分享方式:


Microsoft Intune 中受監督 iOS/iPadOS 裝置的軟體更新規劃指南和案例

讓您的行動裝置保持在軟體更新的狀態非常重要。 您必須降低安全性事件的風險,並將對組織和用戶的干擾降到最低。 在 iOS/iPadOS 受監督的裝置上,Intune 具有可管理軟體更新的內建原則。

本文包含系統管理員檢查清單,可協助您開始在iOS/iPadOS受監督裝置上使用軟體更新。 它也會列出您可以在環境中設定的常見產業案例和範例原則。

如需建立軟體更新原則的特定步驟,請移至 在 Intune 中管理 iOS/iPadOS 軟體更新原則

本文適用於:

  • 在 Intune 中註冊的 iOS/iPadOS 受監督裝置

提示

如果您的裝置是個人擁有的,請移至 個人裝置的軟體更新規劃指南

組織擁有裝置的系統管理員檢查清單

本節列出Microsoft建議的指導方針和在裝置上安裝軟體更新的策略。

✅ 使用原則管理更新

建議您建立更新裝置的原則。 不建議將此責任放在使用者上。

根據預設,使用者會收到通知和/或查看其裝置上可用的最新更新, (設定 > 一般 > 軟體更新) 。 用戶可以選擇隨時下載並安裝更新。

當使用者安裝自己的更新 (而非管理更新) 的系統管理員時,可能會中斷用戶生產力和商務工作。 例如:

  • 用戶可以視需要啟動更新,而且在安裝更新時可能無法運作。

  • 用戶可以套用貴組織尚未核准的更新。 此決策可能會造成應用程式相容性、操作系統變更,或用戶體驗中斷裝置使用的問題。

  • 使用者可以避免套用會影響安全性或應用程式相容性的必要更新。 這種情況可能會讓裝置面臨風險和/或使裝置無法運作。

✅ 保持啟用自動更新

從 iOS/iPadOS 12 開始,當有可用的更新時,Apple 裝置會自動安裝更新。 根據預設,這項功能會在新裝置上啟用。 保持啟用此功能

若要更快速地使用此自動修補和安裝更新,請確定裝置為:

  • 開啟電源
  • 外掛程式
  • 線上到因特網

當裝置開啟、插入電源並連線到因特網時,更新會自動下載 & 安裝,然後裝置重新啟動。 如果裝置不符合這些條件,則更新不會自動下載並安裝。

若要讓裝置保持在最新版本上,並盡可能輕鬆地使用,請保持啟用自動更新功能:

顯示 iOS/iPadOS Apple 裝置上自動更新設定的螢幕快照。

自動更新與其他更新原則搭配運作,可為系統管理員和使用者提供正面體驗。

使用 Intune 原則,您也可以強制使用者更新其裝置:

  • 使用 註冊限制 來防止用戶註冊非目前的裝置。
  • 建立 合規性原則 來判斷未更新的裝置。
  • 建立 條件式存取 (CA) 原則 來封鎖未更新的裝置。 CA 原則也可以提示使用者安裝目前的更新,讓他們重新取得存取權。

您需要知道的事項

  • 如果自動更新功能已停用,則由於OS限制,無法使用原則加以變更。 必須在裝置上手動變更設定,否則必須重設 & 重新布建裝置。

  • 如果裝置已設定 PIN,則若要啟動軟體更新,您必須輸入 PIN。 輸入 PIN 通常不是資訊工作者 1:1 裝置的問題。

    規劃 kiosk、工廠或無使用者案例的更新時,您可能需要調整程式以配合 PIN 行為。

✅ 使用內建設定

若要管理更新,Apple 有下列選項:

  • DDM) (宣告式裝置管理

    在 iOS/iPadOS 17.0 和更新版本上,您可以使用 Apple 的宣告式裝置管理 (DDM) 來管理軟體更新。 DDM 是管理具有改良用戶體驗之裝置的新方式,因為裝置會處理整個軟體更新生命週期。 它會提示使用者有可用的更新,也會下載、準備裝置以進行安裝,& 安裝更新。

    建議使用 DDM 來管理 iOS/iPadOS 17+ 裝置上的更新。 您可以在這些裝置上使用 MDM 設定,但不建議使用。 請改用 DDM 設定。

    這些設定可在 Microsoft Intune 系統管理中心進行設定。 如需詳細資訊,請移至具有 設定目錄的受控軟體更新

  • 軟體更新原則

    這些 MDM 原則提供特定版本的受控推出。 您也可以強制舊版上的裝置升級。 系統管理員可以輸入 iOS/iPadOS 版本來安裝和排程安裝。

    這些設定可在 Microsoft Intune 系統管理中心進行設定。 如需詳細資訊,請移至 在 Intune 中管理 iOS/iPadOS 軟體更新原則

  • 軟體更新延遲原則

    這些 MDM 原則會隱藏更新最多 90 天。 它們可防止使用者將裝置手動更新為尚未核准的版本。 此功能無法控制何時套用更新。

    這些設定可在 Microsoft Intune 系統管理中心進行設定。 如需詳細資訊,請移至 在 Intune 中管理 iOS/iPadOS 軟體更新原則

透過這些功能,系統管理員可以確定其 Apple 裝置正在執行特定的軟體版本,並可控制其裝置上的更新版本。

✅ 建立支持許多時區的原則

所有原則時間都使用國際標準時間 (UTC) 。 不會使用裝置的本機時區。

若要將您必須建立和管理的原則數目降至最低,請建立支持許多時區的組態。 請勿為每個時區建立個別的原則。

例如,在美國有四個主要時區:太平洋 (UTC-8) 、Mountain (UTC-7) 、Central (UTC-6) 和東部 (UTC-5) 。 您可以為每個時區建立個別的原則。 或者,建立一或兩個可達到相同結果的原則。

✅ 請小心使用版本設定

當您建立軟體更新原則時,請留意所有原則中版本詳細數據的更大影響。

例如:

  • 您設定的原則會延遲更新 90 天。 如果有需要裝置具有最新 iOS/iPadOS 版本的註冊限制原則,則在裝置重設之後,裝置可能會遭到封鎖而無法註冊。

  • 您建立的合規性政策需要最新的最低 iOS/iPadOS 版本。 使用此原則時,較舊版本上的裝置會變成不符合規範。 如果您使用條件式存取來強制執行合規性,則使用者會遭到封鎖且無法運作。

常見的產業案例

Apple 裝置用於各種產業,包括企業、零售、製造和教育。 大部分的裝置使用案例都可以分類為下列類型:

  • 1:1:裝置僅供一個人使用。
  • 共用:裝置由一個以上的人員使用。
  • 專用:裝置用於特定的商務用途,例如 kiosk 或數位告示。

下表包含本文使用的常見產業術語:

產業 術語 使用案例
大型企業 知識工作者 1:1
零售業 Kiosk 耿耿
製造 處理站機器 任務關鍵性
Education 指派的裝置 共用

本節說明一些常見的產業案例,並提供 Intune 原則的範例。

知識工作者

此群組是具備在企業和組織中工作知識的人員。 他們的知識和思考能力是他們的工作。 一些範例包括工程師、內容開發人員、程式設計人員、顧問、通訊、顧問等等。

知識工作者通常會有自己的裝置,只供他們使用。 它不會與其他使用者或其他知識工作者共用。

在知識工作者裝置之類的案例中,主要目標是讓更新程式盡可能簡單快速。 其應用程式大多是以市集為基礎,而且應用程式應該與最新的操作系統版本保持相容。 在這些裝置上,使用者通常會容許提示更新和/或選擇方便重新啟動的時間。

這些裝置的更新原則和優先順序通常包括:

  • 基本更新組態
  • 最新的最新版本
  • Automatic updates

案例範例

您正在 Contoso 為知識工作者設定更新設定檔。 這些使用者大多使用 Microsoft 365 應用程式和數個大量採購方案 (VPP) 應用程式。

身為系統管理員,您很熟悉:

  • 這些裝置執行最新發行的 iOS/iPadOS 版本
  • 裝置使用 Intune 簽入時立即下載並安裝更新
  • 允許使用者決定何時安裝更新,並重新啟動其裝置以套用更新

若要完成這些目標,您可以使用具有下列預設設定的原則:

此螢幕快照顯示要在 Microsoft Intune 系統管理中心安裝和排程 iOS/iPadOS 裝置之類型軟體更新設定的選取版本。

這些裝置通常是店內零售裝置,而且可以是桌面電腦或行動裝置。 員工會使用這些服務來為客戶提供服務,並由客戶直接用於自助工作。 它們也可以是所有客戶在內部部署時看到的視覺效果顯示。

在類似 kiosk 的案例中,更新裝置的主要目標是:

  • 請確定裝置目前具有核准的 OS 更新。
  • 系統管理員會管理更新和任何版本設定。
  • 安裝和重新啟動會在上班時間之後發生。

這些裝置的更新原則和優先順序通常包括:

  • 基本更新組態
  • 可預測的版本控制
  • 可預測的發行週期

案例範例

您要在 Contoso 設定 kiosk 裝置的 iOS/iPadOS 更新設定檔。 這些裝置會在零售商店中運作。 您的員工會使用裝置每周 7 天為客戶提供服務,包括延長零售時數。 裝置會執行單一商務 (LOB) kiosk 應用程式,此應用程式是由 Contoso 內部開發。 此內部應用程式只會每季進行測試和驗證。

您想要部署此 LOB 應用程式最近測試過的特定 iOS/iPadOS 版本,也就是 iOS 16.3。 如果此 kiosk 應用程式無法正常運作,零售商店就無法為客戶提供服務。 當零售商店對客戶關閉時,裝置會連線到 Wi-Fi,並在一夜收費。

您選擇一個 10 小時的夜間維護視窗,在市集開啟之前,可以下載並套用更新。

若要完成這項工作,請使用下列設定建立原則:

此螢幕快照顯示在 Microsoft Intune 系統管理中心的 iOS/iPadOS 裝置星期一安裝和安裝更新的特定版本。

處理站機器

這些裝置通常是單一用途的裝置。 它們用於任務關鍵性區域,例如製造線或特製化設備控制 & 監視。 例如,它可以是執行控件的 Android 平板電腦,或是用於捲動元件之裝置的監視軟體。

在工廠機器案例中,主要目標是確保裝置以一致的方式運作。 可能需要延遲更新,才能完成所有應用程式相容性測試。 安裝和重新啟動會在特定時間發生,通常會以階段式方法部署。

這些裝置的更新原則和優先順序通常包括:

  • 進階原則設定
  • 嚴格的版本控制
  • 緩慢的發行週期

案例範例

您要在 Contoso 的工業設施,為製造樓層上的裝置設定更新配置檔。 此設施一年執行 24x7、365 天,但安全檢查的強制停工時數小時除外。 這些檢查會每周的星期日早上一早發生。

這些裝置會執行兩個廠商應用程式。 若要保持在支援的設定中,這兩個應用程式不常更新,而且必須執行特定版本的應用程式和作業系統。

您想要將特定、較舊的 iOS/iPadOS 版本 (15) 部署到這些裝置,因為應用程式廠商尚不支援更新版本。 由於裝置幾乎一律都在使用中,因此您在星期日每周只有一次小型維護期間。

您想要在星期日的兩小時停機期間隔夜排程更新。

若要完成這項工作,請使用下列設定建立原則:

此螢幕快照顯示在 Microsoft Intune 系統管理中心的 iOS/iPadOS 裝置的星期日安裝和安裝更新的特定版本。

共用的裝置

共用裝置是由許多通常登入和註銷裝置的使用者使用,包括教育環境。 這些裝置可以是終端機/桌面電腦、Tablet、膝上型電腦和智慧型手機。 它們通常用於辦公室、教室和零售商店。

如需管理共用 iOS/iPadOS 裝置的詳細資訊,請移至 iOS/iPadOS 的共用裝置解決方案

針對 iOS/iPadOS 共用裝置,若要套用更新,所有使用者都必須註銷。使用者可以註銷或重新啟動裝置,這會自動註銷使用者。

這些裝置的更新原則和優先順序通常包括:

  • 進階原則設定
  • 可預測的版本控制
  • 受控更新行為

案例範例

在早上,UserA 登入裝置,以在出樓前檢查電子郵件。 一小時后,UserB 會使用相同的裝置來執行一些 LOB 應用程式。

您必須設定此共享裝置的更新。 這些共用裝置是由辦公室的一般知識工作者使用,時間為上午 8 點 – 下午 5 點,星期一到星期五。 您想要使用最新 iOS/iPadOS 版本的裝置,以支援共用裝置上使用的所有應用程式。

若要盡可能讓原則保持簡單,您想要在一般工作時間以外安裝更新,再加上一小時以進行重新啟動或其他動作。

若要完成這項工作,此案例牽涉到兩個原則:

  • 在第一個原則中,您想要讓所有用戶註銷,或想要在一段時間后重新啟動裝置。 您可以建立 Apple Business Manager 註冊設定檔,以註銷閒置超過 15 分鐘 (900 秒) 的任何使用者:

    此螢幕快照顯示如何在沒有使用者親和性的情況下註冊,以及在 Microsoft Intune 系統管理中心設定 iOS/iPadOS 裝置的閑置值。

  • 在第二個原則中,使用下列設定來排程更新:

    此螢幕快照顯示在 Microsoft Intune 系統管理中心安裝 iOS/iPadOS 裝置的最新版本和外部排程時間軟體更新設定。