In Windows 10 stellte Microsoft die Verteilung von OS-Updates auf ein neues System um, das die Größe der heruntergeladenen Patches reduziert und zudem weitere Vorteile bietet. Anwendern von WSUS und Configuration Manager blieben diese aber bisher vorenthalten. UUP on-prem ist nun als Preview und ab 2023 allgemein verfügbar.
Microsofts Endpoint Configuration Manager (MECM) ist ein komplexes Tool. Seine Installation erfordert eine genaue Planung sowie mehrere Vorarbeiten. Dazu zählen die Dimensionierung des Servers und der Laufwerke, die Erweiterung des AD-Schemas, die Einrichtung von Konten und Server-Rollen.
Eine regelmäßige Wartung ist von zentraler Bedeutung für die Sicherheit des Active Directory. Dazu gehört das Aufspüren und Korrigieren von Konten, die kein Passwort benötigen bzw. das nie abläuft, oder von verwaisten Accounts. Eine einfache Möglichkeit dafür bietet die Kombination aus Specops Password Auditor und PowerShell.
Microsoft empfiehlt Anwendern schon heute, für das Patchen des Betriebssystems Windows Update for Business (WUfB) statt WSUS zu nutzen. Dieses Feature verwehrt Admins jedoch wichtige Steuerungsmöglichkeiten. Der neue Deployment Service erweitert WUfB nun um Genehmigungen und zeitgesteuerte Updates.
Microsofts Endpoint Manager kombiniert SCCM (jetzt: Endpoint Configuration Manager) mit dem Cloud-Service Intune. Er sieht ein Co-Management für Windows-10-PCs vor, für das man die lokale MECM-Infrastruktur und Intune koppelt. Wer von beiden Aufgaben übernimmt, kann der Admin festlegen.
Microsoft gab bekannt, dass es das Co-Management von SCCM und Intune weiter ausbauen werde. Dies schlägt sich in einem gemeinsamen Namen für die beiden Tools sowie in einer vereinfachten Lizenzierung nieder. Zu Endpoint Manager gehören außerdem Desktop Analytics und Device Management Admin Center.
Microsoft veröffentlichte die Preview 18990 für Windows 10 20H1. Die Neuerungen für das Betriebssystem fallen gering aus, aber interessant ist die ergänzende Ankündigung, dass Pre-Releases für Windows 10 künftig über WSUS kommen. Sie sollen vorerst monatlich erscheinen und später dem Insider Slow Ring folgen.
System Center Update Publisher (SCUP) ist ein kostenloses Tool von Microsoft, das Software-Kataloge sowie Definitions- und Software-Updates von Drittanbietern an einen WSUS-Server übergibt. Anschließend kann die Software-Komponente im Configuration Manager diese Updates weiterverarbeiten.
Mit der Freigabe der Version 1903 von Windows 10 und Windows Server fügte Microsoft ein jeweils eigenes Produkt für sie in WSUS hinzu. Wenn Admins dieses nicht aktivieren, erhalten diese Betriebssysteme keine Updates. Anwender des Configuration Manager müssen zudem auf die neueste Version wechseln.
SCCM verfügt über interne Prozesse, mit denen sich das System selbst warten kann. Einige davon sorgen dafür, dass der Configuration Manager weiterhin performant funktioniert. Darüber hinaus kann man mit einer solchen Task periodisch ein Backup der SCCM-Konfiguration erstellen. Sie ist per Vorgabe deaktiviert.
Für ein zentrales Management seiner Laufwerksverschlüsselung bot Microsoft bisher nur BitLocker Administration and Monitoring (MBAM) an, das aber länger kein Update mehr sah. Die meisten seiner Funktionen wandern demnächst in den SCCM. Zusätzlich soll künftig auch Intune in der Lage sein, Bitlocker zu verwalten.