修補程式、主要 & 次要更新,以及新的作業系統版本會頻繁釋出。 組織必須持續更新裝置以獲取最新的安全更新。
搭載 Android 的 Google Mobile Services (GMS) 包含所有 Google 應用程式和 Google 服務。 這些應用程式和服務都是建立在原廠自家韌體功能和應用程式之上。 這些裝置會收到不同類型的更新,且會隨機更新,取決於 Google、OEM 廠商以及服務業者/電信公司的行為。
Intune 內建政策可以管理軟體更新。
本文包含一份已註冊及管理的 Android 企業裝置管理員檢查清單。 利用這些資訊協助管理組織自有裝置上的軟體更新。
本文適用於:
- 註冊於 Intune 的 Android 企業級裝置
提示
如果你的裝置是個人擁有,請參考個人 裝置的軟體更新規劃指南。
開始之前
為避免裝置收到更新延遲,請確保裝置具備:
- 啟動
- 插上
- 連接網際網路
- 閒置且未被積極使用
企業裝置管理員檢查清單
企業或組織擁有的裝置應由組織註冊並管理。 對於 Android 企業版,你可以管理以下裝置類型的軟體更新:
- 專用裝置
- 完全管理裝置
- 具備工作設定檔的全管理裝置
本節列出 Microsoft 推薦的在受管型 Android 裝置上安裝軟體更新的政策。
✅ 管理有政策的更新
記得建立更新裝置的政策。 不要把這個責任推給最終使用者。
當使用者自行安裝更新 (而非管理員) 管理更新時,可能會干擾使用者的生產力和業務工作。 例如:
使用者可以隨時開始更新,安裝更新時可能無法正常運作。
使用者可以套用組織尚未核准的更新。 此決策可能導致應用程式相容性問題、作業系統變更或使用者體驗改變,進而干擾裝置使用。
使用者可以避免套用影響安全性或應用程式相容性的必要更新。 這種情況可能使設備處於風險之中,或使設備無法正常運作。
✅ 設定系統更新設定
使用 Intune 裝置設定檔中的系統更新設定管理作業系統更新 (>裝置管理>裝置配置建立>>裝置限制>一般) 。
對於已註冊的 Android 企業級裝置,你可以設定此設定並選擇更新安裝時間。 例如,您可以:
使用裝置的預設行為,當裝置連接 Wi-Fi、充電且閒置時,自動安裝更新。
自動安裝更新,無需使用者介入。 待更新中立即安裝。
延遲更新 30 天,然後提示使用者安裝更新。 預期你的裝置製造商和/或電信業者會阻止重要的安全更新被延後。
建立維護視窗,在特定時間內自動安裝更新。
如需更詳細的設定資訊及可設定的數值,請前往 Android 範本裝置設定清單,以限制使用 Intune>Corporate Owned>General 的功能。
✅ 在關鍵時刻使用凍結期
在Intune裝置設定檔中設定系統更新凍結期間設定, (裝置>管理裝置>配置,建立>>裝置限制>,一般) 。
在一年中關鍵時期,如假日及其他活動期間,凍結期會阻止裝置接收系統更新、安全修補程式及待處理更新通知。 使用者無法手動檢查更新:
欲了解更多此設定資訊,請前往 Android 範本裝置設定清單,以限制使用 IntuneCorporate>Owned>General 的功能。
✅ 使用 OEMConfig 進行韌體更新
對於某些堅固耐用的 Android 裝置,你可以使用 OEMConfig 來設定該 OEM 專屬的韌體更新和其他設定。 如果 OEM 提供 OEMConfig 應用程式,那麼在 Intune 中,你可以部署該應用程式並透過設定檔設定。
要開始,請前往 Intune 中使用 OEMConfig 管理 Android Enterprise 裝置。 本文也列出了支援 Intune 的 OEMConfig 應用程式。
請聯絡製造商,取得韌體及設定架構中其他設定。
升級舊裝置
截至 2022 年 1 月 7 日,最低支援版本如下:
- Android 8.0 用於行動裝置管理 (MDM)
- Android 9.0 用於行動應用程式管理 (MAM)
目前已註冊 Intune 的舊版 Android 裝置不會收到 Android 公司入口網站應用程式或 Intune 應用程式的更新。 這些應用程式在 Google Play 商店中無法取得。 如果這些應用程式是在這次變更前下載的,那麼裝置並不會被封鎖註冊。 套用在這些裝置上的政策仍在部署,但這些裝置尚未達到支援狀態。
如果你組織裡目前有裝置使用較舊的 Android 版本,那就升級或更換它們。 利用本文中的資訊來幫助你制定更新策略。 使用較新的作業系統版本能為您的使用者和組織帶來更高的生產力與安全性。
欲了解更多版本資訊,請前往 Intune 支援的作業系統與瀏覽器頁面。