Gérer les stratégies de mise à jour logicielle macOS dans Intune

  • Article

Vous pouvez utiliser Microsoft Intune pour gérer les mises à jour logicielles des appareils macOS inscrits en tant qu’appareils supervisés.

Cette fonctionnalité s’applique à :

  • macOS 12 et versions ultérieures (supervisé)

    Remarque

    Avant la version macOS 12.5, les appareils peuvent télécharger et installer des mises à jour supplémentaires avant d’installer la dernière mise à jour.

Conseil

Vous pouvez utiliser le catalogue de paramètres Intune pour gérer les mises à jour logicielles déclaratives. La gestion déclarative des appareils (DDM) offre une expérience utilisateur améliorée, car l’appareil gère l’intégralité du cycle de vie des mises à jour logicielles. Pour plus d’informations, consultez Gérer les mises à jour logicielles avec le catalogue de paramètres.

Avec les stratégies pour les mises à jour logicielles macOS, vous pouvez :

  • Gérez à distance la façon dont les téléchargements, les installations et les notifications doivent se produire lorsque les types de mises à jour suivants sont disponibles pour macOS :

    • Mise à jour critique
    • Mise à jour du microprogramme
    • Mise à jour du fichier de configuration
    • Toutes les autres mises à jour (système d’exploitation, applications intégrées)

  • Spécifiez une planification qui détermine le moment où la mise à jour est installée. Les planifications peuvent être aussi simples que l’installation des mises à jour la prochaine fois que l’appareil s’enregistre ou la création de plages horaires quotidiennes pendant lesquelles les mises à jour peuvent être installées ou sont bloquées.

Par défaut, les appareils effectuent un check-in avec Intune toutes les 8 heures. Si une mise à jour est disponible via une stratégie de mise à jour, l’appareil télécharge la mise à jour. L’appareil installe ensuite la mise à jour lors du check-in suivant dans votre configuration de planification.

Configurer la stratégie

  1. Connectez-vous au Centre d’administration Microsoft Intune.

    Conseil

    Pour plus d’informations sur la gestion des mises à jour logicielles et l’expérience de mise à jour sur les appareils, consultez Gérer les mises à jour logicielles pour les appareils Apple - Support Apple sur le site de déploiement de plateforme d’Apple.

  2. Sélectionnez Appareils>Mettre à jour les stratégies pour macOS>Créer un profil.

  3. Sous l’onglet De base, spécifiez un nom pour cette stratégie, spécifiez une description (facultatif), puis sélectionnez Suivant.

  4. Sous l’onglet Paramètres de stratégie de mise à jour, configurez les options suivantes :

    Capture d’écran de la page Mettre à jour les paramètres de stratégie.

    1. Pour Critique, Microprogramme, Fichier de configuration et Toutes les autres mises à jour (système d’exploitation, applications intégrées), les actions d’installation suivantes peuvent être configurées :

      • Télécharger et installer : téléchargez ou installez la mise à jour, selon l’état actuel.

      • Télécharger uniquement : téléchargez la mise à jour logicielle sans l’installer.

      • Installer immédiatement : téléchargez la mise à jour logicielle et déclenchez la notification du compte à rebours de redémarrage. Cette action est recommandée pour les appareils sans utilisateur.

      • Notifier uniquement : téléchargez la mise à jour logicielle et informez l’utilisateur via paramètres système.

      • Installer plus tard : téléchargez la mise à jour logicielle et installez-la ultérieurement. Cette action n’est pas disponible pour les mises à niveau majeures du système d’exploitation.

        Lorsque vous configurez Installer plus tard pour *Toutes les autres mises à jour (système d’exploitation, applications intégrées), les paramètres suivants sont également disponibles :

        • Nombre maximal de reports utilisateur :
          Lorsque le type de mise à jour Toutes les autres mises à jour est configuré pour Installer ultérieurement, ce paramètre vous permet de spécifier le nombre maximal de fois qu’un utilisateur peut reporter une mise à jour mineure du système d’exploitation avant son installation. Le système invite l’utilisateur une fois par jour. Disponible pour les appareils exécutant macOS 12 et versions ultérieures.

        • Priorité : lorsque le type de mise à jour Toutes les autres mises à jour est configuré pour Installer ultérieurement, spécifiez les valeurs Low ou High pour la priorité de planification pour le téléchargement & la préparation des mises à jour mineures du système d’exploitation. Disponible pour les appareils exécutant macOS 12.3 et versions ultérieures.

      • Non configuré : aucune action n’est effectuée sur la mise à jour logicielle.

      Remarque

      Les appareils avec Apple Silicon nécessitent un jeton d’amorçage émis par mdm pour authentifier les mises à jour et mises à niveau automatisées et non interactives.

    2. Type de planification : configurez la planification de cette stratégie :

      • Mettre à jour lors du prochain check-in : la mise à jour s’installe sur l’appareil lors du check-in suivant avec Intune. Il s’agit de l’option la plus simple, qui ne nécessite pas de configuration supplémentaire.

      • Mise à jour pendant l’heure planifiée : vous configurez une ou plusieurs fenêtres de temps. Pendant ces fenêtres, la mise à jour s’installe lors de l’case activée.

      • Mise à jour en dehors de l’heure planifiée : vous configurez une ou plusieurs fenêtres de temps. Pendant ces fenêtres, les mises à jour ne s’installent pas lors de l’case activée.

    3. Planification hebdomadaire : si vous choisissez un type de planification autre que Mettre à jour lors du prochain check-in, configurez les options suivantes :

      Capture d’écran des paramètres de planification de la stratégie de mise à jour.

      • Fuseau horaire : choisissez un fuseau horaire.

      • Fenêtre de temps : définissez une ou plusieurs plages de temps qui limitent le moment où les mises à jour sont installées. L’effet des options suivantes dépend du type de planification que vous avez sélectionné. Avec un jour de début et un jour de fin, les blocs de nuit sont pris en charge. Les options suivantes sont disponibles :

      • Jour de début : choisissez le jour du début de la fenêtre de planification.

      • Heure de début : choisissez le jour de la fin de la fenêtre de planification. Par exemple, vous sélectionnez 5h00 et vous avez le type De planification Mise à jour pendant l’heure planifiée. Dans ce scénario, 5 h est l’heure à laquelle les mises à jour peuvent commencer à s’installer. Si vous avez choisi un type de planification de mise à jour en dehors d’une heure planifiée, 5 h est le début d’une période pendant laquelle les mises à jour ne peuvent pas être installées.

      • Jour de fin : choisissez le jour de fin de la fenêtre de planification.

      • Heure de fin : choisissez l’heure de fin de la fenêtre de planification. Par exemple, vous sélectionnez 1 h 000 et vous avez un type De planification Mise à jour pendant l’heure planifiée. Dans ce scénario, 1 h est l’heure à laquelle les mises à jour ne peuvent plus s’installer. Si vous avez choisi un type de planification de mise à jour en dehors d’une heure planifiée, 1 h est le début d’une période pendant laquelle les mises à jour peuvent être installées.

    Si vous ne configurez pas les heures de début ou de fin, la configuration n’entraîne aucune restriction et les mises à jour peuvent être installées à tout moment.

    Conseil

    Vous pouvez déployer une stratégie de catalogue de paramètres pour masquer une mise à jour aux utilisateurs d’appareils pendant un certain temps sur vos appareils macOS supervisés. Pour plus d’informations, consultez la section suivante Retarder la visibilité des mises à jour.

  5. Après avoir configuré Mettre à jour les paramètres de la stratégie, sélectionnez Suivant.

  6. Sous l’onglet Balises d’étendue, sélectionnez + Sélectionner des balises d’étendue pour ouvrir le volet Sélectionner des balises si vous voulez appliquer des balises d’étendue à la stratégie de mise à jour.

    • Dans le volet Sélectionnez des balises volet, choisissez une ou plusieurs balises, puis Sélectionnez pour les ajouter à la stratégie et revenir au volet Balises d’étendue .

    • Quand vous êtes prêt, sélectionnez Suivant pour accéder à Affectations.

  7. Sous l’onglet Affectations, choisissez + Sélectionner les groupes à inclure, puis affectez la stratégie de mise à jour à un ou plusieurs groupes. Utilisez + Sélectionner les groupes à exclure pour affiner l’affectation. Quand vous êtes prêt, sélectionnez Suivant pour continuer.

    La conformité de la mise à jour des appareils utilisés par les utilisateurs ciblés par la stratégie de conformité est évaluée. Cette stratégie prend également en charge les appareils sans utilisateur.

  8. Sous l’onglet Vérifier + créer , passez en revue les paramètres, puis sélectionnez Créer lorsque vous êtes prêt à enregistrer votre stratégie de mise à jour macOS. Votre nouvelle stratégie s’affiche dans la liste des stratégies de mise à jour pour macOS.

Remarque

La Gestion des appareils mobiles Apple ne vous permet de forcer un appareil à installer des mises à jour en fonction d’une certaine date ou heure. Vous ne pouvez pas utiliser les stratégies de mise à jour logicielle Intune pour rétrograder la version du système d’exploitation sur un appareil.

Retarder la visibilité des mises à jour

Lorsque vous utilisez des stratégies de mise à jour pour macOS, vous souhaiterez peut-être masquer les mises à jour des utilisateurs d’appareils macOS supervisés pendant une période spécifiée. Pour cette tâche, utilisez une stratégie de catalogue de paramètres pour les appareils macOS qui configure les périodes de restriction de mise à jour.

Une période de restriction peut vous donner le temps de tester une mise à jour avant qu’elle ne soit mise à la disposition des utilisateurs pour l’installer. Une fois la période de restriction terminée, la mise à jour devient visible par les utilisateurs et ils peuvent choisir de l’installer si vos stratégies de mise à jour ne l’installent pas en premier.

Si vous utilisez des restrictions d’appareil pour masquer une mise à jour, passez en revue vos stratégies de mise à jour logicielle pour vous assurer qu’elles ne planifient pas l’installation de cette mise à jour avant la fin de la période de restriction. Les stratégies de mise à jour logicielle installent les mises à jour en fonction de leur planification, que la mise à jour soit masquée ou visible par l’utilisateur de l’appareil.

Les paramètres qui peuvent restreindre la visibilité des mises à jour sur les appareils macOS se trouvent dans la catégorieRestrictions du catalogue> de paramètres. Voici quelques exemples de paramètres que vous pouvez utiliser pour différer une mise à jour :

  • Délai de mise à jour logicielle appliqué
  • Retard d’installation différé du système d’exploitation principal de mise à jour logicielle appliqué
  • Mise à jour logicielle appliquée - Délai d’installation différé non-système d’exploitation

Vous trouverez également les paramètres associés sous la catégorie System Mises à jour>Software Update pour gérer la façon dont les utilisateurs interagissent manuellement avec les mises à jour via leur interface utilisateur système. Toutefois, les mises à jour d’une stratégie de mise à jour ciblée remplacent ces paramètres de stratégie de catalogue.

Modifier une stratégie

Vous pouvez modifier une stratégie existante, notamment en changeant les heures restreintes :

  1. Sélectionnez Stratégies demise à jour des appareils > pour macOS. Sélectionnez la stratégie que vous souhaitez modifier.

  2. Lorsque vous voyez les propriétés des stratégies, sélectionnez Modifier pour la page de stratégie que vous souhaitez modifier.

    Capture d’écran de la page de modification de stratégie.

  3. Après avoir introduit une modification, sélectionnez Vérifier + enregistrer>Enregistrer pour enregistrer vos modifications.

Remarque

Si les paramètres Heure de début et Heure de fin sont tous les deux définis sur minuit, Intune ne vérifie pas les restrictions relatives aux plages d’installation des mises à jour. Cela signifie que toutes les configurations pour Sélectionnez des heures pour empêcher les installations de mises à jour sont ignorées et que les mises à jour peuvent être installées à tout moment.

Configurer d’autres paramètres de mise à jour logicielle macOS à l’aide du catalogue de paramètres

La catégorie Restrictions contient les paramètres suivants qui peuvent être utilisés pour retarder la visibilité des mises à jour logicielles macOS sur les appareils (Appareils les>profils> de configurationmacOS>Créer une>nouvelle stratégie>Paramètres catalogue>Restrictions) :

  • Délai de mise à jour logicielle appliqué : définit le nombre de jours pour retarder une mise à jour logicielle sur l’appareil. Une fois cette restriction en place, l’utilisateur ne voit pas de mise à jour logicielle avant le nombre spécifié de jours après la date de publication de la mise à jour logicielle. Cette valeur est utilisée par Force Delayed App Software Mises à jour et Force Delayed Software Mises à jour.

  • Forcer le logiciel d’application retardée Mises à jour : si la valeur est true, retarde la visibilité utilisateur des Mises à jour logiciels non-système d’exploitation pour les logiciels intégrés comme Safari, XProtect et Gatekeeper. Nécessite un appareil supervisé. Le délai est de 30 jours, sauf si le délai de mise à jour logicielle appliqué est défini sur une autre valeur.

  • Mise à jour logicielle appliquée Délai d’installation différée non du système d’exploitation : cette restriction permet à l’administrateur de définir le nombre de jours pour retarder une mise à jour logicielle d’application sur l’appareil. Lorsque cette restriction est en place, l’utilisateur voit une mise à jour logicielle non-système d’exploitation uniquement après le délai spécifié après la publication du logiciel. Cette valeur contrôle le délai pour forcer le logiciel d’application retardée Mises à jour.

  • Forcer l’Mises à jour des logiciels majeurs retardés : s’il est défini sur true, retarde la visibilité des mises à niveau majeures du logiciel du système d’exploitation.

  • Délai d’installation différé du système d’exploitation principal de mise à jour logicielle : cette restriction permet à l’administrateur de définir le nombre de jours pour retarder une mise à niveau logicielle majeure sur l’appareil. Les mises à niveau logicielles majeures sont de nouvelles versions majeures du système d’exploitation ; par exemple, macOS 12 Monterrey et macOS 13 Ventura. Lorsque cette restriction est en place, l’utilisateur voit une mise à niveau logicielle uniquement après le délai spécifié après la publication de la mise à niveau logicielle. Cette valeur contrôle le délai de l’Mises à jour Force Delayed Major Software.

  • Forcer l’Mises à jour des logiciels retardés : si la valeur est true, retarde la visibilité des mises à jour logicielles par l’utilisateur. Dans macOS, les mises à jour de build initiales sont autorisées, sans délai. Le délai est de 30 jours, sauf si le délai de mise à jour logicielle appliqué est défini sur une autre valeur.

  • Délai d’installation différé du système d’exploitation mineur de mise à jour logicielle appliquée : cette restriction permet à l’administrateur de définir le nombre de jours pour retarder une mise à jour mineure du logiciel du système d’exploitation sur les appareils. Les mises à jour logicielles mineures sont des mises à jour intermédiaires publiées entre les principales mises à niveau du système d’exploitation ; par exemple, macOS 13.1 et macOS 13.2. Lorsque cette restriction est en place, l’utilisateur voit une mise à jour logicielle uniquement après le délai spécifié après la publication de la mise à jour logicielle. Cette valeur contrôle le délai de l’Mises à jour Force Delayed Software.

La catégorie Mise à jour logicielle contient les paramètres suivants qui peuvent être utilisés pour configurer l’expérience utilisateur pour les options de mise à jour logicielle macOS sur les appareils (Appareils profils>de configuration>macOS>Créer un>nouveau catalogue> de paramètres destratégie>Système Mises à jour>Mise à jour logicielle) :

  • Autoriser l’installation en préversion : si la valeur est true, les logiciels en préversion peuvent être installés sur cet ordinateur.

  • Vérification automatique activée : si la valeur est false, désélectionne l’option « Rechercher les mises à jour » et empêche l’utilisateur de modifier l’option.

  • Téléchargement automatique : si la valeur est false, désélectionne l’option « Télécharger les nouvelles mises à jour lorsqu’elles sont disponibles à partir de la App Store » et empêche l’utilisateur de modifier l’option.

  • Installer automatiquement l’application Mises à jour : si la valeur est false, désélectionne l’option « Installer les mises à jour de l’application à partir de l’App Store » et empêche l’utilisateur de modifier l’option.

  • Installer automatiquement macOS Mises à jour : si la valeur est false, restreint l’option « Installer macOS Mises à jour » et empêche l’utilisateur de modifier l’option.

  • Installation des données de configuration : si la valeur est false, limite l’installation automatique des données de configuration.

  • Installation des mises à jour critiques : si la valeur est false, désactive l’installation automatique des mises à jour critiques et empêche l’utilisateur de modifier l’option « Installer les fichiers de données système et les mises à jour de sécurité ».

  • Restreindre les mises à jour logicielles Exiger Administration pour installer : si la valeur est true, limitez les installations d’applications aux utilisateurs administrateurs. Cette clé a la même fonction que le paramètre Restreindre les Administration d’installation du magasin dans la catégorie App Store.

Surveiller les échecs d’installation des mises à jour sur les appareils

Dans le centre d’administration Microsoft Intune, accédez à Appareils>Monitor>Installation status pour les appareils macOS.

Intune affiche une liste d’appareils macOS supervisés ciblés par une stratégie de mise à jour. La liste n’inclut pas les appareils à jour et intègres, car les appareils macOS retournent uniquement des informations sur les échecs d’installation.

Pour chaque appareil de la liste, l’état de l’installation affiche l’erreur retournée par l’appareil. Pour afficher la liste des valeurs de status d’installation potentielles, dans la page Installation status pour les appareils macOS, sélectionnez Filtres, puis développez la liste déroulante État de l’installation.

Prochaines étapes

Surveiller les profils d’appareils