Ferramentas de Implantação de Software: SCCM vs Intune vs GPO vs Mais

There are many software deployment tools to deliver software and updates to your endpoints, but just because you have a lot of options doesn’t mean it has to be confusing. You might pick one software deployment tool to do it all, or you might pick several automated software deployment tools depending on your needs. No software deployment tool is a “one size fits all” solution for every company, so in this quick guide, we will help you navigate some of the most popular software deployment tools and give you our advice on which methods to use to deploy software and 3rd party patches.

Aqui está a visão geral do que exploraremos neste documento na Tabela 1.

Tabela 1: Comparação de Ferramentas de Implantação de Software.

Lista de Verificação para Implantação de Software

Se você já está satisfeito com sua própria ferramenta de implantação de software, isso é ótimo. Mas se você não tem como implantar software ou possui algo com o qual não está muito entusiasmado, você deve conferir este guia. Vamos começar investigando as ferramentas de implantação de software on-prem e baseadas na nuvem que você já pode ter.

Ferramentas de implantação de software de gerenciamento on-prem, como MEMCM, LANDesk, KACE, SpiceWorks, Chef, BMC etc.

MEMCM, LANDesk, KACE, SpiceWorks, Chef, BMC e outros são frequentemente integrados em grandes redes. Normalmente, esses sistemas possuem seus próprios engenheiros que não fazem nada além de gerenciar os sistemas, e eles usam os sistemas para implantar software em todos os computadores.

Embora essa configuração organizacional seja adequada, o grupo que gerencia MEMCM (ou sistemas similares) pode ser diferente das pessoas que lidam com a segurança, gerenciamento ou automação do Windows 10. Assim, você pode achar vantajoso realizar algumas instalações de software alternativamente através do PolicyPak Remote Work Delivery Manager.

Also, it is quite common to add on additional software to MEMCM to specifically help manage 3rd party non-Microsoft updates more easily. In Figure 1, you can see where MEMCM has the ability to connect 3rd party paid catalogs.

Figura 1: Como conectar catálogos pagos de terceiros ao MEMCM.

Se você ainda não possui algo assim adquirido e integrado ao MEMCM, recomendamos que confira as alternativas de implantação de software mencionadas mais adiante neste documento. Se você já é um cliente da PolicyPak, o PolicyPak Remote Work Delivery Manager pode ser exatamente o que você precisa para suas necessidades contínuas de instalação de software.

Grandes sistemas de gerenciamento de nuvem, como Microsoft Intune, VMware Workspace One, Citrix Endpoint Manager e qualquer sistema para MSPs que implanta software

Esses grandes sistemas nascidos na nuvem estão tentando assumir onde os grandes sistemas locais param. De fato, agora você pode integrar o MEMCM local com o Intune na nuvem para implantar software.

Dito isso, até sistemas como o Intune têm uma série de limitações. Primeiro, ele não possui uma maneira fácil de implantar o .MSI de um aplicativo e, em seguida, mantê-lo atualizado automaticamente. Em vez disso, você teria que introduzir a próxima versão cada vez que atualizar e aplicar patches.

No entanto, ainda mais importante, o Intune não possui uma maneira direta de implantar aplicativos .EXE (também conhecidos como aplicativos Win32) que realizam instalações de software. Em vez disso, você primeiro precisa empacotá-los em algo que ele possa gerenciar usando a ferramenta Intune Win32 App Packaging & Prep Tool (encontrada aqui ). Este procedimento manual empacota seu .EXE em um arquivo .INTUNEWIN como mostrado na Figura 2.

Figura 2: Utilizando a ferramenta de empacotamento de aplicativos Win32 da Intune para reempacotar um aplicativo Win32/.EXE.

Somente então o software está preparado e pronto para ser implantado com o Intune. Toda vez que você quiser implantar um software ou aplicar patches ao software existente (ou aumentar o número da versão), você precisará realizar os seguintes passos novamente:

• Baixe a nova versão do aplicativo
• Empacote o aplicativo em um arquivo .INTUNEWIN
• Faça o upload do pacote para o Intune
• Implante o aplicativo em suas máquinas Windows 10

Com este método, pode ser uma verdadeira tarefa árdua manter essas máquinas atualizadas com os últimos patches de aplicativos. Por exemplo, se você quiser implantar a versão mais recente do Firefox, deve realizar todos os passos mencionados acima para implantar no Intune conforme mostrado na Figura 3.

Figura 3: Implantando (ou reimplantando) um aplicativo .INTUNEWIN reempacotado.

Com isso dito, um sistema MDM como o Intune realmente possui bons relatórios de resultados. Portanto, pode valer a pena usar o Intune para implantar seus pacotes mais importantes, mas estáticos. No entanto, você pode achar benéfico alternativamente realizar algumas instalações de software e atualizações automáticas através do PolicyPak Remote Work Delivery Manager.

PDQ Deploy (dos nossos amigos da PDQ)

O PDQ Deploy é um excelente sistema on-prem que permite implantar software e relatar os resultados da instalação. O PDQ Deploy está disponível em duas versões: Gratuita e Enterprise. A ferramenta Gratuita é excelente e, em muitos casos, é suficiente para substituir uma grande ferramenta on-prem como MEMCM ou LANDesk. Também é dramaticamente mais barato, pois está disponível tanto em uma versão Gratuita quanto em uma versão Enterprise paga muito custo-efetiva.

Uma lista das diferentes funcionalidades das duas versões pode ser encontrada aqui .

Para aqueles sem uma grande ferramenta de implantação de software on-prem, nós da PolicyPak recomendamos que você use PDQ deploy para as seguintes tarefas principais:

• Instalação inicial da extensão do lado do cliente PolicyPak e atualizações adicionais
• Implantando pacotes complexos como Office, Java ou instalações “aninhadas”
• Sempre que você precisar de relatórios garantidos de sucesso ou falha
• Sempre que você quiser lançamentos programados ou agendados

O PDQ funciona melhor quando as máquinas estão ligadas ao domínio e a fonte dos seus pacotes está em SMB (partilhas Windows padrão). Você também pode usar o PDQ quando conhece a senha local da máquina alvo (como uma alternativa). Também é possível realizar a entrega de software através de uma VPN, mas isso acaba por utilizar a largura de banda da VPN à medida que os endpoints baixam o software sobre SMB.

A versão Enterprise do PQD Deploy vem com conselhos pré-configurados para pacotes de software existentes. Isso permite uma implementação rápida e uma manutenção fácil de alguns pacotes mais complicados. Às vezes, os pacotes de instalação de um fornecedor não são tão fáceis de instalar e implementar como esperado, mas a versão Enterprise do PDQ Deploy pode pegar um pacote difícil e instalá-lo rapidamente. Você pode ver um exemplo da Biblioteca de Pacotes PDQ na Figura 4.

Figura 4: Analisando o Catálogo Enterprise do PDQ Deploy.

Nós aqui na PolicyPak rotineiramente recomendamos o PDQ Deploy para organizações que não querem implementar uma grande ferramenta de implantação de software, como MEMCM, apenas para entregar software às suas máquinas conectadas on-prem e por VPN. O PDQ Deploy é muito leve e tem preço por administrador, e milhares de administradores satisfeitos usam a ferramenta com sucesso.

PolicyPak e PDQ trabalham muito bem juntos em várias áreas. Você deve assistir aos nossos vídeos “melhores juntos” aqui.

Entrega de Arquivos e Software com PolicyPak mais Execução de Script

Os superpoderes do PolicyPak trazem novos recursos para os sistemas on-prem ou em nuvem que você já utiliza. Nesta seção, explicaremos como o PolicyPak pode automatizar ainda mais a entrega do seu software e manter suas máquinas Windows 10 atualizadas. Você pode usar esses recursos do PolicyPak junto com o que já tem ou por si só.

PolicyPak Remote Work Delivery Manager

O objetivo do PolicyPak Remote Work Delivery Manager é copiar arquivos de compartilhamentos locais ou da web e instalar software após esses arquivos serem baixados. O PolicyPak Remote Work Delivery Manager está integrado em todas as edições do PolicyPak: Group Policy Edition, MDM Edition e Cloud Edition (veja a Figura 5). No entanto, o PolicyPak Remote Work Delivery Manager funciona de maneira diferente das ferramentas mencionadas acima e é destinado para diferentes cargas de trabalho.

Figura 5: PolicyPak Remote Work Delivery Manager para Group Policy e MDM.

O PolicyPak Remote Work Delivery Manager pode copiar quaisquer arquivos (incluindo .MSIs, .EXEs e outros) de compartilhamentos SMB (compartilhamentos padrão do Windows) ou compartilhamentos baseados na web (como Amazon S3, Dropbox, Azure Blob storage e mais), conforme mostrado na Figura 6.

Figura 6: Use compartilhamentos SMB ou baseados na web para a fonte de instalação do seu arquivo.

Um dos principais casos de uso para o PolicyPak Remote Work Delivery Manager é implantar novos softwares em máquinas que não estão unidas ao domínio através da Internet. Isso é para atender a equipe que trabalha de casa ou remotamente e é uma combinação perfeita quando os clientes do PolicyPak o utilizam com o PolicyPak Cloud, conforme mostrado na Figura 7.

Figura 7: PolicyPak Remote Work Delivery Manager em uso com PolicyPak Cloud.

Quando os usuários estão remotos e usam PolicyPak Cloud Edition ou PolicyPak MDM Edition (ou mesmo on-prem ou via VPN com PolicyPak Group Policy Edition), softwares e outros arquivos são baixados usando o protocolo (quase mágico) Background Intelligent Transfer Service (BITS) do Windows 10. O seguinte é retirado da documentação do BITS here.

O Background Intelligent Transfer Service (BITS) é utilizado por programadores e administradores de sistemas para baixar arquivos de ou enviar arquivos para servidores web HTTP e compartilhamentos de arquivos SMB. O BITS leva em consideração o custo da transferência, bem como o uso da rede, de modo que o trabalho em primeiro plano do usuário seja o menos impactado possível. O BITS também gerencia interrupções de rede, pausando e retomando automaticamente as transferências, mesmo após um reinício.

Porque o PolicyPak tira proveito do BITS, mesmo que downloads grandes sejam interrompidos, talvez devido a desligar um desktop, fechar a tampa de um laptop ou mudar de redes de on-prem para casa, então o BITS continuará de onde parou. Isso significa que você pode baixar arquivos muito grandes com confiança e depois trabalhar neles após o download estar completamente realizado e na máquina alvo.

O PolicyPak Remote Work Delivery Manager pode baixar esses arquivos tanto de compartilhamentos SMB locais (por Ethernet, Wi-Fi ou VPN) quanto de compartilhamentos web (Amazon S3, Dropbox ou Azure Blob storage). O PolicyPak Remote Work Delivery Manager iniciará o download a partir desse ponto de origem e normalmente evitará qualquer uso da largura de banda da VPN. Portanto, é ideal para cenários de trabalho remoto e home office onde não se pode garantir conexões VPN e quando não se deseja utilizar a largura de banda da VPN para baixar o software.

O PolicyPak Remote Work Delivery Manager não é necessariamente para substituir softwares como MEMCM, Intune ou PDQ deploy em todas as circunstâncias. Mas se você tem necessidades modestas para implantar software e mantê-lo automaticamente atualizado, então o PolicyPak Remote Work Delivery Manager pode fornecer isso para muitas situações usando compartilhamentos SMB ou baseados na web.

Por exemplo, para implantar o 7Zip pela primeira vez, direcione sua fonte para a versão que deseja iniciar. Neste caso, eu renomeei o instalador da versão 16 do 7Zip para 7z.msi conforme mostrado na Figura 8.

Figura 8: Utilizando a política do PolicyPak Remote Work Delivery Manager para implantar uma versão inicial do 7Zip.

Então, o 7Zip 16 é instalado nos endpoints conforme esperado, conforme visto na Figura 9.

Figura 9: O 7Zip é instalado a partir da política do PolicyPak Remote Work Delivery Manager; fazendo o download do software a partir de um compartilhamento SMB ou baseado na web.

Então, para realizar uma atualização e aplicar o patch do 7Zip 16 para 19 no compartilhamento subjacente, substitua o 7z.msi subjacente pela versão mais recente (17, 18, 19, etc.). O PolicyPak automaticamente entrará em contato com a fonte, verá que uma nova versão está presente, baixará o patch atualizado e atualizará automaticamente. Não é necessário tempo adicional e nada precisa ser redistribuído para qualquer console. Com os passos realizados no PolicyPak Remote Work Delivery Manager, as atualizações agora ocorrem como por magia. O resultado final após trocar a versão do 7z.msi de 16 para 19 é mostrado na Figura 10.

Figura 10: O PolicyPak Remote Work Delivery Manager atualiza automaticamente o software sem necessidade de reinstalação ou interação do usuário.

Além de copiar arquivos e executar um processo para instalá-los, o PolicyPak Remote Work Delivery Manager também resolve alguns outros desafios que o outro software mencionado neste documento não tenta resolver. Por exemplo, o PolicyPak Remote Work Delivery Manager possui uma função especial que é muito semelhante à popular ferramenta do Windows 10, Robocopy. Ou seja, ele oferece a capacidade de especificar o seguinte: a fonte e quais arquivos copiar, a profundidade do diretório (incluindo diretórios recursivos) e uma miríade de filtros (tamanho, data, última modificação, etc.) Nenhuma das outras ferramentas que mencionamos acima está tentando assumir essa tarefa.

O PolicyPak Remote Work Delivery Manager também permite que o administrador especifique um arquivo de arquivo (um arquivo .ZIP). Esse arquivo .ZIP pode ser automaticamente baixado e descompactado para o usuário final. Se o conteúdo do arquivo .ZIP de origem for atualizado, o PolicyPak Remote Work Delivery Manager mantém os arquivos de destino automaticamente atualizados; nenhuma política adicional ou interação são necessárias.

PolicyPak Remote Work Delivery Manager é a maneira mais eficaz para os clientes da PolicyPak implantarem arquivos e softwares uma vez e mantê-los atualizados em máquinas com Windows 10 dentro e fora da rede corporativa.

PolicyPak Scripts Manager

PolicyPak Scripts Manager é outra forma de usar o PolicyPak para implantar software. O PolicyPak Scripts Manager executará um script de sua escolha. Esse script pode ser algo que copie arquivos ou faça download de algo de uma fonte arbitrária. Então, após os arquivos serem copiados, você pode executar um processo de instalação ou script, o que é semelhante a como o PolicyPak Remote Work Delivery Manager pode executar um processo de instalação ou script após a conclusão de um trabalho de download.

Você pode ver como fazemos isso resumidamente na Figura 11.

Figura 11: Realizando uma instalação script Evergreen a partir de uma fonte de download do fornecedor.

Dito isso, o PolicyPak Scripts Manager não possui as capacidades integradas do PolicyPak Remote Work Delivery Manager. O PolicyPak Scripts Manager não utiliza BITS para a transferência inteligente de arquivos grandes, nem possui os filtros complexos ou a capacidade de realizar operações complexas, recursivas e filtradas, semelhantes ao “Robocopy”.

Mas o PolicyPak Scripts Manager pode ser exatamente o que você precisa se quiser executar um script que instalará software a partir de uma fonte de distribuição que já está na Internet. Uma das nossas maneiras favoritas de usar o PolicyPak Scripts Manager é para scriptar a instalação de pacotes pré-criados do Chocolaty.org. Outra maneira de usar o PolicyPak Scripts Manager para implantar software é através de scripts Evergreen que apontam diretamente para a fonte do fornecedor do software e realizam a instalação diretamente. Isso é bom para downloads curtos, mas pode não ser ideal quando o instalador é grande, ou o computador está em risco de parar e reiniciar a transferência. (É aí que o PolicyPak Remote Work Delivery Manager pode ajudar, pois utiliza o protocolo BITS.)

Relatórios sobre Entrega de Software

O PolicyPak Remote Work Delivery Manager e o PolicyPak Scripts Manager se conectam com o motor de relatórios que você já usa para determinar se suas configurações foram realizadas.

• Para a PolicyPak Group Policy Edition, você pode usar tanto os Relatórios de Resultados de Política de Grupo do Group Policy Management Console quanto o PolicyPak Group Policy Compliance Reporter (gratuito) da PolicyPak.
• Para a PolicyPak MDM Edition, você pode aproveitar os relatórios do seu MDM.
• Para a PolicyPak Cloud Edition, você pode aproveitar o sistema de relatórios PolicyPak Cloud.

Dito isso, qualquer um desses relatórios só pode informar se a política para entregar o software (ou mantê-lo atualizado) foi processada. O sistema de relatórios não pode saber o status real da instalação (sucesso ou falha) de nenhum software específico. Se relatórios detalhados com códigos de resultado retornados são uma preocupação para você, então você pode precisar de outras ferramentas desta lista, como PDQ Deploy.

Próximos Passos

Não existe uma única ferramenta que possa atender a todas as necessidades de implantação de software de todas as empresas. Nesta visão geral, queríamos compartilhar onde cada ferramenta pode ser usada, para que nenhum software fique sem ser implantado e todas as necessidades sejam atendidas. PolicyPak Scripts Manager e PolicyPak Remote Work Delivery Manager vêm com todas as edições do PolicyPak. Acreditamos que você será capaz de usá-los para grande parte das suas necessidades de implantação de software ou complementar o que você já tem.