Microsoft Intune 中受监督的 iOS/iPadOS 设备的软件更新规划指南和方案

使用软件更新使移动设备保持最新状态至关重要。 你需要降低安全事件的风险,并将对组织和用户的中断降到最低。 在 iOS/iPadOS 受监督的设备上,Intune 具有可管理软件更新的内置策略。

本文包含管理员清单,可帮助你在 iOS/iPadOS 受监督设备上开始使用软件更新。 它还列出了可在环境中配置的常见行业方案和示例策略。

有关创建软件更新策略的具体步骤,请转到 在 Intune 中管理 iOS/iPadOS 软件更新策略

本文适用于:

  • 在 Intune 中注册的 iOS/iPadOS 受监督设备

提示

如果你的设备是个人拥有的,请转到 个人设备的软件更新规划指南

组织拥有设备的管理员清单

本部分列出了在设备上安装软件更新Microsoft建议的指南和策略。

✅ 使用策略管理更新

建议创建更新设备的策略。 不建议将此责任赋予最终用户。

默认情况下,用户会收到通知和/或查看其设备上可用的最新更新, (设置 > 常规 > 软件更新) 。 用户可以选择随时下载和安装更新。

当用户安装自己的更新 (而不是管理员管理更新) 时,可能会中断用户的工作效率和业务任务。 例如:

  • 用户可以在需要时启动更新,在安装更新时可能无法正常工作。

  • 用户可以应用组织未批准的更新。 此决策可能会导致应用程序兼容性问题、操作系统更改或用户体验更改,从而中断设备使用。

  • 用户可以避免应用影响安全性或应用兼容性的所需更新。 这种情况可能会使设备面临风险和/或阻止设备正常运行。

✅ 使自动更新保持启用状态

从 iOS/iPadOS 12 开始,当更新可用时,Apple 设备会自动安装更新。 默认情况下,此功能在新设备上启用。 使此功能保持启用状态

若要使用此自动修补并更快地安装更新,请确保设备:

  • 已打开
  • 已接通电源
  • 已连接到 Internet

当设备打开电源、接通电源并连接到 Internet 时,更新会自动下载 & 安装,然后设备重新启动。 如果设备不符合这些条件,则更新不会自动下载并安装。

若要使设备保持为最新版本,并且只需极少的工作量,请启用自动更新功能:

显示 iOS/iPadOS Apple 设备上的自动更新设置的屏幕截图。

自动更新与其他更新策略协同工作,这可以为管理员和最终用户提供积极的体验。

使用 Intune 策略,还可以强制用户更新其设备:

  • 使用 注册限制 可阻止用户注册不是最新的设备。
  • 创建 符合性策略 以确定未更新的设备。
  • 创建 条件访问 (CA) 策略 来阻止未更新的设备。 CA 策略还可以提示用户安装当前更新,以便他们重新获得访问权限。

须知内容

  • 如果自动更新功能已禁用,则由于 OS 限制,无法使用策略对其进行更改。 必须在设备上手动更改设置,或者必须重置设备 & 重新预配。

  • 如果设备配置了 PIN,则必须输入 PIN 才能启动软件更新。 输入 PIN 通常不是信息工作者 1:1 设备的问题。

    在规划展台、工厂车间或无用户方案中的更新时,可能需要调整流程以适应 PIN 行为。

✅ 使用内置设置

若要管理更新,Apple 具有以下选项:

  • 声明性设备管理 (DDM)

    在 iOS/iPadOS 17.0 及更高版本上,可以使用 Apple 的声明性设备管理 (DDM) 来管理软件更新。 在设备处理整个软件更新生命周期时,DDM 是一种管理用户体验改进的设备的新方法。 它提示用户更新可用,并下载、准备设备进行安装、& 安装更新。

    DDM 是管理 iOS/iPadOS 17+ 设备上的更新的建议方法。 可以在这些设备上使用 MDM 设置,但不建议这样做。 请改用 DDM 设置。

    这些设置可在 Microsoft Intune 管理中心进行配置。 有关详细信息,请转到 包含设置目录的托管软件更新

  • 软件更新策略

    这些 MDM 策略提供特定版本的受控推出。 还可以强制升级旧版本上的设备。 管理员可以输入 iOS/iPadOS 版本来安装和计划安装。

    这些设置可在 Microsoft Intune 管理中心进行配置。 有关详细信息,请转到 在 Intune 中管理 iOS/iPadOS 软件更新策略

  • 软件更新延迟策略

    这些 MDM 策略可隐藏更新长达 90 天。 它们阻止用户手动将其设备更新到尚未批准的版本。 此功能无法控制何时应用更新。

    这些设置可在 Microsoft Intune 管理中心进行配置。 有关详细信息,请转到 在 Intune 中管理 iOS/iPadOS 软件更新策略

借助这些功能,管理员可以确保其 Apple 设备运行特定的软件版本,并可以控制其设备中的更新发布。

✅ 创建支持多个时区的策略

所有策略时间都使用协调世界时 (UTC) 。 不使用设备的本地时区。

若要最大程度地减少必须创建和管理的策略数,请创建支持多个时区的配置。 不要为每个时区创建单独的策略。

例如,在美国,有四个主要时区:太平洋 (UTC-8) 、Mountain (UTC-7) 、Central (UTC-6) 和 Eastern (UTC-5) 。 可以为每个时区创建单独的策略。 或者,创建一个或两个实现相同结果的策略。

✅ 使用版本设置时要小心

创建软件更新策略时,请注意所有策略中版本详细信息的更广泛影响。

例如:

  • 配置将更新延迟 90 天的策略。 如果注册限制策略要求设备具有最新的 iOS/iPadOS 版本,则设备重置后,可能会阻止设备注册。

  • 创建一个符合性策略,该策略需要最新的最低 iOS/iPadOS 版本。 使用此策略时,较旧版本的设备将变得不符合要求。 如果使用条件访问强制实施合规性,则会阻止用户,并且无法工作。

常见行业方案

Apple 设备用于各种行业,包括企业、零售、制造和教育。 大多数设备用例可分为以下类型:

  • 1:1:设备仅由一个人使用。
  • 共享:设备由多人使用。
  • 专用:设备用于特定业务目的,例如展台或数字标牌。

下表包含本文使用的常见行业术语:

行业 术语 用例
企业版 知识工作者 1:1
零售版 Kiosk Dedicated
制造 工厂机器 任务关键型
教育版 分配的设备 共享的内容

本部分介绍一些常见的行业方案,并提供 Intune 策略的示例。

知识工作者

此群体是具有在企业和组织中工作的已获得知识的人员。 他们的知识和思维能力是他们的工作。 一些示例包括工程师、内容开发人员、程序员、会计师、通信、顾问等。

知识工作者通常有自己的设备,仅供他们使用。 它不会与其他用户或其他知识工作者共享。

在知识工作者设备等方案中,主要目标是使更新过程尽可能简单快捷。 其应用大多基于应用商店,应用应与最新的 OS 版本兼容。 在这些设备上,用户通常可以容忍更新提示和/或选择方便的重新启动时间。

这些设备的更新策略和优先级通常包括:

  • 基本更新配置
  • 最新版本
  • 自动更新

方案示例

你正在为 Contoso 的知识工作者配置更新配置文件。 这些用户主要使用 Microsoft 365 应用和多个批量购买计划 (VPP) 应用。

作为管理员,你熟悉:

  • 这些设备运行最新发布的 iOS/iPadOS 版本
  • 在设备使用 Intune 签入后立即下载和安装更新
  • 允许最终用户决定何时安装更新并重启设备以应用更新

若要实现这些目标,可以使用具有以下默认设置的策略:

屏幕截图显示了在 Microsoft Intune 管理中心中为 iOS/iPadOS 设备安装选择的版本和计划类型软件更新设置。

这些设备通常是店内零售设备,可以是台式计算机或移动设备。 员工使用它们来为客户服务,并被客户直接用于自助服务任务。 它们还可以是所有客户在本地时看到的视觉显示。

在类似于展台的方案中,更新设备的主要目标是:

  • 确保设备是最新的已批准的 OS 更新。
  • 管理员管理更新和任何版本控制。
  • 安装和重新启动将在营业时间后进行。

这些设备的更新策略和优先级通常包括:

  • 基本更新配置
  • 可预测版本控制
  • 可预测的发布周期

方案示例

你正在 Contoso 为展台设备配置 iOS/iPadOS 更新配置文件。 这些设备在零售店运行。 员工使用设备每周 7 天为客户提供服务,包括延长零售时间。 这些设备运行由 Contoso 内部开发的单个业务线 (LOB) 展台应用。 此内部应用程序仅按季度进行测试和验证。

你想要部署最近测试此 LOB 应用时使用的特定 iOS/iPadOS 版本,即 iOS 16.3。 如果此展台应用程序无法正常工作,则零售店无法为客户提供服务。 设备连接到 Wi-Fi,并在零售店对客户关闭时在夜间充电。

在商店打开之前,你选择了一个 10 小时的夜间服务时段,可以在其中下载和应用更新。

若要完成此任务,请使用以下设置创建策略:

显示周一晚上在 Intune 管理中心内为 iOS/iPadOS Microsoft 设备安装和安装更新的特定版本的屏幕截图。

工厂机器

这些设备通常是单一用途设备。 它们用于任务关键领域,例如生产线或专用设备控制 & 监视。 例如,它可以是运行用于焊接组件的设备的控制或监视软件的 Android 平板电脑。

在工厂计算机方案中,主要目标是确保设备的行为方式一致。 可能需要延迟更新,以便完成所有应用程序兼容性测试。 安装和重新启动在特定时间进行,通常采用分阶段方法进行部署。

这些设备的更新策略和优先级通常包括:

  • 高级策略配置
  • 严格的版本控制
  • 发布周期缓慢

方案示例

你正在为 Contoso 工业工厂的制造车间的设备配置更新配置文件。 该设施每年365天全天候运行,但安全检查需要几个小时的强制停工。 这些检查每周的周日清晨进行。

这些设备运行两个供应商应用。 若要保持受支持的配置,这两个应用很少更新,并且必须运行特定版本的应用和 OS。

你希望将特定较旧的 iOS/iPadOS 版本 (15) 部署到这些设备,因为应用供应商尚不支持更高版本。 由于设备几乎始终处于使用状态,所以在周日每周只有一次较小的维护时段。

你想要在周日的两小时停机时段内安排更新。

若要完成此任务,请使用以下设置创建策略:

显示周日在 Intune 管理中心内为 iOS/iPadOS 设备安装和安装更新的特定版本的 Microsoft屏幕截图。

共享设备

共享设备由许多通常登录和注销设备的用户使用,包括教育环境。 这些设备可以是终端/台式计算机、平板电脑、笔记本电脑和智能手机。 它们通常用于办公室、教室和零售商店。

有关管理共享 iOS/iPadOS 设备的详细信息,请转到 适用于 iOS/iPadOS 的共享设备解决方案

对于 iOS/iPadOS 共享设备,必须注销所有用户才能应用更新。用户可以注销,也可以重新启动设备,从而自动注销用户。

这些设备的更新策略和优先级通常包括:

  • 高级策略配置
  • 可预测版本控制
  • 受控更新行为

方案示例

早上,用户 A 在外出前登录到设备以检查电子邮件。 一小时后,UserB 使用相同的设备来运行某些 LOB 应用。

需要为此共享设备配置更新。 这些共享设备由周一到周五上午 8 点到下午 5 点在办公室的普通知识工作者使用。 你希望设备位于支持共享设备上使用的所有应用的最新 iOS/iPadOS 版本上。

若要使策略尽可能简单,你希望更新在典型工作时间之外安装,外加一小时用于重新启动或其他操作。

若要完成此任务,此方案涉及两个策略:

  • 在第一个策略中,你希望所有用户在一定时间后注销或重新启动设备。 可以创建 Apple Business Manager 注册配置文件,将空闲时间超过 15 分钟 (900 秒的任何用户注销) :

    显示如何在没有用户关联的情况下注册以及如何在 Microsoft Intune 管理中心中为 iOS/iPadOS 设备设置非活动值的屏幕截图。

  • 第二个策略使用以下设置计划更新:

    屏幕截图显示了在 Microsoft Intune 管理中心中为 iOS/iPadOS 设备安装最新版本和外部计划时间软件更新设置。