Microsoft past Intune aan om patches zich te laten bewijzen

In dit artikel:

Microsoft verandert de manier waarop patching in Intune werkt: updates worden niet langer als afzonderlijke pakketten gepusht, maar beheerders stellen gewenst updategedrag en -doelen in (zoals installatietijden, herstartregels en gewenste functieversies). Windows Update en cloudservices voeren het werk uit, Intune meet vervolgens of apparaten aan de vastgelegde normen voldoen.

Dit is een breuk met het klassieke SCCM/Configuration Manager‑model, waarin updates als packages werden verspreid en beheerders veel meer handmatig moesten aansturen. Microsoft noemt die pushgerichte werkwijze vooral geschikt voor on‑premises omgevingen met betrouwbare netwerken — omstandigheden die voor veel organisaties niet meer gelden. Daarom verschuift de focus naar beleid en resultaat: devices die buiten de ingestelde toleranties vallen, worden als niet‑conform gemarkeerd en kunnen via Conditional Access de toegang tot bedrijfsapplicaties verliezen.

De nieuwe aanpak sluit aan op eerdere stappen van Microsoft: WSUS is in september 2024 beëindigd en Windows Autopatch is ingebed in Intune om veel van de handmatige updateoverhead verder te verminderen. Ook vanaf januari zijn strengere app‑ en SDK‑vereisten in Intune ingevoerd; apps die niet aan die normen voldoen kunnen geblokkeerd worden, wat de nadruk op compliance verder aanscherpt.

Voor IT‑teams brengt dit zowel voordelen als knelpunten. Voordeel: minder operationele overhead en een beheerstijl die beter past bij cloud‑ en thuiswerkende medewerkers. Nadeel: het rapportagemodel van Intune biedt minder detail over waarom een apparaat een patch miste, wat bestaande diagnostische workflows kan verstoren. Organisaties zullen hun updatebeleid explicieter moeten definiëren en hun toegangspolicies afstemmen op dit meer resultaatgerichte beheerparadigma.