SCCM para equipos Workgroup: parches, inventario y despliegue de EXE en Windows 10/11

¿Gestionar 6000 PCs Windows 10/11 sin dominio? Sí se puede con Configuration Manager (SCCM), pero exige un diseño cuidadoso. En esta guía práctica explico cómo parchear, inventariar y desplegar EXE a equipos workgroup, la arquitectura recomendada, costes y alternativas en cloud.

Índice

Resumen del caso

Necesidad: Parchar Windows 10/11, definir políticas, llevar inventario y distribuir instaladores .exe en ~6000 equipos repartidos en varias sedes.
Pregunta clave: ¿SCCM funciona con clientes workgroup (no unidos a dominio)?
Además: visión de funcionalidades, costes/licenciamiento y opciones de soporte.

Respuesta corta y directa

1) No necesita “comprar un SCCM Patch Management tool”. Configuration Manager ya incluye actualizaciones, inventario, despliegue de aplicaciones, cumplimiento, control remoto y reporting.

2) Sí, SCCM puede administrar equipos en workgroup. Es viable, pero añade complejidad operativa (certificados, instalación del cliente, descubrimiento y asignación de sitio). Con 6000 equipos, evalúe seriamente unir a dominio o un enfoque cloud-first con Intune/Windows Update for Business (WUfB).

Qué puede y qué no puede hacer SCCM con equipos Workgroup

Área	Dominio (AD)	Workgroup
Instalación del cliente	Automatizable por GPO/Client Push/Intune	Manual o por script/gestor software existente
Autenticación	Kerberos/NTLM + HTTP(S)	Recomendado HTTPS/Enhanced HTTP con PKI o CMG
Descubrimiento de equipos/usuarios	Discovery de AD, Colecciones dinámicas	Sin AD; alta por script/registro del cliente
Asignación de sitio	Automática por límites/boundaries de AD/IP	Config explícita, boundaries por IP/Subred
Distribución de contenido	DPs + Peer Cache + DO	Igual, pero planificando HTTPS y cercanía
Control remoto	Plenamente soportado (puertos 2701–2703)	Soportado; cuidar firewall/credenciales locales
Parches (WSUS/SUP)	Soportado (ADR, anillos, ventanas)	Igual; validar certificados y escaneo WUA
Políticas & cumplimiento	Baselines + GPOs si procede	Baselines de SCCM; sin GPOs de dominio

Arquitecturas recomendadas según su contexto

Opción A: SCCM on‑prem (dominio recomendado)

Un Primary Site con SQL dedicado.
Distribution Points (DP) en sedes grandes, LEDBAT activo.
Boundary Groups por subred/sede, reglas de fallback claras.
Ideal si la mayoría de equipos están en LAN/VPN y puede unirlos a dominio.

Opción B: SCCM + Cloud Management Gateway (CMG)

Para equipos work-from-anywhere o sin VPN estable.
Tráfico seguro vía Internet a MP/SUP/DP a través del CMG; evita exponer infraestructura on‑prem.
Coste variable en Azure y certificados; excelente para workgroup.

Opción C: Microsoft Intune + Windows Update for Business (WUfB/Autopatch)

Gestión nativa en cloud, ideal para workgroup o Entra ID (Azure AD) join.
Menos infraestructura, ciclos de parches con anillos y “safeguard holds”.
Puede coexistir con SCCM (co‑management) y migrar por fases.

Diseño técnico para Workgroup con SCCM

Requisitos y principios

Nombre DNS y certificados: use FQDN en roles (MP, DP, SUP). En workgroup, configure HTTPS o Enhanced HTTP y asegure que el cliente confía en los certificados del servidor.
Seguridad: mínimo TLS 1.2, cuentas locales con mínimos privilegios para instalación y tareas.
Contenido cercano: coloque DPs donde haya masa crítica; en sedes pequeñas, combine Peer Cache y Delivery Optimization (DO).

Puertos mínimos (orientativos)

Función	Puerto	Notas
Cliente ⇄ MP/DP	80/443	HTTP/HTTPS para políticas y contenido (preferible 443)
Cliente ⇄ SUP (WSUS)	8530/8531	Escaneo de actualizaciones (HTTP/HTTPS)
Client Notification	10123 TCP	Acciones en tiempo casi real desde consola
Control remoto	2701–2703 TCP	Si habilita el control remoto de SCCM

Boundary Groups y distribución de contenido

Defina límites por subred/IP: ej. 10.10.10.0/24 = Sede A; 10.20.0.0/16 = Sede B.
Asigne DPs cercanos con prioridad alta; active fallback tras 120–240 min para resiliencia.
LEDBAT y limitación en DPs para proteger enlaces WAN.
Peer Cache en cada sede: designe “super peers” con buena conectividad y disponibilidad.
Delivery Optimization (Windows 10/11) para parches y apps, coordinado por SCCM.

Instalación del cliente en equipos Workgroup

Prepare un paquete de instalación con parámetros explícitos. Ejemplo de PowerShell para instalar el cliente apuntando a MP/SUP y habilitando HTTPS (ajuste nombres/FQDN):

$MP = "mp.empresa.local"
$SiteCode = "ABC"
$Args = @(
  "/mp:$MP",
  "SMSSITECODE=$SiteCode",
  "SMSMP=$MP",
  "CCMENABLELOGGING=1",
  "CCMLOGMAXSIZE=5242880",
  "/UsePKICert",
  "/NoCRLChecking"
) -join " "
Start-Process -FilePath "\\dp\ccmsetup\ccmsetup.exe" -ArgumentList $Args -Wait -PassThru

Notas:

En Workgroup no hay Client Push por AD; distribuya este instalador por script, herramienta de software existente o manualmente.
Si usa CMG (gestión por Internet), agregue CCMHOSTNAME=<NombreDelCMG> y certifique la confianza del certificado del CMG en el cliente.
Asegure que el cliente confía en la CA raíz que emitió los certificados del MP/DP/CMG (importe la cadena de confianza).

Comprobaciones y ciclos de cliente

Para forzar sincronizaciones y escaneos desde el cliente:

# Recojo de directivas de equipo
Invoke-WmiMethod -Namespace root\ccm -Class SMS_Client -Name TriggerSchedule `
  -ArgumentList "{00000000-0000-0000-0000-000000000021}"

Escaneo de actualizaciones

Invoke-WmiMethod -Namespace root\ccm -Class SMS\_Client -Name TriggerSchedule \`
-ArgumentList "{00000000-0000-0000-0000-000000000113}"

Forzar evaluación de cumplimiento

Invoke-WmiMethod -Namespace root\ccm -Class SMS\_Client -Name TriggerSchedule \`
-ArgumentList "{00000000-0000-0000-0000-000000000121}"

Revise ccmsetup.log, LocationServices.log, WUAHandler.log, UpdatesDeployment.log, ContentTransferManager.log para diagnóstico.

Software Updates: anillos, ADR y ventanas

SUP/WSUS integrado en SCCM para categorizar, aprobar y distribuir parches.
ADRs (Reglas de Implementación Automática): crean grupos de actualizaciones y despliegues por anillos.
Anillos recomendados:
- Piloto (1–5%): TI + usuarios avanzados.
- Validación (10–20%): unidades de negocio clave.
- Producción: resto, por oleadas semanales.
Ventanas de mantenimiento por sede/franja horaria para reinicios controlados.

Anillo	D+ días tras “Patch Tuesday”	Objetivo de cumplimiento	Excepciones
Piloto	D+1 a D+3	>= 95%	Laboratorios
Validación	D+7	>= 92%	Equipos críticos con ventana restringida
Producción	D+14	>= 90%	Excluidos por cambio programado

Distribución de EXE: parámetros silenciosos y detección

Configure cada aplicación con:

Línea de instalación con silent switch (/S, /silent, /quiet, etc.).
Método de detección fiable (clave de registro, archivo con versión, producto MSI).
Dependencias y pre-requisitos (VC++ runtimes, .NET, drivers).
Programas de desinstalación y rollback.

Ejemplo de script de detección por versión de archivo:

$file = "C:\Program Files\Vendor\App\app.exe"
$minVersion = [Version]"1.2.3.4"
if (Test-Path $file) {
  $ver = (Get-Item $file).VersionInfo.FileVersion
  if ([Version]$ver -ge $minVersion) { exit 0 }
}
exit 1

Ejemplo de detección por registro:

if (Test-Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{PRODUCT-CODE}") { exit 0 } else { exit 1 }

Políticas y cumplimiento (Configuration Baselines)

Endurecimiento de Windows (servicios, claves, Directivas SmartScreen, BitLocker…).
Delivery Optimization: políticas para p2p eficiente.
Comprobaciones de salud (AV activo, versión de agente, espacio en disco, etc.).

Arquitectura sugerida para 6000 equipos en varias sedes

Primary Site único con SQL dedicado (alta disponibilidad opcional).
DPs en sedes > 200–300 equipos; sedes pequeñas: Peer Cache/DO.
Boundary Groups por subred con fallback y afinidad a DPs locales.
CMG si hay equipos remotos/Internet.
Anillos de parches + ADRs por producto (Windows 10/11, Edge, Office, .NET).

Costes y licenciamiento (alto nivel)

Licencias de Configuration Manager para clientes y System Center para servidores/infra.
SQL Server para la base de datos del sitio (licencia por core/SA, según contrato).
Azure si usa CMG (consumo de red/compute y certificados).
El precio depende del contrato y volumen; solicite presupuesto a su reseller o a Microsoft con la cifra objetivo (6000 endpoints).

Alternativa moderna si no habrá dominio

Microsoft Intune + WUfB/Autopatch simplifica la gestión de equipos workgroup o unidos a Entra ID:

Parches: anillos, pausas, “safeguards”, rollback controlado.
Apps: Win32/Multi-arch, dependencias, detección, entregas por DO.
Inventario/Compliance: informes y políticas CSP sin GPOs.
Coexistencia: co‑management con SCCM para migrar gradualmente.

Plan de implementación recomendado

Fase 1 (Semanas 0–2): Preparación

Decidir modelo: (A) dominio, (B) SCCM+CMG, (C) Intune/WUfB.
Diseñar nombres FQDN, certificados y boundary groups.
Dimensionar DPs y almacenamiento de contenido.

Fase 2 (Semanas 3–6): Piloto

Piloto con 100–200 equipos: instalar agente, validar políticas, anillos y distribución.
Medir consumos de ancho de banda con DO/Peer Cache.
Ajustar ventanas de mantenimiento y DP fallback.

Fase 3 (Semanas 7–12): Escalado

Desplegar en oleadas por sede.
Activar CMG para teletrabajo si aplica.
Estandarizar empaquetado de EXE y sus detecciones.

KPIs operativos que importan

Indicador	Objetivo	Cálculo
Cumplimiento de parches (D+14)	≥ 90%	Equipos actualizados / Equipos objetivo
Tiempo medio de distribución	≤ 48 h	Media desde publicación a instalación
Fallos de instalación	< 2%	Instalaciones fallidas / intentos
Inventario actualizado	≥ 98%	Clientes con último heartbeat < 7 días

Riesgos comunes y cómo mitigarlos

Clientes no confían en el MP/SUP (certificados): distribuya la raíz/intermedias y use HTTPS/Enhanced HTTP consistente.
Cuellos de botella en WAN: DPs locales + DO + LEDBAT + programaciones fuera de horario.
Detecciones frágiles de EXE: combine archivo + registro o cree una clave propia en post-instalación.
Reinicios disruptivos: ventanas y notificaciones; posponer en horario laboral.
Diversidad de versiones de Windows: colecciones por versión/edición; ADRs filtradas por clasificación y producto.

Runbook de operación diaria

Lunes: revisión de cumplimiento del anillo Piloto, análisis de top offenders por sede.
Martes (Patch Tuesday): generar ADR piloto, validar instalación en laboratorio.
Miércoles-Jueves: mover a Validación si no hay regresiones, enviar comunicación.
Semana 2: producción por oleadas; seguimiento diario de errores (WUAHandler/UpdatesDeployment).
Mensual: limpieza de grupos de actualizaciones y contenido obsoleto en DPs.

Checklist de despliegue en Workgroup

Roles SCCM con FQDN y certificados: MP, SUP, DP.
Boundary Groups por sede con DP preferido y fallback definido.
Plantilla de instalación del cliente (ccmsetup) probada en 3–5 modelos de hardware.
ADRs por producto (Windows, .NET, Edge, Office) y anillos.
Peer Cache + DO activado y medido.
Baselines de cumplimiento mínimos (AV, BitLocker, DO, telemetría).
Reportes de SSRS/Power BI de cumplimiento e inventario.

Preguntas frecuentes

¿Todos deben ser de dominio para usar SCCM?
No. SCCM soporta workgroup. Requiere más trabajo inicial (certificados, instalación por script) y disciplina operativa.

¿Puedo mezclar SCCM con Intune?
Sí. Co‑management permite que algunas cargas (parches/apps) vivan en Intune y otras en SCCM, migrando por etapas.

¿Cómo reduzco ancho de banda en sedes remotas?
DPs locales donde proceda, Peer Cache en “super peers”, Delivery Optimization y LEDBAT.

¿Cómo distribuyo EXE de forma fiable?
Use switches silenciosos, detección robusta (archivo+registro), dependencias y pruebas por anillo.

¿Necesito PKI?
Recomendable para HTTPS end‑to‑end, sobre todo en workgroup o Internet. Alternativamente, Enhanced HTTP + CMG bien configurado.

¿Qué opciones de soporte tengo?
Canales oficiales de soporte de Microsoft (incidencias y licenciamiento) y un partner local para diseño/implantación.

Conclusión y recomendación

SCCM es plenamente capaz de gestionar parches, inventario y despliegue de EXE en 6000 equipos workgroup. No requiere “herramientas de parcheo” adicionales: lo crítico es el diseño (roles, certificados, límites y distribución), unos anillos de despliegue bien definidos y operación con métricas. Si su organización no va a unir equipos a dominio y tiene presencia significativa fuera de la LAN, combine SCCM + CMG o valore seriamente Intune + WUfB/Autopatch para simplificar y acelerar el tiempo de valor. Con el plan por fases, podrá cubrir parches, políticas, inventario e instalación de EXEs en todas las sedes sin sobredimensionar la infraestructura ni incrementar riesgos.

Dónde ampliar (sin enlaces): documentación oficial de Configuration Manager, guías de licenciamiento de System Center/SQL y canales de soporte de Microsoft.