Przewodnik planowania aktualizacji oprogramowania i scenariusze dla nadzorowanych urządzeń z systemem iOS/iPadOS w usłudze Microsoft Intune
Utrzymywanie aktualności urządzeń przenośnych z aktualizacjami oprogramowania ma kluczowe znaczenie. Musisz zmniejszyć ryzyko zdarzeń zabezpieczeń i mieć minimalne zakłócenia w organizacji i twoich użytkownikach. Na urządzeniach nadzorowanych z systemem iOS/iPadOS usługa Intune ma wbudowane zasady, które mogą zarządzać aktualizacjami oprogramowania.
Ten artykuł zawiera listę kontrolną administratora ułatwiającą rozpoczęcie pracy z aktualizacjami oprogramowania na urządzeniach nadzorowanych z systemem iOS/iPadOS. Zawiera również listę typowych scenariuszy branżowych i przykładowych zasad, które można skonfigurować w środowisku.
Aby zapoznać się z konkretnymi krokami tworzenia zasad aktualizacji oprogramowania, przejdź do tematu Zarządzanie zasadami aktualizacji oprogramowania systemu iOS/iPadOS w usłudze Intune.
Ten artykuł dotyczy:
- Urządzenia nadzorowane z systemem iOS/iPadOS zarejestrowane w usłudze Intune
Porada
Jeśli urządzenia są własnością użytkownika, przejdź do przewodnika planowania aktualizacji oprogramowania dla urządzeń osobistych.
Lista kontrolna administratora dla urządzeń należących do organizacji
W tej sekcji wymieniono zalecane przez firmę Microsoft wskazówki i strategie instalowania aktualizacji oprogramowania na urządzeniach.
✅ Zarządzanie aktualizacjami przy użyciu zasad
Zaleca się tworzenie zasad, które aktualizują urządzenia. Nie zaleca się umieszczania tej odpowiedzialności na użytkowników końcowych.
Domyślnie użytkownicy otrzymują powiadomienia i/lub wyświetlają najnowsze aktualizacje dostępne na swoich urządzeniach (Ustawienia > Ogólne > aktualizacje oprogramowania). Użytkownicy mogą pobierać i instalować aktualizacje w dowolnym momencie.
Gdy użytkownicy instalują własne aktualizacje (zamiast administratorów zarządzających aktualizacjami), może to zakłócić produktywność użytkowników i zadania biznesowe. Przykład:
Użytkownicy mogą uruchamiać aktualizację, gdy chcą, i mogą nie być w stanie pracować podczas instalowania aktualizacji.
Użytkownicy mogą stosować aktualizacje, których twoja organizacja nie zatwierdziła. Ta decyzja może powodować problemy ze zgodnością aplikacji, zmianami w systemie operacyjnym lub zmianami środowiska użytkownika, które zakłócają korzystanie z urządzenia.
Użytkownicy mogą uniknąć stosowania wymaganych aktualizacji, które mają wpływ na bezpieczeństwo lub zgodność aplikacji. Taka sytuacja może spowodować narażenie urządzeń na ryzyko i/lub uniemożliwić działanie urządzeń.
✅ Utrzymywanie włączonej aktualizacji automatycznych
Począwszy od systemu iOS/iPadOS 12, gdy aktualizacje są dostępne, urządzenia firmy Apple automatycznie instalują aktualizacje. Domyślnie ta funkcja jest włączona na nowych urządzeniach. Pozostaw tę funkcję włączoną.
Aby korzystać z tego automatycznego stosowania poprawek i szybciej instalować aktualizacje, upewnij się, że urządzenia są następujące:
- Włączone
- Podłączone
- Połączenie z Internetem
Gdy urządzenia są włączone, podłączone i połączone z Internetem, aktualizacje zostaną automatycznie pobrane & instalacji, a urządzenie zostanie ponownie uruchomione. Jeśli urządzenie nie spełnia tych warunków, aktualizacje nie zostaną automatycznie pobrane i zainstalowane.
Aby utrzymać urządzenia w najnowszej wersji i przy minimalnym wysiłku, należy włączyć funkcję aktualizacji automatycznych:
Aktualizacje automatyczne współdziałają z innymi zasadami aktualizacji, które mogą zapewnić pozytywne środowisko dla administratorów i użytkowników końcowych.
Za pomocą zasad usługi Intune można również wymusić na użytkownikach aktualizowanie ich urządzeń:
- Użyj ograniczeń rejestracji , aby uniemożliwić użytkownikom rejestrowanie urządzeń, które nie są aktualne.
- Utwórz zasady zgodności , aby określić urządzenia, które nie są aktualizowane.
- Utwórz zasady dostępu warunkowego (CA), aby blokować urządzenia, które nie są aktualizowane. Zasady urzędu certyfikacji mogą również monitować użytkowników o zainstalowanie bieżących aktualizacji w celu odzyskania dostępu.
Co musisz wiedzieć
Jeśli funkcja aktualizacji automatycznych jest wyłączona, z powodu ograniczenia systemu operacyjnego nie można jej zmienić przy użyciu zasad. Ustawienie musi zostać zmienione ręcznie na urządzeniu lub urządzenie musi zostać zresetowane & ponownej aprowizacji.
Jeśli urządzenia są skonfigurowane przy użyciu numeru PIN, aby rozpocząć aktualizację oprogramowania, musisz wprowadzić numer PIN. Wprowadzenie numeru PIN zwykle nie jest problemem dla urządzeń procesu roboczego informacji 1:1.
Podczas planowania aktualizacji kiosków, fabryki lub scenariuszy bez użycia może być konieczne dostosowanie procesów w celu dostosowania ich do zachowania numeru PIN.
✅ Korzystanie z wbudowanych ustawień
Aby zarządzać aktualizacjami, firma Apple ma następujące opcje:
DDM (DDM) — deklaratywne zarządzanie urządzeniami
W systemach iOS/iPadOS 17.0 i nowszych można zarządzać aktualizacjami oprogramowania za pomocą deklaratywnego zarządzania urządzeniami (DDM) firmy Apple. DDM to nowy sposób zarządzania urządzeniami z ulepszonym środowiskiem użytkownika, ponieważ urządzenie obsługuje cały cykl życia aktualizacji oprogramowania. Monituje użytkowników, że aktualizacja jest dostępna, a także pobiera, przygotowuje urządzenie do instalacji, & instaluje aktualizację.
DDM to zalecany sposób zarządzania aktualizacjami na urządzeniach z systemem iOS/iPadOS 17 lub nowszym. Na tych urządzeniach można używać ustawień mdm, ale nie jest to zalecane. Zamiast tego użyj ustawień DDM.
Te ustawienia można skonfigurować w centrum administracyjnym usługi Microsoft Intune. Aby uzyskać więcej informacji, przejdź do tematu Managed software updates with the settings catalog (Zarządzane aktualizacje oprogramowania z wykazem ustawień).
Zasady aktualizacji oprogramowania
Te zasady zarządzania urządzeniami przenośnymi oferują kontrolowane wdrożenie określonej wersji. Można również wymusić uaktualnienie urządzeń w starszych wersjach. Administratorzy mogą wprowadzić wersję systemu iOS/iPadOS, aby zainstalować i zaplanować instalację.
Te ustawienia można skonfigurować w centrum administracyjnym usługi Microsoft Intune. Aby uzyskać więcej informacji, przejdź do tematu Zarządzanie zasadami aktualizacji oprogramowania systemu iOS/iPadOS w usłudze Intune.
Zasady odroczenia aktualizacji oprogramowania
Te zasady zarządzania urządzeniami przenośnymi ukrywają aktualizacje przez maksymalnie 90 dni. Uniemożliwiają użytkownikom ręczne aktualizowanie urządzenia do wersji, która nie została zatwierdzona. Ta funkcja nie kontroluje, kiedy są stosowane aktualizacje.
Te ustawienia można skonfigurować w centrum administracyjnym usługi Microsoft Intune. Aby uzyskać więcej informacji, przejdź do tematu Zarządzanie zasadami aktualizacji oprogramowania systemu iOS/iPadOS w usłudze Intune.
Dzięki tym funkcjom administratorzy mogą upewnić się, że ich urządzenia firmy Apple korzystają z określonej wersji oprogramowania i mogą kontrolować wydawanie aktualizacji na swoich urządzeniach.
✅ Tworzenie zasad, które obsługują wiele stref czasowych
Wszystkie czasy zasad używają uniwersalnego czasu koordynowanego (UTC). Lokalna strefa czasowa urządzenia nie jest używana.
Aby zminimalizować liczbę zasad, które należy utworzyć i zarządzać nimi, utwórz konfigurację, która obsługuje wiele stref czasowych. Nie należy tworzyć oddzielnych zasad dla każdej strefy czasowej.
Na przykład w Stanach Zjednoczonych istnieją cztery podstawowe strefy czasowe: Pacyfik (UTC-8), Góra (UTC-7), Środkowa (UTC-6) i Wschodnia (UTC-5). Dla każdej strefy czasowej można utworzyć oddzielne zasady. Możesz też utworzyć jedną lub dwie zasady, które osiągną ten sam wynik.
✅ Zachowaj ostrożność przy użyciu ustawień wersji
Podczas tworzenia zasad aktualizacji oprogramowania należy pamiętać o szerszym wpływie szczegółów wersji we wszystkich zasadach.
Przykład:
Należy skonfigurować zasady, które opóźniają aktualizacje przez 90 dni. Jeśli istnieją zasady ograniczeń rejestracji, które wymagają, aby urządzenia miały najnowszą wersję systemu iOS/iPadOS, po zresetowaniu urządzenia można zablokować możliwość rejestrowania urządzeń.
Tworzysz zasady zgodności, które wymagają minimalnej najnowszej wersji systemu iOS/iPadOS. Dzięki tym zasadom urządzenia w starszych wersjach stają się niezgodne. Jeśli używasz dostępu warunkowego do wymuszania zgodności, użytkownicy są zablokowani i nie mogą pracować.
Typowe scenariusze branżowe
Urządzenia firmy Apple są używane w różnych branżach, w tym w przedsiębiorstwach, handlu detalicznym, produkcji i edukacji. Większość przypadków użycia urządzeń można podzielić na następujące typy:
- 1:1: Urządzenia są używane tylko przez jedną osobę.
- Udostępnione: urządzenia są używane przez więcej niż jedną osobę.
- Dedykowane: urządzenia są używane do określonego celu biznesowego, takiego jak kiosk lub oznakowanie cyfrowe.
Poniższa tabela zawiera popularną terminologię branżową używaną w tym artykule:
Przemysł | Terminologia | Przypadek użycia |
---|---|---|
Enterprise | Proces roboczy wiedzy | 1:1 |
Sprzedaż detaliczna | Kiosk | Oddany |
Produkcja | Maszyna fabryczna | Krytycznych |
Education | Przypisane urządzenie | Udostępnionych |
W tej sekcji opisano niektóre typowe scenariusze branżowe i przedstawiono przykłady zasad usługi Intune.
Pracownicy wiedzy
Ta grupa to osoby z uzyskaną wiedzą, które działają w przedsiębiorstwach i organizacjach. Ich wiedza i zdolność myślenia są ich zadaniem. Niektóre przykłady obejmują inżynierów, deweloperów zawartości, programistów, księgowych, komunikacji, konsultantów i tak dalej.
Pracownicy wiedzy zazwyczaj mają własne urządzenie, które jest przez nie używane. Nie jest udostępniany innym użytkownikom ani innym pracownikom wiedzy.
W scenariuszach takich jak urządzenia procesów roboczych z wiedzą podstawowym celem jest, aby proces aktualizacji był jak najprostszy i szybki. Ich aplikacje są w większości oparte na sklepie, a aplikacje powinny pozostać zgodne z najnowszą wersją systemu operacyjnego. Na tych urządzeniach użytkownicy są zazwyczaj odporni na monity o aktualizacje i/lub wybierają dogodny czas ponownego uruchomienia.
Strategia aktualizacji i priorytety dla tych urządzeń zazwyczaj obejmują:
- Podstawowa konfiguracja aktualizacji
- Najnowsza, najbardziej aktualna wersja
- Aktualizacje automatyczne
Przykład scenariusza:
Konfigurujesz profil aktualizacji dla pracowników wiedzy w firmie Contoso. Ci użytkownicy najczęściej korzystają z aplikacji platformy Microsoft 365 i kilku aplikacji programu zakupów zbiorczych (VPP).
Jako administrator masz do czynienia z:
- Te urządzenia z najnowszą wydaną wersją systemu iOS/iPadOS
- Pobieranie i instalowanie aktualizacji natychmiast po zaewidencjonowaniu urządzeń w usłudze Intune
- Umożliwienie użytkownikom końcowym decydowania o instalowaniu aktualizacji i ponownym uruchomieniu urządzeń w celu zastosowania aktualizacji
Aby osiągnąć te cele, można użyć zasad z następującymi ustawieniami domyślnymi:
Kioski
Te urządzenia są zazwyczaj urządzeniami detalicznymi w sklepie i mogą być komputerem stacjonarnym lub urządzeniem przenośnym. Są one używane przez pracowników do obsługi klientów i używane bezpośrednio przez klientów do zadań samoobsługowych. Może to być również wizualizacja wyświetlana przez wszystkich klientów, gdy są oni lokalni.
W scenariuszach podobnych do kiosku podstawowymi celami aktualizacji urządzeń są:
- Upewnij się, że urządzenia są aktualne z zatwierdzonymi aktualizacjami systemu operacyjnego.
- Administratorzy zarządzają aktualizacjami i wszelkimi wersjami.
- Instalacja i ponowne uruchomienie następuje po godzinach pracy.
Strategia aktualizacji i priorytety dla tych urządzeń zazwyczaj obejmują:
- Podstawowa konfiguracja aktualizacji
- Przewidywalna kontrola wersji
- Przewidywalne cykle wydań
Przykład scenariusza:
Konfigurujesz profil aktualizacji systemu iOS/iPadOS dla urządzeń kiosku w firmie Contoso. Te urządzenia działają w punkcie sprzedaży detalicznej. Pracownicy korzystają z tych urządzeń, aby obsługiwać klientów przez 7 dni w tygodniu, w tym przez dłuższy czas. Urządzenia uruchamiają pojedynczą aplikację kiosku line of business (LOB), która została opracowana przez firmę Contoso. Ta aplikacja wewnętrzna jest testowana i weryfikowana tylko co kwartał.
Chcesz wdrożyć określoną wersję systemu iOS/iPadOS, z którą ostatnio przetestowano tę aplikację LOB, czyli system iOS 16.3. Jeśli ta aplikacja kiosku nie działa poprawnie, punkt sprzedaży detalicznej nie może obsługiwać klientów. Urządzenia są podłączone do Wi-Fi i są naliczane przez noc, gdy punkt sprzedaży detalicznej jest zamknięty dla klientów.
Wybrano 10-godzinne okno obsługi, w którym aktualizacje można pobrać i zastosować przed otwarciem sklepu.
Aby wykonać to zadanie, utwórz zasady z następującymi ustawieniami:
Maszyny fabryczne
Te urządzenia są często urządzeniami pojedynczego przeznaczenia. Są one używane w obszarach o krytycznym znaczeniu, takich jak linie produkcyjne lub specjalistyczna kontrola sprzętu & monitorowania. Może to być na przykład tablet z systemem Android z kontrolką lub oprogramowaniem do monitorowania dla urządzenia, które spawa składniki.
W scenariuszach maszyn fabrycznych głównym celem jest zapewnienie spójnego zachowania urządzeń. Aktualizacje mogą wymagać opóźnienia, aby można było ukończyć wszystkie testy zgodności aplikacji. Instalacje i ponowny rozruch są wykonywane w określonych momentach i są zwykle wdrażane w ramach podejścia etapowego.
Strategia aktualizacji i priorytety dla tych urządzeń zazwyczaj obejmują:
- Zaawansowana konfiguracja zasad
- Ścisła kontrola wersji
- Wolne cykle wydań
Przykład scenariusza:
Konfigurujesz profil aktualizacji dla urządzeń na hali produkcyjnej w zakładzie przemysłowym firmy Contoso. Obiekt działa 24x7, 365 dni w roku, z wyjątkiem kilku godzin obowiązkowego zatrzymania dla kontroli bezpieczeństwa. Inspekcje te odbywają się wcześnie rano w niedzielę co tydzień.
Te urządzenia uruchamiają dwie aplikacje dostawcy. Aby zachować obsługiwaną konfigurację, obie aplikacje są aktualizowane rzadko i muszą uruchamiać określoną wersję aplikacji i systemu operacyjnego.
Chcesz wdrożyć na tych urządzeniach określoną, starszą wersję systemu iOS/iPadOS (15), ponieważ dostawca aplikacji nie obsługuje jeszcze kolejnych wersji. Ponieważ urządzenia są prawie zawsze używane, w niedzielę masz tylko małe okno obsługi raz w tygodniu.
Chcesz zaplanować aktualizacje w dwugodzinnym oknie przestoju na noc w niedzielę.
Aby wykonać to zadanie, utwórz zasady z następującymi ustawieniami:
Urządzenia udostępnione
Urządzenia udostępnione są używane przez wielu użytkowników, którzy zazwyczaj logują się i wylogują się z urządzenia, w tym w środowiskach edukacyjnych. Mogą to być komputery terminalowe/stacjonarne, tablety, laptopy i smartfony. Są one często używane w biurach, klasach i sklepach detalicznych.
Aby uzyskać więcej informacji na temat zarządzania udostępnionymi urządzeniami z systemem iOS/iPadOS, przejdź do obszaru Udostępnione rozwiązania urządzeń dla systemu iOS/iPadOS.
W przypadku urządzeń udostępnionych z systemem iOS/iPadOS, aby zastosować aktualizacje, wszyscy użytkownicy muszą zostać wylogowany. Użytkowników można wylogować lub ponownie uruchomić urządzenie, co automatycznie wylogowuje użytkowników.
Strategia aktualizacji i priorytety dla tych urządzeń zazwyczaj obejmują:
- Zaawansowana konfiguracja zasad
- Przewidywalna kontrola wersji
- Zachowanie kontrolowanej aktualizacji
Przykład scenariusza:
Rano użytkownik UserA loguje się do urządzenia, aby sprawdzić pocztę e-mail przed wyjściem na podłogę. Godzinę później usługa UserB używa tego samego urządzenia do uruchamiania niektórych aplikacji biznesowych.
Musisz skonfigurować aktualizację dla tego urządzenia udostępnionego. Te urządzenia udostępnione są używane przez pracowników ogólnej wiedzy, którzy są w biurze od 8:00 do 17:00, od poniedziałku do piątku. Chcesz mieć urządzenia w najnowszej wersji systemu iOS/iPadOS obsługujące wszystkie aplikacje używane na urządzeniach udostępnionych.
Aby zasady były tak proste, jak to możliwe, aktualizacje mają być instalowane poza typowymi godzinami pracy, a także jedną godzinę dla ponownych rozruchów lub innych akcji.
Aby wykonać to zadanie, ten scenariusz obejmuje dwie zasady:
W pierwszych zasadach chcesz, aby wszyscy użytkownicy wylogowyli się lub chcieli ponownie uruchomić urządzenie po upływie określonego czasu. Możesz utworzyć profil rejestracji usługi Apple Business Manager, aby wylogować wszystkich użytkowników, którzy są bezczynni przez ponad 15 minut (900 sekund):
W drugich zasadach zaplanuj aktualizację przy użyciu następujących ustawień:
Artykuły pokrewne
- Zarządzanie zasadami aktualizacji oprogramowania systemu iOS/iPadOS w usłudze Intune
- Przewodnik planowania aktualizacji oprogramowania i scenariusze dotyczące urządzeń BYOD i urządzeń osobistych
- Przewodnik planowania aktualizacji oprogramowania dla zarządzanych urządzeń z systemem Android
- Przewodnik planowania aktualizacji oprogramowania dla zarządzanych urządzeń z systemem macOS