Windows Server Update Services existe depuis longtemps et constitue l’outil sur lequel s’appuient de nombreux administrateurs pour gérer les mises à jour de Windows. Windows Update for Business (WUfB) est une technologie relativement nouvelle qui fait le même travail mais adopte une approche différente. L’une est-elle mieux adaptée à votre organisation que l’autre ?
Microsoft a lancé Windows Server Update Services (WSUS) en 2005 pour remplacer Software Update Services (SUS). WSUS est toujours entièrement pris en charge et de nombreuses entreprises l’utilisent encore. Au lieu de demander à tous les clients Windows d’aller sur Internet pour télécharger les mises à jour, vous disposez d’un ou plusieurs serveurs WSUS qui centralisent les mises à jour. Ils vous permettent de contrôler les mises à jour à diffuser aux clients.
System Center Configuration Manager (SCCM) – récemment rebaptisé Microsoft Endpoint Configuration Manager – est arrivé et a offert encore plus de contrôle sur les mises à jour de Windows. SCCM ingère les mises à jour téléchargées via WSUS et utilise son propre client pour les déployer, en utilisant les règles définis dans ConfigMgr.
WSUS permet d’automatiser le travail fastidieux des mises à jour Windows
Pendant longtemps, de nombreux administrateurs ont utilisé WSUS de manière essentiellement automatisée. Ils autorisaient toutes les mises à jour au fur et à mesure qu’elles arrivaient, ou bien ils autorisaient immédiatement les mises à jour critiques et de sécurité et retardaient les autres pour les tester. Certains administrateurs se documentaient sur chaque mise à jour, la déployaient dans un groupe de test, puis l’étendaient à la flotte principale. Plus tard, ils appliquaient les correctifs aux appareils anciens et plus sensibles. Il s’agit d’un processus manuel et long à suivre, surtout à une époque où Microsoft publie plusieurs mises à jour à différents moments du mois.
Les administrateurs informatiques sont parfois victimes de bugs dans les mises à jour de Microsoft sur les appareils Windows. Ces problèmes vont de désagréments mineurs au BSOD. Si les mises à jour mensuelles offrent une meilleure stabilité, les administrateurs ont moins de contrôle sur le processus de correction. Microsoft est passé à un modèle de mise à jour cumulative fin 2016 qui a supprimé la possibilité de choisir les mises à jour à installer en publiant plusieurs correctifs dans une seule grande mise à jour.
Pour compliquer encore le processus de mise à jour, Microsoft publie chaque année deux mises à jour de fonctionnalités pour Windows 10 – une au printemps et une autre à l’automne – qui introduisent de nouvelles fonctionnalités. Ces mises à jour de fonctionnalités incluent également toutes les mises à jour précédentes, qui sont les mises à jour de sécurité et les corrections de bugs mensuelles.
Fonctionnement de Windows Update for Business
Windows Update for Business (WUfB) se résume à quelques paramètres de registre sur un PC afin de fournir quelques règles supplémentaires permettant au client de se connecter directement à Windows Update.
Vous contrôlez ces paramètres de registre à l’aide d’un outil de gestion, tel qu’Intune ou par GPO, ou par d’autres méthodes de modification des paramètres de registre, notamment un script. Les contrôles fournis par WUfB sont assez minimes, mais cela peut suffire à certains administrateurs qui préfèrent ne pas gérer les mises à jour de Windows régulièrement.
Comparaison entre WUfB et WSUS
Lorsqu’il s’agit d’appliquer des correctifs aux machines Windows, faut-il s’en tenir à WSUS – et à Endpoint Manager pour les mises à jour, qui nécessite WSUS – ou faut-il passer à WUfB ?
Si vous essayez d’aller vers le cloud autant que possible — ce qui inclut l’utilisation d’outils de gestion basés sur le cloud tels qu’Intune — alors le choix est WUfB, à moins que vous ne décidiez d’exécuter WSUS sur une VM Azure. Examinons les deux possibilités et les raisons pour lesquelles vous pouvez conserver votre configuration WSUS actuelle ou décider de passer à WUfB et de fermer ces serveurs.
Qu’est-ce qui est possible dans WUfB ?
WUfB a quatre paramètres principaux dans la stratégie de groupe. Examinons de plus près chaque paramètre et expliquons ce que chacun offre pour contrôler le déploiement des mises à jour. Pour plus de détails sur le travail avec WUfB et la stratégie de groupe, consultez la documentation de Microsoft.
Sélectionner le moment de la réception des builds et des mises à jour de fonctionnalités
Ces paramètres permettent de sélectionner l’un des quatre rings de mise à jour pour les clients Windows 10 :
- Preview Build – Fast. Ce paramètre fournit des builds avec les dernières fonctionnalités qui ne sont pas encore disponibles pour le public, avec la possibilité de signaler les bugs et de demander des améliorations à Microsoft.
- Preview Build – Slow. Ce paramètre permet d’obtenir des builds avec les dernières fonctionnalités à une vitesse plus lente que le Fast Ring et inclut des corrections de problèmes dans les builds précédents.
- Release Preview. Ce paramètre fournit des versions officielles de Windows avant qu’elles ne soient disponibles au public.
- Semi-annual channel. Ce paramètre permet de diffuser les builds de Windows lorsqu’elles sont disponibles pour le public.
Vous avez la possibilité de différer une mise à jour de fonctionnalité jusqu’à un an. Cette pratique peut aider votre organisation à éviter les problèmes liés au build en n’étant pas à la pointe du progrès et en laissant d’autres organisations trouver des bugs et les signaler à Microsoft. Repousser de plusieurs jours la date de diffusion auprès de vos clients peut être la solution idéale pour éviter tout travail de dépannage inutile jusqu’à ce que Microsoft propose des correctifs.
Une autre option vous permet de mettre en pause le déploiement des preview builds. Vous entrez une date et, pendant 35 jours à compter de cette date, aucun client n’installera d’aperçu ou de mise à jour des fonctionnalités. Cela peut s’avérer pratique lorsqu’une mauvaise mise à jour a été publiée et que vous souhaitez la geler. Au bout de 35 jours, Microsoft devrait avoir réglé le problème et les clients peuvent à nouveau essayer d’effectuer l’installation, sauf si vous avez modifié la date.
Choisir quand les clients reçoivent les quality updates
Tout comme l’option précédente mais liée aux quality updates, cette section offre la possibilité de différer la réception d’une quality update par les clients jusqu’à 30 jours avant que les clients téléchargent et installent la mise à jour. Vous pouvez également choisir de mettre une date de début pour interrompre la livraison des quality updates pendant 35 jours ou jusqu’à ce que vous effaciez la date de début.
Gérer les preview builds
Ce menu vous donne la possibilité de désactiver ou d’activer l’aperçu des constructions avec quelques contrôles plus granulaires.
Vous pouvez empêcher les utilisateurs de participer au programme Windows Insider lorsque vous sélectionnez la désactivation des previews builds.
Vous pouvez choisir de désactiver les previews builds lorsque Microsoft publie une build publique. C’est un bon moyen de revenir en arrière par rapport à une version de prévisualisation déjà autorisée. Certaines personnes peuvent laisser cette option entièrement désactivée ou l’autoriser pour certains membres du personnel informatique qui peuvent avoir besoin d’un accès anticipé aux preview builds de Windows 10 à des fins de test.
L’option Activé donne aux utilisateurs le droit d’installer des preview builds sur leurs machines.
Sélectionnez la version cible de la mise à jour des fonctionnalités
Dans cette section, vous choisissez une cible pour la version de mise à jour des fonctionnalités, telle que 1909, 2004 ou 20H2 pour mettre à niveau la machine cliente vers une version majeure plus récente de Windows 10. Si vous devez contrôler cette livraison, vous pouvez entrer une version cible, qui est la seule version de Windows 10 qui sera installée. Cela signifie que si le client est sur 1903 et que le paramètre de mise à jour de la fonctionnalité WUfB est 1909, le client ne recevra pas les nouvelles versions si elles sont disponibles via Windows Updates.
À partir de ces paramètres, vous pouvez configurer différentes politiques pour différents PC, par exemple en configurant des PC pilotes qui reçoivent les mises à jour en premier pour détecter tout problème introduit par une mise à jour. Vous pouvez également contrôler le moment où les PC sont mis à niveau vers la prochaine mise à jour de fonctionnalité et créer un autre groupe pilote avant de poursuivre les mises à niveau vers d’autres clients.
WUfB vs. WSUS : Différence avec le processus de mise à jour
Windows 10 dispose d’une fonctionnalité appelée optimisation des livraisons qui donne aux PC du réseau local un moyen de partager les mises à jour. Il y avait auparavant un argument fort en faveur de WSUS, qui télécharge toutes les mises à jour une fois et les distribue ensuite localement, économisant ainsi beaucoup de bande passante. L’optimisation des livraisons se rapproche de cette fonctionnalité si vous utilisez WUfB. Vous pouvez vérifier les performances de cette fonction sur chaque PC dans la section du moniteur d’activité de l’optimisation de la distribution, qui présente des statistiques sur le partage et la réception des mises à jour via Internet et sur les PC du réseau local.
Une autre fonctionnalité de Microsoft via Windows Updates est la mise en attente de sauvegarde. Si Microsoft détecte un problème avec une nouvelle mise à jour de fonctionnalité, il place une mise en attente pour bloquer le déploiement de la mise à jour de fonctionnalité jusqu’à ce qu’il puisse résoudre le problème. Pour les clients WUfB, cette opération est transparente. Cependant, les clients WSUS doivent être conscients de ces problèmes en suspens et prendre la décision de déployer la mise à jour ou de l’empêcher. Microsoft est souvent au courant de ces problèmes avant vous, c’est donc à vous de décider si vous voulez ce niveau de contrôle ou si vous voulez que Microsoft s’en occupe.
Pour certaines organisations, WSUS peut être un choix judicieux
WSUS a quelques avantages que WUfB n’a pas. Par exemple, il est relativement facile de définir une mise à jour à désinstaller si la version le prend en charge, ce qui permet de supprimer facilement une mise à jour gênante. Cela n’est pas possible dans WUfB ; vous devez utiliser PowerShell pour supprimer la mise à jour en question, puis déployer dans votre parc.
WSUS empêche également les ordinateurs de se connecter par Internet à Microsoft pour obtenir des mises à jour. Pour un site sensible à la bande passante, cela vous donne plus de fiabilité en utilisant un seul chemin de téléchargement pour les mises à jour selon un calendrier que vous configurez pour éviter toute interruption.
Si vous êtes un administrateur qui souhaite ou doit toujours examiner chaque mise à jour en détail et la publier lorsque vous êtes prêt, WSUS est fait pour vous. Avec WUfB, votre contrôle est limité ; vous pouvez retarder les mises à jour mais pas les arrêter complètement comme avec WSUS.
Ce niveau de contrôle a un prix : vous avez besoin d’un serveur, voire de plusieurs charges de travail de serveur pour exécuter WSUS, ce qui ajoute à vos frais d’administration, alors que WUfB est une série de paramètres.
Conclusion
Il n’y a donc pas vraiment de duel entre WUfB et WSUS, car il n’y a pas de bon ou de mauvais choix. Chaque outil de gestion des correctifs répond à un objectif différent. WUfB s’aligne étroitement sur les options de déploiement des mises à jour d’Office 365 et de ses rings, donc si vous utilisez déjà ou étudiez cette technologie, ce qu’apporte WUfB ne sera pas nouveau pour vous. Vous pouvez même faire fonctionner WSUS et WUfB simultanément avec quelques paramètres de registre. Si vous voulez essayer WUfB dans un groupe pilote pendant quelques mois, il est facile de le mettre en place avec très peu de travail.
WUfB offre une option de gestion à moindre coût, sans ressources requises et sans frais. Vous pouvez configurer les mises à jour pour qu’elles soient diffusées aussi lentement que vous le souhaitez. WSUS offre toujours un meilleur contrôle sur le déploiement et la gestion des mises à jour, ce qui est indispensable pour ceux qui souhaitent continuer à utiliser Endpoint Manager.
