Automatisierung und Optimierung der Windows Update
Cloud basierte Update Automatisierung für Clients und Server
Die bisherige WSUS-Infrastruktur stellte eine zunehmend veraltete Lösung dar: Updates mussten manuell genehmigt, verteilt und kontrolliert werden. Dies führte zu einem hohen Administrationsaufwand und potenziellen Sicherheitslücken, da kritische Updates häufig mit Verzögerung installiert wurden. Im neuen Konzept wird die Update-Verteilung vollständig automatisiert, sowohl für 30 Server als auch für rund 80 Clients und unabhängig vom Standort über die Cloud gesteuert.
Vorgehen
Zu Beginn des Projekts wurde die bestehende Update-Infrastruktur detailliert analysiert. Dabei zeigte sich, dass der bisher eingesetzte WSUS-Server durch den hohen manuellen Aufwand und die fehlende Flexibilität den heutigen Anforderungen nicht mehr gerecht wird. Basierend auf dieser Analyse wurden drei Varianten geprüft, darunter klassische On-Premises Lösungen sowie moderne Cloud-Ansätze.
Nach einer technischen und wirtschaftlichen Bewertung fiel die Entscheidung zugunsten einer hybriden Lösung: Microsoft Intune für die Verwaltung der Clients (Co-Management mit bestehendem MECM) und der Azure Update Manager (connected by Azure Arc) für die Server. Diese Integration ermöglicht eine zentrale und automatisierte Steuerung aller Systeme. Ein grosser Vorteil liegt darin, dass sich die Clients nicht mehr im Firmennetzwerk befinden müssen, um Updates zu erhalten. Solange eine Internetverbindung besteht und die Geräte in Intune registriert sind, können sie automatisch mit den neuesten Sicherheitsupdates versorgt und auf aktuelle Windows-Versionen aktualisiert werden. Durch die Co-Management Struktur wurde zudem die Grundlage geschaffen, künftig auch Softwareverteilung und Gerätekonfiguration vollständig über die Cloud zu realisieren.
Im weiteren Verlauf wurde die neue Umgebung Schritt für Schritt aufgebaut und getestet. Dabei lag der Fokus auf einer stabilen, skalierbaren und sicheren Umsetzung: Server-Updates werden nun automatisch in drei Wartungsgruppen verteilt (nach 1 Tag, 4 Wochen und 6 Wochen), während Client-Updates in drei Intune-Ringen (Day 0, Day 7, Day 14) ausgerollt werden. So wird eine kontrollierte Einführung gewährleistet, die Risiken minimiert und Ausfallzeiten vermeidet.
Ergebnis
Mit der neuen Lösung konnte der jährliche Administrationsaufwand um rund 60 % reduziert werden. Server und Client Updates laufen nun automatisiert im Hintergrund, wodurch IT-Mitarbeitende wertvolle Zeit für strategische Projekte gewinnen. Gleichzeitig wurde die IT-Sicherheit deutlich erhöht, da Systeme nun stets aktuell und geschützt bleiben.
Ausblick
Nach Abschluss des Projekts wird die Konfiguration in Intune und Azure Update Manager regelmässig überprüft und bei Bedarf angepasst, um die Stabilität und Aktualität aller Systeme langfristig sicherzustellen.
Durch die eingeführte Co-Management Struktur zwischen MECM und Intune wurde ausserdem eine solide Grundlage für die zukünftige vollständige Cloud-Verwaltung geschaffen. Dies ermöglicht es, künftig auch Softwareverteilung, Richtlinienverwaltung und Gerätekonfiguration vollständig über die Cloud zu realisieren.
Damit ist ein wichtiger Schritt in Richtung einer modernen, skalierbaren und zukunftssicheren IT-Infrastruktur getan, die den Administrationsaufwand reduziert und gleichzeitig mehr Zeit für strategische IT-Projekte schafft.
Cenay Donat
Erfahrene IT System Engineerin mit ausgeprägter Expertise in Microsoft Intune, SCCM, Azure Active Directory und hybriden Cloud Umgebungen.
cenaydonat@outlook.com
