M10 – Endpoint Apps & Microsoft 365 Apps

01 · Lý thuyết

Microsoft 365 Apps – Update Channels

Microsoft 365 Apps (Word, Excel, PowerPoint, Outlook, Teams…) sử dụng kiến trúc Click-to-Run (C2R) — cài đặt nhanh qua streaming, tự update qua Office CDN. Điểm quan trọng nhất trong quản lý doanh nghiệp là chọn Update Channel phù hợp.

Channel	Tần suất update	Độ ổn định	Use case	Phù hợp với
Current Channel	Hàng tháng (khi sẵn sàng)	Cao	Tính năng mới nhất	Người dùng thông thường, dev
Monthly Enterprise Channel	Tháng thứ 2 của tháng (Patch Tuesday)	Rất cao	Dự đoán được, có thể test trước	Doanh nghiệp cần kiểm soát
Semi-Annual Enterprise Channel	2 lần/năm (Tháng 1 & 7)	Cao nhất	Môi trường cực kỳ ổn định	Tài chính, ngân hàng, y tế
Beta Channel	Hàng tuần	Thấp	Test tính năng mới	IT pilot group, early adopters

Office Deployment Tool (ODT) – Cài đặt tuỳ chỉnh

Office Deployment Tool (ODT) là công cụ CLI của Microsoft để deploy M365 Apps tùy chỉnh: chọn apps cụ thể (bỏ Publisher, Skype), chọn ngôn ngữ, chọn update channel, và tạo offline installer. Gồm 2 file:

setup.exe — công cụ cài đặt
configuration.xml — file cấu hình (apps, channel, language, exclusions)

Microsoft Edge – Quản lý qua Intune

Tính năng	Mô tả	Cách cấu hình
Edge update channel	Stable / Beta / Dev / Canary	Intune App → Microsoft Edge
Homepage/New tab	Đặt trang chủ mặc định công ty	Device Config Profile → Settings Catalog
Kiosk mode	Edge chỉ chạy 1 web app	Kiosk profile
Password manager	Block lưu password trong Edge	Settings Catalog: PasswordManagerEnabled = Disabled
Extensions control	Cho phép/chặn extension cụ thể	ExtensionAllowedTypes, ExtensionInstallBlockList
SSO với Entra ID	Tự đăng nhập bằng tài khoản M365	Auto-configured khi machine joined Entra

Company Portal – Cửa hàng app nội bộ

Company Portal là ứng dụng cho phép user tự cài các app "Available" mà IT đã approve, đồng thời xem trạng thái compliance và thực hiện self-service. Có trên Windows, iOS, Android, macOS.

Người dùng (User) có thể:

• Cài app Available đã được IT approve
• Xem trạng thái compliance thiết bị
• Sync để nhận policy mới nhất
• Remote lock thiết bị bị mất

IT Admin có thể:

• Customize branding (logo, màu sắc)
• Cấu hình support contact info
• Kiểm soát app nào hiện trong Portal
• Xem install history của từng user

Tip thi MD-102: Biết phân biệt khi nào dùng Required (bắt buộc, tự động) vs Available (user tự chọn qua Company Portal). Đây là câu hỏi phổ biến trong exam.

02 · Thực hành

Lab A: Tạo configuration.xml cho ODT

<!-- configuration.xml: Deploy M365 Apps Business Premium (tiếng Việt, Monthly Enterprise) -->
<Configuration ID="corp-m365-deploy">
  <Add OfficeClientEdition="64" Channel="MonthlyEnterprise" SourcePath="">
    <Product ID="O365BusinessRetail">
      <Language ID="vi-vn" />
      <Language ID="en-us" />
      <ExcludeApp ID="Publisher" />
      <ExcludeApp ID="Skype" />
      <ExcludeApp ID="Groove" />
    </Product>
  </Add>
  <Updates Enabled="TRUE" Channel="MonthlyEnterprise" />
  <Display Level="None" AcceptEULA="TRUE" />
  <Property Name="SharedComputerLicensing" Value="0" />
  <Property Name="PinIconsToTaskbar" Value="TRUE" />
  <Logging Level="Standard" Path="%temp%" />
</Configuration>

# Tải ODT từ Microsoft
Invoke-WebRequest -Uri "https://www.microsoft.com/en-us/download/details.aspx?id=49117" `
    -OutFile "C:\ODT\officedeploymenttool.exe"

# Giải nén
Start-Process "C:\ODT\officedeploymenttool.exe" -ArgumentList "/extract:C:\ODT /quiet" -Wait

# Download Office files (tạo offline installer)
C:\ODT\setup.exe /download C:\ODT\configuration.xml

# Cài đặt
C:\ODT\setup.exe /configure C:\ODT\configuration.xml

Microsoft Office 365 Business Premium Downloading: Word, Excel, PowerPoint, Outlook, OneNote, Teams, OneDrive Language: vi-vn, en-us Update Channel: Monthly Enterprise Channel [==========] 100% - Download complete (1.8 GB) Installing Microsoft 365 Apps... Setup completed successfully. Reboot may be required.

Lab B: Deploy M365 Apps qua Intune Portal

Thực hành tại: intune.microsoft.com → Apps → Windows → Add → Microsoft 365 Apps

Vào intune.microsoft.com → Apps → Windows → Add
App type: Microsoft 365 Apps → Windows 10 and later → Select
Tab App suite configuration:
• Suite name: M365 Apps – Corp Standard
• Apps to install: Word, Excel, PowerPoint, Outlook, OneNote, Teams, OneDrive
• Update channel: Monthly Enterprise Channel
• Remove other versions: Yes
• Use shared computer activation: No
Tab App configuration:
• Format: Configuration designer
• Default file format: Office Open XML (.docx, .xlsx, .pptx)
• Languages: Vietnamese (Vietnam) + English (United States)
Tab Assignments: Required → All Devices
Review + Create → Create

Lab C: Quản lý Update Channel bằng PowerShell

# Kiểm tra update channel hiện tại trên máy client
$channel = Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration" `
    -Name "UpdateChannel" -ErrorAction SilentlyContinue
Write-Host "Current channel: $($channel.UpdateChannel)"

# Đổi sang Monthly Enterprise Channel
$monthlyEnterpriseChannel = "http://officecdn.microsoft.com/pr/55336b82-a18d-4dd6-b5f6-9e5095c314a6"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration" `
    -Name "UpdateChannel" -Value $monthlyEnterpriseChannel -Force

# Trigger update ngay lập tức
& "C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeC2RClient.exe" `
    /update user updatepromptuser=false forceappshutdown=true

Current channel: http://officecdn.microsoft.com/pr/492350f6-3a01-4f97-b9c0-c7c6ddf67d60 # (Current Channel) # Sau khi đổi sang Monthly Enterprise: Checking for updates... Downloading: 245 MB Installing update... Microsoft 365 Apps updated to version 2402 (Build 17328.20142) Update channel: Monthly Enterprise Channel

Lab D: Cấu hình Microsoft Edge Policy qua Intune

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

# Tạo Settings Catalog profile cho Edge
$body = @{
    name = "Edge-Corp-Settings"
    description = "Microsoft Edge corporate browser settings"
    platforms = "windows10"
    technologies = "mdm"
    settings = @(
        @{
            "@odata.type" = "#microsoft.graph.deviceManagementConfigurationSetting"
            settingInstance = @{
                "@odata.type" = "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance"
                settingDefinitionId = "edge_passwordmanagerenabled"
                choiceSettingValue = @{
                    value = "edge_passwordmanagerenabled_0"  # Disabled
                    children = @()
                }
            }
        },
        @{
            "@odata.type" = "#microsoft.graph.deviceManagementConfigurationSetting"
            settingInstance = @{
                "@odata.type" = "#microsoft.graph.deviceManagementConfigurationSimpleSettingInstance"
                settingDefinitionId = "edge_homepageisnewtabpage"
                simpleSettingValue = @{
                    "@odata.type" = "#microsoft.graph.deviceManagementConfigurationStringSettingValue"
                    value = "https://company-intranet.vn"
                }
            }
        }
    )
} | ConvertTo-Json -Depth 10

Invoke-MgGraphRequest -Method POST `
    -Uri "https://graph.microsoft.com/beta/deviceManagement/configurationPolicies" `
    -Body $body -ContentType "application/json"

id : cfg-edge-abc123-def456 name : Edge-Corp-Settings platforms : windows10 status : active createdDateTime : 2024-03-15T09:00:00Z # Kết quả trên máy client sau khi nhận policy: # - Edge password manager: DISABLED (không thể lưu password) # - Homepage: https://company-intranet.vn # - New tab page: https://company-intranet.vn

Lab E: Customize Company Portal Branding

Thực hành tại: intune.microsoft.com → Tenant administration → Customization

Vào intune.microsoft.com → Tenant administration → Customization
Tab Branding:
• Organization name: VietTech Corporation
• Theme color: chọn màu đỏ/xanh công ty
• Upload logo: upload file logo.png (400×400px, nền trắng)
• Show company logo in header: Yes
Tab Support information:
• IT support website URL: https://helpdesk.viettech.vn
• IT support website name: VietTech IT Helpdesk
• IT support phone: 028-3456-7890
• IT support email: [email protected]
Tab Configuration:
• Show featured apps: Yes
• Show Office 365 apps: Yes
Nhấn Save

03 · Tình huống thực tế

Ngân hàng ACB – Chuẩn hoá Office và trình duyệt cho 5.000 nhân viên

ACB có 5.000 nhân viên trên toàn quốc, nhiều chi nhánh đang dùng Office 2019 bản lẻ và Chrome không được quản lý. Yêu cầu mới: chuyển sang M365 Apps, đồng bộ update channel, và chuẩn hóa Edge làm trình duyệt chính với các chính sách bảo mật.

Giải pháp triển khai:

✓ Update Channel: Chọn Semi-Annual Enterprise — phù hợp ngân hàng cần ổn định tuyệt đối, update 2 lần/năm
✓ ODT configuration.xml: Loại trừ Publisher, Skype; thêm tiếng Anh và tiếng Việt; force .xlsx/.docx/.pptx format
✓ Pilot nhóm nhỏ 50 người trước, dùng Beta Channel để test 2 tuần → không issue → rollout toàn công ty
✓ Edge policy: Disable password manager, block extension không trong whitelist, set intranet ngân hàng làm homepage, enable SmartScreen
✓ Company Portal: Branding màu xanh ACB, IT hotline, link helpdesk

Kết quả sau 3 tháng:

• 100% máy tính đồng nhất M365 Apps phiên bản mới nhất của Semi-Annual channel
• Giảm 70% ticket hỗ trợ liên quan đến Office crash và compatibility issues
• 0 sự cố rò rỉ qua trình duyệt (password manager disabled, extension controlled)
• Tiết kiệm license: loại bỏ Office 2019 bản lẻ, tận dụng M365 Business Premium đã có

M09 – App Deployment M11 – Endpoint Security