Planningshandleiding voor software-updates voor beheerde macOS-apparaten in Microsoft Intune

  • Artikel

Het is essentieel om uw apparaten actueel te houden met updates. Beheerders moeten doen wat ze kunnen om het risico van beveiligingsincidenten te verminderen en dit risico te verminderen met minimale onderbreking van het bedrijf & gebruikers.

Intune heeft ingebouwd beleid waarmee software-updates kunnen worden beheerd. Voor macOS-apparaten kunt u Intune gebruiken om apparaatupdates te beheren, te configureren wanneer apparaten worden bijgewerkt en de status van de apparaatupdate te controleren.

Gebruik dit artikel als beheerdershandleiding voor uw geregistreerde en beheerde macOS-apparaten. Deze informatie kan u helpen bij het beheren van software-updates op apparaten die eigendom zijn van uw organisatie.

Dit artikel is van toepassing op:

  • macOS-apparaten die zijn ingeschreven bij Intune

Tip

Als uw apparaten persoonlijk eigendom zijn, gaat u naar de beheerdershandleiding voor software-updates voor persoonlijke apparaten.

Voordat u begint

Als u updates sneller wilt installeren en vertragingen wilt voorkomen, moet u ervoor zorgen dat de apparaten:

  • Ingeschakeld; niet afsluiten, maar kan wel een slaapstand zijn
  • Aangesloten
  • Verbonden met internet

Updates beheren met beleid

✅ Maak beleid waarmee uw apparaten worden bijgewerkt. Leg deze verantwoordelijkheid niet op eindgebruikers.

Standaard ontvangen gebruikers meldingen en/of zien ze de meest recente updates die beschikbaar zijn op hun apparaten (Instellingen > Algemene > software Updates). Gebruikers kunnen ervoor kiezen om updates te downloaden en te installeren wanneer ze maar willen.

Ze kunnen ook het updategedrag wijzigen met behulp van de functie Automatische Updates op het apparaat (Instellingen > Software Updates):

De standaardinstellingen en besturingselementen van het besturingssysteem op een macOS Apple-apparaat worden bijgewerkt.

Wanneer gebruikers hun eigen updates installeren (in plaats van beheerders die de updates beheren), kan dit de productiviteit van gebruikers en zakelijke taken verstoren. Bijvoorbeeld:

  • Gebruikers kunnen updates toepassen die uw organisatie niet heeft goedgekeurd. Deze situatie kan problemen veroorzaken met toepassingscompatibiliteit of wijzigingen in het besturingssysteem of de gebruikerservaring die het gebruik van het apparaat verstoren.

  • Gebruikers kunnen voorkomen dat updates worden toegepast die zijn vereist om beveiligings- of app-compatibiliteitsredenen. Deze vertraging kan de apparaten in gevaar brengen en/of verhinderen dat ze kunnen functioneren.

  • Gebruikers kunnen het controleren op nieuwe updates volledig uitschakelen.

Vanwege deze mogelijke problemen raadt Microsoft u aan uw use-casescenario's te evalueren en beleid te implementeren om de update-ervaring te beheren om risico's en onderbrekingen voor uw bedrijf te minimaliseren.

Beheer stappen voor apparaten die eigendom zijn van de organisatie

Als u macOS-apparaten wilt bijwerken die eigendom zijn van uw organisatie, raadt Microsoft de volgende functies aan. U kunt deze functies ook gebruiken als uitgangspunt voor uw eigen updatestrategie.

  • DDM-instellingen gebruiken - macOS 14.0+: op macOS 14.0 en nieuwere apparaten gebruikt u beheerde software-updates om het declaratieve apparaatbeheer (DDM) van Apple te configureren.

    U kunt MDM-instellingen gebruiken op macOS 14+-apparaten, maar dit wordt niet aanbevolen. Gebruik in plaats daarvan de DDM-instellingen.

  • MDM-instellingen gebruiken - macOS 13 en ouder: gebruik op macOS 13 en oudere apparaten een software-updatebeleid om te beheren wanneer updates worden geïnstalleerd en een catalogusbeleid voor instellingen om te beheren hoe updates worden geïnstalleerd.

  • Nudge configureren en implementeren: dit communityhulpprogramma vraagt gebruikers snel wanneer er een update beschikbaar is. Als de eerste twee beleidsregels eindgebruikers niet motiveren om updates te installeren, worden ze door Nudge eraan herinnerd.

  • Ingebouwde rapportage gebruiken voor updatestatus: nadat het updatebeleid is geïmplementeerd, kunt u de rapportagefunctie gebruiken om de status van de updates te controleren.

macOS 14 en hoger

✅ Beheerde software-updates gebruiken om declaratief apparaatbeheer (DDM) van Apple te configureren

DDM is een nieuwe manier om instellingen te beheren. Met DDM kunt u een specifieke update installeren tegen een afgedwongen deadline. De onafhankelijke aard van DDM biedt een verbeterde gebruikerservaring, omdat het apparaat de volledige levenscyclus van software-updates verwerkt. Gebruikers worden gevraagd of er een update beschikbaar is en wordt ook gedownload, het apparaat wordt voorbereid op de installatie & de update wordt geïnstalleerd.

U kunt het declarative device management (DDM) van Apple gebruiken om software-updates voor de volgende versies te beheren:

  • macOS 14 en hoger

Deze instellingen kunnen worden geconfigureerd in de catalogus met Intune-instellingen. Ga voor meer informatie naar Beheerde software-updates met de catalogus met instellingen.

macOS 13 en ouder

In macOS versie 13 en ouder kunt u de MDM-instellingen van Apple gebruiken die zijn ingebouwd in Intune. Gebruik voor deze apparaten het volgende beleid:

  1. Een software-updatebeleid maken: dit beleid dwingt af dat updates op een geschikt moment worden gedownload en geïnstalleerd. Afhankelijk van de instellingen die u invoert, worden gebruikers niet gevraagd en hoeven ze het apparaat niet te gebruiken wanneer de updates zijn geïnstalleerd.

  2. Een beleid voor instellingencatalogus maken: dit beleid voorkomt dat eindgebruikers updatecontroles uitschakelen. Ook wordt het apparaat geconfigureerd om te controleren op updates en gebruikers regelmatig te vragen.

Beide beleidsregels werken samen om de update-ervaring te beheren. Deze sectie richt zich op deze stappen.

Opmerking

Als op uw apparaten macOS 14+ wordt uitgevoerd, gebruikt u de DDM-instellingen die worden beschreven in macOS 14 en hoger (in dit artikel). Het wordt afgeraden om het beleid voor software-updates en -instellingen te gebruiken in macOS 14 en hoger.

✅ Stap 1: een software-updatebeleid gebruiken om te beheren wanneer updates worden geïnstalleerd

In een software-updatebeleid kunt u beheren wanneer essentiële updates en firmware-updates worden geïnstalleerd. U kunt ook beheren hoe vaak de gebruiker een update kan uitstellen voordat deze geforceerd wordt geïnstalleerd.

Voor de meeste organisaties raadt Microsoft u aan de instellingen te configureren die beschikbaar zijn in een software-updatebeleid.

Ga in het Intune-beheercentrum naar Apparaten > Apple werkt > macOS-updatebeleid bij. Configureer de volgende instellingen:

  • Beleidsgedragsinstellingen bijwerken

    • Essentiële updates: later installeren
    • Firmware-updates: later installeren
    • Updates van configuratiebestanden: later installeren
    • Alle andere updates (besturingssysteem, ingebouwde apps): Later installeren
      • Maximum aantal uitstel van gebruikers: 5
      • Prioriteit: Hoog

    Opmerking

    • Op recente macOS-builds worden bijna alle updates weergegeven als Configuratiegegevensbestanden of Alle andere updates. De instellingen voor Alle andere updates zijn meestal verouderde updates voor oudere builds van macOS.
    • De tijd die in deze instellingen is opgegeven, wordt gebruikt door de Intune-service. De tijd is niet de lokale apparaattijd. Houd rekening met tijdsverschillen wanneer u een onderhoudsvenster configureert, met name voor een globale omgeving.

  • Instellingen voor beleidsplanning bijwerken

    • Planningstype: bijwerken bij de volgende check-in

U kunt de waarden wijzigen in de gewenste geplande tijden. Sommige waarden zijn mogelijk alleen van invloed op kleine updates en niet op belangrijke updates.

Voor de specifieke stappen en meer informatie over deze instellingen & hun waarden gaat u naar Beleid voor macOS-software-updates beheren in Intune.

Eindgebruikerservaring

Met deze instellingen vergrendelt dit beleid deze instellingen, zodat gebruikers deze niet kunnen wijzigen. Het beleid is ook:

  1. Controleert op updates telkens wanneer het apparaat bij de Intune-service incheckt. Als er updates beschikbaar zijn, worden deze automatisch gedownload.

  2. Het apparaat vindt een periode waarin het apparaat niet wordt gebruikt.

    • Als het apparaat niet wordt gebruikt, probeert het beleid de update automatisch te installeren.
    • Als het apparaat wordt gebruikt, kunnen eindgebruikers ervoor kiezen om de update te installeren of de installatie maximaal vijf keer uit te stellen. Zorg ervoor dat u uw eindgebruikers aanmoedigt om updates te installeren wanneer deze beschikbaar zijn.

    In de volgende afbeeldingen ziet u de prompts die eindgebruikers kunnen zien wanneer er updates beschikbaar zijn:

    De voorbeeldmeldingsprompt voor een vereiste update op een macOS Apple-apparaat.

    De voorbeeldmelding dat er een update beschikbaar is op een macOS Apple-apparaat.

  3. Als eindgebruikers alle uitstel gebruiken, wordt de update geforceerd geïnstalleerd. Bij een geforceerde installatie wordt de eindgebruiker niet gevraagd opnieuw op te starten en kan dit leiden tot gegevensverlies.

✅ Stap 2: een catalogusbeleid voor instellingen gebruiken om te beheren hoe updates worden geïnstalleerd

De catalogus met Intune-instellingen bevat ook instellingen voor het beheren van software-updates. U kunt het apparaat zo configureren dat updates automatisch worden geïnstalleerd wanneer deze beschikbaar zijn, inclusief app-updates.

Dit catalogusbeleid voor instellingen werkt met stap 1: gebruik een software-updatebeleid om te beheren wanneer updates worden geïnstalleerd (in dit artikel). Het zorgt ervoor dat de apparaten controleren op updates en gebruikers vragen deze te installeren. Eindgebruikers moeten nog steeds actie ondernemen om de installatie te voltooien.

Ga in het Intune-beheercentrum naar Apparaten > Configuratie-instellingen > catalogus > Software-update. Configureer de volgende instellingen:

  • Installatie vooraf toestaan: Onwaar
  • Automatisch downloaden: Waar
  • App automatisch installeren Updates: Waar
  • Essentiële update installeren: Waar
  • Software-update beperken Vereisen Beheer installeren: Onwaar
  • Installatie van configuratiegegevens: Waar
  • MacOS-Updates automatisch installeren: True
  • Automatische controle ingeschakeld: Waar

Voor meer informatie over de instellingencatalogus, waaronder het maken van een catalogusbeleid voor instellingen, gaat u naar De instellingencatalogus gebruiken om instellingen te configureren.

Eindgebruikerservaring

Met dit beleid worden deze instellingen vergrendeld, zodat gebruikers deze niet kunnen wijzigen. Op het apparaat worden de instellingen voor software-updates grijs weergegeven:

De instellingen voor software-updates worden grijs weergegeven nadat het updatebeleid van de Intune-instellingencatalogus van toepassing is op een MacOS Apple-apparaat.

Overweeg het nudge-communityhulpprogramma te gebruiken

Dit hulpprogramma is optioneel en kan u helpen bij het beheren van de eindgebruikerservaring.

Een populair hulpprogramma binnen de Microsoft macOS-beheerderscommunity is Nudge. Nudge is een open source-hulpprogramma dat eindgebruikers aanmoedigt om macOS-updates te installeren. Het biedt een uitgebreide configuratie-ervaring voor beheerders.

Wanneer Nudge is geconfigureerd en geïmplementeerd, zien eindgebruikers het volgende voorbeeldbericht wanneer hun apparaat gereed is om te worden bijgewerkt. Eindgebruikers kunnen er ook voor kiezen om het apparaat bij te werken of de update uit te stellen:

Een voorbeeld van een bericht over het hulpprogramma van de Nudge-community wanneer er een software-update beschikbaar is op een MacOS Apple-apparaat.

Er is ook een voorbeeldscript en intune-configuratiebeleid voor Nudge in de Microsoft Shell-scriptopslagplaats. Dit script bevat alles wat u nodig hebt om aan de slag te gaan met Nudge. Zorg ervoor dat u het .mobileconfig bestand bijwerkt met uw waarden.

Ingebouwde rapportage gebruiken voor updatestatus

Nadat het updatebeleid is geïmplementeerd, kunt u in het Intune-beheercentrum de rapportagefunctie gebruiken om de status van de updates te controleren.

Voor elk apparaat ziet u de huidige status van updates (Apparaten > macOS > Updatebeleid voor macOS voor macOS):

Gebruik de ingebouwde rapportage om de updatestatus van een macOS Apple-apparaat te controleren in het Microsoft Intune-beheercentrum.

Volgende stappen