はじめに
タイトルでは、"正規の場所以外" と記載しましたが、正規の場所ってなんだ? と思われるかと思います。
正規の場所とは、"Office Content Delivery Network (Office CDN)" の事を指しています。
Office CDN は、インターネット上に公開されており、世界中のさまざまな場所から 効率的に Office 資材を PC にダウンロードできるような工夫が施されています。
Microsoft 365 Apps や、Office 2016 以降 の製品は、Click to Run (C2R) という仕組みが採用されており、既定で 上記の "Office CDN" から 資材をダウンロードして、インストールや 更新 が行われるようになっています。
以下の公開情報には、Office CDN について、具体的に明記されていませんが、この CDN 上に Office 用のインストール資材が公開されているとイメージいただくと良いと思います。
公開情報:コンテンツ配信ネットワーク (CDN)
https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/content-delivery-networks?wt.mc_id=mvp_407731
公開情報:Office CDN の URL
この URL を企業内の Firewall で許可する必要があります。
https://learn.microsoft.com/ja-jp/microsoft-365-apps/admin-center/cloud-update?wt.mc_id=mvp_407731#network-requirements
以前のバージョンは、C2R 形式 ではなく、 Windows インストーラー形式 (MSI) 形式 が使われていました。
この場合、更新に関する制御は、Windows Server Update Services (WSUS) を使う必要がありました。
しかし、WSUS は、C2R 形式の Office には使えません。
Support Blog:クイック実行形式 (C2R) と Windows インストーラー形式 (MSI) を見分ける方法
https://officesupportjp.github.io/blog/cl0m8t2dj00393gvs3r7oar2m/index.html
本記事の目的
本記事では、Intune を使って Office 製品を展開する際に、上記の Office CDN ではなく、別途 組織が独自に用意した場所から Office 製品の インストールや更新を行えるようにするための方法を紹介します。
Office CDN からダウンロードさせたくない理由として、たとえば 基幹業務アプリの検証を行ってから クライアントに適用させたい場合などがあると思います。その理由は 組織によってさまざまかと思いますので、ここでは言及しません。
想定するシナリオ と 具体的な実現方法
以下のような状況での利用を想定しています。
① PC は、Intune によって管理されている
② PC は、世界中に点在しており、インターネットに接続されている
③ Office のインストール・更新 は、Office CDN を使いたくない
④ 組織が用意したサイトを経由して Office のインストール・更新 を実施させたい
注意点
Intune は、Office 製品のバージョンを管理する機能は持ちません。
Intune では、Office に関する設定を クライアントに配布することのみが可能です。
そのため、Office 側で用意されたカスタマイズの仕組みを使うことで、目的の実現を目指します。
以下の公開情報に 更新プログラムの管理方法の選択 として いくつかの方法が説明されています。
このうち "オンプレミスの場所からMicrosoft 365 Appsに更新プログラムを自動的に適用する" の方法を さらに応用して使います。
今回の シナリオのように、Intune を使っていると PC は、オンプレミスの環境に留まらず、インターネット上に点在しているため、ファイルサーバーを利用することは適切ではありません。
そのため、この管理方法を選択しつつ、ネットワークの場所を "IIS を使った Web サイト" を活用することで 目的を実現させたいと思います。
シナリオこそ、Intune を想定してはいますが、Intune を使わない場合でも、なんらかの目的で IIS を使った Web サイト を使って Office を インストール/更新 をしたい場合にも、本記事の内容を参考にしていただけることと思います。
Office カスタマイズ に使用する設定項目
本記事では、以下の公開情報に記載されているカスタマイズ項目を利用しています。
インストール時のパス指定
公開情報:Add 要素 SourcePath 属性
https://learn.microsoft.com/ja-jp/microsoft-365-apps/deploy/office-deployment-tool-configuration-options?wt.mc_id=mvp_407731#add-element
更新時のパス指定
公開情報:Update 要素 UpdatePath 属性
https://learn.microsoft.com/ja-jp/microsoft-365-apps/deploy/office-deployment-tool-configuration-options?wt.mc_id=mvp_407731#updatepath-attribute-part-of-updates-element
ポイント
SourcePath と UpdatePath の説明を見比べると、HTTP についての説明が UpdatePath の方にしかありません。
これって、インストール時に HTTP が使えないんじゃないか・・・という疑念があったのですが、検証してみた結果、インストール時にも HTTP が利用できることが判明しました。
構築手順
前置きが長くなりましたが、以下の2章に分けて説明していきます。
- IIS で Office 資材のダウンロード場所を準備する
- Intune で Office の構成を PC へ配布する
1. IIS で Office 資材のダウンロード場所を準備する
以下の段取りで進めて行きます。
1-1. インターネット公開可能な場所に サーバー を手配する
1-2. Office 資材をダウンロードする
1-3. IIS をインストールして Office 資材を Web 公開する
1-4. IIS 設定を Office 資材用にカスタマイズする
1-5. 単体テスト
1-1. インターネット公開可能な場所に サーバー を手配する
インターネット公開可能な場所は、既存で運用されている Web サーバーでも良いですし、新規で サーバーを手配してしても構いません。
※今回の例では Azure 上の VM で、Windows Server 2022 を使っています。
OS を日本語化する場合は、以下の記事も参考にしてください(2022 も同じ手順です)
1-2. Office 資材をダウンロードする
(前章で展開した VM 上で作業します)
今回は、テスト用に インストール時と 更新時 として2種類の資材を用意して 検証してみたいと思います。
適宜、必要な製品のバージョンに読み替えて実施してください。
Office 用の資材は、以下の記事を参考に ダウンロードを実施できますが、後述する 検証用資材選択のポイントをよく読んでから、インストール時のバージョン用と、更新時のバージョン用として、2種類の資材をダウンロードしてください。
検証用資材選択のポイント
ここで説明するポイント以外は、上記で紹介したサイトをみて、資材ダウンロードを実施してください。
- Office カスタマイズツール にアクセスします。
https://config.office.com/deploymentsettings
- 目的の製品を選択します。
- 検証につかうバージョンを指定する箇所では、インストール時のバージョン(水色)と、更新時のバージョン(緑色)を使う想定です。2種類の XML ファイルを作成して、2回に分けて資材をダウンロードします。
- コマンドを実行した際に、以下のように Office というフォルダが作成され その中に 資材がダウンロードされます。
- ここで、フォルダを新規作成して、そのフォルダ配下へ ダウンロードされた Office フォルダ配下を丸ごと移動してください。移動が終わってから 次の種類のダウンロードを実施します。
・1回目のフォルダ名 = OfficeLTSC2024_17932.20042
・2回目のフォルダ名 = OfficeLTSC2024_17932.20190
最終的には、以下のようなフォルダ構成になっていれば OK です。
バージョン名のフォルダ配下に Office\Data フォルダがあり、その配下に バージョン名のファイル
バージョン名のフォルダ配下に Office\Data フォルダがあり、その配下に バージョン名のファイル
以上で、必要な資材のダウンロードは完了です。
以後、運用する際も、同様な手順で 複数のバージョンが 混在しないようにファルダ分けして ダウンロードを行っていくと良いと思います。
1-3. IIS をインストールして Office 資材を Web 公開する
1.以下の記事を参考に VM に IIS をインストールします。
2.Azure Portal を使い、Azure VM の DNS を編集して 名前解決できるようにします。
(1) 以下の 赤枠 を参照すると 未構成 になっているので、この箇所をクリックします。
(2) 以下の画面で、DNS 名ラベルに任意の名前を入力して 保存 を押します。
なお、この名前は インターネット上でユニークである必要があるので、エラーにならない名前を考えてください。
(3) VM に 名前が付与されて、以下のような表示になっていれば OK です。
この DNS 名 で、世界中から アクセスできるようになりました。
3.ネットワークセキュリティグループ (NSG) を編集し HTTP (Port:80) の受信を許可します。
以下の行が追加されていれば OK です。
4.以上の作業によって、IIS の Web サイトが 任意のインターネット上の PC から参照できるようになっていれば OK です。Azure VM を 使わない場合も、同様のレベルまで構成されていれば OK です。
おまけ:HTTPS (443) で公開したい場合
Office のインストール資材は、HTTP(80) 経由でも公開できますが、もし HTTPS (443) で公開したい場合は、以下の追加手順も実施してください。
HTTPS (443) のための追加手順を見るには、"ココ" をクリック
(1) 自己署名証明書を使う場合は、以下の記事を参考に作業を行います。
公的証明書を使う場合は、(1) は SKIP して (2) へ進みます。
コマンドで Web サービス用の 自己署名証明書 を発行する手順
https://qiita.com/carol0226/items/8663842e2c7422de7e55
ポイント
上記の記事の中で、サーバー証明書 作成時の 以下の箇所 は、以下を参考に 前章で付与した DNS 名 に置き換えてください。
(記事の内容)
Subject = 'CN=vpnnogu.japaneast.cloudapp.azure.com'
DnsName = 'vpnnogu.japaneast.cloudapp.azure.com'
(置き換える)
Subject = 'CN=officeiis.japaneast.cloudapp.azure.com'
DnsName = 'officeiis.japaneast.cloudapp.azure.com'
以下は、今回作成した DNS 名 で 自己署名証明書 を作成したところです。
(2) 以下の記事を参考に IIS に 証明書をバインドします。
この記事で ドメインと証明書を購入して IIS にバインドし、外部公開する手順を説明していますが、自己署名証明書 を使う場合は、ドメインと証明書の購入箇所は SKIP してください。
IIS に公的証明書をバインドして 外部公開する
https://qiita.com/carol0226/items/97488c72035214e7868f
自己署名証明書 をバインドする場合
今回の検証のために、自己署名証明書 をバインドしたときの画面キャプチャです。
(3) ネットワークセキュリティグループ (NSG) で HTTPS (443) のポートを公開してください。
(4) 任意の PC から HTTPS でサイトにアクセスして 鍵マークを押した際に、セキュリティ保護 の状態が確認できれば OK です。
5.続いて 前章でダウンロードした Office の資材を IIS のサイト配下に移動します。
(1) エクスプローラーを使って、C:\Inetpub\wwwroot というフォルダを開き、その配下に 任意のフォルダを作成します。
以下の例では、今後の運用を考えて、バージョン名と配布先のグループ名 を含めてみました。
"OfficeLTSC2024_Group0" → インストールテスト用
"OfficeLTSC2024_Group1" → 更新テスト用
(2) 作成したフォルダへ移動し、この場所に ダウンロードした 資材 の Office フォルダ配下をコピーします。
以下のように配置されていれば OK です。
ポイント
IIS 上に "製品名_グループ名" というフォルダを用意している理由ですが、あとで、Intune を使って 任意のデバイスグループへ意図したバージョンを更新できるようにするために、このようなフォルダ配置を行っています。
フォルダ構成は、こうしないと動かないって訳ではないので、色々と応用して 運用の仕方をカスタマイズして使って頂ければと思います。
6.ブラウザでのアクセステストを行います。
ブラウザを使って、Office 資材へアクセスできるようになっているかを確認します。
公開した Web サイトの URL に加えて、先ほど 移動した Office 資材のパスを追加して ブラウザでアクセスしてください。
(HTTP で公開した場合)
http://[公開したサイトのURL]/officeLTSC2024_Group1/Office/Data/v64_[Version].cab
(HTTPS で公開した場合)
https://[公開したサイトのURL]/officeLTSC2024_Group1/Office/Data/v64_[Version].cab
その結果、.cab ファイルがダウンロードできるようになっていれば OK です。
HTTPS (443) で構成した場合は、以後の記事内の URL は、HTTPS に読み替えてください。
1-4. IIS 設定を Office 資材用にカスタマイズする
本章が 目的を達成するために、最重要となるノウハウとなります。
最重要なノウハウとは
これ以外の章は、Intune や IIS、そして Office 展開ツール の経験のある人なら公開情報を見るだけで、構成できるかもしれませんが、この章のネタは、検証して ハマらない限り発見する事ができないと思います。
カスタマイズする理由
ダウンロードした Office 資材の中をみると、以下のようなファイルがあることが判ります。
試しに、IIS で公開されているパスを入力して、ファイルをダウンロードしてみると、拡張子 (.cab) はダウンロードに成功しますが、拡張子 (.dat) は、ダウンロードすることができないことに気が付くはずです。
(拡張子 .dat で 404 エラーが発生)
以下は、実際に Office 展開ツールを使って IIS 経由でインストールを実施した際の IIS ログの抜粋です。
これを見ると、拡張子が .cab のファイルはダウンロードに成功 (200) していますが、*.dat は 404 エラーが出ています。これが原因となり、Office をインストールや更新時に、404エラーが繰り返されて、タイムアウトし 結果として Office のインストールに失敗してしまいます。
ログの場所 (C:\inetpub\logs\LogFiles\W3SVC1)
拡張子 (.dat) が 404 エラーとなる原因と対策
原因は、IIS の既定の設定では、拡張子 (.dat) が登録されていないため、Web 公開されない状態になっているためです。
対策として IIS マネージャー を使って、MIME の種類 として 拡張子 (.dat) を登録することで解決できます。
(1) IIS マネージャーを起動して、Default Web Site を開き MIME の種類 をダブルクリックして開きます。
(2) 以下の画面にて 拡張子 (.dat) を探しても 初めはありません。
そのため、追加 ボタンを押して作業を行った結果、緑枠 のように .dat が追加された状態になれば OK です。
追加時には、以下のように MIME の種類を application/vnd.ms-cab-compressed に設定して OK を押します。(何の種類にすれば良いのか迷いましたが、.cab と同じ値にしてみました)
(3) 設定変更後に、クライアントから ブラウザで資材のパスを直接指定した際に、以下のように .dat がダウンロードできるようになっているはずです。
ここまで構成ができていれば、Office を IIS 経由で導入する準備が終わりました。
1-5. 単体テスト
(テスト用のクライアント PC で作業を行います)
実際に、ダウンロードした資材を使って Office がインストールが出来るのかを確認します。
1.以下の記事を参考に クライアント側で Office をインストールするための テスト用 XML(今回は OCT2024.XML と命名)を作成します。
ポイント
上記の記事との相違点は、以下となります。
Office をどこから展開しますか? の設定で ローカルソースを選択して、ソースパス として、IIS で公開した インストール用の Office フォルダ (Group0) の場所を指定します。
同様に 更新プログラムをどこから展開しますか? の設定で ローカルソースを選択して、ソースパス として、IIS で公開した 更新用の Office フォルダ (Group1) の場所を指定します。
この指定によって インストールや更新時に Office CDN ではなく、用意した資材のサイトから ダウンロードが行われるようになります。
作成された OCT2024.XML は、以下の通り SourcePath と UpdatePath が指定されていれば OK です。
2.テスト用クライアントで IIS のサイト以外からのダウンロードを禁止するための Windows Firewall 設定を行います。
(既定の 送信のアクセス を Block に変更します)
(送信の規則で IIS サーバーのパブリック IP のみを許可します)
これによって 通常のサイトはブロックされ、IIS のサイトのみ 参照できるようになっていることを確認しておきます。
この Firewall 設定と テストを実施しておくことで、資材が Office CDN ではなく、 IIS からダウンロードされていることを確認しやすくしています。
3.クライアント PC へ Office 展開ツールをダウンロードし、以下のコマンドで テストのインストールを行います。
.\setup.exe /configure .\OCT2024.XML
こうすることによって、XML に記載された SourcePath の資材を使ってインストールが行われ、更新時に UpdatePath の資材が使われるように構成されます。
4.うまく構成できていれば、以下のように IIS 経由で Office がインストールされます。
(インストール中のバナー)
(インストール完了時の表示)
(バージョン確認)
インストール用に準備した資材のバージョンになっているハズです。
5.更新を実行して、以下のように更新できることが確認できれば OK です。
更新のアクションは、任意の Office アプリのホーム画面から アカウント を開き、更新オプション から実施できます。
(更新中のバナー表示)
(更新完了時の表示)
(バージョン確認)
更新用に準備した資材のバージョンになっているハズです。
UpdatePath の資材のバージョンに更新されている場合
Office アプリのバージョンが、 UpdatePath 上の資材のバージョンと同一であれば、今すぐ更新 を実施した際に、以下の表示になります。
Office CDN には、もっと新しいバージョンが公開されていますが、この環境では これが 最新 という事です。
つまり、組織内で バージョンのコントロールに成功している状態です。
2. Intune で Office の構成を PC へ配布する
注意
Intune での配布テストは、単体テストとは 別の PC(インターネットに繋がっている PC)を使いましょう。
単体テストで使った PC を 流用する場合は、Office をアンインストールして、Windows Firewall の設定を 元に戻しましょう。
上記の注意点さえ気を付ければ、あとは Intune で実施する手順は、簡単です。
Office をインストールしたいデバイスを、Intune の任意のグループに割り当てます。
※今回は、Group1 に割り当てます。
以下の手順を参考に、前章でテスト済みの OCT2024.XML の内容を貼り付けてください。
インストールの実施、確認なども含めて、この記事を参考にすすめていただければ、IIS からのインストールと更新が実施されるようになります。
(アプリスイートの情報 - 設定画面)
緑下線は、任意で変更しています。動作には影響しません。
(構成ファイルに OCT2024.XML の内容を貼り付けたところ)
SourcePath(水色)と UpdatePath(緑色)で指定されている点がポイントです。
Intuneでは、この XML を クライアントへ配っているだけです。
あとは、Office に関して Intune は関知せず・・・
以下の通り、インストール仕立ての PC を Intune に登録したところ、Office がインストールされました。
Intune 管理センターでも、以下のように インストール結果が確認できます。
※この状態になるまで、タイムラグがあるため、辛抱強く待つ必要があります。
本記事の手順で展開したあとは、永続的に UpdatePath に保存されている資材を使って更新が行われます。
そのため、管理者側で IIS の UpdatePath 上の資材を必要に応じて、新しいものに置き換えることで、Office アプリのバージョンを集中してコントロールすることができるようになります。
Tips
なかなかアプリが PC に振ってこないなという場合は、以下の記事も参考にしてみてください。
Intune アプリ展開 Tips あれこれ
https://qiita.com/carol0226/items/df5a2a8e647a06564576
応用編
任意の PC の UpdatePath を変更したい・・・という場合は、どうすれば良いでしょうか?
方法としては、Intune 管理テンプレート を使ってポリシーを PC に適用することで対応できます。