通过

Microsoft Intune 中托管 Android Enterprise 设备的软件更新规划指南

  • 项目

经常发布修补程序、主要 & 次要更新和新操作系统版本。 组织必须保持设备更新才能获取最新的安全更新。

使用 Android Google 移动服务 (GMS) 的设备包括所有 Google 应用和 Google 服务。 这些应用和服务位于 OEM 自己的固件功能和应用之上。 这些设备接收不同类型的更新,并且会随机更新,具体取决于 Google、OEM 和服务运营商/电信公司的行为。

Intune 具有可管理软件更新的内置策略。

本文包括已注册和托管的 Android Enterprise 设备的管理员清单。 使用此信息来帮助管理组织拥有的设备上的软件更新。

本文适用于:

  • 在 Intune 中注册的 Android Enterprise 设备

提示

如果你的设备是个人拥有的,请转到 个人设备的软件更新规划指南

开始之前

若要避免设备接收更新时出现延迟,请确保设备:

  • 已打开
  • 已接通电源
  • 已连接到 Internet
  • 空闲且未主动使用

公司设备的管理员清单

企业或组织拥有的设备应由组织注册和管理。 对于 Android Enterprise,可以在以下设备类型上管理软件更新:

  • 专用设备
  • 完全托管的设备
  • 具有工作配置文件的完全托管设备

本部分列出了在托管 Android 设备上安装软件更新Microsoft建议的策略。

✅ 使用策略管理更新

请创建用于更新设备的策略。 不要把这一责任推到最终用户身上。

当用户安装自己的更新 (而不是管理员管理更新) 时,可能会中断用户的工作效率和业务任务。 例如:

  • 用户可以在需要时启动更新,在安装更新时可能无法正常工作。

  • 用户可以应用组织未批准的更新。 此决策可能会导致应用程序兼容性问题、操作系统更改或用户体验更改,从而中断设备使用。

  • 用户可以避免应用影响安全性或应用兼容性的所需更新。 这种情况可能会使设备面临风险和/或阻止设备正常运行。

✅ 配置系统更新设置

使用 Intune 设备配置文件中的 系统更新 设置管理 OS 更新 (设备>管理设备>配置>创建>设备限制>常规) 。

对于已注册的 Android Enterprise 设备,可以配置此设置并选择安装更新的时间。 例如,你能够:

  • 使用设备的默认行为,如果设备已连接到 Wi-Fi、正在充电且处于空闲状态,则会自动安装更新。

  • 无需用户交互即可自动安装更新。 挂起的更新会立即安装。

  • 将更新推迟 30 天,然后提示用户安装更新。 希望设备制造商和/或运营商能够防止重要的安全更新被推迟。

  • 创建维护时段以在特定时间范围内自动安装更新。

    显示系统更新设置的屏幕截图,其中显示了 Microsoft Intune 管理中心中 Android Enterprise 设备的维护时段。

有关此设置和可配置的值的更具体信息,请转到 Android Enterprise 设备设置列表,以允许或限制使用 Intune 在公司拥有的设备上使用功能

✅ 在关键时间使用冻结期

在 Intune 设备配置文件中配置 系统更新的冻结期 设置, (设备>管理设备>配置>创建>设备限制>常规) 。

在一年中的关键时期(如节假日和其他事件)期间,冻结期会阻止设备接收系统更新、安全修补程序和有关挂起更新的通知。 用户无法手动检查更新:

显示 Microsoft Intune 管理中心中 Android Enterprise 设备的冻结期开始日期和结束日期的屏幕截图。

有关此设置的详细信息,请转到 Android Enterprise 设备设置列表,以允许或限制使用 Intune 在公司拥有的设备上使用功能

✅ 使用 OEMConfig 进行固件更新

对于某些坚固的 Android 设备,可以使用 OEMConfig 配置特定于该 OEM 的固件更新和其他设置。 如果 OEM 提供 OEMConfig 应用,则可以在 Intune 中部署应用并使用配置文件配置其设置。

若要开始,请转到 在 Intune 中使用和管理带有 OEMConfig 的 Android Enterprise 设备。 本文还列出了 Intune 支持的 OEMConfig 应用

有关配置架构中可用的固件和其他设置,请联系制造商。

升级较旧的设备

自 2022 年 1 月 7 日起,支持的最低版本为:

  • 适用于移动设备管理的 Android 8.0 (MDM)
  • 适用于移动应用程序管理的 Android 9.0 (MAM)

运行当前在 Intune 中注册的较旧版本的 Android 设备不会收到 Android 公司门户应用或 Intune 应用的更新。 这些应用在 Google Play 商店中不可用。 如果在此更改之前下载了这些应用,则不会阻止设备注册。 应用于这些设备的策略将继续部署,但设备不处于支持状态。

如果当前组织中有运行较旧 Android 版本的设备,请升级或替换它们。 使用本文中的信息来帮助你定义更新策略。 使用较新的 OS 版本可提高用户和组织的效率和安全性。

有关版本的详细信息,请转到 Intune 中支持的操作系统和浏览器