保持设备更新对于企业安全性、性能和合规性至关重要。 汇报提供基本修补程序、bug 修复和新功能。 如果没有一致的策略,组织可能会将终结点暴露在漏洞和兼容性问题中。
借助 Microsoft Intune,IT 管理员可以为 Apple 设备配置和强制实施更新策略,包括:
- 面向特定 OS 版本或强制实施最新版本
- 设置强制实施截止时间
- 最大程度地减少用户中断
本文介绍如何使用 Apple 的声明性设备管理 (DDM) 模型在 Intune 中配置更新策略,这是一种比基于 MDM 的传统策略更可靠、更自主的方法,而传统策略现已弃用。
先决条件
设备平台要求
Apple 设备的软件更新配置需要以下平台:
- iOS/iPadOS 17.0 及更高版本
- macOS 14.0 及更高版本
配置
设计 Apple 设备更新策略时,请符合组织的安全策略、用户体验预期和合规性要求。 Intune支持用于管理软件更新的两个主要策略模型:
最新版本策略:在定义的延迟期后自动安装最新的合格 OS 版本。 使用此模型:
- 配置延迟期 ((以天为单位)) 和安装时间。
- 设备在声明的截止时间内自动安装更新 ,无需手动触发器。
此模型非常适合优先考虑快速修补、法规合规性和最小 IT 开销的组织。
目标版本策略:提供对安装作系统版本和安装时间的精细控制。 使用此模型:
- 指定所需的 OS 版本并设置精确的安装截止时间。
- 可以提供帮助 URL 以获取用户帮助。
- 设备独立强制实施合规性,无需手动强制实施。
此模型最适合具有严格的应用兼容性要求、分阶段部署策略或正式变更管理工作流的环境。
为 iOS/iPadOS 或 macOS 平台创建设置目录策略,并使用以下设置:
类别 设置名称和值 声明性设备管理>Software 更新强制实施最新 延迟(天)
指定在强制实施截止时间之前应经过的天数。 此延迟基于 Apple 发布新更新的发布日期或配置策略的时间。 延迟仅确定目标强制实施日期,而不能确定向用户提供更新的日期。声明性设备管理>Software 更新强制实施最新 安装时间
指定强制更新的本地设备时间。 使用 24 小时制格式配置安装时间设置,其中午夜为00:00,晚上 11:59 为23:59。 请确保在个位数小时数中包含前导 0。 例如、01:00、02:00。03:00注意
分配更新强制后,如果设备处于空闲状态或自动更新作配置为Always On,则更新可能会在截止时间之前安装。
将策略分配给 目标用户或设备的组。
重要
基于 DDM 的策略不支持分配筛选器。
有关配置软件更新策略和可用设置的详细信息,请参阅 软件更新。
软件更新设置
配置软件更新时,可能需要管理导致实施更新的软件更新过程的各个方面。 使用软件更新设置策略,可以配置各种设置,以控制用户如何与其设备上的软件更新进行交互。 这些设置包括以下功能:
- 要求管理员或标准用户可以在设备上执行更新。
- 控制用户如何手动与软件更新设置(例如自动下载和安装)或快速安全响应的行为进行交互。
- 隐藏指定时间段内用户的更新。
- 在强制截止时间前一小时取消更新通知。
- 控制是否允许用户更新到最新主要更新和/或最新次要更新。
有关配置软件更新设置策略和可用设置的详细信息,请参阅 软件更新设置。
监视策略设置部署
软件更新策略设置使用与其他设备配置策略相同的报告。 有关详细信息,请参阅 监视设备配置策略。
报告 成功的 策略仅表示配置策略已成功安装在设备上。 监视目标设备的 OS 版本,确保其更新。
设备更新到低于策略中配置的 OS 版本后,策略会报告错误,因为设备将此任务视为尝试降级。 建议从处于此状态的设备中删除较旧的 OS 版本策略。
若要监视 Apple 设备的更新状态,请参阅 查看 Apple 设备的软件更新报告。
相关文章
若要了解有关 Apple 声明性设备管理过程的详细信息,请参阅 Apple 文档中 的安装和强制执行 Apple 设备的软件更新 。