Microsoft Endpoint Manager – Patch management

Blog

 
 Marek Honti
 MEM

Při patchování pracovních stanic v enterprise prostředí, vedl dlouhou dobu prim nástoj WSUS od Microsoftu. Pokud pomineme nástroje třetích stran, tak WSUS dostal před léty konkurenta v podobě SCCM, později Intune a v nedávné době pak nástroj Microsoft Endpoint Manager (dále jen MEM), který oba předchozí nástroje integruje do jednoho celku. Pokud používáte MEM, pro správu aktualizací můžete použít jak SCCM, resp. MECM, tak Intune.

Použití SCCM/MECM

V případě, že pro distribuci aktualizací ve vašem prostředí chcete použít SCCM/MECM, je potřeba v SCCM přidat roli Software Update Point (SUP),

img

a nastavit podle potřeby.

img

Pro konfiguraci role je potřeba specifikovat, z jakého zdroje se budou aktualizace stahovat.

img

Také je potřeba nastavit klasifikaci aktualizací. Sice záleží na prostředí, ale naprostý základ je Security, Critical a Updates a produkty, které chcete patchovat – typicky OS, Office, Edge atd.

img

img

Je třeba nastavit synchronizaci, “supersedence“ (tzn. jak dlouho ponechat v nabídce aktualizaci, která už byla označena jako “expired“/“superseded“), jazyky apod.

Po instalaci a konfiguraci stačí spustit synchronizaci aktualizací, jejíž průběh můžete sledovat ve wsyncmgr.logu. V konzoli se pak objeví aktualizace podle nastavení vašeho SUPu. Pro úplnost dodávám, že patche, které zde bezprostředně po synchronizaci uvidíte nejsou stažené aktualizace. Jde zatím pouze o katalog dostupných updatů.

img

Nezapomeňte v nastavení sccm klienta povolit patchovaní z SCCM. Teprve pak můžete začít s testováním.

img

Distribuce aktualizací na klientské počítače probíhá pomocí tzv. Software Update Groups (SUG). SUG není nic jiného, než balík aktualizací, které nasadíte na klientské počítače, přičemž platí, že každá SUG by měla obsahovat maximálně 1000 aktualizací, ale best practice je držet počet aktualizací někde kolem 600/SUG. Toho lze docílit tím, že si SUGy rozdělíte kupříkladu podle verzí OS, budete mít samostatnou SUG pro OS a SW (typicky Office apod.).

img

SUG si můžete vytvářet každý měsíc ručně pomocí filtru…

img

img

… nebo lze použít, a tuto možnost bych upřednostnil, Automatic Deployment Rule (ADR), což vám pravidelné nasazení patchů zautomatizuje podle nastavených pravidel a tím usnadní práci.

img

Použití ADR mohu z praxe určitě doporučit, nicméně je potřeba držet se následujících pravidel. Především se nesmí spustit několik ADR nejednou, jinak spuštění skončí s chybou. Stačí dodržet 15 minutové rozestupy. Nespouštěl bych ale ADR v noci, kdy většinou probíhají SCCM maintenance tasks, které by mohly způsobit havárii ADR. Samozřejmě i zde platí, že SUG má limit max. 1000 aktualizací a tomu je potřeba přizpůsobit počet ADR.

Pokud jde o samotné nasazení na klientské počítače, volil bych nasazení minimálně ve dvou vlnách, ideálně ve třech, tzn. pilot – test – produkce. SCCM deployment umožňuje pokročilé nastavení nasazení včetně použití servisních oken, které se nastavují na úrovni kolekce. Samozřejmostí existuje možnost, nebo spíš povinnost, adminstrátorů, sledovat průběh a úspěšnost instalace aktualizací přímo v konzoli.

Použití Intune

Patch management řízený Intunem je subjektivně jednodušší, zatím ale nabízí méně, než SCCM. Na druhou stranu je třeba říct, že distribuci aktualizací zvládá dobře. Jak sami uvidíte, ve srovnání s SCCM funguje jinak. Pokud chcete distribuovat aktualizace na počítač řízený Intunem, jako první musíte vytvořit tzv. update ring.

img

Nastavíte požadovaný Servicing channel

img

Nastavíte, zda chcete patchovat pouze OS, nebo i ostatní MS produkty, které používáte. Pokud nemáte ještě jiný nástroj pro distibuci updatů, měli byste u položky Microsoft product updates určitě zvolit možnost Allow. Dále máte možnost povolit i update nainstalovaných ovladačů. Sice tuto možnost nedoporučuji, nicméně tu je a někdy se může hodit.

img

img

Pokud potřebujete instalaci odložit, resp. dát MS nějaký čas na stažení nejproblémovějších aktualizací z oběhu, nastavíte zpoždění ve dnech v řádku Quality update deferral period. Stejně tak použijete tuto možnost při vytváření profilů pro pilota a produkci. Například pro pilota nastavíte odklad o 3 – 7 dní, pro produkci pak 14.

img

Pokud se podíváme na další možnosti, tak Feature Update Deferral Period použijete při přípravě updatů na nový build Windows. Na položce Set Feature Update Uninstall Period lze pak nastavit dobu, po kterou se uživatel může vrátit k předchozímu buildu Windows 10.

img

A to je v tuto chvíli vše, co lze v Intune ohledně patchování nastavit. Žádné další filtry, nastavení apod. k dispozici nejsou. Další nastavení najdete až při samotném nasazení. Pak už jen stačí připravený profil nasadit na uživatele, skupiny, nebo zařízení.

Jak sami vidíte, spravovat patch management lze pomocí nástroje MEM několika způsoby. Správa přes Intune je určitě jednodušší, patchovaní přes SCCM je sice o něco složitější, ale zatím je pokročilejší a umožňuje podrobnější nastavení. Pokud tedy máte k dispozici MEM, nelze jednoznačně říct, který způsob upřednostnit, záleží na vašem prostředí a preferencích.

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu