Planungshandbuch für Softwareupdates und Szenarien für überwachte iOS-/iPadOS-Geräte in Microsoft Intune
Es ist wichtig, ihre mobilen Geräte mit Softwareupdates auf dem neuesten Stand zu halten. Sie müssen das Risiko von Sicherheitsereignissen reduzieren und minimale Unterbrechungen für Ihre Organisation und Ihre Benutzer haben. Auf von iOS/iPadOS überwachten Geräten verfügt Intune über integrierte Richtlinien, mit denen Softwareupdates verwaltet werden können.
Dieser Artikel enthält eine Prüfliste für Administratoren, die Ihnen bei den ersten Schritten mit Softwareupdates auf überwachten iOS-/iPadOS-Geräten hilft. Außerdem werden gängige Branchenszenarien und Beispielrichtlinien aufgelistet, die Sie in Ihrer Umgebung konfigurieren können.
Die spezifischen Schritte zum Erstellen einer Softwareupdaterichtlinie finden Sie unter Verwalten von iOS-/iPadOS-Softwareupdaterichtlinien in Intune.
Dieser Artikel gilt für:
- Überwachte iOS-/iPadOS-Geräte, die in Intune registriert sind
Tipp
Wenn sich Ihre Geräte im persönlichen Besitz befinden, wechseln Sie zum Planungshandbuch für Softwareupdates für persönliche Geräte.
Administratorprüfliste für Geräte im Besitz der Organisation
In diesem Abschnitt werden die von Microsoft empfohlenen Anleitungen und Strategien zum Installieren von Softwareupdates auf Ihren Geräten aufgeführt.
✅ Verwalten von Updates mit Richtlinien
Es wird empfohlen, Richtlinien zu erstellen, die Ihre Geräte aktualisieren. Es wird nicht empfohlen, diese Verantwortung den Endbenutzern zu überlegen.
Standardmäßig erhalten Benutzer Benachrichtigungen und/oder sehen die neuesten Updates, die auf ihren Geräten verfügbar sind (Einstellungen > Allgemeine > Softwareupdates). Benutzer können updates herunterladen und installieren, wann immer sie möchten.
Wenn Benutzer ihre eigenen Updates installieren (anstelle von Administratoren, die die Updates verwalten), kann dies die Benutzerproduktivität und Geschäftsaufgaben beeinträchtigen. Zum Beispiel:
Benutzer können ein Update nach Bedarf starten und möglicherweise nicht funktionieren, während ein Update installiert wird.
Benutzer können Updates anwenden, die Ihre Organisation nicht genehmigt hat. Diese Entscheidung kann Probleme mit der Anwendungskompatibilität, Änderungen am Betriebssystem oder Änderungen an der Benutzererfahrung verursachen, die die Gerätenutzung stören.
Benutzer können das Anwenden erforderlicher Updates vermeiden, die sich auf die Sicherheit oder Die App-Kompatibilität auswirken. Diese Situation kann die Geräte gefährden und/oder verhindern, dass die Geräte funktionieren.
✅ Automatische Updates aktivieren
Ab iOS/iPadOS 12 installieren Apple-Geräte die Updates automatisch, wenn Updates verfügbar sind. Dieses Feature ist standardmäßig auf neuen Geräten aktiviert. Lassen Sie dieses Feature aktiviert.
Um dieses automatische Patchen zu verwenden und Updates schneller zu installieren, stellen Sie sicher, dass die Geräte wie folgt sind:
- Eingeschaltet
- Angeschlossen
- Mit dem Internet verbunden
Wenn die Geräte eingeschaltet, angeschlossen und mit dem Internet verbunden sind, werden die Updates automatisch heruntergeladen & installieren, und das Gerät wird neu gestartet. Wenn das Gerät diese Bedingungen nicht erfüllt, werden die Updates nicht automatisch heruntergeladen und installiert.
Damit Ihre Geräte mit minimalem Aufwand auf der aktuellen Version bleiben, lassen Sie das Feature für automatische Updates aktiviert:
Automatische Updates arbeiten mit anderen Updaterichtlinien zusammen, die Administratoren und Endbenutzern eine positive Erfahrung bieten können.
Mithilfe von Intune-Richtlinien können Sie auch erzwingen, dass Benutzer ihre Geräte aktualisieren:
- Verwenden Sie Registrierungseinschränkungen , um zu verhindern, dass Benutzer Geräte registrieren, die nicht aktuell sind.
- Erstellen Sie Konformitätsrichtlinien , um die Geräte zu ermitteln, die nicht aktualisiert werden.
- Erstellen Sie Richtlinien für bedingten Zugriff ( CA), um Geräte zu blockieren, die nicht aktualisiert werden. Die Zertifizierungsstellenrichtlinien können Benutzer auch dazu auffordern, aktuelle Updates zu installieren, damit sie den Zugriff wiedererlangen.
Was Sie wissen müssen
Wenn das Feature für automatische Updates deaktiviert ist, kann es aufgrund einer Betriebssystemeinschränkung nicht mithilfe von Richtlinien geändert werden. Die Einstellung muss auf dem Gerät manuell geändert werden, oder das Gerät muss zurückgesetzt & erneut bereitgestellt werden.
Wenn Geräte mit einer PIN konfiguriert sind, müssen Sie die PIN eingeben, um das Softwareupdate zu starten. Die Eingabe der PIN ist für Information Worker 1:1-Geräte in der Regel kein Problem.
Bei der Planung von Updates für Kiosks, Fabrikhalle oder benutzerlose Szenarien müssen Sie möglicherweise Ihre Prozesse anpassen, um das PIN-Verhalten zu berücksichtigen.
✅ Verwenden der integrierten Einstellungen
Zum Verwalten von Updates hat Apple die folgenden Optionen:
Deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM)
Unter iOS/iPadOS 17.0 und höher können Sie die deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM) von Apple verwenden, um Softwareupdates zu verwalten. DDM ist eine neue Möglichkeit zum Verwalten von Geräten mit einer verbesserten Benutzererfahrung, da das Gerät den gesamten Softwareupdatelebenszyklus verarbeitet. Es fordert Benutzer auf, dass ein Update verfügbar ist, und lädt außerdem herunter, bereitet das Gerät für die Installation vor, & installiert das Update.
DDM ist die empfohlene Methode zum Verwalten von Updates auf iOS/iPadOS 17+ Geräten. Sie können MDM-Einstellungen auf diesen Geräten verwenden, dies wird jedoch nicht empfohlen. Verwenden Sie stattdessen die DDM-Einstellungen.
Diese Einstellungen können im Microsoft Intune Admin Center konfiguriert werden. Weitere Informationen findest du unter Verwaltete Softwareupdates mit dem Einstellungskatalog.
Softwareupdaterichtlinien
Diese MDM-Richtlinien bieten ein kontrolliertes Rollout einer bestimmten Version. Sie können auch das Upgrade von Geräten mit älteren Versionen erzwingen. Administratoren können die iOS-/iPadOS-Version eingeben, um die Installation zu installieren und zu planen.
Diese Einstellungen können im Microsoft Intune Admin Center konfiguriert werden. Weitere Informationen findest du unter Verwalten von iOS/iPadOS-Softwareupdaterichtlinien in Intune.
Richtlinien zur Verzögerung von Softwareupdates
Diese MDM-Richtlinien blenden Updates für bis zu 90 Tage aus. Sie verhindern, dass Benutzer ihr Gerät manuell auf eine Version aktualisieren, die nicht genehmigt wurde. Dieses Feature steuert nicht, wann die Updates angewendet werden.
Diese Einstellungen können im Microsoft Intune Admin Center konfiguriert werden. Weitere Informationen findest du unter Verwalten von iOS/iPadOS-Softwareupdaterichtlinien in Intune.
Mit diesen Features können Administratoren sicherstellen, dass auf ihren Apple-Geräten eine bestimmte Softwareversion ausgeführt wird, und die Veröffentlichung von Updates auf ihren Geräten steuern.
✅ Erstellen von Richtlinien, die viele Zeitzonen unterstützen
Alle Richtlinienzeiten verwenden koordinierte Weltzeit (UTC). Die lokale Zeitzone des Geräts wird nicht verwendet.
Um die Anzahl von Richtlinien zu minimieren, die Sie erstellen und verwalten müssen, erstellen Sie eine Konfiguration, die viele Zeitzonen unterstützt. Erstellen Sie keine separate Richtlinie für jede Zeitzone.
In den USA gibt es beispielsweise vier primäre Zeitzonen: Pacific (UTC-8), Mountain (UTC-7), Central (UTC-6) und Eastern (UTC-5). Sie können separate Richtlinien für jede Zeitzone erstellen. Oder erstellen Sie eine oder zwei Richtlinien, die dasselbe Ergebnis erzielen.
✅ Seien Sie vorsichtig mit Versionseinstellungen
Beachten Sie beim Erstellen von Softwareupdaterichtlinien die umfassenderen Auswirkungen der Versionsdetails in all Ihren Richtlinien.
Zum Beispiel:
Sie konfigurieren eine Richtlinie, die Updates um 90 Tage verzögert. Wenn es eine Registrierungseinschränkungsrichtlinie gibt, die erfordert, dass Geräte über eine aktuelle iOS-/iPadOS-Version verfügen, kann nach dem Zurücksetzen des Geräts die Registrierung von Geräten blockiert werden.
Sie erstellen eine Konformitätsrichtlinie, die eine aktuelle iOS-/iPadOS-Mindestversion erfordert. Mit dieser Richtlinie werden Geräte in älteren Versionen nicht konform. Wenn Sie den bedingten Zugriff verwenden, um die Konformität zu erzwingen, werden Benutzer blockiert und können nicht funktionieren.
Gängige Branchenszenarien
Apple-Geräte werden in verschiedenen Branchen verwendet, einschließlich Unternehmen, Einzelhandel, Fertigung und Bildung. Die meisten Geräteanwendungsfälle können in die folgenden Typen kategorisiert werden:
- 1:1: Geräte werden nur von einer Person verwendet.
- Freigegeben: Geräte werden von mehr als einer Person verwendet.
- Dediziert: Geräte werden für einen bestimmten Geschäftszweck verwendet, z. B. einen Kiosk oder eine digitale Beschilderung.
Die folgende Tabelle enthält allgemeine Branchenbegriffe, die in diesem Artikel verwendet werden:
Branche | Begrifflichkeiten | Anwendungsfall |
---|---|---|
Großunternehmen | Wissensarbeiter | 1:1 |
Einzelhandel | Kiosk | Dediziert |
Fertigung | Werkscomputer | Unternehmenskritische |
Education | Zugewiesenes Gerät | Shared |
Dieser Abschnitt beschreibt einige gängige Branchenszenarien und enthält Beispiele für Intune-Richtlinien.
Wissensarbeiter
Bei dieser Gruppe handelt es sich um Personen mit erworbenem Wissen, die in Unternehmen und Organisationen arbeiten. Ihr Wissen und ihre Denkfähigkeit sind ihre Aufgabe. Einige Beispiele sind Ingenieure, Inhaltsentwickler, Programmierer, Buchhalter, Kommunikation, Berater usw.
Knowledge Worker verfügen in der Regel über ein eigenes Gerät, das nur von ihnen verwendet wird. Es wird nicht für andere Benutzer oder andere Wissensarbeiter freigegeben.
In Szenarien wie Knowledge Worker-Geräten besteht das primäre Ziel darin, den Aktualisierungsprozess so einfach und schnell wie möglich zu gestalten. Ihre Apps sind größtenteils storebasiert, und die Apps sollten mit der neuesten Betriebssystemversion kompatibel bleiben. Auf diesen Geräten sind Benutzer in der Regel tolerant gegenüber Aufforderungen zu Updates und/oder wählen einen geeigneten Zeitpunkt für Neustarts aus.
Eine Updatestrategie und Prioritäten für diese Geräte umfassen in der Regel:
- Grundlegende Updatekonfiguration
- Die neueste version
- Automatische Updates
Szenariobeispiel:
Sie konfigurieren ein Updateprofil für die Wissensarbeiter bei Contoso. Diese Benutzer verwenden hauptsächlich Microsoft 365-Apps und mehrere VPP-Apps (Volume Purchase Program).
Als Administrator sind Sie mit Folgendem vertraut:
- Diese Geräte mit der neuesten veröffentlichten iOS/iPadOS-Version
- Herunterladen und Installieren von Updates, sobald die Geräte bei Intune eingecheckt sind
- Endbenutzer können entscheiden, wann sie Updates installieren und ihre Geräte neu starten, um die Updates anzuwenden.
Um diese Ziele zu erreichen, können Sie eine Richtlinie mit den folgenden Standardeinstellungen verwenden:
Kioske
Diese Geräte sind in der Regel In-Store-Einzelhandelsgeräte und können ein Desktopcomputer oder ein mobiles Gerät sein. Sie werden von Mitarbeitern verwendet, um Kunden zu bedienen und direkt von Kunden für Self-Service-Aufgaben verwendet. Sie können auch eine visuelle Anzeige sein, die alle Kunden sehen, wenn sie lokal sind.
In kioskähnlichen Szenarien sind die primären Ziele für die Aktualisierung der Geräte:
- Stellen Sie sicher, dass Geräte aktuell mit genehmigten Betriebssystemupdates sind.
- Administratoren verwalten die Updates und alle Versionsverwaltungen.
- Die Installation und neustarten erfolgen nach den Geschäftszeiten.
Eine Updatestrategie und Prioritäten für diese Geräte umfassen in der Regel:
- Grundlegende Updatekonfiguration
- Vorhersagbare Versionskontrolle
- Vorhersagbare Releasezyklen
Szenariobeispiel:
Sie konfigurieren ein iOS-/iPadOS-Updateprofil für die Kioskgeräte bei Contoso. Diese Geräte werden in einer Verkaufsstelle betrieben. Ihre Mitarbeiter verwenden die Geräte, um Kunden 7 Tage die Woche zu bedienen, einschließlich verlängerter Einzelhandelszeiten. Auf den Geräten wird eine einzelne Branchen-Kiosk-App ausgeführt, die von Contoso intern entwickelt wurde. Diese interne Anwendung wird nur vierteljährlich getestet und überprüft.
Sie möchten die spezifische iOS-/iPadOS-Version bereitstellen, mit der diese BRANCHEN-App kürzlich getestet wurde( iOS 16.3). Wenn diese Kioskanwendung nicht ordnungsgemäß funktioniert, kann das Einzelhandelsgeschäft keine Kunden bedienen. Die Geräte sind mit Wi-Fi verbunden und werden über Nacht aufgeladen, wenn die Verkaufsstelle für Kunden geschlossen ist.
Sie haben ein Wartungsfenster von 10 Stunden über Nacht ausgewählt, in dem Updates heruntergeladen und angewendet werden können, bevor der Store geöffnet wird.
Um diese Aufgabe auszuführen, erstellen Sie eine Richtlinie mit den folgenden Einstellungen:
Fabrikmaschinen
Bei diesen Geräten handelt es sich häufig um Einzweckgeräte. Sie werden in unternehmenskritischen Bereichen wie Fertigungslinien oder spezialisierten Gerätesteuerungen & Überwachung verwendet. Beispielsweise könnte es sich um ein Android-Tablet mit Steuerungs- oder Überwachungssoftware für ein Gerät sein, das Komponenten schweißt.
In Szenarios mit Werkscomputern besteht das primäre Ziel darin, sicherzustellen, dass sich Geräte konsistent verhalten. Updates müssen möglicherweise verzögert werden, damit alle Anwendungskompatibilitätstests abgeschlossen werden können. Installation und Neustarts erfolgen zu bestimmten Zeiten und werden in der Regel in einem stufenweisen Ansatz bereitgestellt.
Eine Updatestrategie und Prioritäten für diese Geräte umfassen in der Regel:
- Erweiterte Richtlinienkonfiguration
- Strenge Versionskontrolle
- Langsame Releasezyklen
Szenariobeispiel:
Sie konfigurieren ein Updateprofil für Geräte in der Fertigungshalle im Industriestandort von Contoso. Die Anlage läuft 24x7, 365 Tage im Jahr, abgesehen von einigen Stunden obligatorischer Pause für Sicherheitsinspektionen. Diese Inspektionen erfolgen jede Woche am frühen Sonntagmorgen.
Auf diesen Geräten werden zwei Anbieter-Apps ausgeführt. Um in einer unterstützten Konfiguration zu bleiben, werden beide Apps selten aktualisiert und müssen eine bestimmte Version der App und des Betriebssystems ausführen.
Sie möchten eine bestimmte ältere iOS-/iPadOS-Version (15) auf diesen Geräten bereitstellen, da der App-Anbieter noch keine späteren Versionen unterstützt. Da die Geräte fast immer in Gebrauch sind, haben Sie nur einmal pro Woche am Sonntag ein kleines Wartungsfenster.
Sie möchten Updates während eines zweistündigen Downtimefensters über Nacht an einem Sonntag planen.
Um diese Aufgabe auszuführen, erstellen Sie eine Richtlinie mit den folgenden Einstellungen:
Freigegebene Geräte
Freigegebene Geräte werden von vielen Benutzern verwendet, die sich in der Regel an- und abmelden, einschließlich Bildungsumgebungen. Bei diesen Geräten kann es sich um Terminal-/Desktopcomputer, Tablets, Laptops und Smartphones handeln. Sie werden häufig in Büros, Klassenzimmern und Einzelhandelsgeschäften verwendet.
Weitere Informationen zum Verwalten freigegebener iOS-/iPadOS-Geräte finden Sie unter Gemeinsam genutzte Gerätelösungen für iOS/iPadOS.
Für freigegebene iOS-/iPadOS-Geräte müssen alle Benutzer abgemeldet werden, um Updates anwenden zu können. Die Benutzer können abgemeldet oder das Gerät neu gestartet werden, wodurch Benutzer automatisch abgemeldet werden.
Eine Updatestrategie und Prioritäten für diese Geräte umfassen in der Regel:
- Erweiterte Richtlinienkonfiguration
- Vorhersagbare Versionskontrolle
- Kontrolliertes Updateverhalten
Szenariobeispiel:
Am Morgen meldet sich UserA beim Gerät an, um die E-Mail zu überprüfen, bevor er auf den Boden geht. Eine Stunde später verwendet UserB dasselbe Gerät, um einige BRANCHEN-Apps auszuführen.
Sie müssen ein Update für dieses freigegebene Gerät konfigurieren. Diese gemeinsam genutzten Geräte werden von allgemeinen Wissensarbeitern verwendet, die montags bis freitags von 8:00 bis 17:00 Uhr im Büro sind. Sie möchten die Geräte mit der neuesten iOS/iPadOS-Version verwenden, die alle Apps unterstützt, die auf den freigegebenen Geräten verwendet werden.
Um die Richtlinie so einfach wie möglich zu halten, möchten Sie, dass die Updates außerhalb der üblichen Arbeitszeiten installiert werden, plus eine Stunde für Neustarts oder andere Aktionen.
Für diese Aufgabe umfasst dieses Szenario zwei Richtlinien:
In der ersten Richtlinie möchten Sie, dass alle Benutzer sich abgemeldet haben oder das Gerät nach einem bestimmten Zeitraum neu starten möchten. Sie können ein Apple Business Manager-Registrierungsprofil erstellen, um alle Benutzer abzumelden, die sich länger als 15 Minuten (900 Sekunden) im Leerlauf befinden:
Planen Sie in der zweiten Richtlinie das Update mit den folgenden Einstellungen: