Endpoint Manager & „the cloud based WSUS“
Client Management via 100% Cloud – können wir! Grundsätzlich sind unsere Erfahrungen mit dem Wechsel von OnPremise-Lösungen (z.B. Microsoft SCCM) hin zu „modern client management“ mittels Microsoft Intune / Endpoint Manager sehr gut. Innerhalb der letzten Jahre hat sich seitens Microsoft viel bewegt, sodass auch die anspruchsvolleren Anforderungen bereits heute durch Cloud-Technologien zu realisieren sind. Das Patchen von Betriebssystem gehört hier ebenfalls dazu – auch, wenn der moderne Ansatz von altbewährten Methoden abweicht.
Was aber tun, wenn IT-Administratoren oder Compliance-Richtlinien auf die gewohnte, tiefgreifende Hoheit der einzelnen Funktionalitäten nicht verzichten können? – oft ein berechtigter Diskussionsgrund. Das von Microsoft empfohlene Windows Update for Business (WUfB) bildet diese Funktionalitäten jedenfalls nicht ab, sodass auf einen Funktionsumfang, wie es beispielsweise der SCCM in Verbindung mit WSUS abbildet, nicht zurückgegriffen werden kann.
- „Wir müssen im Detail wissen, welches Update sich auf welchem Client befindet“
- „Wir müssen Updates und einzelne KB-Nummern erkennen können (Monitoring)“
- „Wir müssen einzelne KB-Nummern erzwingen oder blockieren können“
Was also tun? Ein K.O.-Kriterium für den modernen Weg?
Ein gut durchdachtes Update-Konzept mittels Update-Rings (Verteilerringe) ist zwar zu empfehlen, kommt aber an die altbekannten Funktionen ebenfalls nicht ran.
WUfB Deployment Service
Hier kommt der von Microsoft neu angekündigte WUfB Deployment Service ins Spiel. Dieser soll es zukünftig ermöglichen, Update-Content besser steuern zu können:
- „Genehmigen und planen Sie alle von Windows Update bereitgestellten Windows-Inhalte, einschließlich Funktionsupdates, Qualitätsupdates, Treiber und Firmware“
- Auch das Planen von Update-Bereitstellungen zu bestimmten, vorgegebenen Zeitpunkten auf ausgewählten Clients soll ermöglicht werden.
- Vorkonfigurierte Windows Update for Business-Richtlinien sollen umgangen werden können, um in Notfällen sofort ein Sicherheitsupdate bereitzustellen
Das Preview Release ist noch für die erste Jahreshälfte 2021 angekündigt.
Quelle: Announcing the Windows Update for Business deployment service – Microsoft Tech Community
Intune – Update Compliance
Darüber hinaus lassen sich Monitoring und detailliertere Reportings bereits jetzt mittels Windows Update Compliance realisieren. Wir bedienen uns hier an Informationen, welche wir über Azure Log Analytics auswerten. Auch hierfür ist für den oben erwähnten Deployment Service ebenfalls eine Erweiterung geplant.