Microsoft Intune stopt met pushen: Patchen wordt een prestatie-eis
De tijd dat IT-beheerders als havenarbeiders 'pakketjes' met software-updates naar computers moesten verschepen, loopt ten einde. Microsoft kondigt een fundamentele verschuiving aan in het beheer van Windows-apparaten. Met de overgang van het klassieke SCCM naar Microsoft Intune verschuift de focus van de handeling zelf naar het resultaat: de zogenaamde 'compliance-driven' aanpak.
Jarenlang was het proces voor IT-professionals helder: bouw een update-pakket, plak er een label op, 'push' het naar de eindpunten en ga vervolgens handmatig op jacht naar de apparaten die het pakketje niet hebben ontvangen. Dit model, groot geworden met Microsoft Endpoint Configuration Manager (SCCM), bood maximale controle in een wereld van lokale netwerken en vaste kantooruren. Maar in een tijd van hybride werken en vloten van laptops die overal ter wereld opduiken, schiet deze methode tekort.
De omslag: Beleid in plaats van pakketten
In een recente update legt Microsoft-expert 'MikeGriz' uit dat Intune het mentale model volledig omdraait. "De vraag is niet langer: 'Heb ik het ding uitgerold?', maar: 'Halen we het gewenste resultaat?'", aldus Microsoft. In plaats van patches te 'pushen', configureren beheerders nu het gedrag van Windows Update (de zogenaamde update rings). Ze bepalen deadlines, de herstart-ervaring en de minimale OS-versie. Daarna laat men de techniek het werk doen.
De rol van de IT-beheerder verandert hiermee van een logistiek medewerker in een beleidsmaker. In plaats van te controleren of een installatie-script is gedraaid, monitort de beheerder of de apparaten voldoen aan de gestelde veiligheidsnormen (SLA's).
Controle loslaten om grip te krijgen
Voor veel IT-beheerders voelt dit als het opgeven van controle, maar volgens Microsoft is het tegendeel waar. In een modern landschap met VPN-verbindingen en externe gebruikers vermindert micromanagement juist de veiligheid. De 'superkracht' van Intune is dat het uitgaat van meetbare uitkomsten. Voldoet een apparaat niet aan de minimale versie? Dan is het 'non-compliant'.
Via Conditional Access (voorwaardelijke toegang) kan dit direct gevolgen hebben: een apparaat dat niet up-to-date is, krijgt simpelweg geen toegang tot bedrijfsdata. Niet als straf, maar als digitale veiligheidsgordel.
Tips voor de moderne IT-beheerder:
- Definieer de norm: Schrijf op wat de 'belofte' is (bijv. alle kritieke patches geïnstalleerd binnen 14 dagen).
- Stel de kaders: Gebruik Intune om deadlines en herstartopties vast te leggen.
- Beheer de uitzonderingen: Verspil geen tijd aan de apparaten die keurig up-to-date zijn, maar richt je pijlen op de 'stuck devices' (gebrek aan schijfruimte, defecte services).
- Dwing compliance af: Maak de status van een apparaat leidend voor de toegang tot het netwerk.
De boodschap van Microsoft aan IT-Nederland is duidelijk: als het succes van uw patch-beleid nog steeds afhangt van de zin "de uitrol is gestart", dan is het tijd om niet alleen de software, maar ook de visie te upgraden.
Meer over Beheer
Over Witold Kepinski
