保持裝置隨時更新至關重要。 管理員必須盡力降低安全事件的風險,並在對業務 & 使用者造成最小干擾的情況下降低此風險。
Intune 內建政策可以管理軟體更新。 對於 macOS 裝置,你可以使用 Intune 管理裝置更新、設定裝置更新時間,並檢視裝置更新狀態。
請將本文作為您已註冊且管理的 macOS 裝置的管理指南。 這些資訊能幫助你管理組織自有裝置上的軟體更新。
本文適用於:
- macOS 裝置註冊於 Intune
提示
- 如果你的裝置是個人擁有,請參考 個人裝置的軟體更新管理指南。
- 蘋果已棄用基於 MDM 的軟體更新工作負載。 Microsoft 建議你改用 DDM 來安裝更新 。 欲了解更多這些變更資訊,請參閱 支援提示,了解如何在 Apple 軟體更新中轉換為宣告式裝置管理。
開始之前
為了更快安裝更新並避免延遲,請確保裝置具備:
- 開機;不是關機,但可能會變成睡眠狀態
- 插上
- 連接網際網路
管理有政策的更新
✅ 記得建立更新裝置的政策。
預設情況下,使用者會 (設定 > 一般>軟體 匯報) 收到通知和/或看到裝置上的最新更新。 使用者可以隨時選擇下載並安裝更新。
他們也可以利用裝置上的自動匯報功能 (設定>軟體匯報) 來更改更新行為:
當使用者自行安裝更新 (而非管理員) 管理更新時,可能會干擾使用者的生產力和業務工作。 例如:
使用者可以套用組織尚未核准的更新。 這種情況可能導致應用程式相容性問題,或作業系統或使用者體驗的變更,干擾裝置使用。
使用者可以避免套用因安全或應用程式相容性而必須的更新。 這種延遲可能使設備面臨風險,或阻礙其正常運作。
使用者可以完全關閉檢查新更新的功能。
基於這些潛在問題,Microsoft 建議您評估使用情境並部署政策以管理更新體驗,以降低對業務的風險與中斷。
組織自有裝置的管理員步驟
要更新貴組織擁有的 macOS 裝置,Microsoft 建議以下功能。 你也可以把這些功能當作自己更新策略的起點。
✅ 在 macOS 14 及更新版本使用 DDM 管理的軟體更新
在 macOS 14 及更新裝置上,請使用 Apple 的宣告式裝置管理 (DDM) ,在強制期限前安裝特定更新。
DDM 是現代管理設定的方式。 DDM 的獨立特性提升了使用者體驗,因為裝置負責整個軟體更新生命週期。 它會提示使用者有更新可用,並下載更新,準備裝置安裝,& 安裝。
這些裝置不要使用 MDM 軟體更新政策設定,因為 Apple 已經棄用 MDM 政策。
DDM 設定可以在 Intune 設定目錄中設定。 欲了解更多資訊,請前往 設定目錄中的「受管理軟體更新」。
✅ 在 macOS 13 及以前版本使用 MDM
在 macOS 13 及以上版本,你可以使用 Apple 內建的 Intune MDM 設定。 對於這些裝置,你會建立兩個共同管理更新體驗的政策。 第一個政策負責管理何時安裝更新,第二個則負責如何安裝更新。
步驟 1 - 使用軟體更新政策管理更新安裝時間
在軟體更新政策中,你可以管理何時安裝關鍵更新與韌體更新。 你也可以管理使用者在強制安裝更新前可以延遲幾次。 根據你輸入的設定,使用者在安裝更新時不會被提示,也不需要使用裝置。
對大多數組織來說,Microsoft 建議你在 軟體更新政策中設定可用的設定。
在 Intune 管理中心,請前往裝置 > Apple 更新 > macOS 更新政策。
進行下列設定:
更新政策行為設定
- 關鍵更新:稍後安裝
- 韌體更新:稍後安裝
- 設定檔更新:稍後安裝
-
作業系統 (其他更新,內建應用程式) :稍後安裝
- 最大用戶延遲次數:5
- 優先權:高
注意事項
- 在最近的 macOS 版本中,幾乎所有更新都顯示為 設定資料檔案 或 所有其他更新。 其他更新設定大多是舊版 macOS 的舊版更新。
- 這些設定中指定的時間由 Intune 服務使用。 時間不是本地裝置的時間。 在設定維護視窗時,尤其是針對全球環境,請注意時間差異。
更新政策排程設定
- 排班類型:下次報到時更新
你可以把數值改成你偏好的排班時間。 有些數值可能只影響小更新,而非重大更新。
關於具體步驟,以及這些設定 & 數值的更多資訊,請前往「管理 macOS 軟體更新政策」Intune。
使用者體驗
有了這些設定,這個政策會鎖定這些設定,使用者無法更改。 該政策同時包括:
每次裝置登入 Intune 服務時都會檢查更新。 如果有更新可用,就會自動下載。
裝置會找到一段時間內裝置未被使用。
- 如果裝置沒有被使用,政策就會嘗試自動安裝更新。
- 如果裝置正在使用,最終使用者可以選擇安裝更新,或最多延遲安裝五次。 務必鼓勵終端用戶在更新可用時安裝。
以下圖片顯示最終使用者在更新可用時可看到的提示:
如果終端使用者使用了所有延遲,那麼更新就是強制安裝的。 對於強制安裝,重新啟動不會提示終端使用者,可能會導致資料遺失。
步驟 2 - 使用設定目錄政策來管理更新的安裝方式
Intune 的設定目錄包含協助管理軟體更新的設定。 在此步驟中,你建立一項政策,內容包括:
- 設定裝置自動安裝更新,包括應用程式更新。
- 防止終端使用者關閉更新檢查。
- 設定裝置以檢查更新並定期提示使用者。
此設定目錄政策可與 步驟 1 合作——使用軟體更新政策管理更新安裝時間 (本文) 。 它確保裝置會檢查更新並提示使用者安裝。 最終用戶仍需採取行動完成安裝。
在 Intune 管理中心,請前往「裝置>管理」、「>裝置」、「設定>設定」、「目錄>、軟體更新」。
進行下列設定:
- 允許預發布安裝:錯誤
- 自動下載:正確
- 自動安裝應用程式匯報:正確
- 關鍵更新安裝:正確
- 限制軟體更新需管理員安裝:錯誤
- 設定資料安裝:True
- 自動安裝 MacOS 匯報:正確
- 自動檢查啟用:真
如需更多關於設定目錄的資訊,包括如何建立設定目錄政策,請前往 「使用設定目錄來設定設定」。
使用者體驗
這個政策會鎖定這些設定,讓使用者無法更改。 在裝置上,軟體更新設定顯示為灰色:
✅ 考慮使用 Nudge 社群工具
此工具為選用,能協助 管理最終使用者體驗。
在 Microsoft macOS 管理社群中,一個很受歡迎的工具是 Nudge。 Nudge 是一個開放原始碼社群工具,鼓勵終端使用者安裝 macOS 更新。 它為管理員提供了豐富的設定體驗。
當 Nudge 設定並部署完成時,終端使用者會在裝置準備更新時看到以下範例訊息。 終端使用者也可以選擇更新裝置或延後更新:
Microsoft shell 腳本倉庫中也有 Nudge 的範例腳本和 Intune 設定政策。 這個腳本包含了你開始使用 Nudge 所需的一切。 記得用你的數值更新檔案。.mobileconfig
✅ 使用內建的更新狀態報告
更新政策部署後,在 Intune 管理中心,您可以使用報告功能查看更新狀態。
對於每台裝置,你可以查看其目前的更新狀態 (> 裝置 macOS > 更新政策 macOS) :
