Het patching-gedrag van Microsoft Intune gaat aanzienlijk veranderen. In plaats van patches te beschouwen als packages om te pushen, laat Intune IT-beheerders het gedrag van Windows Update configureren en vervolgens meten of apparaten voldoen aan de gedefinieerde normen.
In feite zal Windows Update nu het werk doen dat IT-beheerders voorheen moesten doen. SCCM (Configuration Manager) hanteerde een model waarbij software-updates als afzonderlijke packages moesten worden gedistribueerd. Nu wordt de implementatie zelf minder belangrijk dan het resultaat, aldus Microsoft. IT-beheerders zullen bovenal hun verwachtingen voor een update moeten definiëren. Dit betekent het instellen van updatetijden, herstartprocedures en gewenste functieversies.
Microsoft stelt nu dat Intune een dergelijke aanpak vereist om uiteindelijk meer controle te bieden. Zoals het bedrijf in een recente blogpost schreef: “We krijgen verzoeken van verschillende klanten die ons vragen hoe we ‘patches pushen’ in Intune versus SCCM. Het antwoord is… dat doen we niet.” Een dergelijke “push patch”-aanpak, zo suggereert Microsoft, ging uit van een on-premises omgeving met betrouwbare netwerkverbindingen en beheerbare eindpunten. Die tijden zijn (voor veel organisaties) niet meer van toepassing.
Eerst beleid, dan resultaat meten
Met Intune verschuift de focus dus van de levering zelf naar gedrag. Admins doen in wezen minder administratief werk en beheren hun omgevingen indirect. Compliancebeleid bepaalt vervolgens of een apparaat voldoet aan de vereiste OS-versie en patch-niveau. Apparaten die buiten die toleranties vallen, worden gemarkeerd als niet-conform; en met Conditional Access kan die niet-conformiteit gevolgen hebben. Dit betekent voornamelijk dat de toegang tot kritieke (of zelfs alle) werkplektoepassingen wordt beperkt als er geen update wordt uitgevoerd.
Deze aanpak is eigenlijk een voorbeeld van waar Microsoft al enige tijd op aandringt. Het bedrijf beëindigde Windows Server Update Services (WSUS) in september 2024, waardoor organisaties werden gestimuleerd om over te stappen op cloud-beheerde updatetools. En Windows Autopatch, dat het updateproces voor Windows en Microsoft 365 automatiseert, is geïntegreerd in Intune om de handmatige overhead die vroeger gepaard ging met SCCM-achtige implementaties verder te verminderen. In wezen leren beheerders langzaam maar zeker om met meer afstand tot de handmatige processen te werken en in plaats daarvan hun daadwerkelijke doelen expliciet te definiëren.
Een ander soort controle
Een dergelijke verandering kan op frictie stuiten. IT-teams die gewend zijn om precies te weten waarom een apparaat een patch heeft gemist (bijvoorbeeld vanwege problemen met grensgroepen, scanfouten of ontbrekende inhoud), zullen het rapportagemodel van Intune minder gedetailleerd vinden. Maar het argument van Microsoft is dat, in een modern park van telewerkers en met de cloud verbonden apparaten, de oude push-mechanismen de daadwerkelijke controle kunnen belemmeren.
In januari heeft Microsoft het gedrag van Intune ook op andere manieren gewijzigd. Het bedrijf is begonnen met het afdwingen van strengere app- en SDK-vereisten binnen Intune, waarbij beheerde werkapps die niet aan de bijgewerkte normen voldeden, werden geblokkeerd. Dit is een ander teken dat de handhaving van compliance via Intune op een aantal vrij fundamentele manieren aan het verschuiven is.