Руководство по планированию обновлений программного обеспечения для управляемых устройств macOS в Microsoft Intune

Обеспечение актуальности устройств с помощью обновлений имеет решающее значение. Администраторы должны сделать все возможное, чтобы снизить риск событий безопасности и снизить этот риск с минимальным нарушением работы бизнес-& пользователей.

Intune имеет встроенные политики, которые могут управлять обновлениями программного обеспечения. Для устройств macOS можно использовать Intune для управления обновлениями устройств, настройки времени обновления устройств и просмотра состояния обновления устройства.

Используйте эту статью в качестве руководства администратора для зарегистрированных и управляемых устройств macOS. Эти сведения помогут вам управлять обновлениями программного обеспечения на устройствах, принадлежащих организации.

Эта статья относится к:

• Устройства macOS, зарегистрированные в Intune

Совет

• Если ваши устройства принадлежат лично, перейдите к руководству администратора обновлений программного обеспечения для личных устройств.
• Apple не рекомендуется использовать рабочие нагрузки обновлений программного обеспечения на основе MDM. Корпорация Майкрософт рекомендует использовать DDM для установки обновлений . Дополнительные сведения об этих изменениях см. в разделе Совет по поддержке перехода на декларативное управление устройствами для обновлений программного обеспечения Apple.

Подготовка к работе

Чтобы ускорить установку обновлений и избежать задержек, убедитесь, что устройства:

• Включено; не завершить работу, но может быть состоянием спящего режима
• Подключено
• Подключение к Интернету

Управление обновлениями с помощью политик

✅ Создавайте политики, которые обновляют устройства.

По умолчанию пользователи получают уведомления и (или) видят последние обновления, доступные на своих устройствах (параметры > общего > программного обеспечения Обновления). Пользователи могут загружать и устанавливать обновления в любое время.

Они также могут изменить поведение обновления с помощью функции автоматического Обновления на устройстве (программное обеспечение параметров > Обновления).

Когда пользователи устанавливают собственные обновления (вместо администраторов, управляющих обновлениями), это может нарушить производительность пользователей и бизнес-задачи. Например, вы можете:

• Пользователи могут применять обновления, которые не утверждены вашей организацией. В этой ситуации могут возникнуть проблемы с совместимостью приложений или изменения операционной системы или пользовательского интерфейса, которые нарушают работу устройства.

• Пользователи могут избежать применения обновлений, необходимых для обеспечения безопасности или совместимости приложений. Эта задержка может оставить устройства под угрозой и (или) помешать им работать.

• Пользователи могут полностью отключить проверку наличия новых обновлений.

Из-за этих потенциальных проблем корпорация Майкрософт рекомендует оценить сценарии использования и развернуть политики для управления процессом обновления, чтобы свести к минимуму риски и нарушения работы вашего бизнеса.

Администратор шаги для устройств, принадлежащих организации

Чтобы обновить устройства macOS, принадлежащие вашей организации, корпорация Майкрософт рекомендует использовать следующие функции. Эти функции также можно использовать в качестве отправной точки для собственной стратегии обновления.

✅ Использование обновлений программного обеспечения, управляемых DDM, в macOS 14 и более поздней версии

На устройствах macOS 14 и более новых версий используйте декларативное управление устройствами Apple (DDM) для установки определенного обновления к принудительному крайнему сроку.

DDM — это современный способ управления параметрами. Независимый характер DDM обеспечивает улучшенный пользовательский интерфейс, так как устройство обрабатывает весь жизненный цикл обновления программного обеспечения. Он запрашивает у пользователей, что доступно обновление, а также загружает обновление, подготавливает устройство к установке, & устанавливает обновление.

Не используйте параметры политики обновления программного обеспечения на основе MDM на этих устройствах, так как Apple не рекомендует использовать политики MDM.

Параметры DDM можно настроить в каталоге параметров Intune. Дополнительные сведения см. в разделе Управляемые обновления программного обеспечения с каталогом параметров.

✅ Использование MDM в macOS 13 и более ранних версий

В macOS версии 13 и более ранних можно использовать встроенные параметры MDM Apple для Intune. Для этих устройств создаются две политики, которые совместно управляют процессом обновления. Первая политика управляет установкой обновлений, а вторая — способом установки обновлений.

Шаг 1. Использование политики обновлений программного обеспечения для управления установкой обновлений

В политике обновления программного обеспечения можно управлять установкой критических обновлений и обновлений встроенного ПО. Вы также можете управлять количеством раз, сколько раз пользователь может отложить обновление до его принудительной установки. В зависимости от вводимых параметров пользователи не получают запросы, и им не нужно использовать устройство при установке обновлений.

Для большинства организаций корпорация Майкрософт рекомендует настроить параметры, доступные в политике обновления программного обеспечения.

1. В центре администрирования Intune перейдите в раздел Устройства > Apple updates macOS update policies (Политики обновлений > macOS apple).

2. Настройте указанные ниже параметры.

   • Обновление параметров поведения политики

     • Критические обновления: установите позже
     • Обновления встроенного ПО: установка позже
     • Обновления файлов конфигурации: установка позже
     • Все остальные обновления (ОС, встроенные приложения): установка позже
       • Максимальное число отложений пользователей: 5
       • Приоритет: высокий

     Примечание.

     • В последних сборках macOS почти все обновления отображаются как файлы данных конфигурации или Все остальные обновления. Параметры Все остальные обновления в основном являются устаревшими обновлениями для более старых сборок macOS.
     • Время, указанное в этих параметрах, используется службой Intune. Время не является локальным временем устройства. Учитывайте разницу во времени при настройке периода обслуживания, особенно для глобальной среды.

   • Обновление параметров расписания политики

     • Тип расписания: обновление при следующем проверка

     Вы можете изменить значения на предпочитаемое запланированное время. Некоторые из значений могут влиять только на незначительные обновления, но не на основные обновления.

Конкретные шаги и дополнительные сведения об этих параметрах & их значения см. в статье Управление политиками обновления программного обеспечения macOS в Intune.

Работа конечных пользователей

С помощью этих параметров эта политика блокирует эти параметры, чтобы пользователи не могли их изменить. Политика также:

1. Проверяет наличие обновлений при каждом входе устройства в службу Intune. Если доступны обновления, они скачиваются автоматически.

2. Устройство находит период времени, когда устройство не используется.

   • Если устройство не используется, политика пытается автоматически установить обновление.
   • Если устройство используется, конечные пользователи могут установить обновление или отложить установку до пяти раз. Не забудьте побудить пользователей устанавливать обновления, когда они доступны.

   На следующих изображениях отображаются запросы, которые пользователи могут видеть, когда доступны обновления:

   

   

3. Если конечные пользователи используют все отсрочки, обновление устанавливается принудительно. При принудительной установке перезапуск не запрашивает пользователя и может привести к потере данных.

Шаг 2. Использование политики каталога параметров для управления установкой обновлений

Каталог параметров Intune содержит параметры для управления обновлениями программного обеспечения. На этом шаге вы создадите политику, которая:

• Настраивает устройство для автоматической установки обновлений, когда они доступны, включая обновления приложений.
• Запрещает конечным пользователям отключает проверки обновлений.
• Настраивает устройство для проверка обновлений и регулярно запрашивает пользователей.

Эта политика каталога параметров работает с шагом 1. Использование политики обновления программного обеспечения для управления установкой обновлений (в этой статье). Он гарантирует, что устройства проверяют наличие обновлений и запрашивают у пользователей их установку. Конечные пользователи по-прежнему должны принять меры, чтобы завершить установку.

1. В центре администрирования Intune перейдите в раздел Устройства > Управление устройствами > Параметры конфигурации > каталог > Обновление программного обеспечения.

2. Настройте указанные ниже параметры.

   • Разрешить предварительную установку: False
   • Автоматическое скачивание: True
   • Автоматическая установка Обновления приложения: True
   • Установка критического обновления: True
   • Ограничить обновление программного обеспечения Требуется Администратор для установки: false
   • Установка данных конфигурации: True
   • Автоматическая установка Обновления MacOS: True
   • Автоматическая проверка включена: True

Дополнительные сведения о каталоге параметров, включая создание политики каталога параметров, см. в статье Настройка параметров с помощью каталога параметров.

Работа конечных пользователей

Эта политика блокирует эти параметры, чтобы пользователи не могли их изменить. На устройстве параметры обновления программного обеспечения неактивны:

✅ Рассмотрите возможность использования средства nudge community

Это необязательное средство, помогая управлять взаимодействием с конечными пользователями.

Популярным средством в сообществе администраторов Microsoft macOS является Nudge. Nudge — это средство сообщества открытый код, которое поощряет пользователей устанавливать обновления macOS. Она предоставляет широкие возможности настройки для администраторов.

Когда Nudge настроен и развернут, конечные пользователи увидят следующий пример сообщения, когда их устройство готово к обновлению. Конечные пользователи также могут обновить устройство или отложить обновление:

В репозитории сценариев оболочки Майкрософт также есть пример скрипта и Intune политики конфигурации для Nudge. Этот скрипт содержит все необходимое для начала работы с Nudge. Обязательно обновите файл своими .mobileconfig значениями.

✅ Использование встроенных отчетов для состояния обновления

После развертывания политик обновления в Центре администрирования Intune можно использовать функцию создания отчетов для проверка состояния обновлений.

Для каждого устройства можно просмотреть текущее состояние обновлений (политики обновления устройств > macOS > для macOS):

Статьи по теме

• Руководство по планированию обновлений программного обеспечения для BYOD и личных устройств в Microsoft Intune
• Руководство по планированию обновлений программного обеспечения для управляемых устройств Android Enterprise в Microsoft Intune
• Руководство по планированию обновлений программного обеспечения и сценарии для защищенных устройств iOS/iPadOS в Microsoft Intune