保持行動裝置隨時更新軟體至關重要。 你需要降低安全事件的風險,並將對組織和使用者的干擾降到最低。 在 iOS/iPadOS 監控裝置上,Intune 內建政策可以管理軟體更新。
本文包含一份管理員檢查清單,幫助你開始在 iOS/iPadOS 監控裝置上進行軟體更新。 同時也列出了常見的產業情境和你可以在環境中設定的範例政策。
關於建立軟體更新政策的具體步驟,請前往 Intune 中的「管理 iOS/iPadOS 軟體更新政策」。
本文適用於:
- 註冊在 Intune 的 iOS/iPadOS 監控裝置
提示
- 如果你的裝置是個人擁有,請參考個人 裝置的軟體更新規劃指南。
- 蘋果已棄用基於 MDM 的軟體更新工作負載。 Microsoft 建議你改用 DDM 來安裝更新 。 欲了解更多這些變更資訊,請參閱 支援提示,了解如何在 Apple 軟體更新中轉換為宣告式裝置管理。
組織自有裝置的管理員檢查清單
本節列出 Microsoft 推薦的軟體更新安裝指引與策略。
✅ 管理有政策的更新
Microsoft 建議你建立更新裝置的政策。
預設情況下,使用者會 (設定 > 一般>軟體 匯報) 收到通知和/或看到裝置上的最新更新。 使用者可以隨時選擇下載並安裝更新。
當使用者自行安裝更新 (而非管理員) 管理更新時,可能會干擾使用者的生產力和業務工作。 例如:
使用者可以隨時開始更新,安裝更新時可能無法正常運作。
使用者可以套用組織尚未核准的更新。 此決策可能導致應用程式相容性問題、作業系統變更或使用者體驗改變,進而干擾裝置使用。
使用者可以避免套用影響安全性或應用程式相容性的必要更新。 這種情況可能使設備處於風險之中,或使設備無法正常運作。
✅ 保持自動更新開啟
從 iOS/iPadOS 12 開始,當有更新可用時,蘋果裝置會自動安裝更新。 預設情況下,此功能會在新裝置上啟用。 請持續啟用此功能。
為了使用自動修補並更快安裝更新,請確保裝置具備:
- 啟動
- 插上
- 連接網際網路
當裝置開機、插上電源並連上網路後,更新會自動下載 & 安裝,裝置也會重新啟動。 如果裝置不符合這些條件,更新就不會自動下載和安裝。
為了讓您的裝置維持最新版本且省下您的最大努力,請開啟自動更新功能:
自動更新與其他更新政策協同運作,能為管理員和終端使用者帶來正面的體驗。
利用 Intune 政策,你也可以強制使用者更新他們的裝置:
- 使用 註冊限制 來防止使用者註冊非目前的裝置。
- 建立 合規政策 來判斷哪些裝置沒有更新。
- 建立 條件存取 (CA) 政策 ,封鎖未更新的裝置。 CA 政策也可以提示使用者安裝最新更新,以便重新取得存取權限。
你需要知道的事
如果自動更新功能被停用,因為作業系統限制,無法用政策更改。 設定必須在裝置上手動更改,或是裝置重置 & 重新配置。
如果裝置設定有 PIN 碼,那麼要開始軟體更新時,你必須輸入該 PIN 碼。 輸入 PIN 通常對資訊工作者 1:1 裝置來說不是問題。
在規劃自助機、工廠車間或無用戶情境的更新時,可能需要調整流程以配合 PIN 的行為。
✅ 使用內建設定
注意事項
蘋果已棄用基於 MDM 的軟體更新工作負載。 Microsoft 建議你改用 DDM 來安裝更新 。 欲了解更多這些變更資訊,請參閱 支援提示,了解如何在 Apple 軟體更新中轉換為宣告式裝置管理。
蘋果有以下選項來管理更新:
DDM) (宣告式裝置管理
在 iOS/iPadOS 17.0 及更新版本,請使用 Apple 的宣告式裝置管理 (DDM) 來管理軟體更新。 DDM 是現代管理裝置的方式,提升使用者體驗,因為裝置負責整個軟體更新生命週期。 它會提示使用者有更新可用,並下載更新,準備裝置安裝,& 安裝。
DDM 設定可在 Microsoft Intune 管理中心設定。 欲了解更多資訊,請前往 設定目錄中的「受管理軟體更新」。
軟體更新政策
這些 MDM 政策提供特定版本的受控推送。 你也可以強制舊版本的裝置升級。 管理員可以輸入 iOS/iPadOS 版本來安裝並排程安裝。
這些設定可在 Microsoft Intune 管理中心設定。 欲了解更多資訊,請前往 Intune 中的「管理 iOS/iPadOS 軟體更新政策」。
軟體更新延後政策
這些 MDM 政策會將更新隱藏長達 90 天。 他們會阻止使用者手動更新裝置到未經核准的版本。 此功能無法控制更新何時套用。
這些設定可在 Microsoft Intune 管理中心設定。 欲了解更多資訊,請前往 Intune 中的「管理 iOS/iPadOS 軟體更新政策」。
透過這些功能,管理員可以確保他們的 Apple 裝置運行特定軟體版本,並能控制更新在各裝置間的發布。
✅ 制定支援多時區的政策
所有政策時間均使用協調世界時 (UTC) 。 裝置的當地時區不會被使用。
為了減少你必須建立和管理的政策數量,請建立一個支援多個時區的設定。 不要為每個時區建立獨立的政策。
例如,在美國中,有四個主要時區:太平洋 (UTC-8) 、山區 (UTC-7) 、中部 (UTC-6) ,以及東部 (UTC-5) 。 你可以為每個時區建立獨立的政策。 或者,制定一兩項政策以達成相同效果。
✅ 要小心版本設定
當你建立軟體更新政策時,要注意所有政策中版本細節的更廣泛影響。
例如:
你設定一個政策,延遲更新 90 天。 如果註冊限制政策要求裝置必須是最新的 iOS/iPadOS 版本,那麼在裝置重置後,裝置可能會被阻止註冊。
你要建立一個合規政策,要求最低 iOS/iPadOS 版本是最近的。 此政策使舊版本裝置不合規。 如果你用條件存取來強制執行合規,使用者就會被封鎖,無法工作。
常見產業情境
蘋果裝置廣泛應用於企業、零售、製造業及教育等多個產業。 大多數裝置的使用情境可分為以下幾類:
- 1:1:裝置僅由一人使用。
- 共用:裝置被多人使用。
- 專用:裝置用於特定商業用途,如自助服務機或數位看板。
下表包含本文常用的產業術語:
| 產業 | 術語 | 使用案例 |
|---|---|---|
| 大型企業 | 知識工作者 | 1:1 |
| 零售業 | Kiosk | 獻身 |
| 製造 | 工廠機器 | 關鍵任務 |
| Education | 分配的裝置 | 共用 |
本節描述一些常見的產業情境,並提供 Intune 政策的範例。
知識工作者
這群人是擁有豐富知識、在企業和組織工作的人。 他們的知識和思考能力是他們的工作。 例如工程師、內容開發者、程式設計師、會計師、傳播、顧問等等。
知識工作者通常有自己的裝置。 該裝置不會與其他使用者或知識工作者共享。
在像知識工作者裝置這類情境下,主要目標是讓更新過程盡可能簡單且快速。 他們的應用程式大多是商店式的,且應維持與最新作業系統版本的相容性。 在這些裝置上,使用者通常能容忍更新提示和/或選擇方便的重啟時間。
這些裝置的更新策略與優先事項通常包括:
- 基本更新配置
- 最新、最更新的版本
- Automatic updates
情境範例:
你正在為 Contoso 的知識工作者設定更新設定檔。 這些用戶大多使用 Microsoft 365 應用程式及多個批量購買計畫 (VPP) 應用程式。
作為管理員,你能接受以下情況:
- 這些裝置運行最新發行的 iOS/iPadOS 版本
- 裝置一登入 Intune 就立即下載並安裝更新
- 讓終端使用者自行決定何時安裝更新,並重新啟動裝置以套用更新
為了達成這些目標,你可以使用以下預設設定的政策:
自助服務亭
這些裝置通常是店內零售裝置,可以是桌上型電腦或行動裝置。 員工用它們服務顧客,顧客則直接用於自助服務。 它們也能成為所有客戶在現場時都能看到的視覺展示。
在類似自助服務機的情境中,更新裝置的主要目標包括:
- 確保裝置是經過核准的作業系統更新的。
- 管理員負責管理更新和版本管理。
- 安裝與重啟皆在下班後進行。
這些裝置的更新策略與優先事項通常包括:
- 基本更新配置
- 可預測版本控制
- 可預測的發行週期
情境範例:
你正在 Contoso 為自助服務機裝置設定 iOS/iPadOS 更新設定檔。 這些裝置在零售店面運作。 您的員工每週七天使用這些裝置服務顧客,包括延長營業時間。 這些裝置運行單一業務線 (LOB) 自助服務終端應用程式,該應用由 Contoso 內部開發。 此內部應用程式僅每季進行測試與驗證。
你要部署這個 LOB 應用程式最近測試過的特定 iOS/iPadOS 版本,也就是 iOS 16.3。 如果這個自助服務機應用程式無法正常運作,零售店就無法為顧客服務。 這些裝置會連接到 Wi-Fi,當零售店關閉時會隔夜充電。
你選擇了一個隔夜維修時段,10 小時,可以在商店開門前下載並套用更新。
為達成此任務,請建立包含以下設定的政策:
工廠機器
這些裝置通常是單一用途的裝置。 它們用於關鍵任務領域,如製造線或專業設備控制 & 監控。 例如,可能是一台運行控制或監控軟體的 Android 平板,用於焊接元件的裝置。
在工廠機器情境下,主要目標是確保裝置行為一致。 匯報可能需要延後,以便所有應用程式相容性測試能完成。 安裝與重啟會在特定時間進行,通常以分階段方式部署。
這些裝置的更新策略與優先事項通常包括:
- 進階政策配置
- 嚴格版本控制
- 緩釋放週期
情境範例:
你正在Contoso工業設施的製造現場為裝置設定更新設定檔。 該設施全年無休,僅有幾小時因安全檢查必須暫停。 這些檢查每週日清晨都會進行。
這些裝置運行兩個廠商應用程式。 為了維持支援的設定,兩個應用程式更新頻率不高,且必須執行特定版本的應用程式與作業系統。
你應該部署特定、較舊的 iOS/iPadOS 版本 (15) ,因為應用程式廠商目前還不支援後續版本。 由於這些裝置幾乎一直在使用,你每週只有一次短暫的維護時段,只有星期天。
你想在週日晚上兩小時的空檔時間內排程更新。
為達成此任務,請建立包含以下設定的政策:
共用的裝置
許多使用者通常會使用共用裝置,包括教育環境。 這些裝置可以是終端機/桌上型電腦、平板電腦、筆記型電腦和智慧型手機。 這些裝置常用於辦公室、教室和零售店。
欲了解更多管理共用 iOS/iPadOS 裝置的資訊,請參閱 「iOS/iPadOS 共用裝置解決方案」。
對於 iOS/iPadOS 的共享裝置,若要套用更新,所有使用者必須登出。使用者可以登出,或重新啟動裝置,自動登出使用者。
這些裝置的更新策略與優先事項通常包括:
- 進階政策配置
- 可預測版本控制
- 受控更新行為
情境範例:
早上,UserA 登入裝置查看郵件,然後才會下樓。 一小時後,UserB 用同一台裝置執行一些 LOB 應用程式。
你需要為這個共用裝置設定更新。 這些共用裝置供一般知識工作者使用,他們週一至週五上午8點至下午5點在辦公室工作。 你希望裝置是最新 iOS/iPadOS 版本,支援所有共用裝置使用的應用程式。
為了讓政策盡可能簡單,你希望更新能在非正常工作時間安裝,外加一小時用於重啟或其他操作。
為了達成此任務,此情境涉及兩項政策:
在第一個政策中,你希望所有使用者登出,或在設定時間後重新啟動裝置。 你可以建立 Apple Business Manager 註冊設定檔,讓任何閒置超過 15 分鐘 (900 秒的使用者登出) :
在第二個政策中,請使用以下設定排程更新:
