Microsoft a effectivement annoncé la fin de Windows Server Update Services (WSUS), et cela pousse les entreprises à envisager d’autres solutions pour la gestion des mises à jour des systèmes Windows. Dans cet articles nous allons voir les avantages des différentes solutions alternatives à WSUS.

1. Microsoft Endpoint Manager (Intune)

Evidemment Microsoft recommande fortement de migrer vers Microsoft Intune, qui fait partie de la suite Microsoft Endpoint Manager. Il s’agit d’une solution cloud qui permet la gestion des mises à jour, des appareils et des applications sur des environnements Windows, macOS, iOS, et Android.

Avantages :

• Gestion centralisée via le cloud.
• Capacité à gérer des appareils mobiles (MDM) et des PC (intégration avec Autopilot et Microsoft 365) ainsi que des postes Linux, Mac.
• Mises à jour automatiques et déploiements basés sur des stratégies définies.
• Intégration avec Microsoft Defender pour la sécurité des points de terminaison.

2. Windows Update for Business (WUfB)

Windows Update for Business est une autre solution de Microsoft, conçue pour automatiser les mises à jour des appareils Windows, en particulier pour les environnements de type PME ou grands comptes. WUfB offre plus de contrôle sur les mises à jour, permettant de définir des anneaux de mise à jour, des périodes de déploiement différé, et des stratégies de maintenance automatique.

Avantages :

• Pas besoin d’infrastructure on-premises, tout se fait via le cloud.
• Contrôle granulaire des déploiements (périodes de différé, anneaux de mise à jour).
• Réduit la charge administrative par rapport à WSUS.

3. System Center Configuration Manager (SCCM)

Pour les organisations qui souhaitent garder une gestion on-premises, SCCM (aussi appelé Microsoft Endpoint Configuration Manager) reste une option solide, bien que rapidement couteuse en fonction du nombre de machines à maintenir (en dessous d’un certain volume cela n’est pas très intéressant). SCCM permet une gestion complète des mises à jour Windows, mais également des applications, des correctifs de sécurité, et d’autres tâches de gestion d’appareils.

Avantages :

• Solution on-premises, idéale pour les environnements avec des besoins spécifiques.
• Gestion avancée des correctifs et des mises à jour.
• Peut être intégré à Intune pour une gestion hybride (cloud + on-premises).

4. Third-party Patch Management Tools

Il existe plusieurs outils tiers spécialisés dans la gestion des correctifs et des mises à jour qui peuvent servir de remplacement à WSUS. Ces solutions offrent souvent une compatibilité multi-plateforme et des fonctionnalités supplémentaires.

Exemples de solutions tierces :

• Ivanti Patch Management : Gestion centralisée des correctifs pour plusieurs plateformes.
• ManageEngine Patch Manager Plus : Multi-plateforme et supporte une large gamme d’applications tierces.
• SolarWinds Patch Manager : Outil de gestion des correctifs pour environnements Windows et d’autres applications.

5. Azure Update Management

Azure Update Management est une autre option intéressante si vous avez des machines virtuelles (VM) dans Azure ou même des serveurs on-premises hybrides. Cette solution permet de gérer les mises à jour de systèmes d’exploitation sur des machines Windows et Linux via le cloud Azure.

Avantages :

• Gestion dans le cloud des environnements Windows et Linux.
• Peut être utilisé pour des infrastructures hybrides (Azure/on-premises).
• Intégré dans la suite de gestion Azure, facilitant l’automatisation et les rapports.

6. Azure ARC

Azure Arc permet d’étendre la gestion des services Azure à des serveurs physiques et virtuels, qu’ils soient hébergés on-premises ou dans d’autres clouds (AWS, Google Cloud, etc.) pour la gestion des mises à jour. Il offre un contrôle centralisé pour les politiques de mise à jour, la gestion des correctifs et la sécurité, similaire à ce que l’on trouve dans Azure, mais avec une portée beaucoup plus large.

Avec Azure ARC, vous pouvez gérer des machines Windows & Linux situées dans n’importe quel environnement, tout en utilisant des services comme Azure Update Management pour automatiser les mises à jour et les correctifs.

Avantages :

• Centralisation : Gérez des environnements multi-cloud et on-premises depuis un portail unique.
• Flexibilité : Compatible avec des systèmes hors Azure, facilitant la gestion unifiée des infrastructures hybrides.
• Sécurité et conformité : Assurez une application cohérente des correctifs et des stratégies de sécurité sur tous vos environnements.

En Conclusion

La fin de WSUS marque une transition vers des solutions de gestion de mises à jour plus modernes et flexibles, principalement basées sur le cloud. Microsoft Intune et Windows Update for Business sont des alternatives fortement recommandées par Microsoft, tandis que SCCM reste une option solide pour ceux qui préfèrent rester dans un environnement on-premises. Pour ceux qui souhaitent une solution plus spécialisée, des outils tiers comme Ivanti ou ManageEngine peuvent également être explorés. Azure ARC sera lui particulièrement intéressant si vous cherchez à unifier la gestion de vos infra multi-cloud ou hybrides en intégrant vos serveurs dans des workflows de gestion de mises à jour, permettant ainsi une fléxibilité et une potée étendues en comparaison à des solutions exclusivement cloud ou locales.

Hope this helps,

Hi folks,

Chaque semaine, vous entendez parler d’accronyme, pas forcément évident de savoir à quoi rattacher les MFA, PIM, PAM, MIM, MAM, MDM, etc. … Donc pas trop de technique pour l’instant mais du jargon

Je vous propose un petit tour de définition qui peut-être utile

MFA – Multi-Factor Authentication

Un classique, c’est de la double authentification permettant au système de s’assurer que vous êtes bien qui vous dites être (oui oui relire plusieurs fois cette phrase aide). Cela permet d’identifier une personne, un device, une application voir une localisation. C’est une combinaison de facteur permettant un trust et vérifier qui vous êtes.

Le MFA, peut-être un code SMS, un code application, PIN, une clé biométrique, voir une clé de password (FIDO par exemple). La combinaison de votre login password et de cette seconde clé forme le MFA.

PIM – Privileged Identity Management

PIM est utilisé pour attribuer, activer et approuver des identités privilégiées dans Azure AD. PIM fournit une activation de rôle basée sur le temps et l’approbation pour rédire les risques d’autorisations d’accès aux ressources sensibles.

Par exemple : Le support doit avoir accès aux informations de votre tenant, OK mais que pour 10mn. Au dela le système coupe les accès.

Les principales fonctions de PIM :

• Accès privilégié just-in-time à Azure AD et aux ressources Azure.
• Accès limité dans le temps aux ressources.
• Processus d’approbation pour activer les rôles privilégiés (admin par ex.)
• Forcer le MFA
• Justification des demandes d’accès (un peu comme dans SharePoint quand vous n’avez pas accès).
• Notifier lorsque les rôles sont activés.
• Participer aux revus d’accès internes / externes lors d’audit.

PAM – Privileged Access Management

Souvent on confond les PIM et PAM (POUM est toujours pas là #ahah)

PAM permet de gérer les identités de manière locale (OnPremise) PAM est un morceau de PIM qiu utilise MIM.

PAM vous sera utile pour :

• Rendre plus difficile l’accès à l’administration, au réseau et à des comptes avec de grand privilèges pour un hacker.
• Ajouter une protection aux groupes privilégiés qui contrôlent l’accès aux ordinateurs joints à un domaine et aux applications sur ces ordinateurs.
• Fournir une surveillance, et des contrôles afin de voir/suivre qui sont leurs administrateurs (avec de grands privilèges) et ce qu’ils font.

PAM vous permettra de mieux comprendre comment les comptes administrateurs sont utilisés.

MIM – Microsoft Identity Manager

MIM, c’est quoi dans tout ce truc là ? Microsoft Identity Manager

Il va vous aider à gérer les utilisateurs et les environnements hybrides. MIM vous simplifiera la gestion du cycle de vie des identités grâce à des flux de travail automatisés, des règles métier et une intégration aux plates-formes.

MIM permet d’appliquer les droits AD aux utilisateurs pour des applications locales. Azure AD Connect peut ensuite rendre ces utilisateurs et autorisations disponibles dans Azure AD pour Office 365 et les applications hébergées dans le cloud.

Petit récap ?

• PIM est une fonctionnalité permettant de gérer les identités dans Azure AD.
• PAM est une fonctionnalité locale permettant de gérer les identités dans Active Directory.
• MIM aide à gérer les utilisateurs, les informations d’identification, les stratégies et l’accès local.

MAM – Mobile Application Management

MAM est un élément important car si les entreprises ne peuvent gérer que les identités, mais pas les applications, elles passent à côté d’un aspect clé de la protection des données.

MAM est connecté à une fonctionnalité Microsoft appelée Microsoft Intune et est une suite de fonctionnalités de gestion permettant de publier, d’envoyer, de configurer, de sécuriser, de surveiller et de mettre à jour des applications mobiles pour les utilisateurs.

MAM fonctionne avec ou sans enrollment de l’appareil, ce qui signifie que les organisations peuvent protéger les données sensibles sur presque tous les appareils à l’aide de MAM-WE (without enrollment). Si les entreprises activent l’authentification multifactorielle, elles peuvent vérifier quel est l’utilisateur sur l’appareil. MAM permet de gérer les applications auxquelles l’utilisateur peut avoir accès.

Si vous ajoutez la fonctionnalité Gestion des appareils mobiles ou MDM d’Intune, vous pouvez forcer l’inscription des appareils, puis utiliser MAM pour gérer les applications.

Hope this helps !

Stay tuned & safe