuer la compilation du logiciel. Pour l'installation silencieuse, ces commutateurs sont populaires et fréquents :
monfichier.exe /S monfichier.exe /quiet monfichier.exe /quiet /acceptTerms=1 monfichier.exe /q
Pour visualiser les commutateurs disponibles sur un fichier exécutable, vous pouvez essayer les méthodes ci-dessous où l'on va chercher à consulter l'aide. Néanmoins, c'est possible qu'aucune ne fonctionne (c'est le cas avec Notepad++ d'ailleurs) !
monfichier.exe /? monfichier.exe /help monfichier.exe --help
Pour trouver la bonne valeur, nous vous invitons également à :
- Consulter la documentation de l'éditeur du logiciel
- Consulter page ci-dessous qui recense les commandes d'installation de nombreux logiciels (EXE et MSI)
Pour Notepad++, nous "avons de la chance" car il accepte le commutateur "/S" pour l'installation silencieuse.
Voici des instructions pour compléter le formulaire sur Intune :
- Commande d'installation : la commande à exécuter pour installer l'application
npp.8.6.Installer.x64.exe /S- Commande de désinstallation : la commande à exécuter pour désinstaller l'application de l'appareil
"%ProgramFiles%\Notepad++\uninstall.exe" /S- Temps d'installation requis (minutes) : nombre de minutes pendant lesquelles le système attend la fin de l'installation (par défaut : 60 minutes)
- Autoriser la désinstallation disponible : l'utilisateur peut-il désinstaller l'application via le Portail d'entreprise ?
- Comportement à l'installation : faut-il installer l'application au niveau machine afin de la rendre disponible pour tous les utilisateurs de la machine ou au niveau utilisateur (par session) ? Ici, ce sera au niveau du système (donc machine).
- Comportement de redémarrage du périphérique : ne pas redémarrer l'appareil, le redémarrer obligatoirement ou s'adapter à l'application. Ici, nous ne voulons pas que la machine redémarre à la fin de l'installation.
Ce qui donne :
Passez à l'étape suivante.
C. Exigences : les prérequis des appareils cibles
La section "Exigences" sert à définir les prérequis du système d'exploitation pour recevoir cette application. Puisque nous allons déployer la version 64 bits de Notepad++, vous devez cocher uniquement l'architecture "64 bits" et pour le système d'exploitation minimal, vous pouvez prendre "Windows 10 1607". Pour certaines applications, nous pourrions avoir besoin de sélectionner une version plus récente, mais là ce n'est pas le cas.
Même si nous n'allons pas utiliser cette fonctionnalité pour cette fois-ci, sachez que vous pouvez créer des règles spécifiques en cliquant sur le bouton "Ajouter". Ceci permet de vérifier une information dans le Registre ou sur le système de fichiers de la machine. Nous pouvons également exécuter un script de notre choix, ce qui pourrait permettre de vérifier tout ce que l'on veut sur la machine !
Passez à l'étape suivante.
D. Règles de détection
La section "Règles de détection" sert à expliquer à Intune Management Extension comment il doit repérer la présence de l'application sur l'appareil. En effet, si l'application est déjà installée, ce n'est pas nécessaire de la réinstaller. Mais, que faut-il regarder pour s'en assurer ? Nous pouvons créer une ou plusieurs règles.
Le plus simple, c'est de vérifier la présence de l'exécutable sur l'ordinateur, à un emplacement précis. Ici, nous allons cliquer sur le bouton "Ajouter" pour créer une règle de type "Fichier" permettant de vérifier la présence du fichier "C:\Program Files\Notepad++\notepad++.exe".
Nous pourrions aller plus loin afin qu'une règle vérifie le numéro de version indiqué dans les propriétés de l'exécutable. Ceci permettrait de voir si la bonne version est présente sur l'appareil (il y a plusieurs opérateurs de comparaison disponibles). Dans ce cas, il faudrait choisir "Chaîne (version)" comme "Méthode de détection" afin d'indiquer "8.6.0.0". Si une version inférieure est installée, l'application sera mise à jour vers la version plus récente (8.6).
E. Dépendances
La section "Dépendances" sert à ajouter un prérequis pour l'installation de cette application. En fait, ceci permet d'indiquer que cette application doit être installée après l'installation d'une ou plusieurs autres applications. Dans cet exemple, il n'y a pas de prérequis pour l'installation de Notepad++.
Passez cette étape.
F. Remplacement
La section "Remplacement" est utile lorsque l'application que l'on crée est une mise à jour d'une application existante, ou qu'elle doit la remplacer. Ici, nous partons de zéro : c'est la première application que nous déployons, donc nous pouvons considérer que nous ne sommes pas concernés.
Dans un prochain article, nous verrons comment effectuer des mises à jour d'applications via Intune.
G. Affectations
Pour finir, l'étape "Affectations" s'affiche à l'écran. Pour le déploiement des applications, nous avons "plus d'options" que pour l'affectation de stratégies. En effet, nous avons trois grands modes d'affectation :
- Obligatoire : force l'installation de l'application sur les appareils (de façon automatique grâce à notre commande d'installation)
- Disponible pour les appareils inscrits : l'application ne s'installe pas automatiquement sur les appareils, mais elle sera disponible via le Portail d'entreprise (Company Portal)
- Désinstaller : comme son nom l'indique, cette option permet de désinstaller l'application sur un ensemble de machines
Il y a également plusieurs options pour rendre disponible l'application à partir d'une date précise mais aussi pour imposer une échéance quant à l'installation de l'application.
Pour cette démonstration, nous allons rendre obligatoire l'installation de l'application sur toutes les machines du groupe "PC_Corporate".
H. Vérifier + créer
Pour finir, vérifiez l'ensemble de la configuration et cliquez sur "Créer" pour valider la création de l'application !
VI. Tester le déploiement de l'application
Suite à la synchronisation de l'appareil Windows 11, le système a pu récupérer les informations sur cette nouvelle stratégie. De ce fait, l'application a pu être téléchargée et installée. Elle est bien installée dans "C:\Programmes", ce qui la rend disponible pour tous les utilisateurs de cette machine.
Nous pouvons toujours consulter le fichier de log "IntuneManagementExtension.log" avec l'outil CMTrace pour analyser le comportement de la machine locale. Ceci sera particulièrement utile s'il y a une erreur d'installation. Dans le cas présent, tout s'est correctement déroulé.
D'ailleurs, nous pouvons voir "applicationDetected: False" dans les logs, ce qui signifie que l'application n'a pas été détectée donc elle a été installée puisqu'elle est obligatoire sur cet appareil.
Soyez patient, parfois les applications peuvent mettre du temps à "redescendre" sur les machines même lorsqu'il y a une synchronisation effectuée sur l'appareil.
VII. Conclusion
En suivant ce tutoriel rigoureusement, vous devriez être en mesure de déployer des applications au format "exécutable" sur vos appareils Windows ! L'étape la plus difficile consiste à identifier la bonne syntaxe pour les commandes d'installation et de désinstallation. D'autres articles seront mis en ligne sur le sujet du déploiement d'applications avec Microsoft Intune.
Note : le type de déploiement Win32 App peut être utilisé pour les applications au format EXE, mais pas uniquement puisqu'il est possible de packager un fichier MSI dans un paquet intunewin.
