Gerir políticas de atualização de software macOS no Intune

Pode utilizar o Microsoft Intune para gerir atualizações de software para dispositivos macOS inscritos como dispositivos supervisionados.

Esse recurso aplica-se a:

• macOS 12 e posterior (supervisionado)

  Observação

  Antes da versão do macOS 12.5, os dispositivos podem transferir e instalar atualizações adicionais antes de instalar a atualização mais recente.

Dica

Pode utilizar o catálogo de definições do Intune para gerir atualizações de software declarativas. A gestão declarativa de dispositivos (DDM) proporciona uma experiência de utilizador melhorada, uma vez que o dispositivo processa todo o ciclo de vida da atualização de software. Para obter mais informações, aceda a Gerir atualizações de software com o catálogo de definições.

Com as políticas para atualizações de software macOS, pode:

• Gerir remotamente a forma como as transferências, instalações e notificações devem ocorrer quando estão disponíveis os seguintes tipos de atualizações para macOS:

  • Atualização crítica
  • Atualização de firmware
  • Atualização do ficheiro de configuração
  • Todas as outras atualizações (SO, aplicações incorporadas)

• Especifique uma agenda que determine quando a atualização será instalada. As agendas podem ser tão simples como instalar atualizações da próxima vez que o dispositivo iniciar sessão ou criar intervalos de tempo diário durante os quais as atualizações podem ser instaladas ou bloqueadas da instalação.

Por padrão, os dispositivos fazem check-in no Intune em intervalos de aproximadamente 8 horas. Se uma atualização estiver disponível por meio de uma política de atualização, o dispositivo baixará a atualização. Em seguida, o dispositivo instalará a atualização no próximo check-in de acordo com a configuração de agendamento.

Configurar a política

1. Entre no Centro de administração do Microsoft Intune.

   Dica

   Para obter mais informações sobre a gestão de atualizações de software e a experiência de atualização em dispositivos, consulte Gerir atualizações de software para dispositivos Apple – Suporte da Apple no site de Implementação da Plataforma da Apple.

2. Selecione Políticas> deatualização de dispositivos para macOS>Criar perfil.

3. Na guia Conceitos Básicos, especifique um nome para esta política e uma descrição (opcional) e, em seguida, selecione Avançar.

4. Na guia Atualizar configurações de política, configure as seguintes opções:

   

   1. Para Crítica, Firmware, Ficheiro de configuração e Todas as outras atualizações (SO, aplicações incorporadas), as seguintes ações de instalação podem ser configuradas:

      • Transferir e instalar: transfira ou instale a atualização, consoante o estado atual.

      • Transferir apenas: transfira a atualização de software sem a instalar.

      • Instalar imediatamente: transfira a atualização de software e acione a notificação de contagem decrescente de reinício. Esta ação é recomendada para dispositivos sem utilizador.

      • Notificar apenas: transfira a atualização de software e notifique o utilizador através das Definições do Sistema.

      • Instalar mais tarde: transfira a atualização de software e instale-a mais tarde. Esta ação não está disponível para atualizações principais do SO.

        Quando configurar Instalar mais tarde para *Todas as outras atualizações (SO, aplicações incorporadas), também estão disponíveis as seguintes definições:

        • Máximo de Diferimentos de Utilizador:
          Quando o tipo de atualização Todas as outras atualizações estiver configurado para Instalar mais tarde, esta definição permite-lhe especificar o número máximo de vezes que um utilizador pode adiar uma atualização menor do SO antes de ser instalado. O sistema pede ao utilizador uma vez por dia. Disponível para dispositivos com macOS 12 e posterior.

        • Prioridade: quando o tipo de atualização Todas as outras atualizações estiver configurado para Instalar mais tarde, especifique valores Baixos ou Altos para a prioridade de agendamento para transferir & preparar atualizações secundárias do SO. Disponível para dispositivos com o macOS 12.3 e posterior.

      • Não configurado: nenhuma ação tomada na atualização de software.

      Observação

      Os dispositivos com Apple Silicon necessitam de um token de bootstrap emitido pela MDM para autenticar atualizações e atualizações automatizadas e não interativas.

   2. Tipo de agendamento: configure o agendamento para esta política:

      • Atualizar no próximo check-in: a atualização será instalada no dispositivo na próxima vez que for feito o check-in com o Intune. Essa é a opção mais simples e ela não tem configurações adicionais.

      • Atualização durante a hora agendada: configura uma ou mais janelas de tempo. Durante estas janelas, a atualização é instalada após a entrada.

      • Atualização fora da hora agendada: configure uma ou mais janelas de tempo. Durante estas janelas, as atualizações não são instaladas após a entrada.

   3. Agendamento semanal: se você escolher um tipo de agendamento diferente de atualizar no próximo check-in, configure as seguintes opções:

      

      • Fuso horário: escolha um fuso horário.

      • Janela de tempo: defina um ou mais blocos de tempo que restringem o momento de instalação das atualizações. O efeito das opções a seguir depende do tipo de agendamento selecionado. Com um dia de início e um dia de término, há suporte para blocos que se estendem de um dia para o outro. As opções são:

      • Dia de início: escolha o dia em que a janela de agendamento começa.

      • Hora de início: escolha a hora do dia em que a janela de agendamento começa. Por exemplo, selecione 5:00 e tem um tipo de Agendamento de Atualização durante a hora agendada. Neste cenário, 5:00 é a hora em que as atualizações podem começar a ser instaladas. Se escolheu um Tipo de agendamento de Atualização fora da hora agendada, 5:00 é o início de um período de tempo que as atualizações não podem instalar.

      • Dia de término: escolha o dia em que a janela de agendamento termina.

      • Hora de término: escolha a hora do dia em que a janela de agendamento termina. Por exemplo, selecione 1:00 e tem um tipo de Agendamento de Atualização durante a hora agendada. Neste cenário, 1:00 é a hora em que as atualizações já não podem ser instaladas. Se escolheu um Tipo de agendamento de Atualização fora da hora agendada, 1:00 é o início de um período de tempo que as atualizações podem instalar.

   Se não configurar as horas para iniciar ou terminar, a configuração não resultará em restrições e as atualizações podem ser instaladas em qualquer altura.

   Dica

   Pode implementar uma política de catálogo de definições para ocultar uma atualização dos utilizadores do dispositivo durante um período de tempo nos seus dispositivos macOS supervisionados. Para obter mais informações, veja a secção seguinte Atrasar a visibilidade das atualizações.

5. Depois de definir as Configurações da política de atualização, selecione Avançar.

6. Na guia Marcas de escopo, selecione + Selecionar marcas de escopo para abrir o painel Selecionar marcas se desejar aplicá-las à política de atualização.

   • No painel Selecionar marcas, escolha uma ou mais marcas e, em seguida, clique em Selecionar para adicioná-las à política e retorne ao painel Marcas de escopo.

   • Quando estiver pronto, selecione Avançar para passar para Atribuições.

7. Na guia Atribuições, escolha + Selecionar grupos para incluir e atribua a política de atualização a um ou mais grupos. Use + Selecionar grupos para excluir a fim de ajustar a atribuição. Quando estiver pronto, selecione Avançar para continuar.

   Os dispositivos usados pelos usuários afetados pela política são avaliados quanto à conformidade de atualizações. Essa política também é compatível com dispositivos sem usuários.

8. No separador Rever + criar , reveja as definições e, em seguida, selecione Criar quando estiver pronto para guardar a política de atualização do macOS. A nova política é apresentada na lista de políticas de atualização para macOS.

Observação

O MDM da Apple não permite que você force um dispositivo a instalar atualizações em determinada hora ou data. Você não pode usar as políticas de atualização de software do Intune para fazer o downgrade da versão do sistema operacional em um dispositivo.

Atrasar a visibilidade das atualizações

Quando utiliza políticas de atualização para macOS, poderá querer ocultar atualizações de utilizadores de dispositivos macOS supervisionados durante um período de tempo especificado. Para esta tarefa, utilize uma política de catálogo de definições para dispositivos macOS que configure períodos de restrição de atualização.

Um período de restrição pode dar-lhe tempo para testar uma atualização antes de ser disponibilizada aos utilizadores para instalação. Quando o período de restrição terminar, a atualização fica visível para os utilizadores e podem optar por instalá-la se as políticas de atualização não a instalarem primeiro.

Se utilizar restrições de dispositivos para ocultar uma atualização, reveja as políticas de atualização de software para garantir que não agendam a instalação dessa atualização antes do fim do período de restrição. As políticas de atualização de software instalam atualizações de acordo com a respetiva agenda, independentemente de a atualização estar oculta ou visível para o utilizador do dispositivo.

As definições que podem restringir a visibilidade das atualizações em dispositivos macOS estão na categoria Restrições do catálogo> dedefinições. Alguns exemplos de definições que pode utilizar para diferir uma atualização incluem:

• Atraso de Atualização de Software Imposto
• Atraso de Instalação Adiada da Atualização de Software Principal do Software
• Atraso de Instalação Não Adiada de Atualização de Software Imposta

Também pode encontrar definições relacionadas na categoriaAtualização de Software deAtualizações> de Sistema para gerir a forma como os utilizadores interagem manualmente com as atualizações através da IU do sistema. No entanto, as atualizações de uma política de atualização de destino substituem estas definições de política de catálogo de definições.

Editar uma política

Você pode editar uma política existente, incluindo a alteração dos horários restritos:

1. Selecione Políticas> deatualização de dispositivos para macOS. Selecione a política que você deseja editar.

2. Ao exibir as Propriedades das políticas, selecione Editar para a página de política que você deseja modificar.

   

3. Depois de introduzir uma alteração, selecione Rever + guardar>Guardar para guardar as suas edições.

Observação

Se a Hora de início e a Hora de término forem definidas como meia-noite, o Intune não verificará se há restrições sobre quando instalar as atualizações. Isso significa que todas as configurações que você tem para Selecionar horários para impedir instalações de atualizações são ignoradas e as atualizações podem ser instaladas a qualquer momento.

Configurar mais definições de atualização de software macOS com o Catálogo de Definições

A categoria Restrições contém as seguintes definições que podem ser utilizadas para atrasar a visibilidade das atualizações de software macOS em dispositivos (Dispositivos>Por plataforma>macOS>Gerir dispositivos>Configuração>Criar>Nova política>Catálogo de definições>Restrições):

• Atraso de Atualização de Software Imposto: define quantos dias demoram uma atualização de software no dispositivo. Com esta restrição em vigor, o utilizador não vê uma atualização de software até ao número especificado de dias após a data de lançamento da atualização de software. Este valor é utilizado por Force Delayed App Software Updates and Force Delayed Software Updates (Forçar Atualizações de Software Atrasadas) e Force Delayed Software Updates (Forçar Atualizações de Software Atrasadas).

• Forçar Atualizações de Software de Aplicações Atrasadas: se for verdadeiro, atrasa a visibilidade do utilizador de Atualizações de Software não SO para software incorporado, como Safari, XProtect e Gatekeeper. Requer um dispositivo supervisionado. O atraso é de 30 dias, a menos que o Atraso de Atualização de Software Imposto esteja definido para outro valor.

• Atraso de Instalação Não Diferido da Atualização de Software Imposta pelo SO: esta restrição permite ao administrador definir quantos dias demoram uma atualização de software de aplicação no dispositivo. Quando esta restrição está em vigor, o utilizador vê uma atualização de software não SO apenas após o atraso especificado após o lançamento do software. Este valor controla o atraso das Atualizações de Software de Aplicações Forçadas Atrasadas.

• Forçar Atualizações de Software Principais Atrasadas: se definidas como verdadeiras, atrasa a visibilidade do utilizador das principais atualizações para o Software de SO.

• Atraso de Instalação Diferida Da Atualização de Software Imposta: esta restrição permite ao administrador definir quantos dias demoram uma atualização de software principal no dispositivo. As principais atualizações de software são novas versões principais do SO; por exemplo, macOS 12 Monterrey e macOS 13 Ventura. Quando esta restrição está em vigor, o utilizador vê uma atualização de software apenas após o atraso especificado após o lançamento da atualização de software. Este valor controla o atraso das Atualizações de Software Principais Forçadas Atrasadas.

• Forçar Atualizações de Software Atrasadas: se for verdadeiro, atrasa a visibilidade do utilizador das atualizações de software. No macOS, as atualizações de compilação de sementes são permitidas, sem demora. O atraso é de 30 dias, a menos que o Atraso de Atualização de Software Imposto esteja definido para outro valor.

• Atualização de Software Imposta Atraso de Instalação Diferida Do SO Secundário: esta restrição permite ao administrador definir quantos dias atrasar uma atualização de software de SO menor nos dispositivos. As atualizações de software secundárias são atualizações intermédias lançadas entre as principais atualizações do SO; por exemplo, macOS 13.1 e macOS 13.2. Quando esta restrição está em vigor, o utilizador vê uma atualização de software apenas após o atraso especificado após o lançamento da atualização de software. Este valor controla o atraso das Atualizações de Software Forçadas Atrasadas.

A categoria Atualização de Software contém as seguintes definições que podem ser utilizadas para configurar a experiência de utilizador para as opções de atualização de software macOS em dispositivos (Dispositivos>Por plataforma>macOS>Gerir dispositivos>Configuração>Criar>Nova política>Catálogo> de definiçõesAtualizaçõesdeSoftware Atualizações> de Software):

• Permitir Instalação de Pré-lançamento: se for verdadeiro, o software de pré-lançamento pode ser instalado neste computador.

• Verificação Automática Ativada: se for falsa, desseleciona a opção "Procurar atualizações" e impede o utilizador de alterar a opção.

• Transferência Automática: se for falso, desseleciona a opção "Transferir novas atualizações quando disponível a partir da App Store" e impede o utilizador de alterar a opção.

• Instalar Automaticamente Atualizações de Aplicações: se for falso, desseleciona a opção "Instalar atualizações de aplicações a partir da App Store" e impede o utilizador de alterar a opção.

• Instalar Automaticamente Atualizações do macOS: se for falso, restringe a opção "Instalar atualizações do macOS" e impede o utilizador de alterar a opção.

• Instalação de Dados de Configuração: se for falso, restringe a instalação automática dos dados de configuração.

• Instalação de Atualização Crítica: se for falsa, desativa a instalação automática de atualizações críticas e impede o utilizador de alterar a opção "Instalar ficheiros de dados do sistema e atualizações de segurança".

• Restringir Atualização de Software Exigir Que o Administrador Instale: se for verdadeiro, restrinja as instalações de aplicações aos utilizadores administradores. Esta chave tem a mesma função que a definição Restringir Armazenamento Exigir Admin Para Instalar na categoria App Store.

Monitorar falhas de instalação de atualização em dispositivos

No centro de administração do Microsoft Intune, aceda a Dispositivos>Monitorizar> estado deinstalação para dispositivos macOS.

O Intune apresenta uma lista de dispositivos macOS supervisionados visados por uma política de atualização. A lista não inclui dispositivos atualizados e em bom estado de funcionamento porque os dispositivos macOS só devolvem informações sobre falhas de instalação.

Para cada dispositivo na lista, o Estado da Instalação apresenta o erro devolvido pelo dispositivo. Para ver a lista de potenciais valores de estado de instalação, na página Estado da instalação para dispositivos macOS , selecione Filtros e, em seguida, expanda a lista pendente para Estado da Instalação.

Próximas etapas

Monitorar perfis de dispositivo