Microsoft Intune 中托管 macOS 设备的软件更新规划指南

使用更新使设备保持最新状态至关重要。 管理员必须尽其所能来降低安全事件的风险,并在尽量减少对业务 & 用户的中断的情况下降低此风险。

Intune 具有可管理软件更新的内置策略。 对于 macOS 设备,可以使用 Intune 管理设备更新、配置设备更新时间以及查看设备更新状态。

使用本文作为已注册和托管 macOS 设备的管理员指南。 此信息可帮助管理组织拥有的设备上的软件更新。

本文适用于:

  • 在 Intune 中注册的 macOS 设备

提示

如果你的设备是个人拥有的,请转到 个人设备的软件更新管理指南

开始之前

若要更快地安装更新并避免延迟,请确保设备:

  • 已打开;未关闭,但可以是睡眠状态
  • 已接通电源
  • 已连接到 Internet

使用策略管理更新

✅ 请创建用于更新设备的策略。 不要把这一责任推到最终用户身上。

默认情况下,用户会收到通知和/或查看其设备上可用的最新更新, (设置 > 常规 > 软件更新) 。 用户可以选择随时下载和安装更新。

他们还可以使用设备上的自动更新功能更改更新行为, (设置 > 软件更新) :

macOS Apple 设备上的操作系统默认更新设置和控制。

当用户安装自己的更新 (而不是管理员管理更新) 时,可能会中断用户的工作效率和业务任务。 例如:

  • 用户可以应用组织未批准的更新。 这种情况可能会导致应用程序兼容性问题,或者操作系统或用户体验发生更改,从而中断设备使用。

  • 用户可以避免应用出于安全或应用兼容性原因而需要的更新。 这种延迟可能会使设备面临风险和/或阻止设备正常运行。

  • 用户可以完全禁用检查新更新。

由于存在这些潜在问题,Microsoft建议评估用例方案并部署策略来管理更新体验,以最大程度地降低业务风险和中断。

组织拥有设备的管理员步骤

若要更新组织拥有的 macOS 设备,Microsoft建议使用以下功能。 还可以将这些功能用作自己的更新策略的起点。

  • 使用 DDM 设置 - macOS 14.0+:在 macOS 14.0 及更高版本设备上,使用托管软件更新配置 Apple 的声明性设备管理 (DDM) 。

    你可以在 macOS 14+ 设备上使用 MDM 设置,但不建议这样做。 请改用 DDM 设置。

  • 使用 MDM 设置 - macOS 13 及更早版本:在 macOS 13 及更早设备上,使用软件更新策略管理安装更新的时间,并使用设置目录策略来管理更新的安装方式。

  • 配置和部署 Nudge:此社区工具会在更新可用时快速提示用户。 如果前两个策略没有激励最终用户安装更新,则 Nudge 会提醒他们。

  • 对更新状态使用内置报告:部署更新策略后,可以使用报告功能检查更新的状态。

macOS 14 及更新版本

✅ 使用托管软件更新配置 Apple 的声明性设备管理 (DDM)

DDM 是管理设置的新方法。 使用 DDM,可以在强制截止时间之前安装特定更新。 DDM 的独立性质提供了改进的用户体验,因为设备处理整个软件更新生命周期。 它提示用户更新可用,并下载、准备设备进行安装、& 安装更新。

可以使用 Apple 的声明性设备管理 (DDM) 来管理以下版本的软件更新:

  • macOS 14 及更新版本

可以在 Intune 设置目录中配置这些设置。 有关详细信息,请转到 包含设置目录的托管软件更新

macOS 13 及更早版本

在 macOS 版本 13 及更早版本上,可以使用 Intune 内置的 Apple MDM 设置。 对于这些设备,请使用以下策略:

  1. 创建软件更新策略:此策略强制在方便的时间下载和安装更新。 根据输入的设置,安装更新时,用户不会收到提示,也不需要使用设备。

  2. 创建设置目录策略:此策略阻止最终用户禁用更新检查。 它还将设备配置为定期检查更新和提示用户。

这两个策略协同工作来管理更新体验。 本部分重点介绍这些步骤。

注意

如果设备运行的是 macOS 14+,请使用本文) 中 macOS 14 及更高版本的 (中所述的 DDM 设置。 不建议在 macOS 14 及更新版本上使用软件更新策略和设置目录策略。

✅ 步骤 1 - 使用软件更新策略管理安装更新的时间

在软件更新策略中,可以管理安装关键更新和固件更新的时间。 还可以管理用户在强制安装更新之前可以延迟更新的次数。

对于大多数组织,Microsoft建议配置 软件更新策略中可用的设置。

Intune 管理中心,转到 “设备” > “Apple 更新 > macOS 更新策略”。 配置以下设置:

  • 更新策略行为设置

    • 关键更新:稍后安装
    • 固件更新:稍后安装
    • 配置文件更新:稍后安装
    • 所有其他更新 (OS、内置应用) :稍后安装
      • 最大用户延迟数:5
      • 优先级:高

    注意

    • 在最近的 macOS 版本中,几乎所有更新都显示为 配置数据文件所有其他更新所有其他更新设置大多是旧版 macOS 的旧更新。
    • Intune 服务使用这些设置中指定的时间。 时间不是本地设备时间。 在为全局环境配置维护时段时,请注意时间差异。
  • 更新策略计划设置

    • 计划类型:下次签入时更新

可以将值更改为首选的计划时间。 某些值可能仅影响次要更新,而不会影响主要更新。

有关具体步骤以及这些设置 & 其值的详细信息,请转到 在 Intune 中管理 macOS 软件更新策略

最终用户体验

借助这些设置,此策略会锁定这些设置,以便用户无法更改这些设置。 该策略还:

  1. 每次设备使用 Intune 服务签入时,都会检查更新。 如果有可用的更新,则会自动下载这些更新。

  2. 设备查找未使用设备的时间段。

    • 如果未使用设备,则策略会尝试自动安装更新。
    • 如果使用设备,则最终用户可以选择安装更新,或最多将安装延迟五次。 请务必鼓励最终用户在更新可用时安装更新。

    下图显示了最终用户在更新可用时可以看到的提示:

    macOS Apple 设备上所需更新的示例通知提示。

    在 macOS Apple 设备上提供更新的示例通知。

  3. 如果最终用户使用所有延迟,则强制安装更新。 对于强制安装,重启不会提示最终用户,并可能导致数据丢失。

✅ 步骤 2 - 使用设置目录策略管理更新的安装方式

Intune 设置目录还包括帮助管理软件更新的设置。 可以将设备配置为在更新可用时自动安装更新,包括应用更新。

此设置目录策略适用于 步骤 1 - 使用软件更新策略管理何时安装更新 (本文) 。 它确保设备正在检查更新并提示用户安装更新。 最终用户仍需要执行操作才能完成安装。

Intune 管理中心,转到 “设备 > 管理设备 > ”“配置 > 设置”目录 > “”软件更新”。 配置以下设置:

  • 允许预发布安装:False
  • 自动下载:True
  • 自动安装应用更新:True
  • 关键更新安装:True
  • 限制软件更新需要管理员才能安装:False
  • 配置数据安装:True
  • 自动安装 MacOS 更新:True
  • 启用自动检查:True

有关设置目录的详细信息(包括如何创建设置目录策略),请转到 使用设置目录配置设置

最终用户体验

此策略锁定这些设置,以便用户无法更改这些设置。 在设备上,软件更新设置灰显:

Intune 设置目录更新策略应用于 macOS Apple 设备后,软件更新设置将灰显。

考虑使用微移社区工具

此工具是可选的,可以帮助你 管理最终用户体验

Microsoft macOS 管理员社区中常用的工具是 Nudge。 Nudge 是一种开源工具 ,鼓励最终用户安装 macOS 更新。 它为管理员提供了丰富的配置体验。

配置和部署 Nudge 后,最终用户在设备准备好更新时会看到以下示例消息。 最终用户还可以选择更新设备或延迟更新:

macOS Apple 设备提供软件更新时的示例 Nudge 社区工具消息。

Microsoft shell 脚本存储库中还有一个示例脚本和 Nudge 的 Intune 配置策略 。 此脚本包括开始使用 Nudge 所需的一切内容。 请确保使用值更新 .mobileconfig 文件。

对更新状态使用内置报告

部署更新策略后,可以在 Intune 管理中心使用报告功能来检查更新的状态。

对于每台设备,可以看到其更新的当前状态 (设备 > macOS macOS > 更新策略的 macOS) :

使用内置报告在 Microsoft Intune 管理中心中检查 macOS Apple 设备的更新状态。