Guia de planejamento de atualizações de software para dispositivos macOS gerenciados no Microsoft Intune

  • Artigo

Manter seus dispositivos atualizados com atualizações é fundamental. Os administradores devem fazer o que puderem para reduzir o risco de eventos de segurança e reduzir esse risco com interrupção mínima para os usuários do & comercial.

O Intune tem políticas internas que podem gerenciar atualizações de software. Para dispositivos macOS, você pode usar o Intune para gerenciar atualizações de dispositivo, configurar quando os dispositivos são atualizados e examinar a atualização do dispositivo status.

Use este artigo como um guia de administração para seus dispositivos macOS registrados e gerenciados. Essas informações podem ajudar a gerenciar atualizações de software em seus dispositivos de propriedade da organização.

Este artigo se aplica ao:

  • Dispositivos macOS registrados no Intune

Dica

Se seus dispositivos forem de propriedade pessoal, acesse o guia de administração de atualizações de software para dispositivos pessoais.

Antes de começar

Para instalar atualizações mais rapidamente e evitar atrasos, verifique se os dispositivos são:

  • Ligado; não desligado, mas pode ser um estado de sono
  • Conectado
  • Conectado à Internet

Gerenciar atualizações com políticas

✅ Crie políticas que atualizem seus dispositivos. Não coloque essa responsabilidade nos usuários finais.

Por padrão, os usuários recebem notificações e/ou veem as atualizações mais recentes disponíveis em seus dispositivos (Configurações > software geral > Atualizações). Os usuários podem optar por baixar e instalar atualizações sempre que desejarem.

Eles também podem alterar o comportamento de atualização usando o recurso Atualizações automático no dispositivo (Configurações > software Atualizações):

As configurações e controles de atualização padrão do sistema operacional em um dispositivo Apple macOS.

Quando os usuários instalam suas próprias atualizações (em vez de administradores gerenciando as atualizações), isso pode interromper a produtividade do usuário e as tarefas comerciais. Por exemplo:

  • Os usuários podem aplicar atualizações que sua organização não aprovou. Essa situação pode causar problemas com a compatibilidade do aplicativo ou alterações no sistema operacional ou na experiência do usuário que interrompem o uso do dispositivo.

  • Os usuários podem evitar aplicar atualizações necessárias por motivos de segurança ou compatibilidade de aplicativo. Esse atraso pode deixar os dispositivos em risco e/ou impedir que eles possam funcionar.

  • Os usuários podem desabilitar totalmente a verificação de novas atualizações.

Devido a esses possíveis problemas, a Microsoft recomenda que você avalie seus cenários de caso de uso e implante políticas para gerenciar a experiência de atualização para minimizar riscos e interrupções em sua empresa.

Administração etapas para dispositivos de propriedade da organização

Para atualizar dispositivos macOS pertencentes à sua organização, a Microsoft recomenda os seguintes recursos. Você também pode usar esses recursos como ponto de partida para sua própria estratégia de atualização.

  • Usar configurações de DDM – macOS 14.0+: No macOS 14.0 e em dispositivos mais recentes, use atualizações de software gerenciadas para configurar o DDM (gerenciamento declarativo de dispositivos) da Apple.

    Você pode usar configurações de MDM em dispositivos macOS 14+, mas não é recomendável. Em vez disso, use as configurações de DDM.

  • Usar configurações de MDM – macOS 13 e mais antigo: no macOS 13 e em dispositivos mais antigos, use uma política de atualização de software para gerenciar quando as atualizações forem instaladas e uma política de catálogo de configurações para gerenciar como as atualizações são instaladas.

  • Configurar e implantar o Nudge: essa ferramenta de comunidade solicita aos usuários rapidamente quando uma atualização está disponível. Se as duas primeiras políticas não motivarem os usuários finais a instalar atualizações, o Nudge as lembrará.

  • Use relatórios internos para atualizar status: depois que as políticas de atualização forem implantadas, você poderá usar o recurso de relatório para marcar o status das atualizações.

macOS 14 e mais recente

✅ Usar atualizações de software gerenciadas para configurar o DDM (gerenciamento declarativo de dispositivo) da Apple

O DDM é uma nova maneira de gerenciar configurações. Com o DDM, você pode instalar uma atualização específica por um prazo imposto. A natureza independente do DDM fornece uma experiência aprimorada do usuário, pois o dispositivo lida com todo o ciclo de vida da atualização de software. Ele solicita aos usuários que uma atualização está disponível e também baixa, prepara o dispositivo para a instalação, & instala a atualização.

Você pode usar o DDM (gerenciamento declarativo de dispositivo) da Apple para gerenciar atualizações de software nas seguintes versões:

  • macOS 14 e mais recente

Essas configurações são configuráveis no catálogo de configurações do Intune. Para obter mais informações, acesse Atualizações de software gerenciadas com o catálogo de configurações.

macOS 13 e mais antigo

Nas versões 13 ou mais antigas do macOS, você pode usar as configurações de MDM da Apple internas no Intune. Para esses dispositivos, use as seguintes políticas:

  1. Criar uma política de atualização de software: essa política força que as atualizações sejam baixadas e instaladas em um momento conveniente. Dependendo das configurações inseridas, os usuários não são solicitados e não precisam usar o dispositivo quando as atualizações são instaladas.

  2. Criar uma política de Catálogo de Configurações: essa política impede que os usuários finais desabilitem as verificações de atualização. Ele também configura o dispositivo para marcar para atualizações e solicitar usuários regularmente.

Ambas as políticas trabalham juntas para gerenciar a experiência de atualização. Esta seção se concentra nessas etapas.

Observação

Se seus dispositivos estiverem executando o macOS 14+, use as configurações de DDM descritas no macOS 14 e mais recentes (neste artigo). Não é recomendável usar a política de atualização de software e a política de catálogo de configurações no macOS 14 e mais recente.

✅ Etapa 1 – Usar uma política de atualização de software para gerenciar quando as atualizações forem instaladas

Em uma política de atualização de software, você pode gerenciar quando atualizações críticas e atualizações de firmware são instaladas. Você também pode gerenciar quantas vezes o usuário pode adiar uma atualização antes de ser instalada à força.

Para a maioria das organizações, a Microsoft recomenda que você configure as configurações disponíveis em uma política de atualização de software.

No centro de administração do Intune, acesse Dispositivos > A Apple atualiza as políticas > de atualização do macOS. Defina as seguinte configurações:

  • Atualizar configurações de comportamento de política

    • Atualizações críticas: instalar mais tarde
    • Atualizações de firmware: instalar mais tarde
    • Atualizações de arquivo de configuração: instalar posteriormente
    • Todas as outras atualizações (sistema operacional, aplicativos internos): instalar mais tarde
      • Adiamentos máximos do usuário: 5
      • Prioridade: Alta

    Observação

    • Em builds recentes do macOS, quase todas as atualizações são exibidas como arquivos de dados de configuração ou Todas as outras atualizações. As outras configurações de atualizações são principalmente atualizações herdadas para builds mais antigos do macOS.
    • O tempo especificado nessas configurações é usado pelo serviço do Intune. A hora não é a hora do dispositivo local. Esteja ciente das diferenças de tempo ao configurar uma janela de manutenção espeicamente para um ambiente global.

  • Atualizar configurações de agendamento de políticas

    • Tipo de agendamento: atualizar no próximo marcar-in

Você pode alterar os valores para os horários agendados preferidos. Alguns dos valores podem afetar apenas pequenas atualizações e não grandes atualizações.

Para as etapas específicas e mais informações sobre essas configurações & seus valores, acesse Gerenciar políticas de atualização de software macOS no Intune.

Experiência do usuário final

Com essas configurações, essa política bloqueia essas configurações para que os usuários não possam alterá-las. A política também:

  1. Verifica se há atualizações sempre que o dispositivo faz check-in com o serviço do Intune. Se houver atualizações disponíveis, elas serão baixadas automaticamente.

  2. O dispositivo encontra um período em que o dispositivo não está sendo usado.

    • Se o dispositivo não estiver sendo usado, a política tentará instalar automaticamente a atualização.
    • Se o dispositivo estiver sendo usado, os usuários finais poderão optar por instalar a atualização ou adiar a instalação até cinco vezes. Certifique-se de incentivar seus usuários finais a instalar atualizações quando estiverem disponíveis.

    As imagens a seguir mostram os prompts que os usuários finais podem ver quando as atualizações estão disponíveis:

    O prompt de notificação de exemplo para uma atualização necessária em um dispositivo Apple macOS.

    A notificação de exemplo de que uma atualização está disponível em um dispositivo MacOS Apple.

  3. Se os usuários finais usarem todos os adiamentos, a atualização será instalada à força. Para uma instalação forçada, uma reinicialização não solicita o usuário final e pode resultar em perda de dados.

✅ Etapa 2 – Usar uma política de catálogo de configurações para gerenciar como as atualizações são instaladas

O catálogo de configurações do Intune também inclui configurações para ajudar a gerenciar atualizações de software. Você pode configurar o dispositivo para instalar automaticamente as atualizações quando elas estiverem disponíveis, incluindo atualizações de aplicativo.

Essa política de catálogo de configurações funciona com a Etapa 1 – Use uma política de atualização de software para gerenciar quando as atualizações forem instaladas (neste artigo). Ele garante que os dispositivos estejam verificando se há atualizações e solicitando que os usuários as instalem. Os usuários finais ainda precisam tomar medidas para concluir a instalação.

No centro de administração do Intune, acesse Configurações de Configuração > de Dispositivos > catálogo > Atualização de Software. Defina as seguinte configurações:

  • Permitir instalação de pré-lançamento: false
  • Download Automático: True
  • Instalar automaticamente Atualizações de aplicativo: True
  • Instalação de atualização crítica: True
  • Restringir a atualização de software exige Administração para instalar: False
  • Instalação de dados de configuração: True
  • Instalar automaticamente o MacOS Atualizações: True
  • Verificação automática habilitada: True

Para obter mais informações sobre o catálogo de configurações, incluindo como criar uma política de catálogo de configurações, acesse Usar o catálogo de configurações para configurar as configurações.

Experiência do usuário final

Essa política bloqueia essas configurações para que os usuários não possam alterá-las. No dispositivo, as configurações de atualização de software estão acinzentados:

As configurações de atualização de software são acinzentadas depois que a política de atualização do catálogo de configurações do Intune se aplica a um dispositivo MacOS Apple.

Considere usar a ferramenta de comunidade Nudge

Essa ferramenta é opcional e pode ajudá-lo a gerenciar a experiência do usuário final.

Uma ferramenta popular na comunidade de administradores do Microsoft macOS é o Nudge. O Nudge é uma ferramenta código aberto que incentiva os usuários finais a instalar atualizações do macOS. Ele fornece uma experiência de configuração avançada para administradores.

Quando o Nudge é configurado e implantado, os usuários finais veem a seguinte mensagem de exemplo quando seu dispositivo está pronto para ser atualizado. Os usuários finais também podem optar por atualizar o dispositivo ou adiar a atualização:

Uma mensagem de ferramenta de comunidade do Nudge de exemplo quando uma atualização de software está disponível em um dispositivo MacOS Apple.

Há também um script de exemplo e uma política de configuração do Intune para Nudge no repositório de script do shell da Microsoft. Este script inclui tudo o que você precisa para começar com o Nudge. Atualize o .mobileconfig arquivo com seus valores.

Usar relatórios internos para atualizar status

Depois que as políticas de atualização forem implantadas, no centro de administração do Intune, você poderá usar o recurso de relatório para marcar o status das atualizações.

Para cada dispositivo, você pode ver seu estado atual de atualizações (políticas de atualização de dispositivos > macOS > para macOS):

Use o relatório interno para marcar o status de atualização de um dispositivo MacOS Apple no centro de administração do Microsoft Intune.

Próximas etapas