Microsoft Intuneの監視対象 iOS/iPadOS デバイスのソフトウェア更新プログラムの計画ガイドとシナリオ
ソフトウェア更新プログラムを使用してモバイル デバイスを最新の状態に保つことが重要です。 セキュリティ イベントのリスクを軽減し、organizationとユーザーの中断を最小限に抑える必要があります。 iOS/iPadOS 監視対象デバイスでは、Intune にはソフトウェア更新プログラムを管理できる組み込みのポリシーがあります。
この記事には、iOS/iPadOS 監視対象デバイスでのソフトウェア更新プログラムの使用を開始するための管理者チェックリストが含まれています。 また、環境内で構成できる一般的な業界シナリオとサンプル ポリシーの一覧も示します。
ソフトウェア更新ポリシーを作成する具体的な手順については、「 Intune で iOS/iPadOS ソフトウェア更新ポリシーを管理する」を参照してください。
この記事は、次の項目に適用されます:
- Intune に登録されている iOS/iPadOS 監視対象デバイス
ヒント
デバイスが個人所有の場合は、 個人用デバイスのソフトウェア更新プログラム計画ガイドに移動します。
organization所有デバイスの管理チェックリスト
このセクションでは、デバイスにソフトウェア更新プログラムをインストールするための Microsoft 推奨のガイダンスと戦略を示します。
✅ ポリシーを使用して更新プログラムを管理する
デバイスを更新するポリシーを作成することをお勧めします。 エンド ユーザーにこの責任を適用することはお勧めしません。
既定では、ユーザーは通知を受け取り、デバイスで利用可能な最新の更新プログラム ([設定>] [全般>ソフトウェア] 更新) を表示します。 ユーザーは、いつでも更新プログラムをダウンロードしてインストールできます。
ユーザーが (管理者が更新プログラムを管理する代わりに) 独自の更新プログラムをインストールすると、ユーザーの生産性とビジネス タスクが中断される可能性があります。 例:
ユーザーは必要に応じて更新プログラムを開始でき、更新プログラムのインストール中に作業できない場合があります。
ユーザーは、organizationが承認されていない更新プログラムを適用できます。 この決定により、アプリケーションの互換性、オペレーティング システムの変更、またはデバイスの使用を中断するユーザー エクスペリエンスの変更に関する問題が発生する可能性があります。
ユーザーは、セキュリティまたはアプリの互換性に影響を与える必要な更新プログラムの適用を回避できます。 この状況により、デバイスが危険にさらされたり、デバイスが機能しなくなる可能性があります。
✅ 自動更新を有効にしたままにする
iOS/iPadOS 12 以降では、更新プログラムが利用可能になると、Apple デバイスによって更新プログラムが自動的にインストールされます。 既定では、この機能は新しいデバイスで有効になっています。 この機能は有効のままにします。
この自動パッチ適用を使用して更新プログラムを迅速にインストールするには、デバイスが次の内容であることを確認します。
- 電源オン
- 接続済み
- インターネットに接続されている
デバイスの電源が入り、接続され、インターネットに接続されると、更新プログラムはインストール & 自動的にダウンロードされ、デバイスが再起動します。 デバイスがこれらの条件を満たしていない場合、更新プログラムは自動的にダウンロードおよびインストールされません。
デバイスを最新バージョンに維持し、最小限の労力でデバイスを維持するには、自動更新機能を有効にしたままにします。
自動更新は、他の更新ポリシーと連携して機能します。これにより、管理者とエンド ユーザーに肯定的なエクスペリエンスを提供できます。
Intune ポリシーを使用して、ユーザーにデバイスの更新を強制することもできます。
- 登録制限を使用して、ユーザーが現在のデバイスを登録できないようにします。
- コンプライアンス ポリシーを作成して、更新されていないデバイスを決定します。
- 条件付きアクセス (CA) ポリシーを作成して、更新されていないデバイスをブロックします。 CA ポリシーでは、ユーザーがアクセスを回復できるように、現在の更新プログラムをインストールするように求めることもできます。
知っておく必要があること
自動更新機能が無効になっている場合、OS の制限のため、ポリシーを使用して変更することはできません。 デバイスで設定を手動で変更するか、デバイスを再プロビジョニング & リセットする必要があります。
デバイスが PIN で構成されている場合は、ソフトウェア更新プログラムを開始するには、PIN を入力する必要があります。 通常、PIN を入力することは、インフォメーション ワーカー 1:1 デバイスの問題ではありません。
キオスク、工場のフロア、またはユーザーレスのシナリオで更新プログラムを計画する場合は、PIN の動作に合わせてプロセスを調整することが必要になる場合があります。
✅ 組み込みの設定を使用する
更新プログラムを管理するために、Apple には次のオプションがあります。
宣言型デバイス管理 (DDM)
iOS/iPadOS 17.0 以降では、Apple の宣言型デバイス管理 (DDM) を使用してソフトウェア更新プログラムを管理できます。 DDM は、デバイスがソフトウェア更新プログラムのライフサイクル全体を処理するため、ユーザー エクスペリエンスを向上させたデバイスを管理するための新しい方法です。 更新プログラムが利用可能であることをユーザーに求め、ダウンロードも行い、インストール用にデバイスを準備 &、更新プログラムをインストールします。
DDM は、iOS/iPadOS 17 以降のデバイスで更新プログラムを管理するための推奨される方法です。 これらのデバイスでは MDM 設定を使用できますが、推奨されません。 代わりに、DDM 設定を使用してください。
これらの設定は、Microsoft Intune管理センターで構成できます。 詳細については、設定カタログを使用した マネージド ソフトウェア更新プログラムに関するページを参照してください。
ソフトウェア更新ポリシー
これらの MDM ポリシーは、特定のバージョンの制御されたロールアウトを提供します。 古いバージョンのデバイスを強制的にアップグレードすることもできます。 管理者は、iOS/iPadOS バージョンを入力してインストールをインストールし、スケジュールを設定できます。
これらの設定は、Microsoft Intune管理センターで構成できます。 詳細については、「 Intune で iOS/iPadOS ソフトウェア更新ポリシーを管理する」を参照してください。
ソフトウェア更新プログラムの遅延ポリシー
これらの MDM ポリシーは、最大 90 日間更新プログラムを非表示にします。 ユーザーが、承認されていないバージョンにデバイスを手動で更新できないようにします。 この機能は、更新プログラムが適用されるタイミングを制御しません。
これらの設定は、Microsoft Intune管理センターで構成できます。 詳細については、「 Intune で iOS/iPadOS ソフトウェア更新ポリシーを管理する」を参照してください。
これらの機能を使用すると、管理者は Apple デバイスが特定のソフトウェア バージョンを実行していることを確認し、デバイス全体の更新プログラムのリリースを制御できます。
✅ 多くのタイム ゾーンをサポートするポリシーを作成する
すべてのポリシー時刻では、協定世界時 (UTC) が使用されます。 デバイスのローカル タイムゾーンは使用されません。
作成および管理する必要があるポリシーの数を最小限に抑えるには、多くのタイム ゾーンをサポートする構成を作成します。 タイム ゾーンごとに個別のポリシーを作成しないでください。
たとえば、米国には、太平洋 (UTC-8)、山 (UTC-7)、中部 (UTC-6)、東部 (UTC-5) の 4 つの主要なタイム ゾーンがあります。 タイム ゾーンごとに個別のポリシーを作成できます。 または、同じ結果を達成する 1 つまたは 2 つのポリシーを作成します。
✅ バージョン設定には注意してください
ソフトウェア更新ポリシーを作成するときは、すべてのポリシーのバージョンの詳細の広範な影響に注意してください。
例:
更新を 90 日間遅延するポリシーを構成します。 デバイスに最新の iOS/iPadOS バージョンが必要な登録制限ポリシーがある場合、デバイスのリセット後、デバイスの登録がブロックされる可能性があります。
最新の最小 iOS/iPadOS バージョンを必要とするコンプライアンス ポリシーを作成します。 このポリシーでは、古いリリースのデバイスは非準拠になります。 条件付きアクセスを使用してコンプライアンスを適用すると、ユーザーはブロックされ、機能しません。
一般的な業界シナリオ
Apple デバイスは、エンタープライズ、小売、製造、教育など、さまざまな業界で使用されています。 ほとんどのデバイス ユース ケースは、次の種類に分類できます。
- 1:1: デバイスは 1 人でのみ使用されます。
- 共有: デバイスは複数のユーザーによって使用されます。
- 専用: デバイスは、キオスクやデジタル サイネージなどの特定のビジネス目的で使用されます。
次の表に、この記事で使用される一般的な業界用語を示します。
| Industry | 用語 | ユース ケース |
|---|---|---|
| Enterprise | ナレッジ ワーカー | 1:1 |
| 小売 | キオスク | 専用 |
| 製造 | ファクトリ マシン | ミッション クリティカル |
| 教育 | 割り当てられたデバイス | 共有 |
このセクションでは、一般的な業界シナリオについて説明し、Intune ポリシーの例を示します。
ナレッジ ワーカー
このグループは、エンタープライズ企業や組織で働く知識を持つ人々です。 彼らの知識と思考能力は、彼らの仕事です。 例としては、エンジニア、コンテンツ開発者、プログラマー、会計士、コミュニケーション、コンサルタントなどがあります。
ナレッジ ワーカーには、通常、自分だけが使用する独自のデバイスがあります。 他のユーザーや他のナレッジ ワーカーと共有されません。
ナレッジ ワーカー デバイスなどのシナリオでは、更新プロセスをできるだけ簡単かつ迅速に行うのが主な目標です。 アプリは主にストア ベースであり、アプリは最新の OS バージョンと互換性を維持する必要があります。 これらのデバイスでは、ユーザーは通常、更新プログラムのプロンプトや再起動に便利な時間を選択することに耐えられます。
通常、これらのデバイスの更新戦略と優先順位は次のとおりです。
✅ 基本的な更新構成
✅ 最新の最新バージョン
✅ 自動更新
シナリオの例:
Contoso でナレッジ ワーカーの更新プロファイルを構成しています。 これらのユーザーは、主に Microsoft 365 アプリと複数のボリューム購入プログラム (VPP) アプリを使用します。
管理者は、次の問題に慣れていると思います。
- 最新リリースの iOS/iPadOS バージョンを実行しているこれらのデバイス
- デバイスが Intune でチェックされるとすぐに更新プログラムをダウンロードしてインストールする
- エンド ユーザーが更新プログラムをインストールするタイミングを決定し、デバイスを再起動して更新プログラムを適用できるようにする
これらの目標を達成するには、次の既定の設定でポリシーを使用できます。
キオスク
これらのデバイスは通常、店舗内のリテール デバイスであり、デスクトップ コンピューターまたはモバイル デバイスにすることができます。 従業員は顧客にサービスを提供するために使用され、セルフサービス タスクのために顧客によって直接使用されます。 また、すべての顧客がオンプレミスの場合に表示される視覚的な表示にすることもできます。
キオスクのようなシナリオでは、デバイスを更新するための主な目標は次のとおりです。
- 承認された OS 更新プログラムがデバイスに最新であることを確認します。
- 管理者は、更新プログラムとバージョン管理を管理します。
- インストールと再起動は営業時間後に行われます。
通常、これらのデバイスの更新戦略と優先順位は次のとおりです。
✅ 基本的な更新構成
✅ 予測可能なバージョン管理
✅ 予測可能なリリース サイクル
シナリオの例:
Contoso でキオスク デバイスの iOS/iPadOS 更新プロファイルを構成しています。 これらのデバイスは小売店で動作します。 スタッフは、デバイスを使用して、延長された小売時間を含む週 7 日顧客にサービスを提供します。 デバイスは、Contoso が社内で開発した 1 つの基幹業務 (LOB) キオスク アプリを実行します。 この内部アプリケーションは、四半期ごとにのみテストおよび検証されます。
この LOB アプリが最近テストされた特定の iOS/iPadOS バージョン (iOS 16.3) をデプロイする必要があります。 このキオスク アプリケーションが正しく動作しない場合、小売店は顧客にサービスを提供できません。 デバイスは Wi-Fi に接続され、小売店が顧客に閉じられたときに夜間に課金されます。
ストアが開く前に、更新プログラムをダウンロードして適用できる 10 時間の一晩のサービス期間を選択しました。
このタスクを実行するには、次の設定でポリシーを作成します。
ファクトリ マシン
これらのデバイスは、多くの場合、単一目的のデバイスです。 これらは、製造ラインや特殊な機器制御 & 監視など、ミッション クリティカルな領域で使用されます。 たとえば、コンポーネントを溶接するデバイスのコントロールまたは監視ソフトウェアを実行している Android タブレットなどです。
ファクトリ マシンのシナリオでは、主な目標は、デバイスが一貫した方法で動作するようにすることです。 すべてのアプリケーション互換性テストを完了できるように、更新を遅延させる必要がある場合があります。 インストールと再起動は特定の時刻に行われ、通常は段階的な方法でデプロイされます。
通常、これらのデバイスの更新戦略と優先順位は次のとおりです。
✅ 高度なポリシー構成
✅ 厳密なバージョン管理
✅ リリース サイクルが遅い
シナリオの例:
Contoso の産業用施設の製造フロアにあるデバイスの更新プロファイルを構成しています。 施設は24時間365日稼働しています。ただし、数時間の安全検査の必須停止を除きます。 これらの検査は毎週日曜日の早朝に行われます。
これらのデバイスは、2 つのベンダー アプリを実行します。 サポートされている構成を維持するには、両方のアプリが更新頻度が低く、特定のバージョンのアプリと OS を実行する必要があります。
アプリ ベンダーはまだ以降のリリースをサポートしていないため、これらのデバイスに特定の古い iOS/iPadOS バージョン (15) をデプロイする必要があります。 デバイスはほぼ常に使用されているため、日曜日には週に 1 回だけメンテナンス期間が小さくなります。
日曜日に 2 時間のダウンタイム期間に更新プログラムを一晩スケジュールする必要があります。
このタスクを実行するには、次の設定でポリシーを作成します。
共有デバイス
共有デバイスは、通常、教育環境を含め、デバイスからサインインおよびサインアウトする多くのユーザーによって使用されます。 これらのデバイスには、ターミナル/デスクトップ コンピューター、タブレット、ノート PC、スマートフォンを使用できます。 多くの場合、オフィス、教室、小売店で使用されます。
共有 iOS/iPadOS デバイスの管理の詳細については、「iOS /iPadOS 用の共有デバイス ソリューション」を参照してください。
iOS/iPadOS 共有デバイスの場合、更新プログラムを適用するには、すべてのユーザーをサインアウトする必要があります。ユーザーはサインアウトすることも、デバイスを再起動してユーザーを自動的にサインアウトすることもできます。
通常、これらのデバイスの更新戦略と優先順位は次のとおりです。
✅ 高度なポリシー構成
✅ 予測可能なバージョン管理
✅ 制御された更新の動作
シナリオの例:
朝、UserA はデバイスにサインインして、メールをチェックしてからフロアに出かけます。 1 時間後、UserB は同じデバイスを使用して一部の LOB アプリを実行します。
この共有デバイスの更新プログラムを構成する必要があります。 これらの共有デバイスは、月曜日から金曜日の午前 8 時から午後 5 時までオフィスにいる一般的なナレッジ ワーカーによって使用されます。 共有デバイスで使用されるすべてのアプリをサポートする最新の iOS/iPadOS バージョンのデバイスが必要です。
ポリシーを可能な限りシンプルに保つために、更新プログラムを通常の勤務時間外にインストールし、再起動やその他の操作に 1 時間を加える必要があります。
このタスクを実行するには、次の 2 つのポリシーが必要です。
最初のポリシーでは、すべてのユーザーがサインアウトするか、一定時間後にデバイスを再起動する必要があります。 Apple Business Manager 登録プロファイルを作成して、15 分 (900 秒) を超えるアイドル状態のユーザーをサインアウトできます。
2 番目のポリシーで、次の設定を使用して更新プログラムをスケジュールします。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示