Microsofts Endpoint Configuration Manager (MECM) ist ein komplexes Tool. Seine Installation erfordert eine genaue Planung sowie mehrere Vorarbeiten. Dazu zählen die Dimensionierung des Servers und der Laufwerke, die Erweiterung des AD-Schemas, die Einrichtung von Konten und Server-Rollen.
Microsoft empfiehlt Anwendern schon heute, für das Patchen des Betriebssystems Windows Update for Business (WUfB) statt WSUS zu nutzen. Dieses Feature verwehrt Admins jedoch wichtige Steuerungsmöglichkeiten. Der neue Deployment Service erweitert WUfB nun um Genehmigungen und zeitgesteuerte Updates.
Die MMC-basierten Tools für das Active Directory sind primär dafür gedacht, einzelne Konten, Gruppen oder OUs interaktiv zu bearbeiten. Für Bulk-Operationen, wiederkehrende Aufgaben oder das Reporting sind sie jedoch schlecht geeignet. PowerShell ist daher das Bordmittel der Wahl, um das AD-Management zu automatisieren.
Microsofts Endpoint Manager kombiniert SCCM (jetzt: Endpoint Configuration Manager) mit dem Cloud-Service Intune. Er sieht ein Co-Management für Windows-10-PCs vor, für das man die lokale MECM-Infrastruktur und Intune koppelt. Wer von beiden Aufgaben übernimmt, kann der Admin festlegen.
Microsoft gab bekannt, dass es das Co-Management von SCCM und Intune weiter ausbauen werde. Dies schlägt sich in einem gemeinsamen Namen für die beiden Tools sowie in einer vereinfachten Lizenzierung nieder. Zu Endpoint Manager gehören außerdem Desktop Analytics und Device Management Admin Center.
Microsoft veröffentlichte die Preview 18990 für Windows 10 20H1. Die Neuerungen für das Betriebssystem fallen gering aus, aber interessant ist die ergänzende Ankündigung, dass Pre-Releases für Windows 10 künftig über WSUS kommen. Sie sollen vorerst monatlich erscheinen und später dem Insider Slow Ring folgen.
System Center Update Publisher (SCUP) ist ein kostenloses Tool von Microsoft, das Software-Kataloge sowie Definitions- und Software-Updates von Drittanbietern an einen WSUS-Server übergibt. Anschließend kann die Software-Komponente im Configuration Manager diese Updates weiterverarbeiten.
Mit der Freigabe der Version 1903 von Windows 10 und Windows Server fügte Microsoft ein jeweils eigenes Produkt für sie in WSUS hinzu. Wenn Admins dieses nicht aktivieren, erhalten diese Betriebssysteme keine Updates. Anwender des Configuration Manager müssen zudem auf die neueste Version wechseln.
SCCM verfügt über interne Prozesse, mit denen sich das System selbst warten kann. Einige davon sorgen dafür, dass der Configuration Manager weiterhin performant funktioniert. Darüber hinaus kann man mit einer solchen Task periodisch ein Backup der SCCM-Konfiguration erstellen. Sie ist per Vorgabe deaktiviert.
Für ein zentrales Management seiner Laufwerksverschlüsselung bot Microsoft bisher nur BitLocker Administration and Monitoring (MBAM) an, das aber länger kein Update mehr sah. Die meisten seiner Funktionen wandern demnächst in den SCCM. Zusätzlich soll künftig auch Intune in der Lage sein, Bitlocker zu verwalten.
Wie alle Microsoft-Produkte erhält auch der Configuration Manager regelmäßig Hotfixes und Updates. Hinzu kommen wie bei Windows 10 halbjährliche Feature-Updates durch das neue Service-Modell. Es liegt nahe, dass SCCM sein eigenes Patch-Management nutzt, um die Updates einzuspielen.