Strumenti di distribuzione del software: SCCM vs Intune vs GPO vs Altro

Ci sono molti strumenti di distribuzione software per consegnare software e aggiornamenti ai tuoi endpoint, ma il fatto di avere molte opzioni non significa che debba essere confuso. Potresti scegliere uno strumento di distribuzione software per fare tutto, o potresti scegliere diversi strumenti di distribuzione software automatizzati a seconda delle tue necessità. Nessuno strumento di distribuzione software è una soluzione “adatta a tutti” per ogni azienda, quindi in questa breve guida, ti aiuteremo a navigare tra alcuni degli strumenti di distribuzione software più popolari e ti daremo i nostri consigli su quali metodi utilizzare per distribuire software e patch di terzi parti.

Ecco una panoramica di ciò che esploreremo in questo documento nella Tabella 1.

Tabella 1: Confronto degli strumenti di distribuzione del software.

Lista di controllo per il deployment del software

Se sei già soddisfatto del tuo strumento di distribuzione software, va bene. Ma se non hai modo di distribuire software o hai qualcosa che non ti entusiasma, dovresti dare un'occhiata a questa guida. Iniziamo esaminando gli strumenti di distribuzione software on-prem e basati su cloud che potresti già avere.

Strumenti di distribuzione software di gestione on-prem di grandi dimensioni, come MEMCM, LANDesk, KACE, SpiceWorks, Chef, BMC ecc.

MEMCM, LANDesk, KACE, SpiceWorks, Chef, BMC e altri sono spesso integrati in grandi reti. Tipicamente, questi sistemi hanno i propri ingegneri che non fanno altro che gestire i sistemi e li usano per distribuire software a tutti i computer.

Anche se questa configurazione organizzativa è adeguata, il gruppo che gestisce MEMCM (o sistemi simili) potrebbe essere diverso dalle persone che si occupano della sicurezza, della gestione o dell'automazione di Windows 10. Pertanto, potresti trovare vantaggioso eseguire alcune installazioni di software alternativamente tramite PolicyPak Remote Work Delivery Manager.

Also, it is quite common to add on additional software to MEMCM to specifically help manage 3rd party non-Microsoft updates more easily. In Figure 1, you can see where MEMCM has the ability to connect 3rd party paid catalogs.

Figura 1: Come collegare cataloghi a pagamento di terze parti a MEMCM.

Se non avete già acquistato e integrato qualcosa di simile in MEMCM, vi consigliamo di esaminare le alternative di distribuzione del software menzionate più avanti in questo documento. Se siete già clienti di PolicyPak, PolicyPak Remote Work Delivery Manager potrebbe essere proprio ciò di cui avete bisogno per le vostre esigenze continue di installazione del software.

Grandi sistemi di gestione del cloud, come Microsoft Intune, VMware Workspace One, Citrix Endpoint Manager e qualsiasi sistema per MSP che distribuisce software

Questi grandi sistemi nati nel cloud stanno cercando di prendere il sopravvento dove i grandi sistemi on-prem lasciano spazio. Infatti, ora puoi unire on-prem MEMCM con Intune nel cloud per distribuire software.

Detto ciò, anche sistemi come Intune presentano una serie di limitazioni. Primo, non offrono un modo semplice per distribuire il .MSI di un'applicazione e poi mantenerlo automaticamente aggiornato. Invece, sarebbe necessario introdurre la versione successiva ogni volta che si effettua un aggiornamento e una patch.

Tuttavia, ancora più importante, Intune non dispone di un modo diretto per distribuire applicazioni .EXE (note anche come applicazioni Win32) che eseguono installazioni software. Invece, è necessario prima incapsularle in qualcosa che possa gestire utilizzando lo strumento Intune Win32 App Packaging & Prep Tool (trovato qui ). Questa procedura manuale incapsula il tuo .EXE in un file .INTUNEWIN come mostrato nella Figura 2.

Figura 2: Utilizzo dello strumento di pacchettizzazione app Win32 di Intune per ripacchettare un'app Win32/.EXE.

Solo allora il software è preparato e pronto per il deployment con Intune. Ogni volta che vuoi effettuare il deployment di un software o applicare patch al software esistente (o aumentare il numero di versione), devi eseguire nuovamente i seguenti passaggi:

• Scarica la nuova versione dell'applicazione
• Impacchetta l'applicazione in un file .INTUNEWIN
• Carica il pacchetto in Intune
• Distribuisci l'applicazione sulle tue macchine Windows 10

Con questo metodo, può essere davvero faticoso mantenere queste macchine aggiornate con le ultime patch delle applicazioni. Ad esempio, se vuoi distribuire l'ultima versione di Firefox, devi eseguire tutti i passaggi sopra menzionati per distribuire su Intune come mostrato nella Figura 3.

Figura 3: Distribuzione (o ridistribuzione) di un'app .INTUNEWIN ripacchettata.

Detto ciò, un sistema MDM come Intune offre buone funzionalità di reportistica sui risultati. Pertanto, potrebbe valere la pena utilizzare Intune per distribuire i tuoi pacchetti più importanti, ma statici. Tuttavia, potresti trovare vantaggioso eseguire alternativamente alcune installazioni di software e aggiornamenti automatici tramite PolicyPak Remote Work Delivery Manager.

PDQ Deploy (dai nostri amici di PDQ)

PDQ Deploy è un eccellente sistema on-prem che consente di distribuire software e riferire sui risultati dell'installazione. PDQ Deploy è disponibile in due versioni: Free ed Enterprise. Lo strumento Free è eccellente e in molti casi è sufficiente per sostituire un grande strumento on-prem come MEMCM o LANDesk. È anche notevolmente più economico poiché è disponibile sia in una versione Free che in una versione Enterprise a pagamento molto conveniente.

Un elenco delle diverse funzionalità delle due versioni può essere trovato qui .

Per coloro che non dispongono di un ampio strumento di distribuzione software on-prem, noi di PolicyPak consigliamo di utilizzare PDQ deploy per i seguenti compiti principali:

• Installazione iniziale dell'estensione lato client di PolicyPak e aggiornamenti aggiuntivi
• Distribuzione di pacchetti complessi come Office, Java o installazioni “annidate”
• Ogni volta che hai bisogno di rapporti garantiti di successo o insuccesso
• Ogni volta che desideri rilasci programmati o pianificati

PDQ funziona meglio quando i computer sono collegati a un dominio e la fonte dei tuoi pacchetti si trova su SMB (condivisioni Windows standard). Puoi anche utilizzare PDQ quando conosci la password locale della macchina di destinazione (come alternativa). È possibile anche eseguire la consegna del software tramite VPN, ma si finisce per utilizzare la larghezza di banda della VPN poiché gli endpoint scaricano il software tramite SMB.

La versione Enterprise di PQD Deploy viene fornita con consigli preconfigurati per i pacchetti software esistenti. Questo permette un rapido dispiegamento e una manutenzione semplice di alcuni pacchetti più complessi. A volte i pacchetti di installazione di un fornitore non sono così immediati da installare e distribuire come previsto, ma la versione Enterprise di PDQ Deploy può prendere un pacchetto difficile e installarlo rapidamente. Puoi vedere un esempio della Libreria di Pacchetti PDQ nella Figura 4.

Figura 4: Esaminando il catalogo PDQ Deploy Enterprise.

Noi di PolicyPak raccomandiamo regolarmente PDQ Deploy per le organizzazioni che non vogliono implementare un grande strumento di distribuzione software, come MEMCM, solo per fornire software alle loro macchine connesse on-prem e VPN. PDQ Deploy è molto leggero e ha un prezzo per amministratore, e migliaia di amministratori soddisfatti utilizzano lo strumento con successo.

PolicyPak e PDQ lavorano molto bene insieme in molti settori. Dovresti dare un'occhiata ai nostri video “migliori insieme” qui.

Consegna di file e software con PolicyPak più esecuzione di script

Le superpotenze di PolicyPak introducono nuove funzionalità nei sistemi on-prem o cloud che già utilizzi. In questa sezione, spiegheremo come PolicyPak può automatizzare ulteriormente la distribuzione del tuo software e mantenere aggiornate le tue macchine Windows 10. Puoi utilizzare queste funzionalità di PolicyPak insieme a quelle che hai già o da sole.

PolicyPak Remote Work Delivery Manager

L'obiettivo di PolicyPak Remote Work Delivery Manager è copiare file da condivisioni on-prem o web e installare software dopo che tali file sono stati scaricati. PolicyPak Remote Work Delivery Manager è integrato in tutte le edizioni di PolicyPak: Group Policy Edition, MDM Edition e Cloud Edition (vedi Figura 5). Tuttavia, PolicyPak Remote Work Delivery Manager funziona in modo diverso rispetto agli strumenti menzionati sopra ed è destinato a carichi di lavoro differenti.

Figura 5: PolicyPak Remote Work Delivery Manager per Group Policy e MDM.

PolicyPak Remote Work Delivery Manager può copiare qualsiasi file (inclusi .MSIs, .EXEs e altri) sia da condivisioni SMB (condivisioni Windows standard) che da condivisioni basate sul web (come Amazon S3, Dropbox, Azure Blob storage e altri), come mostrato nella Figura 6.

Figura 6: Utilizzare condivisioni SMB o basate su web come sorgente per l'installazione dei file.

Un principale caso d'uso per PolicyPak Remote Work Delivery Manager è quello di distribuire nuovo software a macchine non collegate a un dominio attraverso Internet. Questo per soddisfare il team che lavora da casa o a distanza ed è perfetto quando i clienti di PolicyPak lo utilizzano con PolicyPak Cloud come mostrato nella Figura 7.

Figura 7: PolicyPak Remote Work Delivery Manager in uso con PolicyPak Cloud.

Quando gli utenti sono remoti e utilizzano PolicyPak Cloud Edition o PolicyPak MDM Edition (o anche on-prem o tramite VPN con PolicyPak Group Policy Edition), i software e altri file vengono scaricati utilizzando il protocollo Background Intelligent Transfer Service (BITS) di Windows 10 (quasi magico). Il seguente è tratto dalla documentazione BITS here.

Il Background Intelligent Transfer Service (BITS) è utilizzato da programmatori e amministratori di sistema per scaricare file da o caricare file su server web HTTP e condivisioni di file SMB. BITS considera il costo del trasferimento e l'utilizzo della rete in modo che il lavoro in primo piano dell'utente subisca il minor impatto possibile. BITS gestisce anche le interruzioni di rete, mettendo in pausa e riprendendo automaticamente i trasferimenti, anche dopo un riavvio.

Poiché PolicyPak sfrutta BITS, anche se i download di grandi dimensioni vengono interrotti, magari a causa dello spegnimento di un desktop, della chiusura del coperchio di un laptop o del cambio di rete da on-prem a casa, allora BITS riprenderà da dove si era interrotto. Questo significa che puoi scaricare con fiducia file molto grandi e poi lavorarci sopra dopo che il download è completamente terminato e sul dispositivo di destinazione.

PolicyPak Remote Work Delivery Manager può scaricare quei file sia da condivisioni SMB on-prem (tramite Ethernet, Wi-Fi o VPN) sia da condivisioni web (Amazon S3, Dropbox o Azure Blob storage). PolicyPak Remote Work Delivery Manager inizierà il download da quel punto di origine e tipicamente aggirerà qualsiasi utilizzo della larghezza di banda VPN. Pertanto, è ideale per scenari di lavoro da casa e altri scenari di lavoro remoto dove non si può garantire connessioni VPN e quando non si vuole utilizzare la larghezza di banda VPN per scaricare il software.

PolicyPak Remote Work Delivery Manager non è necessariamente destinato a sostituire software come MEMCM, Intune o PDQ deploy in ogni circostanza. Ma se avete esigenze modeste per distribuire software e mantenerlo automaticamente aggiornato, allora PolicyPak Remote Work Delivery Manager può fornire questo per molte circostanze utilizzando condivisioni SMB o basate sul web.

Ad esempio, per distribuire 7Zip la prima volta, indirizza la tua fonte verso qualsiasi versione con cui desideri iniziare. In questo caso, ho rinominato l'installer della versione 16 di 7Zip in 7z.msi come mostrato nella Figura 8.

Figura 8: Utilizzo della policy PolicyPak Remote Work Delivery Manager per distribuire una release iniziale di 7Zip.

Quindi, 7Zip 16 si installa sui punti finali come previsto come mostrato nella Figura 9.

Figura 9: 7Zip viene installato dalla policy del PolicyPak Remote Work Delivery Manager; scaricando il software da una condivisione SMB o basata sul web.

Quindi, per eseguire un aggiornamento e una patch di 7Zip dalla versione 16 alla 19 sulla condivisione sottostante, sostituire il file 7z.msi esistente con l'ultima versione (17, 18, 19, ecc.). PolicyPak raggiungerà automaticamente la fonte, rileverà che è presente una nuova versione, scaricherà la patch aggiornata e aggiornerà automaticamente. Non è necessario ulteriore tempo e non c'è bisogno di ridistribuire nulla su alcuna console. Con i passaggi eseguiti in PolicyPak Remote Work Delivery Manager, gli aggiornamenti ora avvengono come per magia. Il risultato finale dopo aver scambiato la versione 16 di 7z.msi con la 19 è mostrato nella Figura 10.

Figura 10: PolicyPak Remote Work Delivery Manager aggiorna automaticamente il software senza bisogno di una nuova distribuzione o interazione da parte dell'utente.

Oltre a copiare file ed eseguire un processo per installarli, PolicyPak Remote Work Delivery Manager risolve anche alcune altre sfide che gli altri software menzionati in questo documento non cercano di affrontare. Ad esempio, PolicyPak Remote Work Delivery Manager ha una funzione speciale molto simile al popolare strumento di Windows 10, Robocopy. Ovvero, ti dà la possibilità di specificare quanto segue: la fonte e quali file copiare, la profondità della directory (inclusi i percorsi ricorsivi) e una miriade di filtri (dimensione, data, ultima modifica, ecc.) Nessuno degli altri strumenti che abbiamo menzionato sopra sta cercando di affrontare questo.

PolicyPak Remote Work Delivery Manager consente anche all'amministratore di specificare un file di archivio (un file .ZIP). Quel file .ZIP può essere scaricato e decompresso automaticamente per l'utente finale. Se i contenuti del file .ZIP sorgente vengono aggiornati, PolicyPak Remote Work Delivery Manager mantiene automaticamente aggiornati i file di destinazione; non sono richieste ulteriori policy o interazioni.

PolicyPak Remote Work Delivery Manager è il modo più efficace per i clienti di PolicyPak di distribuire file e software una volta e mantenerli aggiornati su macchine Windows 10 sia dentro che fuori dalla rete aziendale.

PolicyPak Scripts Manager

PolicyPak Scripts Manager è un altro modo di utilizzare PolicyPak per distribuire software. PolicyPak Scripts Manager eseguirà uno script a tua scelta. Tale script potrebbe essere qualcosa che copia file o scarica qualcosa da una fonte arbitraria. Dopodiché, una volta copiati i file, puoi eseguire un processo di installazione o uno script, il che è simile a come PolicyPak Remote Work Delivery Manager può eseguire un processo di installazione o uno script dopo il completamento di un lavoro di download.

Puoi vedere come facciamo questo in breve nella Figura 11.

Figura 11: Esecuzione di un'installazione scriptata Evergreen da una fonte di download del fornitore.

Detto ciò, PolicyPak Scripts Manager non possiede le capacità integrate di PolicyPak Remote Work Delivery Manager. PolicyPak Scripts Manager non utilizza BITS per il trasferimento intelligente di file di grandi dimensioni, né dispone di filtri complessi o della capacità di eseguire operazioni complesse, ricorsive e filtrate, simili a quelle di “Robocopy”.

Ma PolicyPak Scripts Manager potrebbe essere proprio ciò che serve se si desidera eseguire uno script che installerà il software da una fonte di distribuzione che è già su Internet. Uno dei nostri modi preferiti di utilizzare PolicyPak Scripts Manager è scriptare l'installazione di pacchetti pre-creati da Chocolaty.org. Un altro modo per utilizzare PolicyPak Scripts Manager per distribuire il software è tramite script Evergreen che puntano direttamente alla fonte del fornitore del software e eseguono l'installazione direttamente. Questo è buono per download brevi, ma potrebbe non essere l'ideale quando l'installer è grande, o il computer è a rischio di interrompere e riavviare il trasferimento. (È qui che PolicyPak Remote Work Delivery Manager può aiutare perché utilizza il protocollo BITS.)

Reporting sulla consegna del software

PolicyPak Remote Work Delivery Manager e PolicyPak Scripts Manager si collegano al motore di reporting che già utilizzi per determinare se le tue impostazioni sono state realizzate.

• Per PolicyPak Group Policy Edition, puoi utilizzare sia i Group Policy Results Reports della Group Policy Management Console oppure il PolicyPak Group Policy Compliance Reporter (gratuito).
• Per l'edizione PolicyPak MDM, puoi sfruttare i report del tuo MDM.
• Per la PolicyPak Cloud Edition, puoi sfruttare il sistema di reportistica di PolicyPak Cloud.

Detto ciò, nessuno di questi rapporti può solo dirti se la politica per distribuire il software (o mantenerlo aggiornato) è stata elaborata. Il sistema di reporting non può conoscere lo stato effettivo dell'installazione (successo o fallimento) di un software specifico. Se un reporting approfondito con codici di risultato restituiti è una preoccupazione per te, allora potresti richiedere altri strumenti presenti in questa lista, come PDQ Deploy.

Prossimi passi

Non esiste uno strumento unico in grado di gestire tutte le esigenze di distribuzione del software di tutte le aziende. In questa panoramica volevamo condividere dove ogni strumento può essere utilizzato, in modo che nessun software rimanga non distribuito e tutte le esigenze siano soddisfatte. PolicyPak Scripts Manager e PolicyPak Remote Work Delivery Manager sono inclusi in tutte le edizioni di PolicyPak. Pensiamo che sarai in grado di utilizzarli per gran parte delle tue esigenze di distribuzione del software o per integrare ciò che hai già.