Herramientas de implementación de software: SCCM vs Intune vs GPO y más

Hay muchas herramientas de implementación de software para entregar software y actualizaciones a tus endpoints, pero tener muchas opciones no significa que tenga que ser confuso. Podrías elegir una herramienta de implementación de software para hacerlo todo, o podrías elegir varias herramientas de implementación de software automatizadas dependiendo de tus necesidades. Ninguna herramienta de implementación de software es una solución “talla única” para cada empresa, así que en esta guía rápida, te ayudaremos a navegar algunas de las herramientas de implementación de software más populares y te daremos nuestro consejo sobre qué métodos utilizar para implementar software y parches de 3rd party.

Aquí está el resumen de lo que exploraremos en este documento en la Tabla 1.

Tabla 1: Comparación de herramientas de despliegue de software.

Lista de verificación para la implementación de software

Si ya estás contento con tu propia herramienta de implementación de software, eso es excelente. Pero si no tienes forma de implementar software o tienes algo con lo que no estás muy emocionado, deberías echar un vistazo a esta guía. Comencemos investigando las herramientas de implementación de software basadas en la nube y en las instalaciones locales que podrías tener ya.

Herramientas de implementación de software de gestión en las instalaciones, como MEMCM, LANDesk, KACE, SpiceWorks, Chef, BMC, etc.

MEMCM, LANDesk, KACE, SpiceWorks, Chef, BMC y otros suelen integrarse en redes grandes. Típicamente, estos sistemas cuentan con sus propios ingenieros que no hacen otra cosa que gestionar los sistemas, y los utilizan para desplegar software en todos los ordenadores.

Aunque esta configuración organizativa está bien, el grupo que administra MEMCM (o sistemas similares) podría ser diferente al de las personas que se ocupan de la seguridad, la gestión o la automatización de Windows 10. Como tal, podría resultar beneficioso realizar alternativamente algunas instalaciones de software a través de PolicyPak Remote Work Delivery Manager.

Also, it is quite common to add on additional software to MEMCM to specifically help manage 3rd party non-Microsoft updates more easily. In Figure 1, you can see where MEMCM has the ability to connect 3rd party paid catalogs.

Figura 1: Cómo conectar catálogos pagados de terceros a MEMCM.

Si aún no ha adquirido ni integrado algo así en MEMCM, le recomendamos que revise las alternativas de implementación de software mencionadas más adelante en este documento. Si ya es cliente de PolicyPak, PolicyPak Remote Work Delivery Manager podría ser justo lo que necesita para sus necesidades continuas de instalación de software.

Grandes sistemas de gestión de la nube, como Microsoft Intune, VMware Workspace One, Citrix Endpoint Manager y cualquier sistema para MSPs que implementa software

Estos grandes sistemas nacidos en la nube están intentando tomar el relevo donde los grandes sistemas on-prem terminan. De hecho, ahora puedes unir MEMCM on-prem con Intune en la nube para desplegar software.

Dicho esto, incluso sistemas como Intune tienen un montón de limitaciones. Primero, no tiene una forma fácil de implementar el .MSI de una aplicación y luego mantenerlo actualizado automáticamente. En su lugar, tendrías que introducir la siguiente versión cada vez que actualices y apliques parches.

Sin embargo, aún más importante, Intune no tiene una forma directa de implementar aplicaciones .EXE (también conocidas como aplicaciones Win32) que realizan instalaciones de software. En su lugar, primero necesitas envolverlas en algo que pueda manejar usando la herramienta Intune Win32 App Packaging & Prep Tool (encontrada aquí ). Este procedimiento manual envuelve tu .EXE en un archivo .INTUNEWIN como se muestra en la Figura 2.

Figura 2: Uso de la herramienta de empaquetado de aplicaciones Win32 de Intune para volver a empaquetar una aplicación Win32/.EXE.

Solo entonces el software está preparado y listo para el despliegue con Intune. Cada vez que quieras desplegar software o aplicar parches al software existente (o aumentar el número de versión), necesitas realizar los siguientes pasos de nuevo:

• Descargue la nueva versión de la aplicación
• Empaquete la aplicación en un archivo .INTUNEWIN
• Suba el paquete a Intune
• Despliegue la aplicación en sus máquinas Windows 10

Con este método, puede ser una tarea ardua mantener estas máquinas actualizadas con los últimos parches de aplicaciones. Por ejemplo, si quieres implementar la última versión de Firefox, debes realizar todos los pasos mencionados anteriormente para desplegar en Intune como se muestra en la Figura 3.

Figura 3: Implementando (o volviendo a implementar) una aplicación .INTUNEWIN reempaquetada.

Dicho esto, un sistema MDM como Intune sí tiene buenos informes de resultados. Por lo tanto, podría valer la pena usar Intune para implementar sus paquetes más importantes, aunque sean estáticos. Sin embargo, podría resultarle beneficioso alternativamente realizar algunas instalaciones de software y actualizaciones automáticas a través de PolicyPak Remote Work Delivery Manager.

PDQ Deploy (de nuestros amigos de PDQ)

PDQ Deploy es un excelente sistema on-prem que te permite implementar software e informar sobre los resultados de la instalación. PDQ Deploy viene en dos versiones: Gratis y Enterprise. La herramienta Gratuita es excelente y en muchos casos es suficiente para reemplazar una gran herramienta on-prem como MEMCM o LANDesk. También es mucho más económico ya que está disponible tanto en una versión Gratuita como en una versión Enterprise de pago muy rentable.

Se puede encontrar una lista de las diferentes características de las dos versiones aquí .

Para aquellos sin una gran herramienta de implementación de software on-prem, nosotros en PolicyPak les recomendaríamos usar PDQ deploy para las siguientes tareas clave:

• Instalación inicial de la extensión del lado del cliente de PolicyPak y actualizaciones adicionales
• Desplegando paquetes complejos como Office, Java o instalaciones “anidadas”
• Siempre que necesite informes garantizados de éxito o fracaso
• Siempre que quieras lanzamientos programados o temporizados

PDQ funciona mejor cuando las máquinas están unidas a un dominio y la fuente de sus paquetes está en SMB (comparticiones estándar de Windows). También puede usar PDQ cuando conoce la contraseña local de la máquina objetivo (como una alternativa). Además, puede realizar la entrega de software a través de una VPN, pero terminará utilizando el ancho de banda de la VPN ya que los endpoints descargan el software sobre SMB.

La versión Enterprise de PQD Deploy viene con consejos preconfigurados para paquetes de software existentes. Esto permite una implementación rápida y un mantenimiento sencillo de algunos paquetes más complicados. A veces, los paquetes de instalación de un proveedor no son tan fáciles de instalar y desplegar como se esperaba, pero la versión Enterprise de PDQ Deploy puede tomar un paquete difícil y conseguir instalarlo rápidamente. Puedes ver un ejemplo de la Biblioteca de Paquetes de PDQ en la Figura 4.

Figura 4: Revisando el Catálogo Empresarial de PDQ Deploy.

En PolicyPak recomendamos habitualmente PDQ Deploy para organizaciones que no desean implementar una herramienta de despliegue de software grande, como MEMCM, simplemente para entregar software a sus máquinas conectadas en la oficina y a través de VPN. PDQ Deploy es muy ligero y tiene un precio por administrador, y miles de administradores contentos utilizan la herramienta con éxito.

PolicyPak y PDQ funcionan muy bien juntos en muchas áreas. Deberías ver nuestros videos de “mejores juntos” aquí.

Entrega de archivos y software con PolicyPak más ejecución de scripts

Los superpoderes de PolicyPak aportan nuevas funcionalidades a los sistemas on-prem o en la nube que ya utilizas. En esta sección, explicaremos cómo PolicyPak puede automatizar más la entrega de tu software y mantener tus máquinas Windows 10 actualizadas. Puedes usar estas características de PolicyPak junto con lo que ya tienes o por sí mismas.

PolicyPak Remote Work Delivery Manager

El objetivo de PolicyPak Remote Work Delivery Manager es copiar archivos desde recursos compartidos locales o web e instalar software después de que esos archivos se hayan descargado. PolicyPak Remote Work Delivery Manager está integrado en todas las ediciones de PolicyPak: Group Policy Edition, MDM Edition y Cloud Edition (ver Figura 5). Sin embargo, PolicyPak Remote Work Delivery Manager funciona de manera diferente a las herramientas mencionadas anteriormente y está destinado para diferentes cargas de trabajo.

Figura 5: PolicyPak Remote Work Delivery Manager para Group Policy y MDM.

PolicyPak Remote Work Delivery Manager puede copiar cualquier archivo (incluyendo .MSIs, .EXEs y otros) desde comparticiones SMB (comparticiones estándar de Windows) o comparticiones basadas en la web (como Amazon S3, Dropbox, Azure Blob storage y más), como se muestra en la Figura 6.

Figura 6: Utilice comparticiones SMB o basadas en web para su fuente de instalación de archivos.

Un principal caso de uso para PolicyPak Remote Work Delivery Manager es desplegar nuevo software en máquinas que no están unidas a un dominio a través de Internet. Esto es para satisfacer al equipo de trabajo desde casa o trabajo remoto y es perfecto cuando los clientes de PolicyPak lo usan con PolicyPak Cloud como se muestra en la Figura 7.

Figura 7: PolicyPak Remote Work Delivery Manager en uso con PolicyPak Cloud.

Cuando los usuarios están remotos y utilizan PolicyPak Cloud Edition o PolicyPak MDM Edition (o incluso en local o a través de VPN con PolicyPak Group Policy Edition), el software y otros archivos se descargan utilizando el protocolo (casi mágico) de Background Intelligent Transfer Service (BITS) de Windows 10. Lo siguiente se ha tomado de la documentación de BITS here.

El servicio Background Intelligent Transfer Service (BITS) es utilizado por programadores y administradores de sistemas para descargar archivos desde o subir archivos a servidores web HTTP y comparticiones de archivos SMB. BITS toma en cuenta el costo de la transferencia, así como el uso de la red para que el trabajo en primer plano del usuario tenga el menor impacto posible. BITS también maneja interrupciones de la red, pausando y reanudando automáticamente las transferencias, incluso después de un reinicio.

Debido a que PolicyPak aprovecha BITS, incluso si las descargas grandes se interrumpen, quizás debido a apagar un escritorio, cerrar la tapa de una laptop o cambiar de redes de on-prem a casa, entonces BITS retomará desde donde se quedó. Esto significa que puedes descargar archivos muy grandes con confianza y luego trabajar en ellos después de que la descarga se haya completado completamente y esté en la máquina objetivo.

PolicyPak Remote Work Delivery Manager puede descargar esos archivos ya sea desde comparticiones SMB en las instalaciones (a través de Ethernet, Wi-Fi o VPN) o desde comparticiones web (Amazon S3, Dropbox o Azure Blob storage). PolicyPak Remote Work Delivery Manager iniciará la descarga desde ese punto de origen y normalmente evitará el uso del ancho de banda de VPN. Por lo tanto, es ideal para trabajar desde casa y otros escenarios de trabajo remoto donde no se puede garantizar conexiones VPN, y cuando no se desea utilizar el ancho de banda de VPN para descargar el software.

PolicyPak Remote Work Delivery Manager no está diseñado para reemplazar necesariamente software como MEMCM, Intune o PDQ deploy en todas las circunstancias. Pero si tienes necesidades modestas para implementar software y mantenerlo actualizado automáticamente, entonces PolicyPak Remote Work Delivery Manager puede proporcionar esto para muchas situaciones utilizando comparticiones SMB o basadas en web.

Por ejemplo, para desplegar 7Zip por primera vez, dirija su fuente a la versión que desee para comenzar. En este caso, he renombrado el instalador de la versión 16 de 7Zip a 7z.msi como se muestra en la Figura 8.

Figura 8: Uso de la política de PolicyPak Remote Work Delivery Manager para desplegar una versión inicial de 7Zip.

Entonces, 7Zip 16 se instala en los endpoints como se espera, como se ve en la Figura 9.

Figura 9: 7Zip se instala desde la política de PolicyPak Remote Work Delivery Manager; descargando el software desde una compartición SMB o basada en web.

Luego, para realizar una actualización y parche de 7Zip 16 a 19 en el recurso compartido subyacente, reemplace el 7z.msi subyacente con la versión más reciente (17, 18, 19, etc.). PolicyPak automáticamente buscará en la fuente, verá que hay una nueva versión disponible, descargará el parche actualizado y actualizará automáticamente. No se necesita tiempo adicional y no es necesario volver a implementar nada en ninguna consola. Con los pasos realizados en PolicyPak Remote Work Delivery Manager, las actualizaciones ahora ocurren como por arte de magia. El resultado final después de intercambiar la versión 16 de 7z.msi por la 19 se muestra en la Figura 10.

Figura 10: PolicyPak Remote Work Delivery Manager actualiza automáticamente el software sin necesidad de volver a desplegarlo o de interacción del usuario.

Además de copiar archivos y ejecutar un proceso para instalarlos, PolicyPak Remote Work Delivery Manager también resuelve algunos otros desafíos que el resto del software mencionado en este documento no intenta solucionar. Por ejemplo, PolicyPak Remote Work Delivery Manager tiene una función especial que es muy similar a la popular herramienta de Windows 10, Robocopy. Es decir, te da la capacidad de especificar lo siguiente: la fuente y qué archivos copiar, la profundidad del directorio (incluyendo directorios recursivos) y una miríada de filtros (tamaño, fecha, última modificación, etc.) Ninguna de las otras herramientas que hemos mencionado anteriormente intenta abordar esto.

PolicyPak Remote Work Delivery Manager también permite al administrador especificar un archivo de archivo (un archivo .ZIP). Ese archivo .ZIP puede descargarse y descomprimirse automáticamente para el usuario final. Si se actualizan los contenidos del archivo .ZIP de origen, PolicyPak Remote Work Delivery Manager mantiene los archivos de destino actualizados automáticamente; no se requieren políticas adicionales ni interacción.

PolicyPak Remote Work Delivery Manager es la forma más efectiva para que los clientes de PolicyPak desplieguen archivos y software una vez y los mantengan actualizados en máquinas con Windows 10 dentro y fuera de la red corporativa.

PolicyPak Scripts Manager

PolicyPak Scripts Manager es otra forma de usar PolicyPak para desplegar software. PolicyPak Scripts Manager ejecutará un script de su elección. Ese script podría ser algo que copie archivos o descargue algo de una fuente arbitraria. Luego, después de que los archivos sean copiados, puede ejecutar un proceso de instalación o script, lo cual es similar a cómo PolicyPak Remote Work Delivery Manager puede ejecutar un proceso de instalación o script después de que se completa un trabajo de descarga.

Puede ver cómo hacemos esto brevemente en la Figura 11.

Figura 11: Realizando una instalación script Evergreen desde una fuente de descarga de proveedores.

Dicho esto, PolicyPak Scripts Manager no posee las capacidades integradas de PolicyPak Remote Work Delivery Manager. PolicyPak Scripts Manager no utiliza BITS para la transferencia inteligente de archivos grandes, ni cuenta con los filtros complejos o la capacidad de realizar operaciones complejas, recursivas y filtradas al estilo de “Robocopy”.

Pero PolicyPak Scripts Manager podría ser justo lo que necesitas si quieres ejecutar un script que instale software desde una fuente de distribución que ya está en Internet. Una de nuestras formas favoritas de usar PolicyPak Scripts Manager es para scriptear la instalación de paquetes pre-creados de Chocolaty.org. Otra manera de usar PolicyPak Scripts Manager para desplegar software es a través de scripts Evergreen que apuntan directamente a la fuente del proveedor de software y realizan la instalación directamente. Esto es bueno para descargas cortas, pero puede no ser ideal cuando el instalador es grande, o el ordenador corre el riesgo de detener y reiniciar la transferencia. (Ahí es donde PolicyPak Remote Work Delivery Manager puede ayudar, ya que utiliza el protocolo BITS.)

Reportes sobre la entrega de software

PolicyPak Remote Work Delivery Manager y PolicyPak Scripts Manager se conectan con el motor de informes que ya utiliza para determinar si se han aplicado sus configuraciones.

• Para PolicyPak Group Policy Edition, puede utilizar tanto los Informes de Resultados de Política de Grupo de la Consola de Group Policy Management como el Reportero de Cumplimiento de Política de Grupo de PolicyPak (gratuito).
• Para la edición PolicyPak MDM, puede aprovechar los informes de su MDM.
• Para la edición PolicyPak Cloud, puede aprovechar el sistema de informes de PolicyPak Cloud.

Dicho esto, cualquiera de estos informes solo puede indicarte si la política para entregar el software (o mantenerlo actualizado) fue procesada. El sistema de informes no puede conocer el estado real de la instalación (éxito o fracaso) de ningún software específico. Si te preocupa un informe detallado con códigos de resultado devueltos, entonces podrías necesitar otras herramientas de esta lista, como PDQ Deploy.

Próximos pasos

No hay una sola herramienta que pueda manejar todas las necesidades de implementación de software de todas las empresas. En este resumen queríamos compartir dónde se puede utilizar cada herramienta, para que ningún software quede sin implementar y todas las necesidades sean satisfechas. PolicyPak Scripts Manager y PolicyPak Remote Work Delivery Manager vienen con todas las ediciones de PolicyPak. Creemos que podrás utilizarlos para gran parte de tus necesidades de implementación de software o complementar lo que ya tienes.