16/12/2024

WSUS : les autres alternatives de chez Microsoft

En matière de gestion des mises à jour Windows, Microsoft ne s’arrête pas à WSUS. En effet, d’autres solutions sont proposées par l’entreprise américaine, notamment des solutions basées sur le Cloud.

L’objectif de ce dernier chapitre est de vous présenter les alternatives à WSUS proposées par Microsoft :

  • Microsoft Endpoint Configuration Manager (nouveau nom de « System Center Configuration Manager »)
  • Microsoft Intune
  • Azure Update Management
  • Windows Autopatch

Avant de commencer, sachez qu’il existe également d’autres solutions proposées par des éditeurs tiers. Sur la scène française, il y a la solution « WAPT » éditée par l’entreprise Tranquil IT qui a pour objectif de permettre le déploiement de logiciels, des mises à jour Windows et le déploiement du système d’exploitation.

I. Microsoft Endpoint Configuration Manager

Microsoft Endpoint Configuration Manager (MECM), c’est le nouveau nom de System Center Configuration Manager (SCCM), une solution payante proposée par Microsoft et qui se déploie on-premise, au même titre que WSUS, tout en étant en lien avec Microsoft Intune / Microsoft Endpoint Manager.

MECM est une solution qui s’appuie sur le rôle WSUS en ajoutant des fonctionnalités supplémentaires, et surtout, elle ne s’arrête pas à la gestion des mises à jour. En effet, voici une liste de quelques fonctionnalités de MECM :

  • Mise en place d’un portail self-service pour la distribution d’applications auprès de vos utilisateurs
  • Distribution d’applications avec rapport sur l’utilisation des applications
  • Distribution de configurations (Wi-Fi, VPN, profils messagerie, etc.)
  • Gestion centralisée des appareils, que ce soit des postes de travail (Windows, Mac ou Linux), des serveurs ainsi que des appareils mobiles (Windows, iOS, Android)
  • Gestion et déploiement automatique des mises à jour et correctifs (principe de WSUS) au travers des règles « Automatic Deployment Rule»
  • Déploiement d’images par le réseau
  • Inventaire du parc informatique (ainsi que l’activité des clients et un rapport de santé)

Lien vers la solution : Microsoft Endpoint Configuration Manager

II. Microsoft Intune

Microsoft Intune est un service de type « MDM » basé sur le Cloud de Microsoft qui est accessible par l’intermédiaire de licences vendues sous la forme d’abonnements. Ce service est inclus dans certaines licences Microsoft 365 afin de permettre aux entreprises de gérer leurs appareils dans le Cloud, aussi bien les ordinateurs que les mobiles.

WSUS s’installe sur l’infrastructure on-premise de l’entreprise, ce qui implique que le serveur n’est pas joignable depuis l’extérieur, à moins que ce flux soit autorisé sur le réseau de l’entreprise ou que le nécessaire soit fait pour s’appuyer sur le VPN de l’entreprise. Il faut y penser, car ce sera problématique avec les machines nomades, mais aussi avec le télétravail - le travail hybride est à la mode - car si un ordinateur est connecté au réseau de l’entreprise, comment fait-il pour se mettre à jour ?

Microsoft Intune intègre une gestion des mises à jour qui consiste à affecter les ordinateurs à un canal de service spécifique. Par exemple, le canal « semi-annuel », avec la possibilité de définir si l’installation doit être automatique ou non en dehors des heures d’activités. Les mises à jour sont séparées en deux groupes : les mises à jour de qualité, ce qui intègre les patchs de sécurité, et les mises à jour de fonctionnalités.

Il est à noter que Microsoft Intune et Microsoft Endpoint Configuration Manager sont disponibles au travers de la plateforme Microsoft Endpoint Manager (MEM). Si vous disposez des deux solutions, vous bénéficiez d’une co-gestion au travers de Microsoft Endpoint Manager.

Lien vers la solution : Microsoft Intune

III. Azure Automation Update Management

Au sein du Cloud Azure de Microsoft, la brique Azure Automation intègre Update Management, une fonctionnalité qui sert à gérer les mises à jour pour machines virtuelles sous Windows et Linux (CentOS, Oracle Linux, Red Hat Enterprise, SUSE Linux, Ubuntu), aussi bien pour les ressources dans le Cloud que sur des serveurs physiques on-premises.

Ce service de mises à jour s’adresse aux serveurs, et pour cause, il ne prend pas en charge les systèmes d’exploitation « desktop » de Microsoft, notamment Windows 10 et Windows 11. De ce fait, cette solution ne représente pas une alternative complète à WSUS.

Lien vers la solution : Azure Automation Update Management

IV. Windows Autopatch

Windows Autopatch est un nouveau service lancé par Microsoft en juillet 2022, basé sur le Cloud également.

Sur un environnement où Windows Autopatch est actif, l'orchestration des mises à jour sur les ordinateurs de votre organisation est déplacée vers Microsoft. En effet, ce service se charge de la planification de l'ensemble du processus de mise à jour : du déploiement au séquençage (répartition dans le temps du déploiement, notamment par des phases appelées anneaux).

Windows Autopatch est capable de déployer les mises à jour de fonctionnalités, de pilotes et de firmwares pour Windows, ainsi que les mises à jour pour Microsoft 365 Apps, Microsoft Edge et Microsoft Teams. Ainsi, il couvre les principaux produits de Microsoft que l’on retrouve sur les postes de travail.

Comment profiter du service Windows Autopatch ? Pour les clients qui disposent déjà de licences Windows 10 Enterprise E3 ou Windows 11 Enterprise E3 (ou supérieur), Windows Autopatch est utilisable gratuitement.

Ce service s’avère avantageux pour les entreprises qui disposent déjà des licences nécessaires et qui ne souhaitent pas gérer elles-mêmes les mises à jour. Le fait de confier la gestion des mises à jour à Microsoft va certainement effrayer certaines entreprises, car il s’agit d’une partie sensible : une mise à jour défectueuse peut-être à l’origine de nombreux problèmes comme nous l’avons vu à plusieurs reprises par le passé.

Lien vers la solution : Windows Autopatch

eBook WSUS sur Windows Server 2022

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

3 commentaires sur “WSUS : les autres alternatives de chez Microsoft

  • Bonjour Florian,

    Avant tout félicitations pour la qualité de vos articles/Tutos/Vidéos !! Ce site m’a beaucoup appris et s’avère être une mine d’or pour l’autodidacte que je suis.
    J’ai suivi à la lettre votre cours « WSUS en entreprise » mais je bloque au chapitre « WSUS HTTPS avec un certificat SSL, pour plus de sécurité ».
    En effet, j’ai le message suivant lors de l’inscription du certificat sur le serveur WSUS à partir de la console mmc :

    Statut : Demande refusée
    Les autorisations sur le modèle de certificat n’autorisent pas l’utilisateur actuel à s’inscrire pour ce type de certificat.
    SRV-PDC-01.mondomaine\mondomaine-SRV-PDC-01.CA
    Refusé par le module de stratégie
    etc etc…

    Je suis pourtant connecté en administrateur domaine sur mes deux serveurs (ADCS et WSUS) et ai suivi toutes vos étapes. Je ne comprends pas.
    Si vous avez une solution, j’aimerais bien aller jusqu’au bout de votre cours.

    Merci.
    Cordialement.
    Frank.

    Répondre
    • Bonjour
      Je viens d’avoir le même message d’erreur en étant connecté comme vous avec le même compte et ça ne veut pas., les droits sont pourtant bons sur le modèle de certifat.
      Si vous avez la solution, je veux bien
      merci

      Répondre
  • Sinon très bel article, une autre alternative (payante) à WSUS est ManageEngine Endpoint Central (anciennement Central Desktop de mémoire) qui est un formidable outil très complet, fait du M2M (et UEM), déploiement d’OS, PMAD, inventaire, déploie des logiciels sans avoir à faire de GPO, rapports sur la sécurité, les vulnérabilités et j’en passe.
    Une de ces fonctionnalité est de remplacer WSUS, il permet de créer des configurations pour définir quand et comment aller les récupérer. Il permet de gérer les mises aussi bien pour Windows que pour d’autres OS (Linux, etc). Et donc pas de WSUS à installer par de GPO à créer 🙂
    Plus d’info chez l’éditeur : https://www.manageengine.com/fr/desktop-central/

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.