Microsoft Endpoint Manager – Patch management

Při patchování pracovních stanic v enterprise prostředí, vedl dlouhou dobu prim nástoj WSUS od Microsoftu. Pokud pomineme nástroje třetích stran, tak WSUS dostal před léty konkurenta v podobě SCCM, později Intune a v nedávné době pak nástroj Microsoft Endpoint Manager (dále jen MEM), který oba předchozí nástroje integruje do jednoho celku. Pokud používáte MEM, pro správu aktualizací můžete použít jak SCCM, resp. MECM, tak Intune.

Použití SCCM/MECM

V případě, že pro distribuci aktualizací ve vašem prostředí chcete použít SCCM/MECM, je potřeba v SCCM přidat roli Software Update Point (SUP),

a nastavit podle potřeby.

Pro konfiguraci role je potřeba specifikovat, z jakého zdroje se budou aktualizace stahovat.

Také je potřeba nastavit klasifikaci aktualizací. Sice záleží na prostředí, ale naprostý základ je Security, Critical a Updates a produkty, které chcete patchovat – typicky OS, Office, Edge atd.

Je třeba nastavit synchronizaci, “supersedence“ (tzn. jak dlouho ponechat v nabídce aktualizaci, která už byla označena jako “expired“/“superseded“), jazyky apod.

Po instalaci a konfiguraci stačí spustit synchronizaci aktualizací, jejíž průběh můžete sledovat ve wsyncmgr.logu. V konzoli se pak objeví aktualizace podle nastavení vašeho SUPu. Pro úplnost dodávám, že patche, které zde bezprostředně po synchronizaci uvidíte nejsou stažené aktualizace. Jde zatím pouze o katalog dostupných updatů.

Nezapomeňte v nastavení sccm klienta povolit patchovaní z SCCM. Teprve pak můžete začít s testováním.

Distribuce aktualizací na klientské počítače probíhá pomocí tzv. Software Update Groups (SUG). SUG není nic jiného, než balík aktualizací, které nasadíte na klientské počítače, přičemž platí, že každá SUG by měla obsahovat maximálně 1000 aktualizací, ale best practice je držet počet aktualizací někde kolem 600/SUG. Toho lze docílit tím, že si SUGy rozdělíte kupříkladu podle verzí OS, budete mít samostatnou SUG pro OS a SW (typicky Office apod.).

SUG si můžete vytvářet každý měsíc ručně pomocí filtru…

… nebo lze použít, a tuto možnost bych upřednostnil, Automatic Deployment Rule (ADR), což vám pravidelné nasazení patchů zautomatizuje podle nastavených pravidel a tím usnadní práci.

Použití ADR mohu z praxe určitě doporučit, nicméně je potřeba držet se následujících pravidel. Především se nesmí spustit několik ADR nejednou, jinak spuštění skončí s chybou. Stačí dodržet 15 minutové rozestupy. Nespouštěl bych ale ADR v noci, kdy většinou probíhají SCCM maintenance tasks, které by mohly způsobit havárii ADR. Samozřejmě i zde platí, že SUG má limit max. 1000 aktualizací a tomu je potřeba přizpůsobit počet ADR.

Pokud jde o samotné nasazení na klientské počítače, volil bych nasazení minimálně ve dvou vlnách, ideálně ve třech, tzn. pilot – test – produkce. SCCM deployment umožňuje pokročilé nastavení nasazení včetně použití servisních oken, které se nastavují na úrovni kolekce. Samozřejmostí existuje možnost, nebo spíš povinnost, adminstrátorů, sledovat průběh a úspěšnost instalace aktualizací přímo v konzoli.

Použití Intune

Patch management řízený Intunem je subjektivně jednodušší, zatím ale nabízí méně, než SCCM. Na druhou stranu je třeba říct, že distribuci aktualizací zvládá dobře. Jak sami uvidíte, ve srovnání s SCCM funguje jinak. Pokud chcete distribuovat aktualizace na počítač řízený Intunem, jako první musíte vytvořit tzv. update ring.

Nastavíte požadovaný Servicing channel

Nastavíte, zda chcete patchovat pouze OS, nebo i ostatní MS produkty, které používáte. Pokud nemáte ještě jiný nástroj pro distibuci updatů, měli byste u položky Microsoft product updates určitě zvolit možnost Allow. Dále máte možnost povolit i update nainstalovaných ovladačů. Sice tuto možnost nedoporučuji, nicméně tu je a někdy se může hodit.

Pokud potřebujete instalaci odložit, resp. dát MS nějaký čas na stažení nejproblémovějších aktualizací z oběhu, nastavíte zpoždění ve dnech v řádku Quality update deferral period. Stejně tak použijete tuto možnost při vytváření profilů pro pilota a produkci. Například pro pilota nastavíte odklad o 3 – 7 dní, pro produkci pak 14.

Pokud se podíváme na další možnosti, tak Feature Update Deferral Period použijete při přípravě updatů na nový build Windows. Na položce Set Feature Update Uninstall Period lze pak nastavit dobu, po kterou se uživatel může vrátit k předchozímu buildu Windows 10.

A to je v tuto chvíli vše, co lze v Intune ohledně patchování nastavit. Žádné další filtry, nastavení apod. k dispozici nejsou. Další nastavení najdete až při samotném nasazení. Pak už jen stačí připravený profil nasadit na uživatele, skupiny, nebo zařízení.

Jak sami vidíte, spravovat patch management lze pomocí nástroje MEM několika způsoby. Správa přes Intune je určitě jednodušší, patchovaní přes SCCM je sice o něco složitější, ale zatím je pokročilejší a umožňuje podrobnější nastavení. Pokud tedy máte k dispozici MEM, nelze jednoznačně říct, který způsob upřednostnit, záleží na vašem prostředí a preferencích.