Administration : comment bien utiliser Windows Update for Business

3 approches pour gérer les mises à jour de Windows

L’infrastructure de Microsoft pour fournir des mises à jour est efficace, mais le contrôle côté client peut être un peu limité. Les administrateurs disposent de trois méthodes principales pour gérer les mises à jour Windows.

Mises à jour par client. Il s’agit de la configuration de mise à jour standard pour les appareils autonomes ou les clients d’entreprise non gérés. Cette approche n’offre aucun contrôle ni aucune configuration. Cependant, elle nécessite également très peu d’efforts d’administration.

Windows Server Update Services. WSUS est la norme d’entreprise pour la gestion centralisée des mises à jour dans les environnements professionnels depuis la sortie de WSUS 2.0 en 2005. Il offre un contrôle étendu des mises à jour, notamment l’approbation, le blocage et la mise en place des déploiements.

Cependant, WSUS nécessite un effort administratif beaucoup plus important. Il présente l’avantage d’un processus de téléchargement unique qui permet d’économiser de la bande passante, et le contrôle des serveurs de mise à jour en aval dans les succursales est également pratique.

Windows Update for Business. WUfB combine les deux approches dans une approche basée sur le cloud. Chaque appareil client maintient une connexion directe avec Microsoft pour télécharger les mises à jour. Cependant, les administrateurs conservent un contrôle accru sur les mises à jour, à l’aide d’outils de gestion de configuration standard tels que la stratégie de groupe, la gestion des appareils mobiles (MDM) ou un autre fournisseur de services de configuration.

Il existe des outils tiers pour gérer les mises à jour Windows, mais le fait de conserver les ensembles d’outils dans l’écosystème Microsoft présente de nombreux avantages en matière de compatibilité, de licence et de simplicité.

Fonctionnalités et avantages de Windows Update for Business

Windows Update for Business simplifie la gestion des mises à jour à l’aide de fournisseurs de services de configuration familiers. Il permet une approche de mise à jour intégrée au cloud offrant divers avantages par rapport à l’ancien modèle WSUS :

• Gestion des mises à jour basée sur des stratégies pour Windows et les applications Microsoft.
• Contrôle granulaire des déploiements de mises à jour.
• Évite l’utilisation, la configuration et la gestion d’un serveur WSUS sur site.
• Garantit que les appareils sont à jour.

Notez que cette approche inverse les avantages annoncés de WSUS lors de sa sortie. Celui-ci était censé réduire l’utilisation de la bande passante en utilisant une seule action de téléchargement entre le serveur WSUS et Microsoft. Il permettait ensuite aux clients de télécharger les mises à jour sur le réseau local, plutôt que de lancer plusieurs téléchargements sur Internet. Microsoft met désormais l’accent sur la réduction des efforts administratifs en diminuant la dépendance aux serveurs WSUS dédiés pour les appareils clients. La stratégie de groupe demandera à ces systèmes de télécharger les mises à jour directement depuis Microsoft sans maintenir de serveur WSUS pour les clients.

Conditions préalables à Windows Update for Business

Commencez par vous assurer que l’environnement contient les clients pris en charge. Cela ne devrait pas poser de problème pour la plupart des réseaux d’entreprise, mais il est préférable de tout vérifier à l’avance.

• Configuration système requise : Windows 10/11 Pro, Enterprise ou Team.
• Conditions requises pour l’inscription des appareils : les appareils doivent être joints à Azure AD ou à un Azure AD hybride et enregistrés dans Intune MDM, le cas échéant.
• Configuration requise pour les licences : Microsoft 365 Business Premium, Microsoft Enterprise Mobility + Security (EMS), Intune.

En outre, les appareils clients doivent disposer d’un accès au réseau et à Internet pour recevoir les stratégies et télécharger les mises à jour. Les administrateurs devront disposer des privilèges administratifs appropriés pour configurer la stratégie de groupe ou gérer Intune. Enfin, configurez les clients avec Log Analytics et connectez-les à Azure Monitor pour obtenir des rapports détaillés provenant d’Azure et des systèmes sur site. Azure Monitor est un outil essentiel de collecte et d’analyse de données pour la gestion de tous les aspects d’un écosystème Microsoft.

Microsoft destine WUfB à la gestion des clients. Les éditions Windows Server ne sont pas prises en charge. Prévoyez donc de gérer les mises à jour pour ces plateformes à l’aide d’autres mécanismes, notamment Windows Server Update Services, Azure Automation Update Management, ou encore les Paramètres de gestion des mises à jour de stratégie de groupe.

Modèles de stratégie de groupe pour Windows Update for Business

La plupart des administrateurs gèrent probablement les mises à jour Windows à l’aide de la stratégie de groupe. La stratégie de groupe est un moyen simple et fiable de gérer les configurations Windows. Veillez à télécharger et à installer les derniers modèles d’administration de stratégie de groupe pour Windows 11 et 10. La plupart des environnements Active Directory utilisent un magasin central partagé pour ces modèles, donc placez-les à cet emplacement : \\<domaine>\sysvol\<domaine>\policies\PolicyDefinitions.

Le regroupement des systèmes en anneaux de maintenance (ou rings) permet au service informatique de contrôler les déploiements de mises à jour. Les choix courants d’anneaux de maintenance sont les suivants :

Anneau de test. Déploiement immédiat de la mise à jour à des fins de test.

Anneau pilote. Déploiement différé des mises à jour pour des tests en conditions réelles.

Anneau de déploiement. Déploiement approuvé des mises à jour pour tous les appareils.

Chaque anneau dispose de stratégies et de calendriers indépendants pour les déploiements progressifs.

Le service informatique peut créer des anneaux à l’aide du centre d’administration Intune. Accédez à l’option Anneaux de mise à jour sous Appareils, puis sélectionnez Créer un profil. Personnalisez les paramètres, tels que les périodes de report, et attribuez des groupes d’appareils.

Configurer les paramètres de Windows Updates for Business

Une fois les paramètres de stratégie de groupe les plus récents mis en place à l’aide des modèles d’administration, vous pouvez commencer à configurer les appareils clients. Décidez si vous allez utiliser un seul objet de stratégie de groupe (GPO) pour tous les clients du domaine ou plusieurs GPO spécifiques à chaque service pour différentes unités d’organisation (OU). Il est généralement recommandé de créer des GPO qui représentent les cycles de déploiement ou de maintenance dont vous avez besoin, tels que Test, Pilotage et Déploiement. Liez ces GPO aux OU appropriées pour gérer le calendrier de déploiement.

Commencez par créer un nouveau GPO. Liez ce GPO au domaine ou à l’objet OU approprié pour appliquer les paramètres.

1/ Ouvrez la console de gestion des stratégies de groupe.

2/ Cliquez avec le bouton droit sur le nœud Stratégies de groupe et créez un nouvel objet de stratégie de groupe capable de gérer les mises à jour pour le domaine ou l’unité (Figure 1).

3/ Accédez au nœud Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Update > Windows Update pour les entreprises (Figure 2).

4/ Configurez toutes les stratégies. Par exemple, « Sélectionner quand les versions préliminaires et les mises à jour de fonctionnalités sont reçues » et « Sélectionner quand les mises à jour de qualité sont reçues » (Figure 3).

Les administrateurs peuvent reporter les mises à jour des fonctionnalités du système d’exploitation jusqu’à 365 jours. Les mises à jour de qualité, qui concernent principalement les correctifs de sécurité, peuvent être reportées jusqu’à 30 jours. Les administrateurs peuvent suspendre les mises à jour ou modifier les options de report à tout moment. Le service informatique peut également contrôler les stratégies de redémarrage et définir les heures actives pour les mises à jour.

Assurez-vous que l’objet de stratégie de groupe est lié au domaine ou à l’unité d’entreprise appropriée. N’oubliez pas d’attendre que les appareils clients appliquent les stratégies. Vérifiez les paramètres à l’aide de la commande gpresult. Utilisez la commande gpupdate /force pour appliquer manuellement les mises à jour de stratégie.

Le service informatique peut également gérer les mises à jour à l’aide de Microsoft Intune MDM. Cette approche permet une gestion plus efficace des appareils mobiles Windows.

N’oubliez pas que la stratégie de groupe Active Directory ne peut pas gérer les mises à jour des appareils non connectés au domaine. Elle ne gère pas non plus efficacement les appareils non Windows qui peuvent encore exécuter des applications Microsoft. Les services informatiques doivent trouver une autre approche pour gérer ces systèmes.

Gérer les rapports Windows Update for Business

Les administrateurs peuvent accéder aux rapports WUfB pour vérifier l’état des mises à jour. Utilisez ces rapports pour dépanner les appareils ne recevant pas les mises à jour attendues. Ces rapports peuvent être essentiels pour les audits de sécurité et la réponse aux incidents. Veillez donc à les configurer à l’avance, lorsque vous utilisez le portail Azure. Azure peut prendre jusqu’à 24 heures pour générer les rapports initiaux.

Accédez aux rapports à l’aide du portail Azure, puis accédez à l’espace de travail Windows Update for Business Log Analytics afin d’obtenir des informations sur la conformité et les mises à jour.