为 Apple 设备安装和执行软件更新
组织可使用声明式设备管理来配置软件更新过程的不同方面。这包括管理软件更新可用性、执行软件更新和将设备注册到 Beta 版计划等。
注册过程中的最低版本要求
自 iOS 17、iPadOS 17 和 macOS 14 起,MDM 解决方案可在自动设备注册过程中强制执行最低操作系统版本。如果设备不符合移动设备管理 (MDM) 解决方案预期的最低版本,用户会被引导进行更新,然后才能完成“设置助理”。搭配“自动前进”使用时也会自动执行相同过程。这有助于确保组织拥有的设备在进入生产环境前运行所需操作系统版本。
管理软件更新可用性
组织可能想要控制其用户可将设备更新到的版本。例如,此控制可用于通过测试群组执行更新验证,然后再允许所有用户在生产环境中安装该更新,或者为不同群组部署不同推迟以分阶段推出最近更新。
基于时间推迟
被监督的设备可被阻止向用户提供 OTA 软件更新,直到 Apple 公开发布这些更新后已过去指定时间。例如,有一组使用 iOS 17.3 的 iPhone,并且应用了 30 天的推迟软件更新配置。在这种情况下,系统会在 iOS 17.4 发布日期的 30 天后在用户的管理式设备上提供 iOS 17.4。
作为配置的一部分,组织可指定 1 到 90 天中的自定义推迟时段。在 iOS 和 iPadOS 中,此延迟会同时应用到操作系统更新和升级。在 macOS 中,组织也可为操作系统更新、升级和非操作系统更新指定不同的推迟时段。非操作系统更新包括针对 Safari 浏览器、打印机驱动程序和 Xcode 命令行工具的更新。例如,自定义推迟可在 macOS 上用来使软件升级的推迟时间比软件更新更长。
【注】OTA 软件更新通常在其初始发布日期后的最多 180 天内可用,以确保更新始终可供具有最大推迟值的管理式设备使用。
你可以为以下列出的每个访问限制有效负载设置创建配置描述文件。
支持的最低操作系统版本 | 键和值(若有) | 描述 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
iOS 11.3 或更高版本 iPadOS 11.3 或更高版本 macOS 10.13.4 或更高版本 Apple tvOS 12.2 或更高版本 |
| 默认为 false。若设为 true:
【注】macOS Seed 版号不适用。 | |||||||||
macOS 11.3 或更高版本 |
| 默认为 false。若设为 true,软件升级的用户可见性延迟 30 天,除非通过 | |||||||||
macOS 11.3 或更高版本 |
| 默认为 false。若设为 true,App 更新的用户可见性延迟 30 天,除非通过 | |||||||||
iOS 11.3 或更高版本 iPadOS 11.3 或更高版本 macOS 10.13.4 或更高版本 Apple tvOS 12.2 或更高版本 |
1-90 | 允许 MDM 管理员设定软件更新的延迟天数。使用 设定某个值后,软件更新的用户可见性只会在指定的延迟天数(根据 Apple 软件查询服务中该软件的发布日期而定)后出现。这个值控制
【注】在 macOS 11.3 之前,这个值同时控制 | |||||||||
macOS 11.3 或更高版本 |
1-90 | 允许 MDM 管理员设定软件升级的延迟天数。最大值为 90 天,默认值为 30 天。 设定某个值后,软件升级的用户可见性只会在指定的延迟天数(根据 Apple 软件查询服务中该软件的发布日期而定)后出现。 这个值控制 | |||||||||
macOS 11.3 或更高版本 |
1-90 | 允许 MDM 管理员设定软件更新的延迟天数。最大值为 90 天,默认值为 30 天。 设定某个值后,软件更新的用户可见性只会在指定的延迟天数(根据 Apple 软件查询服务中该软件的发布日期而定)后出现。 这个值控制 | |||||||||
macOS 11.3 或更高版本 |
1-90 | 允许 MDM 管理员设定 App 更新的延迟天数。最大值为 90 天,默认值为 30 天。 设定某个值后,App 更新的用户可见性只会在指定的延迟天数(根据该软件的发布日期而定)后出现。 这个值控制 |
iOS 和 iPadOS 上的推荐规律
除了定义基于时间的推迟外,组织还可定义被监督 iPhone 和 iPad 设备上的用户是否可选择升级到更新的主要版本,或者继续使用当前版本但仍接收次要更新,即使在升级可用后。
例如,在运行 iOS 16.6.1 的 iPhone 上,可使用以下三个选项之一:
仅向用户提供 iOS 16 的附加更新。
仅向用户提供 iOS 17 升级。
允许用户选择:iOS 16 的附加更新(例如,iOS 16.7)或升级到 iOS 17。
第一个选项仅在有限的时间内可用,并在测试完成以批准将主要升级用于生产环境时让用户从重要的安全更新中受益。
与推迟结合使用时,可使用推荐的规律。在上例中,推荐的规律可用于使设备保持运行 iOS 16,同时仅将软件更新(如 iOS 16.7)推迟定义的一段时间。
在 macOS 上需要管理员授权
组织可更改默认行为以要求在本地管理员授权后才能安装软件更新。例如,这可在多名用户共享一台设备的部署中用来限制谁可执行更新。
执行软件更新
组织可在所选时间强制执行指定软件更新,而无视配置的推迟时间或快速安全响应的自动安装是否已关闭。这有助于确保管理式设备在特定日期和时间前运行指定版本,同时允许用户在自己方便的时间安装更新(在强制执行日期之前)。
强制执行日期和时间与设备的本地时区相关。这可让相同配置应用到不同地区。例如,如果强制执行日期设为下午 6 点,设备会在其本地时区指定日期的下午 6 点尝试执行更新。
声明软件更新时,系统会通知用户其截止日期:
在“设置”(iOS 和 iPadOS)和“系统设置” (macOS) 中
在通知中
通知会根据强制执行截止日期的所剩时间提供不同选项(如下所述)。为增加用户透明度并让其随时了解进程,可使用“更多信息”链接提供与更新相关的其他信息。
如果用户未立即开始安装,依据剩余时间而显示的通知和选项则会随着强制执行日期的临近而越发频繁,旨在鼓励用户在自己方便的时间安装更新。为帮助确保向用户显示这些通知,系统会在强制执行的前 24 小时内忽略勿扰模式功能。
为从通知或“设置”和“系统设置”发起和授权更新,系统会提供用户输入其密码。
如果用户在本地强制执行日期之前尚未安装更新:
如果设定了密码,iOS 和 iPadOS 会强制用户输入其密码(除非之前已输入)
macOS 会强制退出所有打开的 App(无论是否有文稿为打开且未存储状态)并执行重新启动(如果需要)
在搭载 Apple 芯片的 Mac 上,Mac 使用 Bootstrap 令牌(如果可用)来授权更新或 Mac 提示用户输入其凭证
为执行更新、升级或快速安全响应的安装,设备必须符合与用户发起的同类更新相同的要求。
声明式设备管理的主要优点是设备的自主控制权。MDM 解决方案会声明预期状态并将达成该状态的任务授权给设备本身,而不是触发单个操作。此行为的一个具体例子是,由于设备不符合要求而错过软件更新强制执行日期的情况。设备会自动检测到尚未达成声明的状态,并在其接入互联网时恢复进程。
为此,操作系统会在需要时下载并准备更新,并发布另一则通知让用户知道安装已过期,将在下一小时内尝试执行安装。如出于某些原因而使进程再次中断,进程会在下次设备开机并接入互联网时重新执行。
使用声明式设备管理提供的状态报告,MDM 解决方案还可以获取更高透明度的安装状态,例如正在等待、下载和准备或者安装更新。还增加了有意义的错误代码,以防无法应用或未能成功完成发布。此类部分示例包括如果设备离线、如果电池电量太低或者如果可用空间不足。
在“共享 iPad”上更新 iPadOS
“共享 iPad”设备上的软件更新可使用“共享 iPad”所注册的 MDM 解决方案以无线方式发起。如果设备采用物理方式连接,也可在 Mac 上使用访达或 Apple Configurator。
若要在“共享 iPad”上安装更新,用户必须退出登录,但可缓存在设备上。如果安装需要比当前可用空间更多的可用空间,则必须移除缓存用户账户数据。由于声明式设备管理的自主控制权,设备会一直重新尝试安装新版本,直至成功。
为了尽可能缩短停用时间,“共享 iPad”的更新应当安排在空闲时间进行以尽量减小对用户和网络的影响。
有关更多信息,请参阅更新和升级“共享 iPad”的 iPadOS。
允许用户暂时推迟 macOS 软件更新和升级
若要进一步控制,在 macOS 12.3 或更高版本中,你可以强制执行特定软件更新或升级,同时允许用户将更新或升级推迟特定次数。支持此功能的 MDM 解决方案可以使用 InstallLater
安装操作来指定次数,该次数由 MaxUserDeferrals
键定义。
安装通知大约每 24 小时显示一次。当用户关闭通知窗口时,即会推迟更新。用户在点按通知后会出现以下更新或升级选项:
现在安装:立即下载并安装更新或升级。
今晚尝试:稍后下载并安装。
如果用户选择此选项,Mac 会基于对过去 21 天数据的机器学习结果找到最适宜下载和安装更新或升级的时间,大致为凌晨 2:00 至 4:00 之间(也可能是其他时间)。
如果用户仍有剩余的推迟次数且其未看到或忽略通知,更新将不会在当天夜间安装。最终的安装通知会绕过“勿扰模式”。此外,MDM 管理员还可通过发布新命令来更新可能使用的推迟天数。执行此操作会重设 Mac 上的推迟计数。