Eine Frage die häufig seitens eines Unternehmens aufkommt ist, ob man das Update Management mit einem lokalen WSUS (Windows Server Update Services) oder mit Microsoft Intune durchführen sollte? Quasi eine Art Intune vs. WSUS.
Es gibt darauf nicht eine pauschale Antwort, allerdings möchte ich Euch in diesem Beitrag einige Gedanken mitgeben, die Ihr bei der Auswahl Eurer Update Strategie berücksichtigen könnt.
Intune vs. WSUS - wo liegt der Unterschied?
Zunächst lasst uns die größte Gemeinsamkeit beider Dienste festhalten:
Intune und WSUS sind beide Tools zur Verwaltung von Windows-Endgeräten in Unternehmen - nicht mehr und nicht weniger. Ab diesem Punkt können wir anfangen die Unterschiede aufzulisten und zu prüfen, welche Vor- und Nachteile sich in jeder Lösung befinden.
Der wohl größte Unterschied zwischen den beiden ist, dass Intune ein Cloud-basiertes Tool ist, während WSUS eine On-Premises-Lösung darstellt. Was zu Beginn als selbstverständlich - eventuell sogar banal - klingen mag, ist jedoch von enormer Bedeutung, wenn es um die Ausrichtung unserer IT-Infrastruktur und der dahinter stehenden IT-Strategie geht.
Übersicht Microsoft Intune
Intune bietet Unternehmen die Möglichkeit, ihre Endgeräte von überall und jederzeit zu verwalten.
Es bietet auch integrierte - und dies ist nun einmal der größte mögliche Mehrwert - Mobile Device Management-Funktionen, die es ermöglichen, die Sicherheit von Mobilgeräten zu erhöhen und potenzielle Datenschutzprobleme zu vermeiden. Ein weiteres wichtiges Merkmal von Intune ist die Möglichkeit, Anwendungen auf Endgeräten zu verteilen und zu verwalten, sprich in ein App-Deployment Management einzusteigen.
Natürlich besteht hierbei die Voraussetzung, dass Unternehmen diese Funktion auch in ihr Mobile Device Management einbauen. Die wenigsten werden allerdings Intune nur für das Update Management einsetzen.
Übersicht Windows Server Update Services
WSUS (Windows Server Update Services) ist eine On-Premises-Lösung, die es Unternehmen ermöglicht, Windows-Updates zentral zu verwalten und zu verteilen.
Es ermöglicht es Administratoren, Updates zu genehmigen oder abzulehnen (hier können wir auch auf einzelne KB-Versionen zurückgreifen und wirklich sehr granular vorgehen), bevor sie auf Windows-Endgeräten installiert werden.
WSUS bietet auch die Möglichkeit, Reports über die Update-Status von Endgeräten zu generieren, hierbei ist auch das interne Reporting-Dashboard eine Hilfe.
Ein Nachteil von WSUS ist, dass es nur für Windows-Endgeräte verfügbar ist und keine integrierten Funktionen für Mobile Device Management bietet.
Unterschiede Intune vs. WSUS
Ein Unterschied zwischen Intune und WSUS besteht darin, dass Intune in der Lage ist, Updates für nicht-Windows-Geräte wie MacOS und Linux zu verteilen, während WSUS nur für Windows-Geräte verfügbar ist.
Ein Vorteil von Intune ist, dass es eine integrierte Lösung mit anderen Microsoft-Cloud-Diensten wie dem Azure Active Directory und anderen Microsoft 365 Services abbildet, was die Verwaltung von Endgeräten und Anwendungen vereinfacht und die Möglichkeit bietet quasi "alles aus einer Hand" abzubilden.
Ein Nachteil von Intune ist jedoch, dass es eine monatliche Gebühr erfordert und für Unternehmen mit hohen Datenschutzanforderungen möglicherweise nicht die beste Wahl ist. Die Diskussion rund um Datenschutz, DSGVO und Compliance bei der Nutzung der Microsoft Cloud in Deutschland wird nämlich so schnell kein Ende finden.
WSUS hat den Vorteil, dass es eine On-Premises-Lösung ist und keine monatlichen Kosten verursacht. Ein Nachteil von WSUS ist jedoch, dass es nicht die gleiche Flexibilität und die gleiche Integrationsmöglichkeit mit anderen Cloud-Diensten wie Intune bietet.
In Bezug auf die Wahl zwischen Intune und WSUS hängt die Entscheidung hauptsächlich von den spezifischen Anforderungen des Unternehmens ab:
Unternehmen, die eine Cloud-Strategie bevorzugen bzw. anstreben und die Möglichkeit benötigen, auch mobile Geräte und nicht-Windows-Geräte zu verwalten, sollten Intune in Betracht ziehen.
Unternehmen, die eine On-Premises-Lösung bevorzugen und keine monatlichen Lizenzgebühren haben möchten, sollten WSUS in Betracht ziehen. Es ist jedoch wichtig zu beachten, dass beide Lösungen ihre eigenen Vor- und Nachteile haben, die ich Euch hier nochmal tabellarisch darstellen möchte:
Intune- und WSUS Deployment Architektur
Microsoft Intune | WSUS |
|---|---|
Keine initialen Anschaffungskosten | Keine monatlichen Kosten |
Integrierte Mobile Device Management-Funktionen | Zentrale und granulare Windows-Update verwaltung |
App-Deployment Möglichkeit | Inkludiertes Reporting Dashboard mit Export-Funktion |
Unterstützung von MacOS und Linux | Nur für Wind-Endgeräte verfügbar |
Cloud-Anbindung an andere Microsoft 365 Services | Fokus liegt auf Update-Management, kein Mobile Device Management |
Potenziell höhere monatliche Gebühr | Höhere Anschaffungskosten und mangelnde Cloud-Integration |
Nicht solch eine granulare Update Funktionalität wie WSUS | Cell |
Schwierige Handhabung im Rahmen von DSGVO und co. | Cell |
SaaS-Anwendung, ohne Steuerung des Backends | Cell |
Es ist wichtig zu beachten, dass dies nur einige der wichtigsten Vor- und Nachteile sind und es von Unternehmen zu Unternehmen unterschiedlich sein kann, wo der jeweilige Fokus drauf gelegt wird.
Auch weitere technische Spezifika und Anforderungen sind jeweils im Detail zu betrachten.
Konfiguration der Update-Steuerung im Intune
Wie können wir Windows Updates - hier in der Konfiguration als Update Ringe - eigtl. im Intune Konfigurieren? Dazu ein Video der IntunePilots, welches auf das Thema weiter eingeht:
Noch einige ergänzende Gedanken zur Konfiguration der Update-Ringe im Intune:
Es gibt natürlich mehrere Möglichkeiten, wie Windows Update Ringe in Intune konfiguriert werden können, und die beste Methode hängt von den spezifischen Anforderungen des Unternehmens ab.
Eine generell empfohlene Methode besteht darin, verschiedene Ringe für verschiedene Gruppen von Geräten zu erstellen, z.B. einen frühen Ring für Tester und einen späteren Ring für die allgemeine Verwendung.
Du kannst auch Zeitpläne festlegen, um Updates nur zu bestimmten Zeiten zu installieren, um Auswirkungen auf die Produktivität der Benutzer zu minimieren. Es ist wichtig, regelmäßig die Statusberichte zu überprüfen, um sicherzustellen, dass alle Geräte auf dem neuesten Stand sind und keine Probleme auftreten.
Fazit und Blog
Ich hoffe Dir damit gezeigt zu haben, worin der Unterschied zwischen Intune und WSUS besteht und worauf Ihr als Unternehmen bei der Entscheidung Eures Updates Services zu achten habt.
Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem Blog geteilt habe. Ich bin stehts bemüht, die aktuellsten Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit Microsoft Intune und anderen Microsoft 365 Produkten zu unterstützen!