Wegen der Corona Pandemie haben wir diverse unserer Surfaces Lehrpersonen und Schüler/-innen mit nach Hause gegeben.

Unsere Geräte sind immer noch an ein lokales AD angemeldet und werden über SCCM und Intune als sogenanntes Co-Management verwaltet. Zum Glück habe ich die Verteilung von Windows Updates schon länger auf “Windows Update for Business” umgestellt. Die Surfaces bekommen also die Updates auch zuhause. Programme werden bei uns aber immer noch über den SCCM Server lokal verteilt. Nun hat Adobe sicherheitskritische Updates veröffentlicht (vgl. heise oder bsi) und der Adobe Reader ist bei all unseren Geräten installiert. Daher muss ich jetzt über Intune ein Update oder eine Deinstallation auf den Geräten zuhause auslösen können. Ich habe mich für eine Deinstallation entschieden, da der neue Edge eigentlich gut für PDF’s genügt.

Installation auf SCCM beenden
Zuerst muss man die bestehende Bereitstellung auf dem SCCM löschen, damit innerhalb des Netzwerks nicht wieder die alte Version installiert wird.

Welchen Weg?
Es gibt verschiedene Wege für die Deinstallation, z.B. ein PowerShell Skript, das msiexec /x und den Produktcode aufruft. Ich habe mich für das “Adobe Reader and Acrobat Cleaner Tool” von Adobe selber entschieden.

Für die weiteren Schritte bin ich der Anleitung von Microsoft gefolgt:

Microsoft Win32 Content Prep Tool
Als erstes lädt man sich das “Microsoft Win32 Content Prep Tool” von Github herunter. Dies habe ich entpackt und in den Ordner PrepTool auf meiner Festplatte kopiert. Daneben habe ich einen Ordner IntuneApp für die fertige App und den Ordner AdobeAcroCleaner mit dem Programm von Adobe erstellt.

Nun kann man auf der Kommandozeile oder in PowerShell das Content Prep Tool starten und die Parameter abfragen lassen, oder direkt beim Aufruf mitgeben.

App in Intune erstellen
Als nächstes meldet man sich beim “Microsoft Endpoint Manager admin center” an und wählt “Apps” –> “All Apps” –> “+Add”.

Bei “Select app type” wählt man nun unter “Other” “Windows app (Win32)”.

Beim Schritt 1 öffnet man die zuvor erstellte App mit der Dateibezeichnung intune.

Hier kann man Name und weiteres der App festlegen.

Beim nächsten Schritt muss man die beiden Werte “Install command” und “Uninstall command” angeben. Da das Programm nicht wirklich installiert, sondern nur ausgeführt wird, habe ich für die Deinstallation das gleiche wie für die Installation angegeben…

Hier kann man noch die Mindestanforderungen angeben.

Als “Detection rule” soll überprüft werden, ob ein Logfile erstellt wurde.

Unter “Assignments” wählt man noch die entsprechende Gruppe aus. Wie immer sollte man dies an einer kleinen Gruppe testen, bevor man ein Programm auf alle Computer installiert.

Am Computer sieht man nun eine Meldung, dass das Programm (de)installiert wird und kurz danach eine Erfolgsmeldung.