Blog: Windows Update for Business

Windows Update for Business

Met de komst van Windows 10 1903 zijn er weer een heel aantal verbeteringen doorgevoerd in Windows Update for Business. Tijd om weer even alle zaken op een rijtje te zetten. Hoe zitten de Windows 10 updates in elkaar, en hoe werkt Windows Update for Business nu precies?

Door: Jan Bakker

Wat is Windows Update for Business?

Sinds de introductie van de moderne werkplek is er nogal wat veranderd in de manier waarop we Windows 10 beheren. Zeker als het aankomt op updates. Microsoft roept het al jaren: “Stay current”. Dat is makkelijker gezegd dan gedaan. Want Microsoft komt met maar liefst 2 grote updates per jaar. Dat kan best uitdagend zijn voor sommige organisaties. Daarover later meer.

Er zijn verschillende manieren om je computerlandschap van updates te voorzien. De meest bekende tools zijn SCCM/Config Manager en Windows Server Update Services, beter bekend als WSUS. Daarnaast is het dus mogelijk om gebruik te maken van Windows Update for Business. Voor het leesgemak kort ik af naar WUfB. Spreek uit als “Wufbie”. WUfB is een gratis “cloud service” van Microsoft die Windows 10 kan voorzien van updates. De term cloud service dekt echter niet volledig de lading. Persoonlijk zou ik het omschrijven als een bundel van instellingen waarmee een updatestrategie gevormd kan worden. Deze service is specifiek ontworpen voor Windows 10. De instellingen kunnen beheerd worden met beleidsregels (GPO) of bijvoorbeeld een mobile device management tool zoals Intune. Om WUfB te gebruiken is geen lokale infrastructuur nodig is, en de updates worden rechtstreeks van de snelle updateservers van Microsoft gedownload. In de beginperiode was WUfB redelijk beperkt, maar inmiddels zijn de configuratiemogelijkheden flink uitgebreid.

Type updates

Om te beginnen kijken we naar het update mechanisme van Windows 10. Windows 10 maakt onderscheid tussen verschillende type updates.

Beveiliging – en kwaliteitupdates (Quality updates)

Deze updates bevatten patches, bugfixes, drivers en kleine verbeteringen. Ze worden doorgaans op de tweede dinsdag van de maand vrijgegeven (Patch Tuesday). Echter, Microsoft kent ook zogenaamde C en D releases die doorgaans in de 3e of 4e week van de maand worden uitgerold. Ook kan het zijn dat op een willekeurig tijdstip een update wordt uitgebracht om bijvoorbeeld een beveiligingsrisico te dichten. De updates zijn cumulatief.

Onderdelenupdates (Feature updates)

Onderdelenupdates worden 2 keer per jaar gelanceerd, rond het voorjaar en rond de herfst. Deze updates bevatten significante veranderingen en nieuwe features. De updates zijn relatief groot, en hebben de meeste impact.

Driverupdates

Dit type update bevat niet-Microsoft drivers. Beheerders hebben de optie om deze functie in of uit te schakelen.

Microsoft updates

Deze updates zijn updates voor overige Microsoft producten zoals Office. Ook deze kunnen, net als drivers, met instellingen van WUfB worden in- of uitgeschakeld.

WUfB heeft een breed scala aan settings die geconfigureerd kunnen worden. De opties spreken redelijk voor zich, maar om een goede configuratie te maken is het belangrijk om wat meer achtergrond informatie te hebben.

Update kanalen

WUfB kent verschillende updatekanalen. Het updatekanaal bepaalt in de eerste instantie wanneer de updates aangeboden worden. De kanalen hebben in de afgelopen jaren uiteenlopende namen gekend, zoals Current Branch (CB) en Current Branch for Business (CBB). De meest recente namen waren Semi-annual Channel (SAC) en Semi-annual Channel Targeted (SAC-T), maar recent heeft Microsoft besloten om de kanalen te vereenvoudigen. Microsoft heeft besloten om het SAC-T kanaal uit te faseren vanaf Windows 10 1903.

Ook is er keuze uit de zogenaamde Insider Preview kanalen. In deze kanalen worden updates aangeboden die nog in ontwikkeling zijn. Binnen de Insider kanalen zijn diverse smaken te kiezen.

De kanalen als volgt te onderscheiden:

Windows Insider Fast

Via dit kanaal worden updates gelanceerd die door Microsoft zelf grondig zijn getest. Echter, deze updates bevatten vaak nog fouten. Een systeem is doorgaans instabiel en is bedoeld voor het verzamelen van feedback uit het “veld” of het testen van applicaties.

Windows Insider Slow

Wanneer de eerste feedback vanuit de fast ring is verwerkt, worden de updates aangeboden in deze ring. Deze ring krijgt doorgaan stabielere updates, maar kan nog steeds wel “buggy” zijn en het systeem instabiel maken.

Windows Insider Release Preview

In dit kanaal krijgt de gebruiker updates aangeboden die nagenoeg klaar zijn voor de brede uitrol. Hierbij kun je alvast de nieuwe features testen, maar werk je met een stabiele versie van Windows 10.

Hoewel de indeling van de Insider ringen redelijk voor zich spreekt is er doorgaans geen peil op te trekken hoe Microsoft precies de updates uitrolt. Dit is dus uitdrukkelijk niet aan te raden voor productiesystemen.

Semi-annual Channel

Wanneer een update door en door getest is, wordt deze publiek uitgerold. Hoewel deze builds goed zijn getest, komt het soms voor dat kort na lancering een grote fout wordt ontdekt. Via de WUfB instellingen kunnen de updates uitgesteld worden.

Kwaliteitsupdates uitstel tot 30 dagen

Onderdelenupdates uitstel tot 365 dagen

Het uitstel wordt berekend vanaf de dag van lancering. Een overzicht van alle Windows 10 versies, en de lanceringsdata kun je hier vinden.

Registeren van Insider Preview voor organisaties

Om Insider Preview te gebruiken binnen je organisatie moet je als beheerder dit eerst activeren voor het betreffende domein. Vervolgens kun je met bijvoorbeeld Intune de kanalen configureren voor specifieke gebruikers. Meer informatie lees je hier: https://insider.windows.com/en-us/for-business-organization-admin/

Update ringen

Het kan een flinke uitdaging zijn om alle systemen binnen je organisatie up-to-date te houden. Enerzijds omdat het voor de gebruiker meestal als lastig ervaren wordt wanneer het systeem een tijdje buiten gebruik is, maar ook omdat er van alles mis kan gaan tijdens of na het installeren van updates.

Het is daarom verstandig om gebruik te maken van ringen. Door verschillende ringen te maken, kun je updates gefaseerd uitrollen binnen je organisatie. Zo kun je er bijvoorbeeld voor kiezen om als IT afdeling deel te nemen aan de Insider preview builds om zo de eerste “klappen” op de vangen. Ook kun je een groep samenstellen met daarin een gevarieerd aantal gebruikers, de zogenaamde “early adopters”.

Op deze manier kan een update eerst goed getest worden, voordat deze in een de gehele organisatie wordt uitgerold. De afbeeldingen hieronder illustreert een mogelijke opzet voor het gebruik van ringen.

Bovenstaand voorbeeld zou een strategie kunnen zijn om halfjaarlijkse onderdelenupdates uit te rollen. Voor de maandelijkse updates kun je een soortgelijke strategie hanteren. Dit wordt in het volgende hoofdstuk besproken.

Pauzeren, uitstellen en deadlines

Windows 10 up-to-date houden is dus een hele klus. Dit komt doordat het bijhouden van Windows 10 een on-going proces is. Waar je eerder een OS upgrade als project aanvloog, is het nu meer een proces geworden. Microsoft noemt het dan ook vaak “Windows as a Service”.

In tegenstelling tot WSUS of Config Manager is het niet mogelijk binnen WUfB updates goed of af te keuren. Ze worden door Microsoft vrijgegeven, en vanaf dat moment worden ze ook aangeboden aan je clients. De data waarop deze updates worden vrijgegeven is geen vast gegeven. Dat maakt het lastig om de updates éxact te plannen. Wel kun je binnen WUfB instellen dat clients op gezette tijden om updates zoeken, bijvoorbeeld elke 3e donderdag van de maand om 14:00 uur. Ook is het mogelijk om updates te installeren tijdens een automatisch onderhoudsvenster. Hierin kun je ook configureren in welke uren het apparaat in gebruik is, waardoor onderhoud tijdens die periode juist onderdrukt zal worden.

Uitstellen

WUfB biedt de mogelijkheid om updates uit te stellen. Kwaliteitupdates en onderdelenupdates kunnen afzonderlijk van elkaar worden uitgesteld. Hierbij kun je dezelfde ringen hanteren zoals in het vorige hoofdstuk beschreven staat, met steeds een langere uitstelperiode. Het voorbeeld hieronder laat zo’n schema zien.

Pauzeren

Soms het kan zijn dat een update problemen veroorzaakt. Sommige organisatie hanteren tijdens drukke perioden een change-freeze. In dat geval kun je de updates pauzeren. Een update kan tot 35 dagen gepauzeerd worden. Beheerders kunnen ook toestaan dat gebruikers zelf de updates kunnen pauzeren. Ook kunnen onderdelenupdates en kwaliteitupdates afzonderlijk van elkaar gepauzeerd worden.

Deadlines en reboots

Vanaf Windows versie 1903 is met name dit onderdeel sterk verbeterd. Met name voor de eindgebruikers. Nadat een update geïnstalleerd is, wordt de gebruiker op de hoogte gesteld dat het apparaat moet herstarten. Het is mogelijk om dit voor een gezette tijd te negeren of een tijdstip te kiezen die beter past of gelijk te herstarten. De deadline begint bij versie 1903 te tellen vanaf het moment dat de update wordt aangeboden. Bij eerdere versies was dit vanaf het moment dat de update geïnstalleerd was, en het systeem in een “pending-reboot-state” kwam.

Ook hierbij geldt dat deadlines afzonderlijk in te stellen zijn, en is het mogelijk een respijtperiode op te geven.

Delivery Optimization

Het gebruik van WUfB kan een flinke toename van het internetverkeer veroorzaken. Iedere client wil namelijk afzonderlijk de updates binnen halen vanaf de Microsoft updateservers. Door middel van Delivery Optimization kunnen clients onderling updates of een deel daarvan met elkaar uitwisselen. Dit is afhankelijk van de instellingen.

Delivery Optimization wordt ook gebruikt voor het downloaden van apps uit de Microsoft Store. De bestanden worden een korte tijd opgeslagen op de PC, en worden daarna automatisch gewist. Delivery Optimization is een vast onderdeel van het Windows 10 besturingssysteem en is eenvoudig te configureren via group policies of Intune.

Intune, WSUS en Config Manager

WUfB is niet vergelijkbaar met de klassieke tools om updates te managen. WUfB is meer een “set-and-forget” service. Na het opstellen van een goede uitrolstrategie ligt de focus meer op het monitoren van de voortgang. Goedkeuren van updates en het klaarzettenen uitrollen van packages is verleden tijd.

Grote kans dat je organisatie gebruik maakt van Config Manager (SCCM) of WSUS om updates uit te rollen. WUfB kan integreren met deze services. Volledig overstappen op WUfB is voor veel organisaties meer dan alleen een technische aanpassing. Dit komt doordat het werken met WSUS of SCCM al jaren onderdeel is van het IT landschap. Overstappen op WUfB voelt voor veel beheerders als loslaten en de controle kwijt raken. WUfB integreren met Config Manager of WSUS kan daarom een goede keus zijn, om het beste uit 2 werelden te combineren. Het vraagt dan ook vaak om een verandering in de beheer-stijl, het zogenaamde “modern management”.

Zoals eerder gezegd, kunnen de WUfB instellingen op veel manieren geconfigureerd worden. Dit kan via group policies, Config Manager of Intune (of andere MDM oplossing). Instellingen kunnen in het uiterste geval zelfs via het register worden geconfigureerd.

Hoe WUfB ingezet kan worden binnen je organisatie is afhankelijk van het landschap. Zoals in de inleiding te lezen is, transformeren veel organisaties naar een moderne werkplek, en wordt on-premises infrastructuur gemigreerd of zelfs helemaal afgebroken. In dat geval is WUfB een logische keus.

Veel organisaties kunnen of willen de stap naar een cloud werkplek niet in 1 keer maken, bevinden zich in een hybride fase, of maken wellicht gebruik van co-management. Config Manager biedt flexibiliteit om WUfB te integreren. Zo is er bijvoorbeeld recent een mogelijkheid om lokale cacheservers te installeren voor het gebruik van Delivery Optimization (DOINC).

Monitoring en rapportage

WUfB heeft zelf geen monitoring of rapportage mogelijkheden. Wanneer je integreert met WSUS en Config Manager kun je vandaar uit de vinger aan de pols houden. Ook is het mogelijk om via Windows Analytics de monitoren en te rapporteren. Windows Analytics kent een module “Update Compliance”. Van hieruit kun je de status van de updates en eventuele problemen traceren. De module “Upgrade Readiness” kan hier ook bij helpen. Windows Analytics maakt gebruik van Windows telemetry. Deze Windows 10 diagnostiek service kent een aantal levels en veel organisaties willen dit liever niet inschakelen. Hoewel WUfB sinds Windows 10 1903 ook op level 0 (Beveiliging) werkt, is voor Update Compliance level 1 (Basis) nodig.

Conclusie

WUfB is gratis, en redelijk eenvoudig te integreren met bestaande tools. Daarnaast is het op veel manieren te configureren. Er is geen lokale infrastructuur nodig en door middel van Delivery Optimization heeft het verminderede impact op de bandbreedte. Voor cloud-only werkplekken is WUfB de meeste geschikte tool om Windows up-to-date te houden.

WUfB biedt een oplossing om (mobiele) Windows 10 clients te voorzien van updates op de meeste flexibele manier. Je kunt meer vrijheid bij de eindgebruiker neerleggen en daarnaast de updatestrategie als een on-going proces vormgeven. Dit is vaak een omslagpunt vanuit het beheer perspectief, maar eenmaal gaande kan het de beheerlast flink verminderen.

Linksom of rechtsom, sinds Windows 10 zijn er een aantal dingen wezenlijk veranderd ten opzichte van bijvoorbeeld Windows 7. Ook voor de gebruikers vraagt dit een andere kijk op het onderhoud van hun werkplekken. Zij zullen er aan moeten wennen dat er frequenter onderhoud aan het systeem nodig is, maar dat wel steeds nieuwe features met zich mee brengt. Daarnaast biedt het ook juist de flexibiliteit om zelf te bepalen wanneer de updates geïnstalleerd of afgerond worden. Een moderne werkplek vraagt om een moderne aanpak.

Stay current!
ResultaatGroep helpt en begeleidt u graag in uw uitdagingen om up-to-date te blijven. Neem telefonisch contact met ons op en vraag naar Afsha Alam of Madelon Schipper.