Fin de Windows Server Update Services : quelles sont les alternatives ?

Temps de lecture : 14 mins
Description de l'image
Jonathan Fievet Ingénieur Modern Workplace
30 octobre 2024

Microsoft a annoncé le 20 septembre dernier la dépréciation de Windows Server Update Services (WSUS) à compter de Windows Server 2025.

Pour être plus précis, Microsoft n’investira plus dans de nouvelles fonctionnalités, ne prendra plus en charge aucune demande d’évolution, mais les fonctionnalités actuelles et la publication des mises à jour de sécurité, quant à elle, sera toujours opérationnelle via ce canal.

Microsoft précise également qu’il n’existe actuellement aucun plan pour supprimer WSUS des versions de Windows Server (y compris Windows Server 2025). Microsoft continuera à s’assurer que la fonctionnalité WSUS telle qu’elle existe aujourd’hui fonctionne et les problèmes qui pourraient arriver seront bien entendus pris en charge.

La vision de Microsoft sur le sujet est très claire et pousse vers l’utilisation des services cloud. Nous allons voir dans cet article les alternatives possibles à WSUS pour le périmètre poste de travail et serveur, mais tout d’abord un peu d’historique sur WSUS.

Qu’est-ce que Windows Server Update Services ?

Windows Server Update Services est un rôle intégré à Windows Server depuis 2005. Il permet de gérer la distribution des mises à jour des produits Microsoft (Windows, Windows Server, Office) sur différents périmètres (poste de travail, serveur). Il offre un contrôle granulaire sur les mises à jour, permettant d’approuver ou de refuser les mises à jour, de forcer les dates d’installation et de générer des rapports détaillés sur la conformité des mises à jour de votre parc. C’est une fonctionnalité gratuite qui est intégrée à Windows Server qui lui est bien entendu sous licence.

Outre le coût, WSUS permet d’avoir un contrôle granulaire sur l’approbation et la planification de l’installation des mises à jour. Cependant, une infrastructure WSUS réclame beaucoup de maintenance, d’optimisation et est limitée techniquement par rapport aux solutions cloud, notamment en termes d’automatisation.

Les alternatives pour remplacer WSUS

Comme indiqué un peu plus haut, Microsoft encourage les organisations à entamer une transition vers ses outils de gestion cloud. Généralement, ces outils offrent des fonctionnalités avancées et un meilleur reporting que WSUS.

D’autres aspects sont également à prendre en compte lors du changement d’un outil tel que WSUS :

Alternative à WSUS pour le périmètre poste de travail

Si vous disposez d’une infrastructure Microsoft Configuration Manager et que vous l’utilisez pour mettre à jour vos postes de travail, pas de panique, vous pouvez toujours passer par ce biais. La dépréciation de WSUS n’aura aucun impact sur ce produit, même si Microsoft recommande une transition vers Windows Update for Business / Windows Autopatch avec Microsoft Intune.

Nous allons faire un zoom rapide sur chacune des fonctionnalités que Microsoft propose en remplacement de WSUS pour ce périmètre.

Zoom sur Windows Update for Business

Waas Wufb Fast Ring - Windows Update for Business Workflow

Windows Update for Business est un service gratuit disponible pour les éditions suivantes de Windows 10 et Windows 11 :

Pour rappel, le 15 octobre 2025, c’est la fin de Windows 10. Pour en savoir plus sur le déploiement vers Windows 11 c’est ici.

Il permet de maintenir les postes de travail Windows à jour avec les dernières mises à jour de sécurité et de fonctionnalités Windows en se connectant directement au service Windows Update.

Les stratégies nécessaires à Windows Update for Business sont configurables via notre MDM préférée > Microsoft Intune 😊, par stratégie de groupe ou encore par SCCM.

Exemple stratégie Windows Update for Business
Exemple d’une stratégie Windows Update for Business

Grâce à ces stratégies, vous pourrez avoir un contrôle sur le déploiement des mises à jour de sécurité et de fonctionnalités en créant des rings regroupant plusieurs appareils et en décalant l’application des mises à jour sur ceux-ci (voir schéma ci-dessus). Vous bénéficierez également de l’expérience utilisateur « Windows Update » en ce qui concerne les notifications de redémarrage.

Bon à savoir :

Pour en savoir plus globalement sur Windows Update for Business, suivez ce guide : Windows Update for Business | Microsoft Learn.

Zoom sur Windows Autopatch

Windows Autopatch est une sorte de « surcouche » à Windows Update for Business. Il automatise les mises à jour de Windows, des applications Microsoft 365, de Microsoft Edge et de Microsoft Teams dans le but d’améliorer la conformité, la sécurité et la productivité au sein de votre entreprise et libère ainsi du temps à vos équipes informatiques qui peuvent se concentrer sur d’autres tâches à plus hautes valeurs ajoutées.

Windows Autopatch Groups High Level Architecture Diagram

Windows Autopatch est un service cloud soumis à licence, il n’est disponible entre autre que sur les éditions Windows 10/11 Education A3/A5, Windows 10/11 Entreprise E3/E5.

En fonction du type de licence, vous bénéficierez de plus ou moins de fonctionnalités liés à ce service.

Bon à savoir :

Pour en savoir plus globalement sur Windows Autopatch, suivez ce guide : Windows Autopatch documentation | Microsoft Learn

Autre guide utile : Guide de déploiement de Windows Autopatch | Microsoft Learn qui vous expliquera les différences entre Windows Update for Business et Autopatch et vous guidera aussi pour passer d’une solution à une autre si jamais c’est un projet à venir chez vous.

Depuis septembre 2024, Windows Update for Business et Autopatch sont en cours d’unification sur la partie « Configuration / Stratégie », l’activation des fonctionnalités Autopatch reste soumise à licence Windows Entreprise (par exemple).

Pour finir, un petit comparatif entre ces deux solutions :

comparaison différences windows update for business et windows autopatch

Le choix entre ces deux solutions dépendra du niveau de contrôle que vous voulez avoir sur la gestion de vos mises à jour (manuelle ou automatique en laissant la main à Microsoft pour laisser vos équipes IT du temps pour se consacrer à d’autres projets).

Un aspect financier est aussi à prendre en compte, en effet, il faudra prévoir un surcoût supplémentaire pour passer en Windows Entreprise si vous voulez utiliser Windows Autopatch.

Alternative à WSUS pour le périmètre serveur

Comme alternative à WSUS pour la gestion des Windows Serveur, Microsoft recommande l’utilisation d’Azure Update Manager mais il existe d’autres alternatives comme AWS Systems Manager Patch Manager.

Zoom sur Azure Update Manager

Azure Update Manager est un service SAAS centralisé, fourni par Microsoft et qui permet de gérer les mises à jour de vos machines Windows Serveur ou Linux qu’elles soient hébergées dans le cloud Azure, localement dans vos datacenters ou sur d’autres plateformes cloud (via Azure ARC).

Azure Update Manager Overview

Azure Update Manager est disponible sans surcoût pour la gestion des machines virtuelles hébergée dans Azure et les machines virtuelles de type « Azure Stack HCI Arc-Enabled ».

Pour les serveurs gérés via Azure Arc directement, le prix est de 5$ par serveur et par mois.

Concernant la prise en charge des systèmes d’exploitation :

Azure Update Manager prend aussi en charge les images « custom » avec à-peu-près les mêmes prises en charge qu’au-dessus.

Pour plus d’infos sur la matrice de support, cliquez ici

Bon à savoir :

Pour en savoir plus sur Azure Update Manager, suivez ce guide

Zoom sur AWS System Manager Patch Manager

Un petit tour vers la concurrence 😊

Patch Manager est une fonctionnalité d’AWS Systems Manager, elle permet d’automatiser le processus de gestion des mises à jour, notamment de sécurité. L’utilisation de Patch Manager est possible pour appliquer les mises à jour de sécurité sur les systèmes d’exploitation pris en charge ou les applications publiées par Microsoft.

Vous pouvez patcher, au choix, votre flotte de machines virtuelles AWS EC2, ou des serveurs on-premise.

AWS System Manager Patch Manager Dashboard

Outre le coût d’AWS System Manager, (lien vers le calculateur ici) aucun frais supplémentaire n’est facturé pour l’utilisation de Patch Manager pour les systèmes d’exploitation pris en charge ou des applications Linux sur les instances Amazon EC2 ou sur site. Aucun coûts supplémentaires non plus pour le patching d’applications Microsoft sur les instances Amazon EC2.

Concernant la prise en charge des systèmes d’exploitation :

Plus d’infos sur la matrice de support ici.

Bon à savoir :

Pour en savoir plus+ sur AWS System Manager Patch Manager, cliquer ici.

Le choix entre ces deux solutions dépendra fortement du cloud provider auquel votre organisation a décidé de faire confiance. Au niveau fonctionnalité, celles-ci se ressemblent fortement et prennent en charge tout type d’hébergement. L’aspect coût a aussi son importance dans ce type de projet.

Conclusion

La dépréciation à venir de WSUS permettra aux organisations de moderniser leur infrastructure de patching OS Client / Serveur et aussi leur process en allant vers beaucoup plus d’automatisation laissant aux équipes IT un temps plus conséquent pour se consacrer, par exemple, à des projets qui ont plus de valeurs ajoutées.

Dans cet article, j’ai essayé de comparer deux solutions sur chaque périmètre vous permettant de vous faire votre propre avis sur le sujet en essayant d’être le plus complet possible.

N’hésitez pas à nous contacter si vous avez besoin d’informations supplémentaires 😊

Articles similaires

Migration tenant à tenant Microsoft 365 : stratégies et bonnes pratiques

Avec la croissance des fusions, acquisitions et réorganisations internes, la migration de tenant à tenant dans Microsoft 365 est un...

Comment réaliser sa migration vers Microsoft 365 ?

Pourquoi migrer vers Microsoft 365 ? Face à l’évolution constante des technologies numériques, les entreprises sont confrontées à un choix...

Conditional Access dans Entra ID : une sécurité avancée pour vos infrastructures

Entra ID, anciennement connu sous le nom d’Azure Active Directory (Azure AD), est le service d’identité cloud de Microsoft, dédié...