Guia de planeamento de atualizações de software e cenários para dispositivos iOS/iPadOS supervisionados no Microsoft Intune
Manter os seus dispositivos móveis atualizados com atualizações de software é fundamental. Tem de reduzir o risco de eventos de segurança e ter uma interrupção mínima para a sua organização e para os seus utilizadores. Em dispositivos supervisionados iOS/iPadOS, o Intune tem políticas incorporadas que podem gerir atualizações de software.
Este artigo inclui uma lista de verificação de administrador para ajudá-lo a começar a utilizar atualizações de software em dispositivos supervisionados iOS/iPadOS. Também lista cenários comuns do setor e políticas de exemplo que pode configurar no seu ambiente.
Para obter os passos específicos para criar uma política de atualização de software, aceda a Gerir políticas de atualização de software iOS/iPadOS no Intune.
Este artigo se aplica ao:
- Dispositivos supervisionados iOS/iPadOS inscritos no Intune
Dica
Se os seus dispositivos forem pessoais, aceda ao guia de planeamento de atualizações de software para dispositivos pessoais.
Lista de verificação de administrador para dispositivos pertencentes à organização
Esta secção lista as orientações e estratégias recomendadas pela Microsoft para instalar atualizações de software nos seus dispositivos.
✅ Gerir atualizações com políticas
Recomenda-se que crie políticas que atualizem os seus dispositivos. Não é recomendado colocar esta responsabilidade nos utilizadores finais.
Por predefinição, os utilizadores recebem notificações e/ou veem as atualizações mais recentes disponíveis nos respetivos dispositivos (Definições > Atualizações Gerais > de Software). Os utilizadores podem optar por transferir e instalar atualizações sempre que quiserem.
Quando os utilizadores instalam as suas próprias atualizações (em vez de administradores que gerem as atualizações), podem interromper a produtividade dos utilizadores e as tarefas empresariais. Por exemplo:
Os utilizadores podem iniciar uma atualização quando quiserem e poderão não conseguir trabalhar durante a instalação de uma atualização.
Os utilizadores podem aplicar atualizações que a sua organização não aprovou. Esta decisão pode causar problemas com a compatibilidade da aplicação, alterações ao sistema operativo ou alterações à experiência do utilizador que interrompem a utilização do dispositivo.
Os utilizadores podem evitar aplicar as atualizações necessárias que afetam a compatibilidade de aplicações ou de segurança. Esta situação pode deixar os dispositivos em risco e/ou impedir que os dispositivos funcionem.
✅ Manter as atualizações automáticas ativadas
A partir do iOS/iPadOS 12, quando as atualizações estão disponíveis, os dispositivos Apple instalam automaticamente as atualizações. Por predefinição, esta funcionalidade está ativada em novos dispositivos. Mantenha esta funcionalidade ativada.
Para utilizar esta aplicação de patches automática e instalar atualizações mais rapidamente, certifique-se de que os dispositivos são:
- Ligado
- Ligado à corrente
- Ligado à Internet
Quando os dispositivos estão ligados, ligados à corrente e ligados à Internet, as atualizações são transferidas automaticamente & instalação e o dispositivo é reiniciado. Se o dispositivo não cumprir estas condições, as atualizações não serão transferidas e instaladas automaticamente.
Para manter os seus dispositivos na versão mais atual e com o mínimo de esforço da sua parte, mantenha a funcionalidade de atualizações automáticas ativada:
As atualizações automáticas funcionam em conjunto com outras políticas de atualização, que podem proporcionar uma experiência positiva aos administradores e utilizadores finais.
Com as políticas do Intune, também pode forçar os utilizadores a atualizar os respetivos dispositivos:
- Utilize as Restrições de Inscrição para impedir que os utilizadores inscrevam dispositivos que não são atuais.
- Crie políticas de conformidade para determinar os dispositivos que não são atualizados.
- Crie políticas de Acesso Condicional (AC) para bloquear dispositivos que não são atualizados. As políticas de AC também podem pedir aos utilizadores que instalem as atualizações atuais para que recuperem o acesso.
O que você precisa saber
Se a funcionalidade de atualizações automáticas estiver desativada, devido a uma limitação do SO, não poderá ser alterada através de políticas. A definição tem de ser alterada manualmente no dispositivo ou o dispositivo tem de ser reposto & novamente aprovisionado.
Se os dispositivos estiverem configurados com um PIN, para iniciar a atualização de software, tem de introduzir o PIN. Normalmente, introduzir o PIN não é um problema para dispositivos do técnico de informação 1:1.
Ao planear atualizações em quiosques, no piso da fábrica ou em cenários sem utilizador, poderá ter de ajustar os seus processos para acomodar o comportamento do PIN.
✅ Utilizar as definições incorporadas
Para gerir atualizações, a Apple tem as seguintes opções:
Gestão declarativa de dispositivos (DDM)
No iOS/iPadOS 17.0 e posterior, pode utilizar a gestão declarativa de dispositivos (DDM) da Apple para gerir atualizações de software. O DDM é uma nova forma de gerir dispositivos com uma experiência de utilizador melhorada, uma vez que o dispositivo processa todo o ciclo de vida da atualização de software. Pede aos utilizadores que está disponível uma atualização e também transfere, prepara o dispositivo para a instalação & instala a atualização.
O DDM é a forma recomendada de gerir atualizações em dispositivos iOS/iPadOS 17+ Pode utilizar as definições de MDM nestes dispositivos, mas não é recomendado. Em vez disso, utilize as definições de DDM.
Estas definições são configuráveis no centro de administração do Microsoft Intune. Para obter mais informações, aceda a Atualizações de software geridas com o catálogo de definições.
Políticas de atualização de software
Estas políticas de MDM oferecem uma implementação controlada de uma versão específica. Também pode forçar a atualização de dispositivos em versões mais antigas. Os administradores podem introduzir a versão do iOS/iPadOS para instalar e agendar a instalação.
Estas definições são configuráveis no centro de administração do Microsoft Intune. Para obter mais informações, aceda a Gerir políticas de atualização de software iOS/iPadOS no Intune.
Políticas de diferimento de atualização de software
Estas políticas de MDM ocultam as atualizações durante um máximo de 90 dias. Impedem que os utilizadores atualizem manualmente o respetivo dispositivo para uma versão que não tenha sido aprovada. Esta funcionalidade não controla quando as atualizações são aplicadas.
Estas definições são configuráveis no centro de administração do Microsoft Intune. Para obter mais informações, aceda a Gerir políticas de atualização de software iOS/iPadOS no Intune.
Com estas funcionalidades, os administradores podem certificar-se de que os respetivos dispositivos Apple estão a executar uma versão de software específica e podem controlar o lançamento de atualizações nos respetivos dispositivos.
✅ Criar políticas que suportam muitos fusos horários
Todos os tempos de política utilizam a Hora Universal Coordenada (UTC). O fuso horário local do dispositivo não é utilizado.
Para minimizar o número de políticas que tem de criar e gerir, crie uma configuração que suporte muitos fusos horários. Não crie uma política separada para cada fuso horário.
Por exemplo, nos Estados Unidos, existem quatro fusos horários principais: Pacífico (UTC-8), Montanha (UTC-7), Central (UTC-6) e Leste (UTC-5). Pode criar políticas separadas para cada fuso horário. Em alternativa, crie uma ou duas políticas que obtenham o mesmo resultado.
✅ Tenha cuidado com as definições de versão
Quando criar políticas de atualização de software, tenha em atenção o impacto mais amplo dos detalhes da versão em todas as suas políticas.
Por exemplo:
Configure uma política que atrase as atualizações durante 90 dias. Se existir uma política de restrição de inscrição que exija que os dispositivos tenham uma versão recente do iOS/iPadOS, após a reposição do dispositivo, os dispositivos poderão ser impedidos de se inscreverem.
Cria uma política de conformidade que requer uma versão mínima do iOS/iPadOS recente. Com esta política, os dispositivos em versões mais antigas tornam-se incompatíveis. Se utilizar o Acesso Condicional para impor a conformidade, os utilizadores serão bloqueados e não poderão funcionar.
Cenários comuns do setor
Os dispositivos Apple são utilizados em vários setores, incluindo empresas, retalho, fabrico e educação. A maioria dos casos de utilização de dispositivos pode ser categorizada nos seguintes tipos:
- 1:1: Os dispositivos são utilizados apenas por uma pessoa.
- Partilhado: os dispositivos são utilizados por mais do que uma pessoa.
- Dedicado: os dispositivos são utilizados para um objetivo empresarial específico, como um quiosque ou sinalização digital.
A tabela seguinte inclui a terminologia comum da indústria que este artigo utiliza:
Setor | Terminologia | Caso de uso |
---|---|---|
Empresa | Assistente de conhecimento | 1:1 |
Varejo | Quiosque | Dedicado |
Indústria | Máquina de fábrica | Missão crítica |
Educação | Dispositivo atribuído | Compartilhados |
Esta secção descreve alguns cenários comuns do setor e dá exemplos de políticas do Intune.
Técnicos de conhecimento
Este grupo é pessoas com conhecimentos adquiridos que funcionam em empresas e organizações empresariais. O seu conhecimento e capacidade de pensamento são o seu trabalho. Alguns exemplos incluem engenheiros, programadores de conteúdos, programadores, contabilistas, comunicações, consultores, entre outros.
Normalmente, os técnicos de conhecimento têm o seu próprio dispositivo que só é utilizado por eles. Não é partilhado com outros utilizadores ou outros técnicos de conhecimento.
Em cenários como dispositivos de trabalho de conhecimento, o principal objetivo é que o processo de atualização seja o mais simples e rápido possível. As aplicações são maioritariamente baseadas na loja e as aplicações devem permanecer compatíveis com a versão mais recente do SO. Nestes dispositivos, os utilizadores são normalmente tolerantes a pedidos de atualizações e/ou a escolher uma hora conveniente para reinícios.
Normalmente, uma estratégia de atualização e prioridades para estes dispositivos incluem:
- Configuração de atualização básica
- A versão mais recente mais recente
- Atualizações automáticas
Exemplo de cenário:
Está a configurar um perfil de atualização para os técnicos de conhecimento da Contoso. Estes utilizadores utilizam principalmente aplicações do Microsoft 365 e várias aplicações do Volume Purchase Program (VPP).
Enquanto administrador, sente-se confortável com:
- Estes dispositivos que executam a versão mais recente do iOS/iPadOS
- Transferir e instalar atualizações assim que os dispositivos derem entrada com o Intune
- Permitir que os utilizadores finais decidam quando instalam atualizações e reiniciam os respetivos dispositivos para aplicar as atualizações
Para atingir estes objetivos, pode utilizar uma política com as seguintes predefinições:
Quiosques
Normalmente, estes dispositivos são dispositivos de revenda na loja e podem ser um computador de secretária ou um dispositivo móvel. São utilizados pelos colaboradores para servir os clientes e utilizados diretamente pelos clientes para tarefas self-service. Também podem ser um ecrã visual que todos os clientes veem quando estão no local.
Em cenários semelhantes a quiosques, os principais objetivos para atualizar os dispositivos são:
- Certifique-se de que os dispositivos estão atualizados com atualizações aprovadas do SO.
- Os administradores gerem as atualizações e qualquer controlo de versões.
- A instalação e os reinícios ocorrem após o horário comercial.
Normalmente, uma estratégia de atualização e prioridades para estes dispositivos incluem:
- Configuração de atualização básica
- Controlo de versões previsíveis
- Ciclos de lançamento previsíveis
Exemplo de cenário:
Está a configurar um perfil de atualização do iOS/iPadOS para os dispositivos de quiosque na Contoso. Estes dispositivos funcionam numa loja de retalho. A sua equipa utiliza os dispositivos para servir os clientes 7 dias por semana, incluindo horários de retalho alargados. Os dispositivos executam uma única aplicação de quiosque de Linha de Negócio (LOB), desenvolvida internamente pela Contoso. Esta aplicação interna só é testada e validada trimestralmente.
Quer implementar a versão específica do iOS/iPadOS com a qual esta aplicação LOB foi testada recentemente, que é o iOS 16.3. Se esta aplicação de quiosque não funcionar corretamente, a loja não pode servir os clientes. Os dispositivos estão ligados a Wi-Fi e são cobrados durante a noite quando o revendedor está fechado aos clientes.
Escolheu uma janela de manutenção noturna de 10 horas onde as atualizações podem ser transferidas e aplicadas, antes de a loja abrir.
Para realizar esta tarefa, crie uma política com as seguintes definições:
Máquinas de fábrica
Estes dispositivos são, muitas vezes, dispositivos para fins únicos. São utilizadas em áreas críticas para a missão, como linhas de fabrico ou controlo de equipamento especializado & monitorização. Por exemplo, pode ser um tablet Android com controlo ou software de monitorização para um dispositivo que solda componentes.
Em cenários de máquinas de fábrica, o principal objetivo é garantir que os dispositivos se comportam de forma consistente. As atualizações podem ter de ser atrasadas para que todos os testes de compatibilidade de aplicações possam ser concluídos. A instalação e os reinícios ocorrem em momentos específicos e são normalmente implementados numa abordagem faseada.
Normalmente, uma estratégia de atualização e prioridades para estes dispositivos incluem:
- Configuração de política avançada
- Controlo de versões rigoroso
- Ciclos de lançamento lentos
Exemplo de cenário:
Está a configurar um perfil de atualização para dispositivos no piso de fabrico da instalação industrial da Contoso. As instalações são executadas 24 horas por dia, 365 dias por ano, exceto algumas horas de paragem obrigatória para inspeções de segurança. Estas inspeções acontecem na madrugada de domingo todas as semanas.
Estes dispositivos executam duas aplicações de fornecedor. Para permanecer numa configuração suportada, ambas as aplicações são atualizadas com pouca frequência e têm de executar uma versão específica da aplicação e do SO.
Quer implementar uma versão específica e mais antiga do iOS/iPadOS (15) nestes dispositivos, uma vez que o fornecedor da aplicação ainda não suporta versões posteriores. Uma vez que os dispositivos estão quase sempre a ser utilizados, só tem uma pequena janela de manutenção uma vez por semana no domingo.
Quer agendar atualizações durante um período de indisponibilidade de duas horas durante a noite de um domingo.
Para realizar esta tarefa, crie uma política com as seguintes definições:
Dispositivos compartilhados
Os dispositivos partilhados são utilizados por muitos utilizadores que normalmente iniciam e saem do dispositivo, incluindo ambientes educativos. Estes dispositivos podem ser computadores de terminal/ambiente de trabalho, tablets, portáteis e smartphones. São frequentemente utilizados em escritórios, salas de aula e lojas de retalho.
Para obter mais informações sobre como gerir dispositivos iOS/iPadOS partilhados, aceda a Soluções de dispositivos partilhados para iOS/iPadOS.
Para dispositivos partilhados iOS/iPadOS, para aplicar atualizações, todos os utilizadores têm de ter sessão iniciada. Os utilizadores podem ter sessão terminada ou o dispositivo pode ser reiniciado, o que termina automaticamente a sessão dos utilizadores.
Normalmente, uma estratégia de atualização e prioridades para estes dispositivos incluem:
- Configuração de política avançada
- Controlo de versões previsíveis
- Comportamento de atualização controlado
Exemplo de cenário:
De manhã, o UtilizadorA inicia sessão no dispositivo para verificar o e-mail antes de sair do chão. Uma hora depois, o UserB utiliza o mesmo dispositivo para executar algumas aplicações LOB.
Tem de configurar uma atualização para este dispositivo partilhado. Estes dispositivos partilhados são utilizados por técnicos de conhecimento gerais que estão no escritório das 08:00 às 17:00, de segunda a sexta-feira. Pretende que os dispositivos na versão mais recente do iOS/iPadOS suportem todas as aplicações utilizadas nos dispositivos partilhados.
Para manter a política o mais simples possível, quer que as atualizações sejam instaladas fora do horário de trabalho normal, mais uma hora para reinícios ou outras ações.
Para realizar esta tarefa, este cenário envolve duas políticas:
Na primeira política, pretende que todos os utilizadores terminam sessão ou pretendam reiniciar o dispositivo após um determinado período de tempo. Pode criar um perfil de inscrição do Apple Business Manager para terminar sessão de todos os utilizadores que estejam inativos durante mais de 15 minutos (900 segundos):
Na segunda política, agende a atualização com as seguintes definições:
Artigos relacionados
- Gerenciar políticas de atualização de software do iOS/iPadOS no Intune
- Guia de planeamento de atualizações de software e cenários para BYOD e dispositivos pessoais
- Guia de planeamento de atualizações de software para dispositivos Android geridos
- Guia de planeamento de atualizações de software para dispositivos macOS geridos