Gerir políticas de atualização de software macOS no Intune
Artigo
Pode utilizar Microsoft Intune para gerir atualizações de software para dispositivos macOS inscritos como dispositivos supervisionados.
Esse recurso aplica-se a:
macOS 12 e posterior (supervisionado)
Observação
Antes da versão do macOS 12.5, os dispositivos podem transferir e instalar atualizações adicionais antes de instalar a atualização mais recente.
Dica
Pode utilizar o catálogo de definições Intune para gerir atualizações de software declarativas. A gestão declarativa de dispositivos (DDM) proporciona uma experiência de utilizador melhorada, uma vez que o dispositivo processa todo o ciclo de vida da atualização de software. Para obter mais informações, aceda a Gerir atualizações de software com o catálogo de definições.
Com as políticas para atualizações de software macOS, pode:
Gerir remotamente a forma como as transferências, instalações e notificações devem ocorrer quando estão disponíveis os seguintes tipos de atualizações para macOS:
Atualização crítica
Atualização de firmware
Atualização do ficheiro de configuração
Todas as outras atualizações (SO, aplicações incorporadas)
Especifique uma agenda que determine quando a atualização será instalada. As agendas podem ser tão simples como instalar atualizações da próxima vez que o dispositivo iniciar sessão ou criar intervalos de tempo diário durante os quais as atualizações podem ser instaladas ou bloqueadas da instalação.
Por padrão, os dispositivos fazem check-in no Intune em intervalos de aproximadamente 8 horas. Se uma atualização estiver disponível por meio de uma política de atualização, o dispositivo baixará a atualização. Em seguida, o dispositivo instalará a atualização no próximo check-in de acordo com a configuração de agendamento.
Selecione Políticas> deatualização de dispositivos para macOS>Criar perfil.
Na guia Conceitos Básicos, especifique um nome para esta política e uma descrição (opcional) e, em seguida, selecione Avançar.
Na guia Atualizar configurações de política, configure as seguintes opções:
Para Crítica, Firmware, Ficheiro de configuração e Todas as outras atualizações (SO, aplicações incorporadas), as seguintes ações de instalação podem ser configuradas:
Transferir e instalar: transfira ou instale a atualização, consoante o estado atual.
Transferir apenas: transfira a atualização de software sem a instalar.
Instalar imediatamente: transfira a atualização de software e acione a notificação de contagem decrescente de reinício. Esta ação é recomendada para dispositivos sem utilizador.
Notificar apenas: transfira a atualização de software e notifique o utilizador através das Definições do Sistema.
Instalar mais tarde: transfira a atualização de software e instale-a mais tarde. Esta ação não está disponível para atualizações principais do SO.
Quando configurar Instalar mais tarde para *Todas as outras atualizações (SO, aplicações incorporadas), também estão disponíveis as seguintes definições:
Máximo de Diferimentos de Utilizador:
Quando o tipo de atualização Todas as outras atualizações estiver configurado para Instalar mais tarde, esta definição permite-lhe especificar o número máximo de vezes que um utilizador pode adiar uma atualização menor do SO antes de ser instalado. O sistema pede ao utilizador uma vez por dia. Disponível para dispositivos com macOS 12 e posterior.
Prioridade: quando o tipo de atualização Todas as outras atualizações estiver configurado para Instalar mais tarde, especifique valores Baixos ou Altos para a prioridade de agendamento para transferir & preparar atualizações secundárias do SO. Disponível para dispositivos com o macOS 12.3 e posterior.
Não configurado: nenhuma ação tomada na atualização de software.
Observação
Os dispositivos com Apple Silicon necessitam de um token de bootstrap emitido pela MDM para autenticar atualizações e atualizações automatizadas e não interativas.
Tipo de agendamento: configure o agendamento para esta política:
Atualizar no próximo check-in: a atualização será instalada no dispositivo na próxima vez que for feito o check-in com o Intune. Essa é a opção mais simples e ela não tem configurações adicionais.
Atualização durante a hora agendada: configura uma ou mais janelas de tempo. Durante estas janelas, a atualização é instalada após marcar.
Atualização fora da hora agendada: configure uma ou mais janelas de tempo. Durante estas janelas, as atualizações não são instaladas após marcar.
Agendamento semanal: se você escolher um tipo de agendamento diferente de atualizar no próximo check-in, configure as seguintes opções:
Fuso horário: escolha um fuso horário.
Janela de tempo: defina um ou mais blocos de tempo que restringem o momento de instalação das atualizações. O efeito das opções a seguir depende do tipo de agendamento selecionado. Com um dia de início e um dia de término, há suporte para blocos que se estendem de um dia para o outro. As opções são:
Dia de início: escolha o dia em que a janela de agendamento começa.
Hora de início: escolha a hora do dia em que a janela de agendamento começa. Por exemplo, selecione 5:00 e tem um tipo de Agendamento de Atualização durante a hora agendada. Neste cenário, 5:00 é a hora em que as atualizações podem começar a ser instaladas. Se escolheu um Tipo de agendamento de Atualização fora da hora agendada, 5:00 é o início de um período de tempo que as atualizações não podem instalar.
Dia de término: escolha o dia em que a janela de agendamento termina.
Hora de término: escolha a hora do dia em que a janela de agendamento termina. Por exemplo, selecione 1:00 e tem um tipo de Agendamento de Atualização durante a hora agendada. Neste cenário, 1:00 é a hora em que as atualizações já não podem ser instaladas. Se escolheu um Tipo de agendamento de Atualização fora da hora agendada, 1:00 é o início de um período de tempo que as atualizações podem instalar.
Se não configurar as horas para iniciar ou terminar, a configuração não resultará em restrições e as atualizações podem ser instaladas em qualquer altura.
Dica
Pode implementar uma política de catálogo de definições para ocultar uma atualização dos utilizadores do dispositivo durante um período de tempo nos seus dispositivos macOS supervisionados. Para obter mais informações, veja a secção seguinte Atrasar a visibilidade das atualizações.
Depois de definir as Configurações da política de atualização, selecione Avançar.
Na guia Marcas de escopo, selecione + Selecionar marcas de escopo para abrir o painel Selecionar marcas se desejar aplicá-las à política de atualização.
No painel Selecionar marcas, escolha uma ou mais marcas e, em seguida, clique em Selecionar para adicioná-las à política e retorne ao painel Marcas de escopo.
Quando estiver pronto, selecione Avançar para passar para Atribuições.
Na guia Atribuições, escolha + Selecionar grupos para incluir e atribua a política de atualização a um ou mais grupos. Use + Selecionar grupos para excluir a fim de ajustar a atribuição. Quando estiver pronto, selecione Avançar para continuar.
Os dispositivos usados pelos usuários afetados pela política são avaliados quanto à conformidade de atualizações. Essa política também é compatível com dispositivos sem usuários.
No separador Rever + criar , reveja as definições e, em seguida, selecione Criar quando estiver pronto para guardar a política de atualização do macOS. A nova política é apresentada na lista de políticas de atualização para macOS.
Observação
O MDM da Apple não permite que você force um dispositivo a instalar atualizações em determinada hora ou data. Você não pode usar as políticas de atualização de software do Intune para fazer o downgrade da versão do sistema operacional em um dispositivo.
Atrasar a visibilidade das atualizações
Quando utiliza políticas de atualização para macOS, poderá querer ocultar atualizações de utilizadores de dispositivos macOS supervisionados durante um período de tempo especificado. Para esta tarefa, utilize uma política de catálogo de definições para dispositivos macOS que configure períodos de restrição de atualização.
Um período de restrição pode dar-lhe tempo para testar uma atualização antes de ser disponibilizada aos utilizadores para instalação. Quando o período de restrição terminar, a atualização fica visível para os utilizadores e podem optar por instalá-la se as políticas de atualização não a instalarem primeiro.
Se utilizar restrições de dispositivos para ocultar uma atualização, reveja as políticas de atualização de software para garantir que não agendam a instalação dessa atualização antes do fim do período de restrição. As políticas de atualização de software instalam atualizações de acordo com a respetiva agenda, independentemente de a atualização estar oculta ou visível para o utilizador do dispositivo.
As definições que podem restringir a visibilidade das atualizações em dispositivos macOS estão na categoria Restrições do catálogo> dedefinições. Alguns exemplos de definições que pode utilizar para diferir uma atualização incluem:
Atraso de Atualização de Software Imposto
Atraso de Instalação Adiada da Atualização de Software Principal do Software
Atraso de Instalação Não Adiada de Atualização de Software Imposta
Também pode encontrar definições relacionadas na categoria System Atualizações>Software Update para gerir a forma como os utilizadores interagem manualmente com as atualizações através da IU do sistema. No entanto, as atualizações de uma política de atualização de destino substituem estas definições de política de catálogo de definições.
Editar uma política
Você pode editar uma política existente, incluindo a alteração dos horários restritos:
Selecione Políticas> deatualização de dispositivos para macOS. Selecione a política que você deseja editar.
Ao exibir as Propriedades das políticas, selecione Editar para a página de política que você deseja modificar.
Depois de introduzir uma alteração, selecione Rever + guardar>Guardar para guardar as suas edições.
Observação
Se a Hora de início e a Hora de término forem definidas como meia-noite, o Intune não verificará se há restrições sobre quando instalar as atualizações. Isso significa que todas as configurações que você tem para Selecionar horários para impedir instalações de atualizações são ignoradas e as atualizações podem ser instaladas a qualquer momento.
Configurar mais definições de atualização de software macOS com o Catálogo de Definições
A categoria Restrições contém as seguintes definições que podem ser utilizadas para atrasar a visibilidade das atualizações de software macOS em dispositivos (Dispositivos>Por plataforma>macOS>Gerir dispositivos>Configuração>Criar>Nova política>Catálogo de definições>Restrições):
Atraso de Atualização de Software Imposto: define quantos dias demoram uma atualização de software no dispositivo. Com esta restrição em vigor, o utilizador não vê uma atualização de software até ao número especificado de dias após a data de lançamento da atualização de software. Este valor é utilizado por Force Delayed App Software Atualizações and Force Delayed Software Atualizações.
Force Delayed App Software Atualizações: se for verdadeiro, atrasa a visibilidade do utilizador de Atualizações de Software não SO para software incorporado, como Safari, XProtect e Gatekeeper. Requer um dispositivo supervisionado. O atraso é de 30 dias, a menos que o Atraso de Atualização de Software Imposto esteja definido para outro valor.
Atraso de Instalação Não Diferido da Atualização de Software Imposta pelo SO: esta restrição permite ao administrador definir quantos dias demoram uma atualização de software de aplicação no dispositivo. Quando esta restrição está em vigor, o utilizador vê uma atualização de software não SO apenas após o atraso especificado após o lançamento do software. Este valor controla o atraso da Atualizações do Software de Aplicação Com Atraso forçado.
Force Delayed Major Software Atualizações: se definido como verdadeiro, atrasa a visibilidade do utilizador das atualizações principais para o Software de SO.
Atraso de Instalação Diferida Da Atualização de Software Imposta: esta restrição permite ao administrador definir quantos dias demoram uma atualização de software principal no dispositivo. As principais atualizações de software são novas versões principais do SO; por exemplo, macOS 12 Monterrey e macOS 13 Ventura. Quando esta restrição está em vigor, o utilizador vê uma atualização de software apenas após o atraso especificado após o lançamento da atualização de software. Este valor controla o atraso do Atualizações de Software Principal Forçado Atrasado.
Force Delayed Software Atualizações: se for verdadeiro, atrasa a visibilidade do utilizador das atualizações de software. No macOS, as atualizações de compilação de sementes são permitidas, sem demora. O atraso é de 30 dias, a menos que o Atraso de Atualização de Software Imposto esteja definido para outro valor.
Atualização de Software Imposta Atraso de Instalação Diferida Do SO Secundário: esta restrição permite ao administrador definir quantos dias atrasar uma atualização de software de SO menor nos dispositivos. As atualizações de software secundárias são atualizações intermédias lançadas entre as principais atualizações do SO; por exemplo, macOS 13.1 e macOS 13.2. Quando esta restrição está em vigor, o utilizador vê uma atualização de software apenas após o atraso especificado após o lançamento da atualização de software. Este valor controla o atraso da Atualizações de Software Forçado Atrasado.
A categoria Atualização de Software contém as seguintes definições que podem ser utilizadas para configurar a experiência de utilizador para as opções de atualização de software macOS em dispositivos (Dispositivos>Por plataforma>macOS>Gerir dispositivos>Configuração>Criar> Novocatálogo> dedefinições de políticas>System Atualizações>Software Update):
Permitir Instalação de Pré-lançamento: se for verdadeiro, o software de pré-lançamento pode ser instalado neste computador.
Verificação Automática Ativada: se for falsa, desseleciona a opção "Procurar atualizações" e impede o utilizador de alterar a opção.
Transferência Automática: se for falso, desseleciona a opção "Transferir novas atualizações quando disponível a partir do App Store" e impede o utilizador de alterar a opção.
Instalar Automaticamente o Atualizações da Aplicação: se for falso, desseleciona a opção "Instalar atualizações de aplicações a partir do App Store" e impede o utilizador de alterar a opção.
Instalar automaticamente o macOS Atualizações: se for falso, restringe a opção "Instalar o macOS Atualizações" e impede o utilizador de alterar a opção.
Instalação de Dados de Configuração: se for falso, restringe a instalação automática dos dados de configuração.
Instalação de Atualização Crítica: se for falsa, desativa a instalação automática de atualizações críticas e impede o utilizador de alterar a opção "Instalar ficheiros de dados do sistema e atualizações de segurança".
Restringir Atualização de Software Exigir Administração Instalar: se for verdadeiro, restrinja as instalações de aplicações aos utilizadores administradores. Esta chave tem a mesma função que a definição Restringir Armazenamento Exigir Administração Instalar na categoria App Store.
Monitorar falhas de instalação de atualização em dispositivos
No centro de administração do Microsoft Intune, aceda a Status de Instalação doMonitor> de Dispositivos>para dispositivos macOS.
Intune apresenta uma lista de dispositivos macOS supervisionados visados por uma política de atualização. A lista não inclui dispositivos atualizados e em bom estado de funcionamento porque os dispositivos macOS só devolvem informações sobre falhas de instalação.
Para cada dispositivo na lista, o Estado da Instalação apresenta o erro devolvido pelo dispositivo. Para ver a lista de potenciais valores de instalação status, na página Status de Instalação para dispositivos macOS, selecione Filtros e, em seguida, expanda a lista pendente para Estado da Instalação.
Planeje e execute uma estratégia de implantação de ponto de extremidade, usando elementos essenciais de gerenciamento moderno, abordagens de cogerenciamento e integração com o Microsoft Intune.
Utilize Microsoft Intune para configurar as definições declarativas de gestão de dispositivos (DDM) da Apple para instalar uma atualização específica até um prazo imposto. Esta funcionalidade utiliza o catálogo de definições para configurar atualizações de software geridas para dispositivos macOS e macOS geridos supervisionados.
Adicione, configure ou crie definições em dispositivos macOS para restringir funcionalidades no Microsoft Intune. Definir requisitos de palavra-passe, controlar o ecrã bloqueado, utilizar aplicações incorporadas, adicionar aplicações restritas ou aprovadas, processar dispositivos bluetooth, ligar à nuvem para cópia de segurança e armazenamento, ativar o modo de quiosque, adicionar domínios e controlar a forma como os utilizadores interagem com o browser Safari.
Utilize Microsoft Intune política para configurar o FileVault em dispositivos macOS e utilize o centro de administração para gerir as respetivas chaves de recuperação.
Veja as definições para configurar dispositivos macOS para AirPrint e personalize a janela De início de sessão para mostrar ou ocultar botões de energia no Microsoft Intune. Veja os passos para obter as definições de endereço IP, caminho e porta de um servidor AirPrint na sua rede. Utilize estas definições num perfil de configuração de dispositivo para configurar as funcionalidades do dispositivo macOS.