Microsoft Intune 中受控 macOS 裝置的軟體更新規劃指南

讓裝置保持最新狀態與更新非常重要。 系統管理員必須盡其所能來降低安全性事件的風險，並以最少的業務 & 用戶中斷來降低此風險。

Intune 具有可管理軟體更新的內建原則。 針對 macOS 裝置，您可以使用 Intune 來管理裝置更新、設定裝置更新時間，以及檢閱裝置更新狀態。

使用本文作為已註冊及受控macOS裝置的系統管理員指南。 此資訊可協助您管理組織擁有裝置上的軟體更新。

本文適用於：

• 在 Intune 中註冊的 macOS 裝置

提示

如果您的裝置是個人擁有的，請移至 個人裝置的軟體更新系統管理員指南。

開始之前

若要更快速地安裝更新並避免延遲，請確定裝置為：

• 開啟電源;未關機，但可以是睡眠狀態
• 外掛程式
• 線上到因特網

使用原則管理更新

✅ 請建立可更新裝置的原則。 請勿將此責任放在使用者上。

根據預設，使用者會收到通知和/或查看其裝置上可用的最新更新 (設定>一般>軟體 匯報) 。 用戶可以選擇隨時下載並安裝更新。

他們也可以使用裝置上的自動 匯報 功能來變更更新行為 (設定>軟體 匯報) ：

當使用者安裝自己的更新 (而非管理更新) 的系統管理員時，可能會中斷用戶生產力和商務工作。 例如：

• 用戶可以套用貴組織尚未核准的更新。 這種情況可能會造成應用程式相容性的問題，或操作系統或使用者體驗的變更導致裝置使用中斷。

• 基於安全性或應用程式相容性理由，使用者可以避免套用所需的更新。 此延遲可能會讓裝置面臨風險和/或使裝置無法運作。

• 用戶可以完全停用檢查新的更新。

由於這些潛在問題，Microsoft 建議您評估您的使用案例，並部署原則來管理更新體驗，以將業務的風險和中斷降到最低。

組織擁有裝置的 管理員 步驟

若要更新貴組織所擁有的macOS裝置，Microsoft建議使用下列功能。 您也可以使用這些功能作為您自己更新策略的起點。

• 使用 DDM 設定 - macOS 14.0+：在 macOS 14.0 和更新版本的裝置上，使用受控軟體更新來設定 Apple 的宣告式裝置管理 (DDM) 。

  您可以在macOS 14+ 裝置上使用 MDM 設定，但不建議使用。 請改用 DDM 設定。

• 使用 MDM 設定 - macOS 13 及更舊版本：在 macOS 13 和較舊的裝置上，使用軟體更新原則來管理何時安裝更新，以及使用設定目錄原則來管理更新的安裝方式。

• 設定和部署微調：此社群工具會在有可用的更新時，快速提示使用者。 如果前兩個原則不會鼓勵終端使用者安裝更新，則 Nudge 會提醒他們。

• 針對更新狀態使用內建報告：部署更新原則之後，您可以使用報告功能來檢查更新的狀態。

macOS 14 和更新版本

✅ 使用受控軟體更新來設定Apple的宣告式裝置管理 (DDM)

DDM 是管理設定的新方式。 透過 DDM，您可以依強制期限安裝特定更新。 DDM 的獨立本質提供改善的用戶體驗，因為裝置會處理整個軟體更新生命週期。 它會提示使用者有可用的更新，也會下載、準備裝置以進行安裝，& 安裝更新。

您可以使用 Apple 的宣告式裝置管理 (DDM) 來管理下列版本的軟體更新：

• macOS 14 和更新版本

這些設定可在 Intune 設定目錄中設定。 如需詳細資訊，請移至具有 設定目錄的受控軟體更新。

macOS 13 及更舊版本

在macOS 13版和更舊版本上，您可以使用Intune內建的Apple MDM 設定。 針對這些裝置，請使用下列原則：

1. 建立軟體更新原則：此原則會強制在方便的時間下載並安裝更新。 根據您輸入的設定，系統不會提示使用者，而且在安裝更新時不需要使用裝置。

2. 建立設定目錄原則：此原則可防止終端使用者停用更新檢查。 它也會將裝置設定為檢查更新，並定期提示使用者。

這兩個原則會一起運作，以管理更新體驗。 本節著重於這些步驟。

注意事項

如果您的裝置執行 macOS 14+，請使用本文中 macOS 14 和更新 版本 (中所述的 DDM 設定) 。 不建議在macOS 14和更新版本上使用軟體更新原則和設定目錄原則。

✅ 步驟 1 - 使用軟體更新原則來管理安裝更新的時機

在軟體更新原則中，您可以管理何時安裝重大更新和韌體更新。 您也可以管理使用者在強制安裝更新之前可以延遲更新的次數。

對於大部分的組織，Microsoft 建議您設定 軟體更新原則中可用的設定。

在 Intune 系統管理中心中，移至 [裝置 > ][Apple 更新 > macOS 更新原則]。 進行下列設定：

• 更新原則行為設定

  • 重大更新：稍後安裝
  • 韌體更新：稍後安裝
  • 組態檔更新：稍後安裝
  • 所有其他更新 (操作系統、內建應用程式) ：稍後安裝
    • 用戶延遲上限：5
    • 優先順序：高

  注意事項

  • 在最新的 macOS 組建上，幾乎所有更新都會顯示為組 態數據檔 或 所有其他更新。 所有其他更新設定大多是舊版 macOS 組建的舊版更新。
  • Intune 服務會使用這些設定中指定的時間。 時間不是本機裝置時間。 請留意設定維護時段時的時間差異，特別是全域環境。

• 更新原則排程設定

  • 排程類型：下次簽入時更新

您可以將值變更為慣用的排程時間。 某些值可能只會影響次要更新，而不會影響主要更新。

如需特定步驟，以及這些設定 & 其值的詳細資訊，請移至 在 Intune 中管理 macOS 軟體更新原則。

使用者體驗

使用這些設定時，此原則會鎖定這些設定，讓使用者無法變更這些設定。 原則也：

1. 每次裝置使用 Intune 服務簽入時，都會檢查更新。 如果有可用的更新，則會自動下載更新。

2. 裝置會尋找未使用裝置的時段。

   • 如果未使用裝置，則原則會嘗試自動安裝更新。
   • 如果正在使用裝置，則使用者可以選擇安裝更新，或將安裝延遲最多五次。 請務必鼓勵終端使用者在可用時安裝更新。

   下列影像顯示終端使用者在可用更新時可以看到的提示：

   

   

3. 如果終端使用者使用所有延遲，則會強制安裝更新。 針對強制安裝，重新啟動不會提示使用者，而且可能會導致數據遺失。

✅ 步驟 2 - 使用設定目錄原則來管理更新的安裝方式

Intune 設定目錄也包含可協助管理軟體更新的設定。 您可以將裝置設定為在可用時自動安裝更新，包括應用程式更新。

此設定目錄原則適用於 步驟 1 - 使用軟體更新原則來管理安裝更新 的時機 (本文) 。 它可確保裝置正在檢查更新，並提示使用者安裝更新。 終端使用者仍然需要採取動作才能完成安裝。

在 Intune 系統管理中心，移至 [裝置>>組態設定] 目錄 > [軟體更新]。 進行下列設定：

• 允許發行前安裝：False
• 自動下載：True
• 自動安裝應用程式 匯報：True
• 重大更新安裝：True
• 限制軟體更新需要 管理員 安裝：False
• 設定數據安裝：True
• 自動安裝 MacOS 匯報：True
• 已啟用自動檢查：True

如需設定目錄的詳細資訊，包括如何建立設定目錄原則，請移至 使用設定目錄來設定設定。

使用者體驗

此原則會鎖定這些設定，讓使用者無法變更這些設定。 在裝置上，軟體更新設定會呈現灰色：

請考慮使用微調社群工具

此工具是選擇性的，可協助您 管理用戶體驗。

Microsoft macOS 系統管理社群中的熱門工具是 Nudge。 微調是一種 開放原始碼 工具，可鼓勵終端使用者安裝 macOS 更新。 它為系統管理員提供豐富的設定體驗。

設定並部署微調時，終端使用者會在裝置準備好更新時看到下列範例訊息。 終端使用者也可以選擇更新裝置或延遲更新：

Microsoft Shell 腳本存放庫中也有適用於 Nudge 的範例腳本和 Intune 設定原則。 此文稿包含開始使用 Nudge 所需的一切。 請務必使用您的值更新 .mobileconfig 檔案。

使用內建報告來更新狀態

部署更新原則之後，您可以在 Intune 系統管理中心使用報告功能來檢查更新的狀態。

針對每個裝置，您可以查看其更新的目前狀態 (適用於macOS) 的裝置 > macOS > 更新原則：

後續步驟

• #D56F91F942C7745E893B26C684CA1BBB6 中 BYOD 和個人裝置的軟體更新規劃指南
• Microsoft Intune 中受控 Android Enterprise 裝置的軟體更新規劃指南
• Microsoft Intune 中受監督 iOS/iPadOS 裝置的軟體更新規劃指南和案例