在 Microsoft Intune 中使用 MDM 策略管理 iOS/iPadOS 軟體更新

你可以使用 Microsoft Intune 裝置設定檔來管理註冊為監督裝置的 iOS/iPadOS 裝置的軟體更新。

受監督裝置是指透過蘋果的自動裝置註冊 (ADE) 選項之一進行註冊的裝置。 透過 ADE 註冊的裝置可透過行動裝置管理解決方案（如 Intune）進行管理控制。 ADE 選項包括 Apple Business Manager 或 Apple School Manager。

本功能適用於：

• iOS 10.3 - iOS 18 (監督)
• iPadOS 13.0 - iPadOS 18 (監督)

透過這些基於 MDM 的政策，你可以：

• 根據更新版本號，選擇部署 最新的可用更新 ，或是部署較舊的更新。

  部署舊更新時，你也必須部署裝置限制設定檔，以 限制軟體更新的可見性。 更新設定檔並不會阻止使用者手動更新作業系統。 使用者可透過裝置設定政策限制軟體更新的可見性，手動更新作業系統。

• 建立一個決定更新安裝時間的排程。 排程可以很簡單，比如裝置下次打入時安裝更新。 或者，建立更新安裝或被阻止安裝的日期與時間範圍。

  預設情況下，裝置大約每八小時會與 Intune 報到一次。 如果更新政策有更新，裝置會下載該更新。 裝置會在下一次檢查時，依照你的排程設定安裝更新。

開始之前

• iOS/iPadOS 軟體更新只會在裝置充電且沒有使用者登入共享 iPad 會話時發送給 Shared iPad 安裝。 iPad 必須登出所有使用者帳號，並接入電源，裝置才能成功更新。

• 若使用 ASAM) (自主單一應用程式模式 ，應考慮作業系統更新的影響，因為可能導致行為不佳。 考慮測試作業系統更新對你在 ASAM 中執行的應用程式的影響。 你可以使用 Intune 裝置限制設定檔來設定 ASAM。

• 如果你是新手，或是想根據常見情境獲得一些指引，請前往：

  • 監督式 iOS/iPadOS 裝置的軟體更新規劃指南
  • BYOD 及個人裝置的軟體更新規劃指南

設定更新政策

1. 登入 Microsoft Intune 系統管理中心。

2. 選擇 裝置>Apple 更新>iOS/iPadOS 更新政策>建立設定檔。

3. 在 「基礎 」標籤中，指定此政策名稱，指定描述 (可選) ，然後選擇 「下一步」。

4. 在 「更新政策設定 」標籤中，設定以下選項：

   

   1. 選擇要安裝的版本。 您可以自下列內容中選擇:

      • 最新更新：部署了 iOS/iPadOS 最新釋出的更新。
      • 任何先前版本都在下拉選單中可用。 若選擇先前版本，也必須部署裝置設定政策以延遲軟體更新的 可見 性。

   2. 排程類型：設定此政策的排程：

      • 下一次登入時更新：該更新會在裝置下一次登入 Intune 時安裝。 這個選項最簡單，且沒有額外的配置。
      • 排程更新：你設定一個或多個更新在簽到時安裝的時間窗口。
      • 超出排程時間的更新：你設定了一個或多個時間窗口。 在這些視窗期間，更新不會在簽到時安裝。

   3. 每週排班：如果您選擇的排班類型不是下 次入住時更新，請設定以下選項：

      

      • 時區：選擇一個時區。

      • 時間窗口：定義一個或多個限制更新安裝時間段的時間。 以下選項的效果取決於您選擇的排程類型。 設有上班日與結束日，支援夜間時段。 選項包括：

        • 開始日：選擇排班窗口開始的日期。
        • 開始時間：選擇排班時間窗口開始的時間。 例如，你選擇早上5點，並在 排程時間內有排程型更新。 在這種情況下，凌晨 5 點是更新安裝開始的時間。 如果你選擇了排程類型的 更新，時間不固定，那麼凌晨5點就是無法安裝更新的時段開始。
        • 結束日：選擇排班時間結束的日期。
        • 結束時間：選擇排程窗口結束的時間。 例如，你選擇凌晨 1 點，並在 排程時間內有 Schedule 類型的更新。 在這種情況下，凌晨 1 點是無法再安裝更新的時間。 如果你選擇了排程類型的 更新，時間不固定，凌晨 1 點就是更新安裝時間的開始。

      如果你沒有設定開始或結束時間，設定不會有限制，更新可以隨時安裝。

      注意事項

      你可以在 裝置限制 設定檔中設定，在受監督的 iOS/iPadOS 裝置上，暫時隱藏更新不讓裝置使用者看到。 限制期間可以讓你有時間測試更新，然後才會讓使用者看到可以安裝。 裝置限制期結束後，更新內容會對使用者可見。 使用者可以選擇安裝，或者你的軟體更新政策可能會在不久後自動安裝。

      當你使用裝置限制來隱藏更新時，請檢視你的軟體更新政策，確保他們不會在限制期結束前排程安裝更新。 軟體更新政策會根據自己的排程安裝更新，不論更新是否被裝置使用者隱藏或可見。

   在設定 好更新政策設定後，選擇 「下一步」。

5. 如果 有，在 Scope 標籤標籤 頁中選擇 + Select 範圍標籤 以開啟 「Select tags 」面板，若你想將它們套用到更新政策中。

   • 在 「選擇標籤」 面板中，選擇一個或多個標籤，然後 選擇 將它們加入政策，然後返回 範圍標籤 面板。

   準備好後，選擇「下一頁」繼續到「任務」。

6. 在 「指派 」標籤中，選擇 + 選擇「選擇要包含的群組 」，然後將更新政策指派給一個或多個群組。 使用 + 選擇群組排除 以微調作業。 準備好後，選擇 「下一 頁」繼續。

   政策鎖定使用者所使用的裝置會被評估是否符合更新。 此政策同時支援無使用者裝置。

7. 在 「檢視+建立 」標籤中，檢視設定，準備好後選擇 「建立 」來儲存你的 iOS/iPadOS 更新政策。 你的新政策會顯示在 iOS/iPadOS 的更新政策清單中。

編輯現有的原則

你可以編輯現有政策，包括更改限制時間：

1. 選擇 iOS 的 裝置>更新政策。 選取您想要編輯的原則。

2. 在查看政策 屬性時 ，選擇編輯 你想修改的政策頁面。

   

3. 在新增變更後，選擇 檢視 + 儲存>以儲存 您的編輯，並返回政策 的屬性。

延遲軟體更新的可見性

當你使用 iOS 的更新政策時，可能需要延遲顯示 iOS 軟體更新的曝光。 延遲可見性的原因包括：

• 防止使用者手動更新作業系統
• 部署舊更新，同時防止使用者安裝較新的更新

為了延遲可見性，請部署一個裝置限制範本，該範本配置以下設定：

• 延遲軟體更新 = 是的 這不會影響任何排定的更新。 它代表軟體更新在發布後，最終用戶可見的幾天。

• 延遲軟體更新 = 的預設可見性蘋果支援的最大延遲是 1 到 90 天，90 天。

裝置限制 範本是裝置設定政策的一部分。

如需Intune支援團隊的指導，請參閱Intune Customer Success 部落格《延遲監督 iOS 裝置Intune軟體更新可見性》。

監控裝置的更新安裝失敗

在 Microsoft Intune 管理中心，請前往>iOS 裝置的裝置監控>安裝失敗。

Intune 會顯示一份受更新政策針對的 iOS/iPadOS 監控裝置清單。 這份清單不包含最新且健康的裝置，因為 iOS/iPadOS 裝置只會回傳安裝失敗的資訊。

對於清單中的每個裝置， 安裝狀態會 顯示該裝置回傳的錯誤。 要查看潛在的安裝狀態值清單，請在「 iOS 裝置的安裝失敗 」頁面選擇 「過濾器」 ，然後展開下拉選單「 安裝狀態」。

後續步驟

• 監控裝置設定檔
• Intune 中監控式 iOS/iPadOS 裝置的軟體更新管理指南