通过

在 Intune 中管理 macOS 软件更新策略

  • 项目

可以使用 Microsoft Intune 管理注册为 受监督设备的 macOS 设备的软件更新。

此功能适用于:

  • macOS 12 及更高版本 (监督)

    注意

    在 macOS 12.5 版本之前,设备可能会在安装最新更新之前下载并安装其他更新。

提示

可以使用 Intune 设置目录 来管理声明性软件更新。 声明性设备管理 (DDM) 在设备处理整个软件更新生命周期时提供改进的用户体验。 有关详细信息,请转到 使用设置目录管理软件更新

使用 macOS 软件更新策略,可以:

  • 远程管理以下类型的更新可用于 macOS 时,下载、安装和通知应如何发生:

    • 关键更新
    • 固件更新
    • 配置文件更新
    • 所有其他更新 (OS、内置应用)

  • 指定一个计划,确定安装更新的时间。 计划可以很简单,就像在设备下次签入时安装更新一样简单,也可以创建可以安装更新或阻止安装更新的日间时间范围。

默认情况下,设备会通过 Intune 大约每 8 小时签入一次。 如果通过更新策略提供更新,则该设备会下载该更新。 然后,设备会在下一次在计划配置中签入时安装更新。

配置策略

  1. 登录到 Microsoft Intune 管理中心

    提示

    有关管理软件更新和设备更新体验的详细信息,请参阅 Apple 平台部署站点上的 管理 Apple 设备的软件更新 - Apple 支持

  2. 选择 “设备>”“更新 macOS>创建配置文件的策略”。

  3. 在“基本信息”选项卡上,为该策略指定名称并指定描述(可选),然后选择“下一步”。

  4. 在“更新策略设置”选项卡上,配置以下选项:

    “更新策略设置”页的屏幕截图。

    1. 对于 关键固件配置文件操作系统、内置应用) (所有其他更新 ,可以配置以下安装操作:

      • 下载并安装:下载或安装更新,具体取决于当前状态。

      • 仅下载:下载软件更新而不安装。

      • 立即安装:下载软件更新并触发重启倒计时通知。 建议对无用户设备执行此操作。

      • 仅通知:下载软件更新并通过“系统设置”通知用户。

      • 稍后安装:下载软件更新并稍后安装。 此操作不适用于主要 OS 升级。

        为 “ 以后 安装”配置“ (操作系统、内置应用) 的所有其他更新时,还可以使用以下设置:

        • 最大用户延迟数
          “所有其他更新” 更新类型配置为 “稍后安装”时,此设置允许指定用户在安装次要 OS 更新之前可以推迟的最大次数。 系统每天提示用户一次。 适用于运行 macOS 12 及更高版本的设备。

        • 优先级:当 “所有其他更新” 更新类型配置为 “稍后安装”时,请为下载 & 准备次要 OS 更新的计划优先级指定 “低 ”或“ ”值。 适用于运行 macOS 12.3 及更高版本的设备。

      • 未配置:未对软件更新执行任何操作。

      注意

      使用 Apple Silicon 的设备需要 MDM 颁发的启动令牌才能对自动化的非交互式更新和升级进行身份验证。

    2. 计划类型:配置该策略的计划:

      • 在下一次签入时更新:更新将在设备下一次通过 Intune 签入时进行安装。 这是最简单的选项,无需其他配置。

      • 在计划时间内更新:配置一个或多个时间窗口。 在这些窗口中,更新会在签入时安装。

      • 在计划时间之外更新:配置一个或多个时间窗口。 在这些窗口中,签入时不会安装更新。

    3. 每周计划:如果选择的计划类型不是“下次签入时更新”,请配置以下选项:

      更新策略计划设置的屏幕截图。

      • 时区:选择时区。

      • 时间容器:定义一个或多个限制更新安装时间的时间段。 以下选项的效果取决于所选的计划类型。 通过使用开始日期和结束日期,可以支持隔夜的时间段。 选项包括:

      • 开始日期:选择计划时段开始的日期。

      • 开始时间:选择计划时段开始的时间。 例如,选择“上午 5 点”,计划类型为“ 在计划时间内更新”。 在此方案中,5 AM 是可以开始安装更新的时间。 如果选择“计划”类型的 “更新”超出计划时间,则凌晨 5 点是无法安装更新的时间段的开始时间。

      • 结束日期:选择计划时段结束的日期。

      • 结束时间:选择计划时段结束的时间。 例如,选择“凌晨 1 点”,并将“计划”类型为“ 在计划时间内更新”。 在此方案中,凌晨 1 点是无法再安装更新的时间。 如果选择了“计划”类型的 “更新”,则“上午 1”是可以安装更新的时间段的开始时间。

    如果未配置开始或结束时间,则配置不会造成任何限制,并且可以随时安装更新。

    提示

    可以部署设置目录策略,在受监督的 macOS 设备上对设备用户隐藏一段时间的更新。 有关详细信息,请参阅以下延迟 更新可见性部分。

  5. 配置“更新策略设置”之后,选择“下一步”。

  6. 若要将标记应用于更新策略,请在“作用域标记”选项卡上,选择“+ 选择作用域标记”以打开“选择标记”窗格

    • 在“选择标记”窗格中,选择一个或多个标记,然后单击“选择”以将其添加到策略,并返回到“作用域标记”窗格。

    • 准备就绪后,选择“下一步”,转到“分配”

  7. 在“分配”选项卡上,选择“+ 选择要包括的组”,然后将更新策略分配到一个或多个组。 使用“+ 选择要排除的组”对分配进行相应调整。 准备就绪后,选择“下一步”继续操作

    需对策略目标用户所用的设备进行更新符合性评估。 此策略还支持无用户设备。

  8. 在“ 查看 + 创建 ”选项卡上,查看设置,然后选择“准备好保存 macOS 更新策略时 创建 ”。 新策略将显示在 macOS 更新策略列表中。

注意

Apple MDM 不允许强制设备在特定时间或日期前安装更新。 无法使用 Intune 软件更新策略来降低设备上的操作系统版本级别。

延迟更新的可见性

使用适用于 macOS 的更新策略时,你可能希望在指定时间段内对受监督的 macOS 设备的用户隐藏更新。 对于此任务,请使用配置更新限制期的 macOS 设备的设置目录策略。

限制期可以让你在更新可供用户安装之前有时间测试更新。 限制期结束后,更新对用户可见,如果你的更新策略未先安装更新,他们可以选择安装它。

如果使用设备限制来隐藏更新,请查看软件更新策略,确保它们不会在限制期结束前计划安装该更新。 软件更新策略根据其计划安装更新,而不管更新是隐藏的还是对设备用户可见的。

可以限制 macOS 设备上更新可见性的设置位于 设置目录>“限制 ”类别中。 可用于延迟更新的设置的几个示例包括:

  • 强制执行的软件更新延迟
  • 强制执行的软件更新主要操作系统推迟安装延迟
  • 强制执行的软件更新非操作系统推迟安装延迟

还可以在 “系统更新>软件更新 ”类别下找到相关设置,以管理用户如何通过系统 UI 手动与更新交互。 但是,来自目标更新策略的更新会覆盖这些设置目录策略设置。

编辑策略

可以编辑现有策略,包括更改限制时间:

  1. 选择 “设备>”“更新 macOS 的策略”。 选择想要编辑的策略。

  2. 在查看策略“属性”时,为要修改的策略页面选择“编辑”。

    策略编辑页的屏幕截图。

  3. 引入更改后,选择“ 查看 + 保存> 以保存编辑。

注意

如果“开始时间”和“结束时间”都设为凌晨 12 点,则 Intune 不会检查有关更新安装时间的限制。 这意味着将忽略已有的任何“选择阻止安装更新的时间”配置,结果是可以随时安装更新。

使用设置目录配置更多 macOS 软件更新设置

“限制”类别包含以下设置,这些设置可用于延迟设备上 macOS 软件更新的可见性 (设备>按平台>macOS>管理设备>配置>创建新>策略>设置目录>限制) :

  • 强制实施软件更新延迟:设置在设备上延迟软件更新的天数。 实施此限制后,用户不会在软件更新发布日期后的指定天数之前看到软件更新。 此值由 强制延迟应用软件更新强制延迟的软件更新使用。

  • 强制延迟应用软件更新:如果为 true,则延迟用户对内置软件(如 Safari、XProtect 和 Gatekeeper)的非 OS 软件更新的可见性。 需要受监督的设备。 延迟为 30 天,除非 “强制软件更新延迟 ”设置为另一个值。

  • 强制实施软件更新非 OS 延迟安装延迟:此限制允许管理员设置在设备上延迟应用软件更新的天数。 如果存在此限制,则用户仅在软件发布后的指定延迟之后才会看到非 OS 软件更新。 此值控制强制延迟应用软件更新的延迟。

  • 强制延迟的主要软件更新:如果设置为 true,则会延迟用户对 OS Software 的大多数升级的可见性。

  • 强制实施软件更新主要 OS 延迟安装延迟:此限制允许管理员设置在设备上延迟主要软件升级的天数。 主要软件升级是新的主要 OS 版本;例如,macOS 12 孔心和 macOS 13 文图拉。 如果存在此限制,则用户仅在软件升级发布后的指定延迟之后才会看到软件升级。 此值控制 强制延迟的主要软件更新的延迟。

  • 强制延迟的软件更新:如果为 true,则延迟软件更新的用户可见性。 在 macOS 中,允许无延迟地进行种子生成更新。 延迟为 30 天,除非 “强制软件更新延迟 ”设置为另一个值。

  • 强制实施软件更新次要 OS 延迟安装延迟:此限制允许管理员设置在设备上延迟次要 OS 软件更新的天数。 次要软件更新是在主要 OS 升级之间发布的中间更新;例如 macOS 13.1 和 macOS 13.2。 如果存在此限制,则用户仅在软件更新发布后的指定延迟之后才会看到软件更新。 此值控制 强制延迟软件更新的延迟。

“软件更新”类别包含以下设置,这些设置可用于配置设备上 macOS 软件更新选项的用户体验 (设备>按平台>macOS>管理设备>配置>创建新>策略>设置目录>系统更新>软件更新) :

  • 允许预发布安装:如果为 true,则可以在此计算机上安装预发行版软件。

  • 自动检查已启用:如果为 false,则取消选择“检查更新”选项并阻止用户更改选项。

  • 自动下载:如果为 false,则取消选择“从 App Store 下载新更新时可用”选项,并阻止用户更改选项。

  • 自动安装应用更新:如果为 false,则取消选择“从 App Store 安装应用更新”选项,并阻止用户更改选项。

  • 自动安装 macOS 更新:如果为 false,则限制“安装 macOS 更新”选项并阻止用户更改选项。

  • 配置数据安装:如果为 false,则限制配置数据的自动安装。

  • 关键更新安装:如果为 false,则禁用关键更新的自动安装,并阻止用户更改“安装系统数据文件和安全更新”选项。

  • 限制软件更新需要管理员才能安装:如果为 true,请将应用安装限制为管理员用户。 此密钥的功能与 App Store 类别中的“限制应用商店要求管理员安装”设置相同。

监视设备上的更新安装失败

在 Microsoft Intune 管理中心,转到 “设备>”“监视>macOS 设备的安装状态”。

Intune 显示受监督的 macOS 设备列表,这些设备是更新策略的目标。 该列表不包括最新且正常运行的设备,因为 macOS 设备仅返回有关安装失败的信息。

对于列表中的每台设备,“安装状态”将显示设备返回的错误。 若要查看潜在安装状态值的列表,请在 “macOS 设备的安装状态 ”页上,选择“ 筛选器” ,然后展开“ 安装状态”下拉列表。

后续步骤

监视设备配置文件