Planungshandbuch für Softwareupdates für verwaltete macOS-Geräte in Microsoft Intune
Es ist wichtig, Ihre Geräte mit Updates auf dem neuesten Stand zu halten. Administratoren müssen tun, was sie können, um das Risiko von Sicherheitsereignissen zu verringern und dieses Risiko mit minimalen Unterbrechungen für das Unternehmen & Benutzer zu reduzieren.
Intune verfügt über integrierte Richtlinien, mit denen Softwareupdates verwaltet werden können. Für macOS-Geräte können Sie Intune verwenden, um Geräteupdates zu verwalten, zu konfigurieren, wann Geräte aktualisiert werden, und den Status der Geräteupdates zu überprüfen.
Verwenden Sie diesen Artikel als Administratorhandbuch für Ihre registrierten und verwalteten macOS-Geräte. Diese Informationen können ihnen helfen, Softwareupdates auf Ihren organisationseigenen Geräten zu verwalten.
Dieser Artikel gilt für:
- in Intune registrierte macOS-Geräte
Tipp
Wenn Sich Ihre Geräte in persönlichem Besitz befinden, wechseln Sie zum Administratorhandbuch für Softwareupdates für persönliche Geräte.
Bevor Sie beginnen
Um Updates schneller zu installieren und Verzögerungen zu vermeiden, stellen Sie sicher, dass die Geräte folgendes sind:
- Eingeschaltet; nicht heruntergefahren, kann aber ein Ruhezustand sein
- Angeschlossen
- Mit dem Internet verbunden
Verwalten von Updates mit Richtlinien
✅ Erstellen Sie Richtlinien, die Ihre Geräte aktualisieren. Übernehmen Sie diese Verantwortung nicht den Endbenutzern.
Standardmäßig erhalten Benutzer Benachrichtigungen und/oder sehen die neuesten Updates, die auf ihren Geräten verfügbar sind (Einstellungen > Allgemeine > Softwareupdates). Benutzer können updates herunterladen und installieren, wann immer sie möchten.
Sie können auch das Updateverhalten mithilfe der Funktion "Automatische Updates" auf dem Gerät ändern (Einstellungen > Softwareupdates):
Wenn Benutzer ihre eigenen Updates installieren (anstelle von Administratoren, die die Updates verwalten), kann dies die Benutzerproduktivität und Geschäftsaufgaben beeinträchtigen. Zum Beispiel:
Benutzer können Updates anwenden, die Ihre Organisation nicht genehmigt hat. Diese Situation kann Probleme mit der Anwendungskompatibilität oder Änderungen am Betriebssystem oder der Benutzeroberfläche verursachen, die die Gerätenutzung beeinträchtigen.
Benutzer können das Anwenden von Updates vermeiden, die aus Sicherheits- oder App-Kompatibilitätsgründen erforderlich sind. Diese Verzögerung kann die Geräte gefährden und/oder verhindern, dass sie funktionieren.
Benutzer können die Suche nach neuen Updates vollständig deaktivieren.
Aufgrund dieser potenziellen Probleme empfiehlt Microsoft, Ihre Anwendungsfallszenarien zu bewerten und Richtlinien bereitzustellen, um die Updateerfahrung zu verwalten, um Risiken und Unterbrechungen für Ihr Unternehmen zu minimieren.
Administratorschritte für Geräte im Besitz der Organisation
Zum Aktualisieren von macOS-Geräten, die sich im Besitz Ihrer Organisation befinden, empfiehlt Microsoft die folgenden Features. Sie können diese Features auch als Ausgangspunkt für Ihre eigene Updatestrategie verwenden.
Verwenden von DDM-Einstellungen – macOS 14.0 und höher: Verwenden Sie auf macOS 14.0 und neueren Geräten verwaltete Softwareupdates, um die deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM) von Apple zu konfigurieren.
Sie können MDM-Einstellungen auf macOS 14+ Geräten verwenden, dies wird jedoch nicht empfohlen. Verwenden Sie stattdessen die DDM-Einstellungen.
Mdm-Einstellungen verwenden – macOS 13 und älter: Verwenden Sie auf macOS 13 und älteren Geräten eine Softwareupdaterichtlinie, um zu verwalten, wann Updates installiert werden, und eine Einstellungskatalogrichtlinie, um zu verwalten, wie Updates installiert werden.
Konfigurieren und Bereitstellen von Nudge: Dieses Communitytool fordert Benutzer schnell auf, wenn ein Update verfügbar ist. Wenn die ersten beiden Richtlinien Endbenutzer nicht dazu motivieren, Updates zu installieren, werden sie von Nudge daran erinnert.
Verwenden der integrierten Berichterstellung für den Updatestatus: Nachdem die Updaterichtlinien bereitgestellt wurden, können Sie das Berichterstellungsfeature verwenden, um den Status der Updates zu überprüfen.
macOS 14 und höher
✅ Verwenden von verwalteten Softwareupdates zum Konfigurieren der deklarativen Geräteverwaltung (Deklarative Geräteverwaltung, DDM) von Apple
DDM ist eine neue Möglichkeit zum Verwalten von Einstellungen. Mit DDM können Sie ein bestimmtes Update bis zu einem erzwungenen Stichtag installieren. Die unabhängige Natur von DDM bietet eine verbesserte Benutzerfreundlichkeit, da das Gerät den gesamten Lebenszyklus von Softwareupdates verarbeitet. Es fordert Benutzer auf, dass ein Update verfügbar ist, und lädt außerdem herunter, bereitet das Gerät für die Installation vor, & installiert das Update.
Sie können die deklarative Geräteverwaltung (Deklarative Geräteverwaltung, DDM) von Apple verwenden, um Softwareupdates für die folgenden Versionen zu verwalten:
- macOS 14 und höher
Diese Einstellungen können im Intune-Einstellungskatalog konfiguriert werden. Weitere Informationen findest du unter Verwaltete Softwareupdates mit dem Einstellungskatalog.
macOS 13 und älter
Unter macOS-Versionen 13 und älter können Sie die in Intune integrierten MDM-Einstellungen von Apple verwenden. Verwenden Sie für diese Geräte die folgenden Richtlinien:
Erstellen einer Softwareupdaterichtlinie: Diese Richtlinie erzwingt, dass Updates zu einem geeigneten Zeitpunkt heruntergeladen und installiert werden. Abhängig von den einstellungen, die Sie eingeben, werden Benutzer nicht aufgefordert und müssen das Gerät nicht verwenden, wenn die Updates installiert werden.
Erstellen einer Einstellungskatalogrichtlinie: Diese Richtlinie verhindert, dass Endbenutzer Updateüberprüfungen deaktivieren. Außerdem wird das Gerät so konfiguriert, dass es regelmäßig nach Updates sucht und Benutzer auffordert.
Beide Richtlinien arbeiten zusammen, um die Updateerfahrung zu verwalten. Dieser Abschnitt konzentriert sich auf diese Schritte.
Hinweis
Wenn auf Ihren Geräten macOS 14 und höher ausgeführt wird, verwenden Sie die in macOS 14 und höher (in diesem Artikel) beschriebenen DDM-Einstellungen. Es wird nicht empfohlen, die Softwareupdaterichtlinie und die Einstellungskatalogrichtlinie unter macOS 14 und höher zu verwenden.
✅ Schritt 1: Verwenden einer Softwareupdaterichtlinie zum Verwalten der Installation von Updates
In einer Softwareupdaterichtlinie können Sie verwalten, wann wichtige Updates und Firmwareupdates installiert werden. Sie können auch verwalten, wie oft der Benutzer ein Update zurückstellen kann, bevor es erzwungen wird.
Für die meisten Organisationen empfiehlt Microsoft, die in einer Softwareupdaterichtlinie verfügbaren Einstellungen zu konfigurieren.
Wechseln Sie im Intune Admin Center zu Geräte > Apple aktualisiert > macOS-Updaterichtlinien. Konfigurieren Sie die folgenden Einstellungen:
Richtlinienverhaltenseinstellungen aktualisieren
- Wichtige Updates: Später installieren
- Firmwareupdates: Später installieren
- Konfigurationsdateiupdates: Später installieren
-
Alle anderen Updates (Betriebssystem, integrierte Apps): Später installieren
- Maximale Anzahl von Benutzerverzögerungen: 5
- Priorität: Hoch
Hinweis
- Bei aktuellen macOS-Builds werden fast alle Updates als Konfigurationsdatendateien oder Alle anderen Updates angezeigt. Die Einstellungen Für alle anderen Updates handelt es sich hauptsächlich um Legacyupdates für ältere Builds von macOS.
- Die in diesen Einstellungen angegebene Zeit wird vom Intune-Dienst verwendet. Die Zeit ist nicht die Uhrzeit des lokalen Geräts. Beachten Sie zeitbezogene Unterschiede, wenn Sie ein Wartungsfenster konfigurieren. Dies ist eine globale Umgebung.
Richtlinienzeitplaneinstellungen aktualisieren
- Zeitplantyp: Beim nächsten Einchecken aktualisieren
Sie können die Werte in Ihre bevorzugten geplanten Zeiten ändern. Einige der Werte wirken sich möglicherweise nur auf kleinere Updates und nicht auf größere Updates aus.
Die spezifischen Schritte und weitere Informationen zu diesen Einstellungen & ihren Werten finden Sie unter Verwalten von macOS-Softwareupdaterichtlinien in Intune.
Endbenutzeroberfläche
Mit diesen Einstellungen werden diese Einstellungen durch diese Richtlinie gesperrt, sodass Benutzer sie nicht ändern können. Die Richtlinie enthält außerdem Folgendes:
Sucht jedes Mal nach Updates, wenn das Gerät beim Intune-Dienst eincheckt. Wenn Updates verfügbar sind, werden sie automatisch heruntergeladen.
Das Gerät findet einen Zeitraum, in dem das Gerät nicht verwendet wird.
- Wenn das Gerät nicht verwendet wird, versucht die Richtlinie, das Update automatisch zu installieren.
- Wenn das Gerät verwendet wird, können Endbenutzer das Update installieren oder die Installation bis zu fünfMal zurückstellen. Stellen Sie sicher, dass Sie Ihre Endbenutzer ermutigen, Updates zu installieren, wenn diese verfügbar sind.
Die folgenden Abbildungen zeigen die Eingabeaufforderungen, die Endbenutzer sehen können, wenn Updates verfügbar sind:
Wenn Endbenutzer alle Zurückstellungen verwenden, wird das Update erzwungen installiert. Bei einer erzwungenen Installation fordert ein Neustart den Endbenutzer nicht auf und kann zu Datenverlusten führen.
✅ Schritt 2: Verwenden einer Einstellungskatalogrichtlinie zum Verwalten der Installation von Updates
Der Intune-Einstellungskatalog enthält auch Einstellungen zur Verwaltung von Softwareupdates. Sie können das Gerät so konfigurieren, dass Updates automatisch installiert werden, sobald sie verfügbar sind, einschließlich App-Updates.
Diese Einstellungskatalogrichtlinie funktioniert mit Schritt 1 : Verwenden einer Softwareupdaterichtlinie zum Verwalten der Installation von Updates (in diesem Artikel). Dadurch wird sichergestellt, dass die Geräte nach Updates suchen und Benutzer dazu auffordern, diese zu installieren. Endbenutzer müssen weiterhin Maßnahmen ergreifen, um die Installation abzuschließen.
Wechseln Sie im Intune Admin Center zu Geräte > Verwalten von Geräten > Konfigurationseinstellungskatalog >> Softwareupdate. Konfigurieren Sie die folgenden Einstellungen:
- Vorabinstallation zulassen: False
- Automatischer Download: True
- App-Updates automatisch installieren: True
- Installation kritischer Updates: True
- Softwareupdate einschränken Administrator muss installiert werden: False
- Konfigurationsdateninstallation: True
- Automatische Installation von macOS-Updates: True
- Automatische Überprüfung aktiviert: True
Weitere Informationen zum Einstellungskatalog, einschließlich der Erstellung einer Einstellungskatalogrichtlinie, finden Sie unter Konfigurieren von Einstellungen mithilfe des Einstellungskatalogs.
Endbenutzeroberfläche
Diese Richtlinie sperrt diese Einstellungen, sodass Benutzer sie nicht ändern können. Auf dem Gerät sind die Softwareupdateeinstellungen abgeblendet:
Erwägen Sie die Verwendung des Nudge-Communitytools
Dieses Tool ist optional und kann Ihnen helfen, die Endbenutzererfahrung zu verwalten.
Ein beliebtes Tool in der Microsoft macOS-Administratorcommunity ist Nudge. Nudge ist ein Open-Source-Tool , das Endbenutzer dazu animiert, macOS-Updates zu installieren. Es bietet administratoren eine umfassende Konfigurationsoberfläche.
Wenn Nudge konfiguriert und bereitgestellt wird, wird Endbenutzern die folgende Beispielmeldung angezeigt, wenn ihr Gerät für die Aktualisierung bereit ist. Endbenutzer können auch auswählen, ob sie das Gerät aktualisieren oder das Update zurückstellen möchten:
Es gibt auch ein Beispielskript und eine Intune-Konfigurationsrichtlinie für Nudge im Microsoft Shell-Skriptrepository. Dieses Skript enthält alles, was Sie für die ersten Schritte mit Nudge benötigen. Stellen Sie sicher, dass Sie die .mobileconfig
Datei mit Ihren Werten aktualisieren.
Verwenden der integrierten Berichterstellung für den Updatestatus
Nachdem die Updaterichtlinien bereitgestellt wurden, können Sie im Intune Admin Center das Berichterstellungsfeature verwenden, um den Status der Updates zu überprüfen.
Für jedes Gerät können Sie den aktuellen Updatestatus (Geräte > macOS > Updaterichtlinien für macOS) anzeigen: