Partilhar via

Guia de planeamento de atualizações de software para dispositivos macOS geridos no Microsoft Intune

  • Artigo

Manter os seus dispositivos atualizados com atualizações é fundamental. Os administradores têm de fazer o possível para reduzir o risco de eventos de segurança e reduzir este risco com uma interrupção mínima para os utilizadores & empresariais.

O Intune tem políticas incorporadas que podem gerir atualizações de software. Para dispositivos macOS, pode utilizar o Intune para gerir atualizações de dispositivos, configurar quando os dispositivos são atualizados e rever o estado da atualização do dispositivo.

Utilize este artigo como um guia de administração para os seus dispositivos macOS inscritos e geridos. Estas informações podem ajudar a gerir atualizações de software nos seus dispositivos pertencentes à organização.

Este artigo se aplica ao:

  • Dispositivos macOS inscritos no Intune

Dica

Se os seus dispositivos forem pessoais, aceda ao guia de administração de atualizações de software para dispositivos pessoais.

Antes de começar

Para instalar atualizações mais rapidamente e evitar atrasos, certifique-se de que os dispositivos são:

  • Ligado; não encerrar, mas pode ser um estado de suspensão
  • Ligado à corrente
  • Ligado à Internet

Gerir atualizações com políticas

✅ Crie políticas que atualizem os seus dispositivos. Não coloque esta responsabilidade nos utilizadores finais.

Por predefinição, os utilizadores recebem notificações e/ou veem as atualizações mais recentes disponíveis nos respetivos dispositivos (Definições > Atualizações Gerais > de Software). Os utilizadores podem optar por transferir e instalar atualizações sempre que quiserem.

Também podem alterar o comportamento da atualização com a funcionalidade Atualizações Automáticas no dispositivo (Definições > de Atualizações de Software):

As definições e controlos de atualização predefinidos do sistema operativo num dispositivo MacOS Apple.

Quando os utilizadores instalam as suas próprias atualizações (em vez de administradores que gerem as atualizações), podem interromper a produtividade dos utilizadores e as tarefas empresariais. Por exemplo:

  • Os utilizadores podem aplicar atualizações que a sua organização não aprovou. Esta situação pode causar problemas com a compatibilidade da aplicação ou alterações ao sistema operativo ou à experiência do utilizador que interrompem a utilização do dispositivo.

  • Os utilizadores podem evitar aplicar atualizações necessárias por motivos de compatibilidade de aplicações ou segurança. Este atraso pode deixar os dispositivos em risco e/ou impedir que estes funcionem.

  • Os utilizadores podem desativar totalmente a verificação de novas atualizações.

Devido a estes potenciais problemas, a Microsoft recomenda que avalie os seus cenários de casos de utilização e implemente políticas para gerir a experiência de atualização para minimizar o risco e a interrupção da sua empresa.

Passos de administrador para dispositivos pertencentes à organização

Para atualizar dispositivos macOS pertencentes à sua organização, a Microsoft recomenda as seguintes funcionalidades. Também pode utilizar estas funcionalidades como ponto de partida para a sua própria estratégia de atualização.

  • Utilize as definições de DDM – macOS 14.0+: no macOS 14.0 e em dispositivos mais recentes, utilize atualizações de software geridas para configurar a gestão declarativa de dispositivos (DDM) da Apple.

    Pode utilizar as definições de MDM em dispositivos macOS 14+ mas não é recomendado. Em vez disso, utilize as definições de DDM.

  • Utilizar definições de MDM – macOS 13 ou mais antigo: em dispositivos macOS 13 e mais antigos, utilize uma política de atualização de software para gerir quando as atualizações são instaladas e uma política de catálogo de definições para gerir a forma como as atualizações são instaladas.

  • Configurar e implementar o Nudge: esta ferramenta de comunidade pede aos utilizadores rapidamente quando uma atualização está disponível. Se as duas primeiras políticas não motivarem os utilizadores finais a instalar atualizações, o Assistente lembra-os.

  • Utilizar relatórios incorporados para o estado de atualização: após a implementação das políticas de atualização, pode utilizar a funcionalidade de relatórios para verificar o estado das atualizações.

macOS 14 e mais recente

✅ Utilizar atualizações de software gerido para configurar a gestão declarativa de dispositivos (DDM) da Apple

O DDM é uma nova forma de gerir as definições. Com o DDM, pode instalar uma atualização específica até um prazo imposto. A natureza independente do DDM proporciona uma experiência de utilizador melhorada, uma vez que o dispositivo processa todo o ciclo de vida da atualização de software. Pede aos utilizadores que está disponível uma atualização e também transfere, prepara o dispositivo para a instalação & instala a atualização.

Pode utilizar a gestão declarativa de dispositivos (DDM) da Apple para gerir atualizações de software nas seguintes versões:

  • macOS 14 e mais recente

Estas definições são configuráveis no catálogo de definições do Intune. Para obter mais informações, aceda a Atualizações de software geridas com o catálogo de definições.

macOS 13 ou mais antigo

Nas versões 13 ou mais antigas do macOS, pode utilizar as definições de MDM da Apple incorporadas no Intune. Para estes dispositivos, utilize as seguintes políticas:

  1. Criar uma política de atualização de software: esta política força as atualizações a serem transferidas e instaladas numa altura conveniente. Consoante as definições introduzidas, os utilizadores não são solicitados e não precisam de utilizar o dispositivo quando as atualizações são instaladas.

  2. Criar uma política de Catálogo de Definições: esta política impede os utilizadores finais de desativar as verificações de atualização. Também configura o dispositivo para procurar atualizações e pedir aos utilizadores regularmente.

Ambas as políticas funcionam em conjunto para gerir a experiência de atualização. Esta secção centra-se nestes passos.

Observação

Se os seus dispositivos estiverem a executar o macOS 14+, utilize as definições de DDM descritas no macOS 14 e mais recentes (neste artigo). Não é recomendado utilizar a política de atualização de software e a política de catálogo de definições no macOS 14 e mais recente.

✅ Passo 1 – Utilizar uma política de atualização de software para gerir quando as atualizações são instaladas

Numa política de atualização de software, pode gerir quando são instaladas atualizações críticas e atualizações de firmware. Também pode gerir o número de vezes que o utilizador pode diferir uma atualização antes de ser forçada a instalar.

Para a maioria das organizações, a Microsoft recomenda que configure as definições disponíveis numa política de atualização de software.

No centro de administração do Intune, aceda a Dispositivos > Atualizações da Apple políticas > de atualização do macOS. Defina as seguinte configurações:

  • Atualizar definições de comportamento da política

    • Atualizações críticas: Instalar mais tarde
    • Atualizações de firmware: instalar mais tarde
    • Atualizações do ficheiro de configuração: Instalar mais tarde
    • Todas as outras atualizações (SO, aplicações incorporadas): Instalar mais tarde
      • Máximo de diferimentos de utilizador: 5
      • Prioridade: Alta

    Observação

    • Em compilações recentes do macOS, quase todas as atualizações são apresentadas como Ficheiros de dados de configuração ou Todas as outras atualizações. As definições de Todas as outras atualizações são principalmente atualizações legadas para compilações mais antigas do macOS.
    • A hora especificada nestas definições é utilizada pelo serviço do Intune. A hora não é a hora do dispositivo local. Tenha em atenção as diferenças de tempo ao configurar uma janela de manutenção espeicamente para um ambiente global.

  • Atualizar definições de agendamento de políticas

    • Tipo de agenda: Atualizar na próxima entrada

Pode alterar os valores para as horas agendadas preferenciais. Alguns dos valores podem afetar apenas as atualizações secundárias e não as atualizações principais.

Para obter os passos específicos e mais informações sobre estas definições & respetivos valores, aceda a Gerir políticas de atualização de software macOS no Intune.

Experiência do usuário final

Com estas definições, esta política bloqueia estas definições para que os utilizadores não as possam alterar. A política também:

  1. Verifica a existência de atualizações sempre que o dispositivo faz o check-in com o serviço do Intune. Se existirem atualizações disponíveis, serão transferidas automaticamente.

  2. O dispositivo encontra um período de tempo em que o dispositivo não está a ser utilizado.

    • Se o dispositivo não estiver a ser utilizado, a política tenta instalar automaticamente a atualização.
    • Se o dispositivo estiver a ser utilizado, os utilizadores finais podem optar por instalar a atualização ou adiar a instalação até cinco vezes. Certifique-se de que incentiva os seus utilizadores finais a instalar atualizações quando estiverem disponíveis.

    As imagens seguintes mostram os pedidos que os utilizadores finais podem ver quando as atualizações estão disponíveis:

    O pedido de notificação de exemplo para uma atualização necessária num dispositivo macOS da Apple.

    A notificação de exemplo de que está disponível uma atualização num dispositivo MacOS Apple.

  3. Se os utilizadores finais utilizarem todos os diferimentos, a atualização será forçada a ser instalada. Para uma instalação forçada, um reinício não pede ao utilizador final e pode resultar na perda de dados.

✅ Passo 2 – Utilizar uma política de catálogo de definições para gerir a forma como as atualizações são instaladas

O catálogo de definições do Intune também inclui definições para ajudar a gerir atualizações de software. Pode configurar o dispositivo para instalar automaticamente atualizações quando estiverem disponíveis, incluindo atualizações de aplicações.

Esta política de catálogo de definições funciona com o Passo 1 – Utilizar uma política de atualização de software para gerir quando as atualizações são instaladas (neste artigo). Garante que os dispositivos estão a procurar atualizações e a pedir aos utilizadores que as instalem. Os utilizadores finais ainda precisam de tomar medidas para concluir a instalação.

No centro de administração do Intune, aceda a Dispositivos > Gerir dispositivos > Catálogo > de Definições de Configuração > Atualização de Software. Defina as seguinte configurações:

  • Permitir Instalação de Pré-lançamento: Falso
  • Transferência Automática: Verdadeiro
  • Instalar Automaticamente Atualizações de Aplicações: Verdadeiro
  • Instalação de Atualização Crítica: Verdadeiro
  • Restringir a Atualização de Software Requer que o Administrador instale: Falso
  • Instalação de Dados de Configuração: Verdadeiro
  • Instalar Automaticamente Atualizações do MacOS: Verdadeiro
  • Verificação Automática Ativada: Verdadeiro

Para obter mais informações sobre o catálogo de definições, incluindo como criar uma política de catálogo de definições, aceda a Utilizar o catálogo de definições para configurar as definições.

Experiência do usuário final

Esta política bloqueia estas definições para que os utilizadores não as possam alterar. No dispositivo, as definições de atualização de software estão a cinzento:

As definições de atualização de software ficam desativadas após a política de atualização do catálogo de definições do Intune se aplicar a um dispositivo macOS apple.

Considere utilizar a ferramenta de comunidade de deslocamento

Esta ferramenta é opcional e pode ajudá-lo a gerir a experiência do utilizador final.

Uma ferramenta popular dentro da comunidade de administradores do macOS da Microsoft é o Nudge. O Nudge é uma ferramenta open source que incentiva os utilizadores finais a instalar atualizações do macOS. Fornece uma experiência de configuração avançada para administradores.

Quando a opção Deslocar estiver configurada e implementada, os utilizadores finais verão a seguinte mensagem de exemplo quando o dispositivo estiver pronto para ser atualizado. Os utilizadores finais também podem optar por atualizar o dispositivo ou adiar a atualização:

Uma mensagem de ferramenta de comunidade de deslocamento de exemplo quando uma atualização de software está disponível para um dispositivo MacOS Apple.

Também existe um script de exemplo e uma política de configuração do Intune para Deslocar no repositório de scripts da shell da Microsoft. Este script inclui tudo o que precisa para começar a utilizar o Nudge. Certifique-se de que atualiza o .mobileconfig ficheiro com os seus valores.

Utilizar relatórios incorporados para o estado de atualização

Após a implementação das políticas de atualização, no centro de administração do Intune, pode utilizar a funcionalidade de relatórios para verificar o estado das atualizações.

Para cada dispositivo, pode ver o estado atual das atualizações (Dispositivos macOS > Políticas > de atualização para macOS):

Utilize os relatórios incorporados para verificar o estado de atualização de um dispositivo MacOS Apple no centro de administração do Microsoft Intune.