Gerenciar políticas de atualização de software macOS no Intune

  • Artigo

Você pode usar Microsoft Intune para gerenciar atualizações de software para dispositivos macOS registrados como dispositivos supervisionados.

Esse recurso aplica-se a:

  • macOS 12 e posterior (supervisionado)

    Observação

    Antes da versão do macOS 12.5, os dispositivos podem baixar e instalar atualizações adicionais antes de instalar a atualização mais recente.

Dica

Você pode usar o catálogo de configurações do Intune para gerenciar atualizações de software declarativas. O DDM (gerenciamento de dispositivo declarativo) fornece uma experiência aprimorada do usuário à medida que o dispositivo lida com todo o ciclo de vida da atualização de software. Para obter mais informações, acesse Gerenciar atualizações de software com o catálogo de configurações.

Com políticas para atualizações de software macOS, você pode:

  • Gerencie remotamente como downloads, instalações e notificações devem ocorrer quando os seguintes tipos de atualizações estão disponíveis para macOS:

    • Atualização crítica
    • Atualização de firmware
    • Atualização de arquivo de configuração
    • Todas as outras atualizações (sistema operacional, aplicativos internos)

  • Especifique uma agenda que determine quando a atualização será instalada. Os agendamentos podem ser tão simples quanto instalar atualizações na próxima vez que o dispositivo fizer a verificação ou criar intervalos diurnos durante os quais as atualizações podem ser instaladas ou impedidas de instalar.

Por padrão, os dispositivos fazem check-in no Intune em intervalos de aproximadamente 8 horas. Se uma atualização estiver disponível por meio de uma política de atualização, o dispositivo baixará a atualização. Em seguida, o dispositivo instalará a atualização no próximo check-in de acordo com a configuração de agendamento.

Configurar a política

  1. Entre no Centro de administração do Microsoft Intune.

    Dica

    Para obter mais informações sobre como gerenciar atualizações de software e a experiência de atualização em dispositivos, consulte Gerenciar atualizações de software para dispositivos Apple – Suporte da Apple no site de Implantação de Plataforma da Apple.

  2. Selecione Políticas>de atualização de dispositivos para macOS>Criar perfil.

  3. Na guia Conceitos Básicos, especifique um nome para esta política e uma descrição (opcional) e, em seguida, selecione Avançar.

  4. Na guia Atualizar configurações de política, configure as seguintes opções:

    Captura de tela da página Configurações de política de atualização.

    1. Para o Critical, Firmware, Configuration file e Todas as outras atualizações (sistema operacional, aplicativos internos), as seguintes ações de instalação podem ser configuradas:

      • Baixar e instalar: baixe ou instale a atualização, dependendo do estado atual.

      • Baixar somente: baixe a atualização de software sem instalá-la.

      • Instale imediatamente: baixe a atualização de software e acione a notificação de contagem regressiva de reinicialização. Essa ação é recomendada para dispositivos sem usuário.

      • Notificar somente: baixe a atualização de software e notifique o usuário por meio das Configurações do Sistema.

      • Instale posteriormente: baixe a atualização de software e instale-a posteriormente. Essa ação não está disponível para as principais atualizações do sistema operacional.

        Quando você configurar Instalar mais tarde para *Todas as outras atualizações (sistema operacional, aplicativos internos), as seguintes configurações também estarão disponíveis:

        • Adiamentos máximos do usuário:
          Quando o tipo de atualização Todas as outras atualizações é configurado para Instalar posteriormente, essa configuração permite especificar o número máximo de vezes que um usuário pode adiar uma pequena atualização do sistema operacional antes de ser instalada. O sistema solicita o usuário uma vez por dia. Disponível para dispositivos que executam o macOS 12 e posteriores.

        • Prioridade: quando o tipo de atualização Todas as outras atualizações for configurado para Instalar posteriormente, especifique valores baixos ou altos para a prioridade de agendamento para baixar & preparar atualizações menores do sistema operacional. Disponível para dispositivos que executam o macOS 12.3 e posteriores.

      • Não configurado: nenhuma ação tomada na atualização de software.

      Observação

      Dispositivos com o Apple Silicon exigem um token bootstrap emitido pelo MDM para autenticar atualizações e atualizações automatizadas e não interativas.

    2. Tipo de agendamento: configure o agendamento para esta política:

      • Atualizar no próximo check-in: a atualização será instalada no dispositivo na próxima vez que for feito o check-in com o Intune. Essa é a opção mais simples e ela não tem configurações adicionais.

      • Atualização durante o horário agendado: você configura uma ou mais janelas de tempo. Durante essas janelas, a atualização é instalada no marcar-in.

      • Atualizar fora do horário agendado: você configura uma ou mais janelas de tempo. Durante essas janelas, as atualizações não são instaladas no marcar-in.

    3. Agendamento semanal: se você escolher um tipo de agendamento diferente de atualizar no próximo check-in, configure as seguintes opções:

      Captura de tela das configurações de agendamento de política de atualização.

      • Fuso horário: escolha um fuso horário.

      • Janela de tempo: defina um ou mais blocos de tempo que restringem o momento de instalação das atualizações. O efeito das opções a seguir depende do tipo de agendamento selecionado. Com um dia de início e um dia de término, há suporte para blocos que se estendem de um dia para o outro. As opções são:

      • Dia de início: escolha o dia em que a janela de agendamento começa.

      • Hora de início: escolha a hora do dia em que a janela de agendamento começa. Por exemplo, você seleciona 5h e tem um tipo de Agendamento de Atualização durante o horário agendado. Nesse cenário, 5h é a hora em que as atualizações podem começar a ser instaladas. Se você escolheu um tipo de Agendamento de Atualização fora de um horário agendado, 5h é o início de um período de tempo que as atualizações não podem instalar.

      • Dia de término: escolha o dia em que a janela de agendamento termina.

      • Hora de término: escolha a hora do dia em que a janela de agendamento termina. Por exemplo, você seleciona 1h e tem um tipo de Agendamento de Atualização durante o horário agendado. Nesse cenário, 1h é a hora em que as atualizações não podem mais ser instaladas. Se você escolheu um tipo de Agendamento de Atualização fora de um horário agendado, 1 am é o início de um período de tempo que as atualizações podem instalar.

    Se você não configurar horários para iniciar ou terminar, a configuração não resultará em nenhuma restrição e as atualizações poderão ser instaladas a qualquer momento.

    Dica

    Você pode implantar uma política de catálogo de configurações para ocultar uma atualização dos usuários do dispositivo por um período de tempo em seus dispositivos macOS supervisionados. Para obter mais informações, confira a seção a seguir Atrasar a visibilidade das atualizações.

  5. Depois de definir as Configurações da política de atualização, selecione Avançar.

  6. Na guia Marcas de escopo, selecione + Selecionar marcas de escopo para abrir o painel Selecionar marcas se desejar aplicá-las à política de atualização.

    • No painel Selecionar marcas, escolha uma ou mais marcas e, em seguida, clique em Selecionar para adicioná-las à política e retorne ao painel Marcas de escopo.

    • Quando estiver pronto, selecione Avançar para passar para Atribuições.

  7. Na guia Atribuições, escolha + Selecionar grupos para incluir e atribua a política de atualização a um ou mais grupos. Use + Selecionar grupos para excluir a fim de ajustar a atribuição. Quando estiver pronto, selecione Avançar para continuar.

    Os dispositivos usados pelos usuários afetados pela política são avaliados quanto à conformidade de atualizações. Essa política também é compatível com dispositivos sem usuários.

  8. Na guia Revisar + criar , examine as configurações e selecione Criar quando estiver pronto para salvar sua política de atualização do macOS. Sua nova política é exibida na lista de políticas de atualização para macOS.

Observação

O MDM da Apple não permite que você force um dispositivo a instalar atualizações em determinada hora ou data. Você não pode usar as políticas de atualização de software do Intune para fazer o downgrade da versão do sistema operacional em um dispositivo.

Visibilidade de atraso das atualizações

Quando você usa políticas de atualização para macOS, talvez queira ocultar atualizações de usuários de dispositivos macOS supervisionados por um período de tempo especificado. Para essa tarefa, use uma política de catálogo de configurações para dispositivos macOS que configura períodos de restrição de atualização.

Um período de restrição pode lhe dar tempo para testar uma atualização antes que ela seja disponibilizada para os usuários instalarem. Após o término do período de restrição, a atualização fica visível para os usuários e eles podem optar por instalá-la se suas políticas de atualização não a instalarem primeiro.

Se você usar restrições de dispositivo para ocultar uma atualização, examine suas políticas de atualização de software para garantir que elas não agendem a instalação dessa atualização antes do término do período de restrição. As políticas de atualização de software instalam atualizações de acordo com sua agenda, independentemente da atualização estar oculta ou visível para o usuário do dispositivo.

As configurações que podem restringir a visibilidade das atualizações em dispositivos macOS estão na categoriarestrições do catálogo > de configurações. Alguns exemplos de configurações que você pode usar para adiar uma atualização incluem:

  • Atraso de Atualização de Software Imposto
  • Atraso de Instalação Adiada da Atualização de Software Principal do Software
  • Atraso de Instalação Não Adiada de Atualização de Software Imposta

Você também pode encontrar configurações relacionadas na categoria Atualização do Sistema Atualizações>Software para gerenciar como os usuários interagem manualmente com as atualizações por meio da interface do usuário do sistema. No entanto, as atualizações de uma política de atualização direcionada substituem essas configurações de política de catálogo.

Editar uma política

Você pode editar uma política existente, incluindo a alteração dos horários restritos:

  1. Selecione Políticas>de atualização de dispositivos para macOS. Selecione a política que você deseja editar.

  2. Ao exibir as Propriedades das políticas, selecione Editar para a página de política que você deseja modificar.

    Captura de tela da página de edição de política.

  3. Depois de introduzir uma alteração, selecione Examinar + salvar>Salvar para salvar suas edições.

Observação

Se a Hora de início e a Hora de término forem definidas como meia-noite, o Intune não verificará se há restrições sobre quando instalar as atualizações. Isso significa que todas as configurações que você tem para Selecionar horários para impedir instalações de atualizações são ignoradas e as atualizações podem ser instaladas a qualquer momento.

Configurar mais configurações de atualização de software macOS usando o Catálogo de Configurações

A categoria Restrições contém as seguintes configurações que podem ser usadas para atrasar a visibilidade das atualizações de software macOS em dispositivos (perfis deconfiguraçãomacOS>de dispositivos>>criam> novasrestrições de catálogo> deconfigurações depolítica>):

  • Atraso de atualização de software imposto: define quantos dias atrasar uma atualização de software no dispositivo. Com essa restrição em vigor, o usuário não verá uma atualização de software até o número especificado de dias após a data de lançamento da atualização de software. Esse valor é usado pelo Atualizações de Software de Aplicativo Atrasado e forçar Atualizações de software atrasado.

  • Forçar o software de aplicativo atrasado Atualizações: se for verdade, atrasa a visibilidade do usuário de Atualizações de software não-so para software interno como Safari, XProtect e Gatekeeper. Requer um dispositivo supervisionado. O atraso é de 30 dias, a menos que o atraso de atualização de software imposto seja definido como outro valor.

  • Atraso de instalação não adiado da atualização de software imposta: essa restrição permite que o administrador defina quantos dias atrasar uma atualização de software de aplicativo no dispositivo. Quando essa restrição está em vigor, o usuário vê uma atualização de software fora do sistema operacional somente após o atraso especificado após a versão do software. Esse valor controla o atraso do Atualizações de Software de Aplicativo Atrasado por Força.

  • Force Delay Major Software Atualizações: se definido como true, atrasa a visibilidade do usuário das principais atualizações para o software do sistema operacional.

  • Atraso de instalação adiado do sistema operacional principal de atualização de software imposto: essa restrição permite que o administrador defina quantos dias atrasar uma grande atualização de software no dispositivo. As principais atualizações de software são novas versões importantes do sistema operacional; por exemplo, macOS 12 Monterrey e macOS 13 Ventura. Quando essa restrição está em vigor, o usuário vê uma atualização de software somente após o atraso especificado após a versão da atualização de software. Esse valor controla o atraso do Atualizações de software principal com atraso de força.

  • Forçar o Atualizações de software atrasado: se for verdadeiro, atrasa a visibilidade do usuário das atualizações de software. No macOS, as atualizações de build de sementes são permitidas, sem demora. O atraso é de 30 dias, a menos que o atraso de atualização de software imposto seja definido como outro valor.

  • Atraso de instalação adiado do sistema operacional menor de atualização de software imposto: essa restrição permite que o administrador defina quantos dias atrasar uma pequena atualização de software do sistema operacional nos dispositivos. Atualizações de software menores são atualizações intermediárias lançadas entre as principais atualizações do sistema operacional; por exemplo, macOS 13.1 e macOS 13.2. Quando essa restrição está em vigor, o usuário vê uma atualização de software somente após o atraso especificado após a versão da atualização de software. Esse valor controla o atraso do Atualizações de Software Atrasado por Força.

A categoria Atualização de Software contém as seguintes configurações que podem ser usadas para configurar a experiência do usuário para opções de atualização de software macOS em dispositivos (Perfis deconfiguraçãomacOS>de dispositivos>>Criar>novocatálogo >de configuraçõesde política >Sistema Atualizações>Software Update):

  • Permitir instalação de pré-lançamento: se true, o software de pré-lançamento poderá ser instalado neste computador.

  • Verificação automática Habilitada: se false, desmarca a opção "Verificar atualizações" e impede que o usuário altere a opção.

  • Download Automático: se for falso, desmarca a opção "Baixar novas atualizações quando disponível do App Store" e impede que o usuário altere a opção.

  • Instalar automaticamente o Aplicativo Atualizações: se for falso, desmarca a opção "Instalar atualizações de aplicativo do App Store" e impede que o usuário altere a opção.

  • Instalar automaticamente o macOS Atualizações: se for falso, restringe a opção "Instalar o macOS Atualizações" e impede que o usuário altere a opção.

  • Instalação de dados de configuração: se false, restringe a instalação automática de dados de configuração.

  • Instalação de Atualização Crítica: se false, desabilita a instalação automática de atualizações críticas e impede que o usuário altere a opção "Instalar arquivos de dados do sistema e atualizações de segurança".

  • Restringir a atualização de software exige Administração instalar: se for verdade, restrinja as instalações do aplicativo aos usuários administradores. Essa chave tem a mesma função que a configuração Restringir Exigir Administração Instalar na categoria App Store.

Monitorar falhas de instalação de atualização em dispositivos

No centro de administração do Microsoft Intune, acesse Dispositivos>Monitor status>de Instalação para dispositivos macOS.

O Intune exibe uma lista de dispositivos macOS supervisionados que são alvo de uma política de atualização. A lista não inclui dispositivos atualizados e íntegros porque os dispositivos macOS só retornam informações sobre falhas de instalação.

Para cada dispositivo na lista, o Status de Instalação exibe o erro que o dispositivo retorna. Para exibir a lista de valores potenciais de status de instalação, na página Instalação status para dispositivos macOS, selecione Filtros e expanda a lista suspensa para Status de Instalação.

Próximas etapas

Monitorar perfis de dispositivo