Microsoft ersetzt WSUS durch Azure Update Manager und Intune

Zwei Systeme übernehmen die Aufgaben von WSUS

Microsoft empfiehlt Unternehmen eine Kombination aus Azure Update Manager und Intune. Beide verfolgen ein vollständig Cloud-basiertes Modell. Weder ein Active Directory noch ein lokaler Server ist erforderlich. Intune adressiert primär moderne Arbeitsplatzumgebungen mit Windows 10, Windows 11 und auch Linux-Clients. Azure Update Manager hingegen übernimmt die Steuerung für Server, sowohl physisch als auch virtuell, lokal und in Azure. Diese Zweiteilung ist entscheidend. Intune ersetzt WSUS nicht direkt, sondern ergänzt die Update-Steuerung für Endgeräte. Azure Update Manager hingegen ist in der Lage, die logische Nachfolge für Server zu übernehmen, inklusive Windows Server 2022 und 2025.

Verbindung zur Cloud durch Azure Arc

Zentrale Voraussetzung für Azure Update Manager ist die Integration über Azure Arc. Damit wird jeder Server, egal ob im Rechenzentrum oder als virtuelle Maschine, als eigenständiges Objekt im Azure-Portal sichtbar. Die Anbindung erfolgt durch den Azure Connected Machine Agent. Die Verbindung ist in wenigen Minuten hergestellt. Nach erfolgreicher Registrierung erscheinen im Azure-Portal Kacheln für Hotpatching, Updates, Überwachung, Sicherheitsrichtlinien und andere Azure-Dienste. Besonders erwähnenswert ist, dass die Server durch diese Anbindung nicht nur aktualisiert, sondern auch überwacht, gesichert und repliziert werden können. Azure Site Recovery, Azure Monitor, Defender for Cloud und Backup lassen sich über diesselbe Schnittstelle einbinden.

Kostenstruktur und Abrechnungsmodell

Die Nutzung von Azure Update Manager ist nicht kostenlos. Für jeden verbundenen Server entstehen monatliche Kosten, derzeit etwa 4,80 Euro pro Instanz, abhängig vom Wechselkurs. Für Hotpatching entstehen zusätzliche Gebühren, die sich im CPU-Kern orientieren. Intune ist in den Plänen Microsoft 365 E3 und E5 enthalten oder seperat käuflich. Wichtig ist: Es gibt von Microsoft keinen kostenlosen Ersatz für WSUS. Auch das Caching von Updates ist nicht vorgesehen. Jeder Client lädt die Pakete direkt bei Microsoft oder über Peer-to-Peer-Verteilung im LAN. In Zukunft soll sich das aber mit Verteilungspunkten in lokalen Netzwerken ändern.

Funktionsweise von Azure Update Manager

Azure Update Manager unterscheidet sich technisch und organisatorisch grundlegend von WSUS. Während WSUS ein lokales Repository bereitstellt, das Updates puffert und intern verteilt, erfolgt bei Azure Update Manager die Steuerung aus der Cloud. Die Updates selbst stammen weiterhin direkt von Microsoft. Die zentrale Oberfläche ist in das Azure-Portal integriert und bietet eine Übersicht über alle angebundenen Server. Wartungskonfigurationen regeln Zeitfenster, Neustartverhalten und Update-Typen. Pre- und Post-Skripte können definiert werden, um Dienste zu stoppen oder Snapshots zu erstellen.

Über Tags lassen sich Server dynamisch in Wartungspläne einbinden, je nach Rolle, Standort oder Umgebung. Microsoft beabsichtigt in dieser Hinsicht in Zukunft außerdem andere Softwareprodukte auch von Drittherstellern über Windows-Update zu aktualisieren und damit auch steuerbar über Intune und Azure Update Manager.

Manuelle und automatische Update-Verteilung

Updates lassen sich manuell oder automatisiert installieren. Die manuelle Version erlaubt eine gezielte Prüfung einzelner Server auf fehlende Updates. Über die Funktion Einmaliges Update erfolgt die selektive Verteilung. Für regelmäßige Prozesse dienen Wartungskonfigurationen. Diese lassen sich mit mehreren Servern verknüpfen und legen den genauen Zeitpunkt für die Update-Installation fest. Auch Neustartverhalten lässt sich festlegen. Über Richtlinien kann gesteuert werden, welche Updates überhaupt installiert werden. Treiber lassen sich etwa gezielt ausschließen, um Komplikationen zu vermeiden.

Intune für Arbeitsplatzgeräte und Notebooks

Für Clients steht mit Intune ein eigenständiges System bereit. Hierüber lassen sich Update-Profile für Feature-, Qualitäts- und Treiber-Updates definieren. Besonders im mobilen Umfeld spielt Intune seine Stärken aus. Updates werden auch außerhalb des Firmennetzes zuverlässig verteilt. Voraussetzung ist eine Geräteanbindung an Intune, unabhängig von Domänenstruktur oder Netzwerktopologie. Durch die Policy-gesteuerte Verteilung entfallen klassische Gruppenrichtlinien. Auch bei Intune erfolgt kein Caching. Jeder Rechner lädt die Updates selbst. Das reduziert die Komplexität, erhöht jedoch den Datenverkehr.

Hotpatching für Azure-optimierte Systeme

Hotpatching steht ausschließlich für Azure-VMs und Azure-Stack-HCI-/Azure-Local-Systeme mit Windows Server 2025 Datacenter und Windows 11 zur Verfügung. Es erlaubt das Einspielen kritischer Updates ohne Reboot. Die Steuerung erfolgt ebenfalls über das Azure-Portal. Azure Update Manager selbst ist nicht für das Patchen ohne Neustart zuständig, kann aber anzeigen, ob ein Server Hotpatch-kompatibel ist. Diese Technik eignet sich vor allem für hochverfügbare Produktionssysteme, bei denen Ausfallzeiten vermieden werden müssen.

Architekturvorteile und Integrationspotenzial

Die Integration in bestehende Azure-Dienste eröffnet neue Möglichkeiten. Azure Monitor liefert Metriken zur Update-Verteilung. Defender for Cloud meldet Schwachstellen und fehlende Updates. Backup und Site Recovery ermöglichen Rollbacks im Fehlerfall. Auch Drittanbieter-Tools lassen sich über APIs einbinden. Ein zentraler Vorteil liegt in der Vereinheitlichung der Verwaltung. Alle Server und Clients erscheinen im Azure-Portal. Der Administrator sieht auf einen Blick den Update-Zustand, offene Aufgaben, fällige Neustarts und kann direkt reagieren. Fehlgeschlagene Updates lassen sich gezielt adressieren, inklusive Benachrichtigungen per E-Mail.

Berichtsfunktionen und Kontrolle

Sowohl Azure Update Manager als auch Intune liefern umfangreiche Berichte. Statusmeldungen, Historien, Update-Verläufe und Ausnahmelisten, alles ist über das Portal einsehbar. Azure Update Manager erlaubt darüber hinaus das Einrichten von Warnregeln. So wird bei fehlgeschlagenen Installationen oder nötigen Neustarts eine automatische Benachrichtung versendet. Für Compliance-Zwecke lassen sich alle Aktivitäten lückenlos dokumentieren.

Zukunftsausblick und geplante Erweiterungen

Microsoft plant lokale Verteilungspunkte für Azure Update Manager. Diese sollen in Rechenzentren den Bandbreitenbedarf reduzieren. Auch die Integration in hybride Szenarien wird weiterentwickelt. Azure Stack HCI/Azure Local und andere Plattformen lassen sich zunehmend nahtlos anbinden. Bereits heute erlaubt Azure Update Manager die Verwaltung von Maschinen in AWS oder Alibaba, sofern sie über Azure Arc eingebunden sind. Diese Offenheit ist Teil einer Strategie, Azure als zentrales Verwaltungszentrum auch über den eigenen Cloud-Kosmos hinaus zu etablieren.

Fazit

WSUS ist Geschichte. Die Gegenwart gehört Azure Update Manager und Intune. Beide setzen auf Cloud, verzichten auf lokale Infrastruktur und führen ein neues Paradigma der Update-Steuerung ein. Flexibel, skalierbar, dynamisch, aber nicht kostenlos. Wer weiterhin eine zentrale, automatisierte Patch-Verwaltung benötigt und auf Microsoft-Produkte setzen will, kommt an Azure Update Manager nicht vorbei. Intune ergänzt das Szenario um die Steuerung der Endgeräte. Die Zeit des lokalen WSUS-Servers mit Gruppenrichtlinien, Upstream-Replikation und manueller Freigabe endet. Die Zukunft liegt in Portalen, Agenten, Metadaten und Richtlinien. Und sie beginnt mit der bewussten Entscheidung für oder gegen eine Cloud-Strategie.