WSUS : les autres alternatives de chez Microsoft

En matière de gestion des mises à jour Windows, Microsoft ne s’arrête pas à WSUS. En effet, d’autres solutions sont proposées par l’entreprise américaine, notamment des solutions basées sur le Cloud.

L’objectif de ce dernier chapitre est de vous présenter les alternatives à WSUS proposées par Microsoft :

• Microsoft Endpoint Configuration Manager (nouveau nom de « System Center Configuration Manager »)
• Microsoft Intune
• Azure Update Management
• Windows Autopatch

Avant de commencer, sachez qu’il existe également d’autres solutions proposées par des éditeurs tiers. Sur la scène française, il y a la solution « WAPT » éditée par l’entreprise Tranquil IT qui a pour objectif de permettre le déploiement de logiciels, des mises à jour Windows et le déploiement du système d’exploitation.

I. Microsoft Endpoint Configuration Manager

Microsoft Endpoint Configuration Manager (MECM), c’est le nouveau nom de System Center Configuration Manager (SCCM), une solution payante proposée par Microsoft et qui se déploie on-premise, au même titre que WSUS, tout en étant en lien avec Microsoft Intune / Microsoft Endpoint Manager.

MECM est une solution qui s’appuie sur le rôle WSUS en ajoutant des fonctionnalités supplémentaires, et surtout, elle ne s’arrête pas à la gestion des mises à jour. En effet, voici une liste de quelques fonctionnalités de MECM :

• Mise en place d’un portail self-service pour la distribution d’applications auprès de vos utilisateurs
• Distribution d’applications avec rapport sur l’utilisation des applications
• Distribution de configurations (Wi-Fi, VPN, profils messagerie, etc.)
• Gestion centralisée des appareils, que ce soit des postes de travail (Windows, Mac ou Linux), des serveurs ainsi que des appareils mobiles (Windows, iOS, Android)
• Gestion et déploiement automatique des mises à jour et correctifs (principe de WSUS) au travers des règles « Automatic Deployment Rule»
• Déploiement d’images par le réseau
• Inventaire du parc informatique (ainsi que l’activité des clients et un rapport de santé)

Lien vers la solution : Microsoft Endpoint Configuration Manager

II. Microsoft Intune

Microsoft Intune est un service de type « MDM » basé sur le Cloud de Microsoft qui est accessible par l’intermédiaire de licences vendues sous la forme d’abonnements. Ce service est inclus dans certaines licences Microsoft 365 afin de permettre aux entreprises de gérer leurs appareils dans le Cloud, aussi bien les ordinateurs que les mobiles.

WSUS s’installe sur l’infrastructure on-premise de l’entreprise, ce qui implique que le serveur n’est pas joignable depuis l’extérieur, à moins que ce flux soit autorisé sur le réseau de l’entreprise ou que le nécessaire soit fait pour s’appuyer sur le VPN de l’entreprise. Il faut y penser, car ce sera problématique avec les machines nomades, mais aussi avec le télétravail - le travail hybride est à la mode - car si un ordinateur est connecté au réseau de l’entreprise, comment fait-il pour se mettre à jour ?

Microsoft Intune intègre une gestion des mises à jour qui consiste à affecter les ordinateurs à un canal de service spécifique. Par exemple, le canal « semi-annuel », avec la possibilité de définir si l’installation doit être automatique ou non en dehors des heures d’activités. Les mises à jour sont séparées en deux groupes : les mises à jour de qualité, ce qui intègre les patchs de sécurité, et les mises à jour de fonctionnalités.

Il est à noter que Microsoft Intune et Microsoft Endpoint Configuration Manager sont disponibles au travers de la plateforme Microsoft Endpoint Manager (MEM). Si vous disposez des deux solutions, vous bénéficiez d’une co-gestion au travers de Microsoft Endpoint Manager.

Lien vers la solution : Microsoft Intune

III. Azure Automation Update Management

Au sein du Cloud Azure de Microsoft, la brique Azure Automation intègre Update Management, une fonctionnalité qui sert à gérer les mises à jour pour machines virtuelles sous Windows et Linux (CentOS, Oracle Linux, Red Hat Enterprise, SUSE Linux, Ubuntu), aussi bien pour les ressources dans le Cloud que sur des serveurs physiques on-premises.

Ce service de mises à jour s’adresse aux serveurs, et pour cause, il ne prend pas en charge les systèmes d’exploitation « desktop » de Microsoft, notamment Windows 10 et Windows 11. De ce fait, cette solution ne représente pas une alternative complète à WSUS.

Lien vers la solution : Azure Automation Update Management

IV. Windows Autopatch

Windows Autopatch est un nouveau service lancé par Microsoft en juillet 2022, basé sur le Cloud également.

Sur un environnement où Windows Autopatch est actif, l'orchestration des mises à jour sur les ordinateurs de votre organisation est déplacée vers Microsoft. En effet, ce service se charge de la planification de l'ensemble du processus de mise à jour : du déploiement au séquençage (répartition dans le temps du déploiement, notamment par des phases appelées anneaux).

Windows Autopatch est capable de déployer les mises à jour de fonctionnalités, de pilotes et de firmwares pour Windows, ainsi que les mises à jour pour Microsoft 365 Apps, Microsoft Edge et Microsoft Teams. Ainsi, il couvre les principaux produits de Microsoft que l’on retrouve sur les postes de travail.

Comment profiter du service Windows Autopatch ? Pour les clients qui disposent déjà de licences Windows 10 Enterprise E3 ou Windows 11 Enterprise E3 (ou supérieur), Windows Autopatch est utilisable gratuitement.

Ce service s’avère avantageux pour les entreprises qui disposent déjà des licences nécessaires et qui ne souhaitent pas gérer elles-mêmes les mises à jour. Le fait de confier la gestion des mises à jour à Microsoft va certainement effrayer certaines entreprises, car il s’agit d’une partie sensible : une mise à jour défectueuse peut-être à l’origine de nombreux problèmes comme nous l’avons vu à plusieurs reprises par le passé.

Lien vers la solution : Windows Autopatch