Руководство по планированию обновлений программного обеспечения для управляемых устройств macOS в Microsoft Intune

Обеспечение актуальности устройств с помощью обновлений имеет решающее значение. Администраторы должны сделать все возможное, чтобы снизить риск событий безопасности и снизить этот риск с минимальным нарушением работы бизнес-& пользователей.

Intune имеет встроенные политики, которые могут управлять обновлениями программного обеспечения. Для устройств macOS можно использовать Intune для управления обновлениями устройств, настройки времени обновления устройств и просмотра состояния обновления устройства.

Используйте эту статью в качестве руководства администратора для зарегистрированных и управляемых устройств macOS. Эти сведения помогут управлять обновлениями программного обеспечения на устройствах, принадлежащих организации.

Эта статья относится к:

• Устройства macOS, зарегистрированные в Intune

Совет

Если ваши устройства принадлежат лично, перейдите к руководству администратора обновлений программного обеспечения для личных устройств.

Перед началом работы

Чтобы ускорить установку обновлений и избежать задержек, убедитесь, что устройства:

• Включено; не завершить работу, но может быть состоянием спящего режима
• Подключено
• Подключение к Интернету

Управление обновлениями с помощью политик

✅ Создавайте политики, которые обновляют устройства. Не возлагайте эту ответственность на конечных пользователей.

По умолчанию пользователи получают уведомления и (или) видят последние обновления, доступные на своих устройствах (параметры > общего > программного обеспечения Обновления). Пользователи могут загружать и устанавливать обновления в любое время.

Они также могут изменить поведение обновления с помощью функции автоматического Обновления на устройстве (программное обеспечение параметров > Обновления).

Когда пользователи устанавливают собственные обновления (вместо администраторов, управляющих обновлениями), это может нарушить производительность пользователей и бизнес-задачи. Например:

• Пользователи могут применять обновления, которые не утверждены вашей организацией. В этой ситуации могут возникнуть проблемы с совместимостью приложений или изменения операционной системы или пользовательского интерфейса, которые нарушают работу устройства.

• Пользователи могут избежать применения обновлений, необходимых для обеспечения безопасности или совместимости приложений. Эта задержка может оставить устройства под угрозой и (или) помешать им работать.

• Пользователи могут полностью отключить проверку наличия новых обновлений.

Из-за этих потенциальных проблем корпорация Майкрософт рекомендует оценить сценарии использования и развернуть политики для управления процессом обновления, чтобы свести к минимуму риски и нарушения работы вашего бизнеса.

Администратор шаги для устройств, принадлежащих организации

Чтобы обновить устройства macOS, принадлежащие вашей организации, корпорация Майкрософт рекомендует использовать следующие функции. Эти функции также можно использовать в качестве отправной точки для собственной стратегии обновления.

• Использование параметров DDM — macOS 14.0 и более поздних версий: на устройствах macOS 14.0 и более поздних версий используйте управляемые обновления программного обеспечения для настройки декларативного управления устройствами Apple (DDM).

  Параметры MDM можно использовать на устройствах macOS 14 и более поздних версий, но это не рекомендуется. Вместо этого используйте параметры DDM.

• Использование параметров MDM — macOS 13 и более ранних версий. На устройствах macOS 13 и более ранних версий используйте политику обновления программного обеспечения для управления установкой обновлений и политику каталога параметров для управления установкой обновлений.

• Настройка и развертывание Nudge. Это средство сообщества быстро запрашивает у пользователей, когда доступно обновление. Если первые две политики не мотивируют пользователей устанавливать обновления, nudge напоминает им.

• Используйте встроенные отчеты о состоянии обновления. После развертывания политик обновления можно использовать функцию отчетов, чтобы проверка состояние обновлений.

macOS 14 и более поздней версии

✅ Использование обновлений управляемого программного обеспечения для настройки декларативного управления устройствами Apple (DDM)

DDM — это новый способ управления параметрами. С помощью DDM можно установить определенное обновление к принудительному крайнему сроку. Независимый характер DDM обеспечивает улучшенный пользовательский интерфейс, так как устройство обрабатывает весь жизненный цикл обновления программного обеспечения. Он предлагает пользователям, что доступно обновление, а также скачивает, подготавливает устройство к установке & устанавливает обновление.

Декларативное управление устройствами (DDM) от Apple можно использовать для управления обновлениями программного обеспечения в следующих версиях:

• macOS 14 и более поздней версии

Эти параметры можно настроить в каталоге параметров Intune. Дополнительные сведения см. в разделе Управляемые обновления программного обеспечения с каталогом параметров.

macOS 13 и более ранних версий

В macOS версии 13 и более ранних можно использовать встроенные в Intune параметры MDM От Apple. Для этих устройств используйте следующие политики:

1. Создание политики обновлений программного обеспечения. Эта политика принудительно загружает и устанавливает обновления в удобное время. В зависимости от вводимых параметров пользователи не получают запросы, и им не нужно использовать устройство при установке обновлений.

2. Создание политики каталога параметров. Эта политика запрещает конечным пользователям отключить проверки обновлений. Он также настраивает устройство для проверка обновлений и регулярно запрашивает пользователей.

Обе политики работают вместе для управления процессом обновления. В этом разделе основное внимание уделяется этим шагам.

Примечание.

Если ваши устройства работают под управлением macOS 14+, используйте параметры DDM, описанные в macOS 14 и более поздних версий (в этой статье). Не рекомендуется использовать политику обновления программного обеспечения и политику каталога параметров в macOS 14 и более поздней версии.

✅ Шаг 1. Использование политики обновлений программного обеспечения для управления установкой обновлений

В политике обновления программного обеспечения можно управлять установкой критических обновлений и обновлений встроенного ПО. Вы также можете управлять количеством раз, сколько раз пользователь может отложить обновление до его принудительной установки.

Для большинства организаций корпорация Майкрософт рекомендует настроить параметры, доступные в политике обновления программного обеспечения.

В Центре администрирования Intune перейдите в раздел Устройства > Apple обновляет > политики обновления macOS. Настройте указанные ниже параметры.

• Обновление параметров поведения политики

  • Критические обновления: установите позже
  • Обновления встроенного ПО: установка позже
  • Обновления файлов конфигурации: установка позже
  • Все остальные обновления (ОС, встроенные приложения): установка позже
    • Максимальное число отложений пользователей: 5
    • Приоритет: высокий

  Примечание.

  • В последних сборках macOS почти все обновления отображаются как файлы данных конфигурации или Все остальные обновления. Параметры Все остальные обновления в основном являются устаревшими обновлениями для более старых сборок macOS.
  • Время, указанное в этих параметрах, используется службой Intune. Время не является локальным временем устройства. Учитывайте разницу во времени при настройке периода обслуживания, особенно для глобальной среды.

• Обновление параметров расписания политики

  • Тип расписания: обновление при следующем проверка

Вы можете изменить значения на предпочитаемое запланированное время. Некоторые из значений могут влиять только на незначительные обновления, но не на основные обновления.

Конкретные действия и дополнительные сведения об этих параметрах & их значения см. в статье Управление политиками обновления программного обеспечения macOS в Intune.

Работа конечных пользователей

С помощью этих параметров эта политика блокирует эти параметры, чтобы пользователи не могли их изменить. Политика также:

1. Проверяет наличие обновлений при каждом входе устройства в службу Intune. Если доступны обновления, они скачиваются автоматически.

2. Устройство находит период времени, когда устройство не используется.

   • Если устройство не используется, политика пытается автоматически установить обновление.
   • Если устройство используется, конечные пользователи могут установить обновление или отложить установку до пяти раз. Не забудьте побудить пользователей устанавливать обновления, когда они доступны.

   На следующих изображениях отображаются запросы, которые пользователи могут видеть, когда доступны обновления:

   

   

3. Если конечные пользователи используют все отсрочки, обновление устанавливается принудительно. При принудительной установке перезапуск не запрашивает пользователя и может привести к потере данных.

✅ Шаг 2. Использование политики каталога параметров для управления установкой обновлений

Каталог параметров Intune также содержит параметры для управления обновлениями программного обеспечения. Вы можете настроить устройство для автоматической установки обновлений, если они доступны, включая обновления приложений.

Эта политика каталога параметров работает с шагом 1. Использование политики обновления программного обеспечения для управления установкой обновлений (в этой статье). Он гарантирует, что устройства проверяют наличие обновлений и запрашивают у пользователей их установку. Конечные пользователи по-прежнему должны принять меры, чтобы завершить установку.

В Центре администрирования Intune перейдите в раздел Параметры конфигурации > устройств>, каталог > Обновления программного обеспечения. Настройте указанные ниже параметры.

• Разрешить предварительную установку: False
• Автоматическое скачивание: True
• Автоматическая установка Обновления приложения: True
• Установка критического обновления: True
• Ограничить обновление программного обеспечения Требуется Администратор для установки: false
• Установка данных конфигурации: True
• Автоматическая установка Обновления MacOS: True
• Автоматическая проверка включена: True

Дополнительные сведения о каталоге параметров, включая создание политики каталога параметров, см. в статье Настройка параметров с помощью каталога параметров.

Работа конечных пользователей

Эта политика блокирует эти параметры, чтобы пользователи не могли их изменить. На устройстве параметры обновления программного обеспечения неактивны:

Рассмотрите возможность использования средства nudge community

Это необязательное средство, помогая управлять взаимодействием с конечными пользователями.

Популярным средством в сообществе администраторов Microsoft macOS является Nudge. Nudge — это средство открытый код, которое поощряет пользователей устанавливать обновления macOS. Она предоставляет широкие возможности настройки для администраторов.

Когда Nudge настроен и развернут, конечные пользователи увидят следующий пример сообщения, когда их устройство готово к обновлению. Конечные пользователи также могут обновить устройство или отложить обновление:

В репозитории сценариев оболочки Майкрософт также есть пример скрипта и политики конфигурации Intune для Nudge. Этот скрипт содержит все необходимое для начала работы с Nudge. Обязательно обновите файл своими .mobileconfig значениями.

Использование встроенных отчетов для состояния обновления

После развертывания политик обновлений в Центре администрирования Intune можно использовать функцию отчетов для проверка состояния обновлений.

Для каждого устройства можно просмотреть текущее состояние обновлений (политики обновления устройств > macOS > для macOS):

Дальнейшие действия

• Руководство по планированию обновлений программного обеспечения для BYOD и личных устройств в Microsoft Intune
• Руководство по планированию обновлений программного обеспечения для управляемых устройств Android Enterprise в Microsoft Intune
• Руководство по планированию обновлений программного обеспечения и сценарии для защищенных устройств iOS/iPadOS в Microsoft Intune