Planungshandbuch für Softwareupdates für verwaltete macOS-Geräte in Microsoft Intune

Es ist wichtig, Ihre Geräte mit Updates auf dem neuesten Stand zu halten. Administratoren müssen tun, was sie können, um das Risiko von Sicherheitsereignissen zu verringern und dieses Risiko mit minimalen Unterbrechungen für das Unternehmen & Benutzer zu reduzieren.

Intune verfügt über integrierte Richtlinien, mit denen Softwareupdates verwaltet werden können. Für macOS-Geräte können Sie Intune verwenden, um Geräteupdates zu verwalten, zu konfigurieren, wann Geräte aktualisiert werden, und die Geräteupdate-status überprüfen.

Verwenden Sie diesen Artikel als Administratorhandbuch für Ihre registrierten und verwalteten macOS-Geräte. Diese Informationen können Ihnen helfen, Softwareupdates auf Ihren organization geräten zu verwalten.

Dieser Artikel gilt für:

• macOS-Geräte, die in Intune registriert sind

Tipp

• Wenn Sich Ihre Geräte in persönlichem Besitz befinden, wechseln Sie zum Administratorhandbuch für Softwareupdates für persönliche Geräte.
• Apple hat MDM-basierte Softwareupdateworkloads als veraltet gekennzeichnet. Microsoft empfiehlt, stattdessen DDM zum Installieren von Updates zu verwenden. Weitere Informationen zu diesen Änderungen finden Sie unter Supporttipp für den Wechsel zur deklarativen Geräteverwaltung für Apple-Softwareupdates.

Bevor Sie beginnen

Um Updates schneller zu installieren und Verzögerungen zu vermeiden, stellen Sie sicher, dass die Geräte folgendes sind:

• Eingeschaltet; nicht heruntergefahren, kann aber ein Ruhezustand sein
• Angeschlossen
• Mit dem Internet verbunden

Verwalten von Updates mit Richtlinien

✅ Erstellen Sie Richtlinien, die Ihre Geräte aktualisieren.

Standardmäßig erhalten Benutzer Benachrichtigungen und/oder sehen die neuesten Updates, die auf ihren Geräten verfügbar sind (Einstellungen > Allgemeine > Software Updates). Benutzer können updates herunterladen und installieren, wann immer sie möchten.

Sie können das Updateverhalten auch mithilfe der Funktion "Automatische Updates" auf dem Gerät ändern (Einstellungen > Software Updates):

Wenn Benutzer ihre eigenen Updates installieren (anstelle von Administratoren, die die Updates verwalten), kann dies die Benutzerproduktivität und Geschäftsaufgaben beeinträchtigen. Zum Beispiel:

• Benutzer können Updates anwenden, die Ihr organization nicht genehmigt hat. Diese Situation kann Probleme mit der Anwendungskompatibilität oder Änderungen am Betriebssystem oder der Benutzeroberfläche verursachen, die die Gerätenutzung beeinträchtigen.

• Benutzer können das Anwenden von Updates vermeiden, die aus Sicherheits- oder App-Kompatibilitätsgründen erforderlich sind. Diese Verzögerung kann die Geräte gefährden und/oder verhindern, dass sie funktionieren.

• Benutzer können die Suche nach neuen Updates vollständig deaktivieren.

Aufgrund dieser potenziellen Probleme empfiehlt Microsoft, Ihre Anwendungsfallszenarien zu bewerten und Richtlinien bereitzustellen, um die Updateerfahrung zu verwalten, um Risiken und Unterbrechungen für Ihr Unternehmen zu minimieren.

Admin Schritte für geräte im Besitz organization

Zum Aktualisieren von macOS-Geräten, die sich im Besitz Ihrer organization befinden, empfiehlt Microsoft die folgenden Features. Sie können diese Features auch als Ausgangspunkt für Ihre eigene Updatestrategie verwenden.

✅ Verwenden von DDM verwalteten Softwareupdates unter macOS 14 und höher

Verwenden Sie auf MacOS 14- und neueren Geräten die deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM) von Apple, um ein bestimmtes Update bis zu einem erzwungenen Stichtag zu installieren.

DDM ist die moderne Methode zum Verwalten von Einstellungen. Die unabhängige Natur von DDM bietet eine verbesserte Benutzerfreundlichkeit, da das Gerät den gesamten Lebenszyklus von Softwareupdates verarbeitet. Benutzer werden aufgefordert, dass ein Update verfügbar ist, und das Update wird heruntergeladen, das Gerät auf die Installation vorbereitet & das Update installiert.

Verwenden Sie nicht die MDM-basierten Softwareupdaterichtlinieneinstellungen auf diesen Geräten, da Apple die MDM-Richtlinien als veraltet markiert hat.

Die DDM-Einstellungen können im Intune Einstellungskatalog konfiguriert werden. Weitere Informationen findest du unter Verwaltete Softwareupdates mit dem Einstellungskatalog.

✅ Verwenden von MDM unter macOS 13 und älter

Unter macOS-Versionen 13 und früher können Sie die in Apple integrierten MDM-Einstellungen verwenden, um Intune. Für diese Geräte erstellen Sie zwei Richtlinien, die zusammenarbeiten, um die Updateerfahrung zu verwalten. Die erste Richtlinie verwaltet, wann Updates installiert werden, und die zweite Richtlinie verwaltet, wie Updates installiert werden.

Schritt 1: Verwenden einer Softwareupdaterichtlinie zum Verwalten der Installation von Updates

In einer Softwareupdaterichtlinie können Sie verwalten, wann wichtige Updates und Firmwareupdates installiert werden. Sie können auch verwalten, wie oft der Benutzer ein Update zurückstellen kann, bevor es erzwungen wird. Abhängig von den einstellungen, die Sie eingeben, werden Benutzer nicht aufgefordert und müssen das Gerät nicht verwenden, wenn die Updates installiert werden.

Für die meisten Organisationen empfiehlt Microsoft, die in einer Softwareupdaterichtlinie verfügbaren Einstellungen zu konfigurieren.

1. Wechseln Sie im Intune Admin Center zu Geräte > Apple aktualisiert > macOS-Updaterichtlinien.

2. Konfigurieren Sie die folgenden Einstellungen:

   • Richtlinienverhaltenseinstellungen aktualisieren

     • Wichtige Updates: Später installieren
     • Firmwareupdates: Später installieren
     • Konfigurationsdateiupdates: Später installieren
     • Alle anderen Updates (Betriebssystem, integrierte Apps): Später installieren
       • Maximale Anzahl von Benutzerverzögerungen: 5
       • Priorität: Hoch

     Hinweis

     • Bei aktuellen macOS-Builds werden fast alle Updates als Konfigurationsdatendateien oder Alle anderen Updates angezeigt. Die Einstellungen Für alle anderen Updates handelt es sich hauptsächlich um Legacyupdates für ältere Builds von macOS.
     • Die in diesen Einstellungen angegebene Zeit wird vom Intune-Dienst verwendet. Die Zeit ist nicht die Uhrzeit des lokalen Geräts. Beachten Sie zeitbezogene Unterschiede, wenn Sie ein Wartungsfenster konfigurieren, insbesondere für eine globale Umgebung.

   • Richtlinienzeitplaneinstellungen aktualisieren

     • Zeitplantyp: Beim nächsten Einchecken aktualisieren

     Sie können die Werte in Ihre bevorzugten geplanten Zeiten ändern. Einige der Werte wirken sich möglicherweise nur auf kleinere Updates und nicht auf größere Updates aus.

Die spezifischen Schritte und weitere Informationen zu diesen Einstellungen & deren Werte finden Sie unter Verwalten von macOS-Softwareupdaterichtlinien in Intune.

Endbenutzeroberfläche

Mit diesen Einstellungen werden diese Einstellungen durch diese Richtlinie gesperrt, sodass Benutzer sie nicht ändern können. Die Richtlinie enthält außerdem Folgendes:

1. Sucht jedes Mal nach Updates, wenn das Gerät beim Intune-Dienst eincheckt. Wenn Updates verfügbar sind, werden sie automatisch heruntergeladen.

2. Das Gerät findet einen Zeitraum, in dem das Gerät nicht verwendet wird.

   • Wenn das Gerät nicht verwendet wird, versucht die Richtlinie, das Update automatisch zu installieren.
   • Wenn das Gerät verwendet wird, können Endbenutzer das Update installieren oder die Installation bis zu fünfMal zurückstellen. Stellen Sie sicher, dass Sie Ihre Endbenutzer ermutigen, Updates zu installieren, wenn diese verfügbar sind.

   Die folgenden Abbildungen zeigen die Eingabeaufforderungen, die Endbenutzer sehen können, wenn Updates verfügbar sind:

   

   

3. Wenn Endbenutzer alle Zurückstellungen verwenden, wird das Update erzwungen installiert. Bei einer erzwungenen Installation fordert ein Neustart den Endbenutzer nicht auf und kann zu Datenverlusten führen.

Schritt 2: Verwenden einer Einstellungskatalogrichtlinie zum Verwalten der Installation von Updates

Der Intune Einstellungskatalog enthält Einstellungen zur Verwaltung von Softwareupdates. In diesem Schritt erstellen Sie eine Richtlinie, die:

• Konfiguriert das Gerät so, dass Updates automatisch installiert werden, sobald sie verfügbar sind, einschließlich App-Updates.
• Verhindert, dass Endbenutzer Updateprüfungen deaktivieren.
• Konfiguriert das Gerät so, dass es regelmäßig nach Updates sucht und Benutzer auffordert.

Diese Einstellungskatalogrichtlinie funktioniert mit Schritt 1 : Verwenden einer Softwareupdaterichtlinie zum Verwalten der Installation von Updates (in diesem Artikel). Dadurch wird sichergestellt, dass die Geräte nach Updates suchen und Benutzer dazu auffordern, diese zu installieren. Endbenutzer müssen weiterhin Maßnahmen ergreifen, um die Installation abzuschließen.

1. Wechseln Sie im Intune Admin Center zu Geräte > Verwalten von Geräten > Konfigurationseinstellungen Katalog >> Softwareupdate.

2. Konfigurieren Sie die folgenden Einstellungen:

   • Vorabinstallation zulassen: False
   • Automatischer Download: True
   • App-Updates automatisch installieren: True
   • Installation kritischer Updates: True
   • Einschränken von Softwareupdates: Admin für die Installation erforderlich: False
   • Konfigurationsdateninstallation: True
   • MacOS-Updates automatisch installieren: True
   • Automatische Überprüfung aktiviert: True

Weitere Informationen zum Einstellungskatalog, einschließlich der Erstellung einer Einstellungskatalogrichtlinie, finden Sie unter Konfigurieren von Einstellungen mithilfe des Einstellungskatalogs.

Endbenutzeroberfläche

Diese Richtlinie sperrt diese Einstellungen, sodass Benutzer sie nicht ändern können. Auf dem Gerät sind die Softwareupdateeinstellungen abgeblendet:

✅ Erwägen Sie die Verwendung des Nudge-Communitytools

Dieses Tool ist optional und kann Ihnen helfen, die Endbenutzererfahrung zu verwalten.

Ein beliebtes Tool in der Microsoft macOS-Administratorcommunity ist Nudge. Nudge ist ein Open Source Communitytool, das Endbenutzer zur Installation von macOS-Updates animiert. Es bietet administratoren eine umfassende Konfigurationsoberfläche.

Wenn Nudge konfiguriert und bereitgestellt wird, wird Endbenutzern die folgende Beispielmeldung angezeigt, wenn ihr Gerät für die Aktualisierung bereit ist. Endbenutzer können auch auswählen, ob sie das Gerät aktualisieren oder das Update zurückstellen möchten:

Es gibt auch ein Beispielskript und eine Intune Konfigurationsrichtlinie für Nudge im Microsoft Shell-Skriptrepository. Dieses Skript enthält alles, was Sie für die ersten Schritte mit Nudge benötigen. Stellen Sie sicher, dass Sie die .mobileconfig Datei mit Ihren Werten aktualisieren.

✅Verwenden der integrierten Berichterstellung für Update-status

Nachdem die Updaterichtlinien bereitgestellt wurden, können Sie im Intune Admin Center das Berichtsfeature verwenden, um die status der Updates zu überprüfen.

Für jedes Gerät können Sie den aktuellen Updatestatus (Geräte > macOS > Updaterichtlinien für macOS) anzeigen:

Verwandte Artikel

• Planungshandbuch für Softwareupdates für BYOD und persönliche Geräte in Microsoft Intune
• Planungshandbuch für Softwareupdates für verwaltete Android Enterprise-Geräte in Microsoft Intune
• Planungsleitfaden für Softwareupdates und Szenarien für überwachte iOS-/iPadOS-Geräte in Microsoft Intune