Nasazení aktualizací softwaru do zařízení Apple pomocí správy zařízení
Deklarativní správa zařízení představuje budoucnost správy zařízení Apple. Umožňuje, aby zařízení asynchronně aplikovala různé parametry nastavení a hlásila stav zpět službě správy zařízení bez neustálého dotazování. Tento mechanismus optimalizuje výkonnost a rozšiřitelnost správy a také poskytuje pokročilý přístup ke správě aktualizací softwaru. Deklarativní správa zařízení nabízí aktivní odesílání hlášení o stavu ze zařízení, kdykoli se na nich změní hodnoty a konfigurace. Díky tomu má služba správy zařízení o zařízeních vždy aktuální informace, aniž by se na ně musela pravidelně dotazovat.
Místo aby služba správy zařízení zahajovala aktualizaci odesláním příkazu k aktualizaci softwaru do zařízení, deklaruje požadovaný stav verze operačního systému a úkol dosáhnout tohoto stavu svěří samotnému zařízení. To umožňuje zajistit robustnější proces aktualizace spravovaného softwaru a přehlednější informace pro uživatele.
Důležitost využívání deklarací aktualizací softwaru
Kdykoli je to možné, měly by služby správy zařízení využívat deklarace aktualizací softwaru. Starší příkazy a profily aktualizace softwaru však jsou nadále podporované a k dispozici. Můžou běžet společně s deklaracemi aktualizace softwaru s následujícími změnami:
Odložení definovaná deklaracemi mají přednost před odloženími nakonfigurovanými omezeními.
Nastavení automatických aktualizací softwaru v macOS používaná deklaracemi mají přednost před nastaveními automatických aktualizací poskytovanými konfiguračními profily.
Existuje‑li čekající aktualizace softwaru, kterou operační systém nakonfiguroval s použitím deklarativní správy zařízení, klient už nemůže zpracovávat některé příkazy zprávy zařízení a místo toho vrací chyby s informacemi o aktivní deklaraci dostupné na zařízení, jak ukazuje následující tabulka:
Příkaz správy zařízení | Výsledek | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Omezené: Na počítačích Mac se aktualizace týkající se operačního systému, které nejsou spravované, můžou objevit v odezvě na příkaz, například v Xcodu nebo v příkazovém řádku. | ||||||||||
| Zařízení vrátí chybu | ||||||||||
| Zařízení vrátí prázdné pole stavu. | ||||||||||
Použití služby pro vyhledávání aktualizací softwaru Apple
Oficiálním zdrojem, z kterého lze získat seznam veřejně dostupných aktualizací, upgradů a rychlých oprav zabezpečení, je služba pro vyhledávání aktualizací softwaru Apple (k dispozici na https://gdmf.apple.com/v2/pmv). Umožňuje službě správy zařízení dotazovat se na verze, jakmile je Apple zveřejní, a včas a přesně vyhodnocovat použitelnost pro jednotlivé modely hardwaru.
Odpověď JSON obsahuje tři seznamy dostupných verzí softwaru:
PublicAssetSets: Tento seznam obsahuje nejnovější verze, které jsou při pokusu o aktualizaci nebo upgrade k dispozici pro veřejnost.
AssetSets: Tento seznam je částí seznamu
PublicAssetSetsa obsahuje všechny verze, které jsou k dispozici pro služby správy zařízení a lze je do zařízení odeslat.PublicRapidSecurityResponses: Tento seznam obsahuje vydání rychlých oprav zabezpečení aktuálně dostupná pro zařízení Apple.
Každý prvek seznamu obsahuje číslo produkční verze a sestavu operačního systému, datum zveřejnění verze, datum vypršení platnosti a seznam podporovaných zařízení pro danou verzi. Seznam zařízení odpovídá hodnotám ProductName, které se vrátí v odezvě DeviceInformation, v počátečním požadavku Authenticate nebo v MachineInfo, když se zařízení pokouší o registraci.
Datum vypršení platnosti, obvykle nastavené na 180 dní po datu vydání, určuje den, kdy vyprší platnost podpisu aktualizace. Aktualizaci, které vypršela platnost, už nelze na zařízení nainstalovat. Je možné, že při zpřístupnění následných aktualizací budou aktualizována data vypršení platnosti předchozích aktualizací. Pokud není uvedeno žádné datum vypršení platnosti, aktualizace je stále platná. Platnost aktualizace je ukončená jen tehdy, když má minulé datum vypršení platnosti.
Položky jsou seskupeny podle platformy operačního systému pomocí následujících klíčů:
iOS(který zahrnuje iPadOS, tvOS a watchOS)macOSvisionOS
{ "AssetSets": { "iOS": [ {"ProductVersion": "18.2.1","Build": "22C6161","PostingDate": "2025-01-06","ExpirationDate": "2025-04-17","SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1", "iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", "iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", "iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,10", "iPad14,11", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad14,8", "iPad14,9", "iPad16,1", "iPad16,2", "iPad16,3", "iPad16,4", "iPad16,5", "iPad16,6", "iPad7,11", "iPad7,12", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone11,2", "iPhone11,4", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3", "iPhone15,4", "iPhone15,5", "iPhone16,1", "iPhone16,2", "iPhone17,1", "iPhone17,2", "iPhone17,3", "iPhone17,4" ] },V seznamu verzí produktu zjistíte, které verze jsou novější než aktuální verze operačního systému zařízení a použitelné pro konkrétní zařízení. Tento seznam verzí následně můžete poskytnout správci služeb správy zařízení jako potenciální kandidáty na aktualizaci operačního systému.
Odesílání stavových zpráv do služby správy zařízení
Aby mohl server dostávat aktuální informace o stavových položkách při jejich změně, musí se přihlásit k odběru jednotlivých stavových zpráv odesláním deklarace ManagementStatusSubscriptions do zařízení. Zařízení potom odesílá do služby správy zařízení zprávu StatusReport při aktivaci deklarace ManagementStatusSubscriptions, při změně stavu odebírané položky a každých 24 hodin.
Za účelem sledování verzí operačního systému a stavu aktualizace softwaru může služba správy zařízení odebírat následující stavové zprávy:
Stavová zpráva | Popis |
|---|---|
| Verze sestavy operačního systému na zařízení (např. 21E219). |
| Verze operačního systému, kterou zařízení používá (např. 17.4). |
| Verze sestavy a rychlé opravy zabezpečení operačního systému, které zařízení používá (např. 20A123a nebo 20F75c). |
| Verze rychlé opravy zabezpečení operačního systému, kterou zařízení používá (např. a). |
| Slovník obsahující verze sestavy a operačního systému aktualizace softwaru, která čeká na zařízení. |
| Stav instalace aktualizace softwaru, který má následující hodnoty:
|
| Slovník s podrobnostmi o důvodu čekající aktualizace softwaru. Klíč
|
| Podrobnosti o selhání aktualizace softwaru. Podrobnosti zahrnují počet selhání aktualizace softwaru, časovou značku posledního selhání a důvod selhání. |
| Název betaprogramu, do kterého je zařízení zaregistrováno nebo prázdný řetězec, pokud v žádném betaprogramu zaregistrováno není. |
Kromě jiných zpráv můžou služby správy zařízení také požadovat, aby byla správcům k dispozici stavová zpráva softwareupdate.install-reason, a to za účelem podpory a poskytnutí doplňujících informací o tom, za jaké situace k aktualizaci dochází. Pomocí tohoto slovníku můžete zjistit, zda aktualizaci zahájil uživatel, zda k ní došlo automaticky nebo zda ji zahájila deklarace vynucující aktualizaci softwaru.
Vyžadování konkrétních minimálních verzí softwaru při registraci
Pokud zařízení tuto funkci podporuje, vrátí klíč MDM_CAN_REQUEST_SOFTWARE_UPDATE nastavený na hodnotu Pravda v datech MachineInfo, která službě správy zařízení pošle v původním požadavku HTTP POST, když detekuje konfiguraci správy v Průvodci nastavením. Další informace najdete v yaml souboru MachineInfo v úložišti GitHub pro správu zařízení Apple.
Kromě toho zařízení poskytují následující pole v datech MachineInfo (všechny řetězce):
Klíč | Minimální podporované verze operačních systémů | Popis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
VERSION | iOS 17 iPadOS 17 macOS 14 | Verze sestavy nainstalovaná na zařízení (např. 7A182). | |||||||||
OS_VERSION | iOS 17 iPadOS 17 macOS 14 | Verze operačního systému nainstalovaná na zařízení (např. 17.0). | |||||||||
SUPPLEMENTAL_BUILD_VERSION | iOS 17 iPadOS 17 macOS 14 | Verze rychlých oprav zabezpečení na zařízení (pokud je verze k dispozici). | |||||||||
SUPPLEMENTAL_OS_VERSION_EXTRA | iOS 17 iPadOS 17 macOS 14 | Doplňková verze rychlých oprav zabezpečení na zařízení (pokud je verze k dispozici). | |||||||||
SOFTWARE_UPDATE_DEVICE_ID | iOS 17.4 iPadOS 17.4 macOS 14.4 | Identifikátor modelu zařízení použitý k hledání dostupných aktualizací operačního systému ve službě pro vyhledávání aktualizací softwaru Apple. | |||||||||
Na základě poskytnutých informací se může služba správy zařízení rozhodnout, jestli aktualizaci zařízení vynutí.
Pokud se služba správy zařízení rozhodne aktualizaci softwaru nevynucovat, jednoduše v odpovědi na požadavek
HTTP POSTvrátí registrační profil, čímž povoluje pokračování v registraci.Pokud se služba správy zařízení rozhodne aktualizaci softwaru vynutit, musí vrátit odpověď
HTTPse stavovým kódem 403 a do textu odpovědi zahrnout objekt ve formátu JSON nebo XML (záhlavíHTTP Content-Typemusí být nastavené na hodnotuapplication/json, připadněapplication/xml).
Po obdržení odpovědi na chybu se zařízení pokusí o aktualizaci na zadanou verzi. Pokud aktualizace proběhne úspěšně, zařízení se restartuje a uživatel musí znovu projít Průvodcem nastavením. Následující požadavek MachineInfo POST ze zařízení, který je určený pro službu správy zařízení, vrátí aktualizovanou verzi operačního systému a služba pak může pokračovat v registraci. V případě, že aktualizace selže, uživatel dostane zprávu o chybě a v Průvodci nastavením se znovu zobrazí panel Vzdálená správa.
V tabulce níže je definováno schéma odpovědi.
Klíč | Typ | Povinná | Popis | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Řetězec | Ano | Musí být nastaven na hodnotu | ||||||||
| Řetězec | Ne | Popis chyby. Používá se pouze pro účely protokolování. | ||||||||
| Řetězec | Ne | Popis chyby vhodný pro zobrazení uživateli. | ||||||||
| Slovník | Ano | Další data určující aktualizaci softwaru. | ||||||||
Zde je definováno schéma slovníku podrobností.
Klíč | Typ | Povinná | Popis | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Řetězec | Ano | Verze operačního systému, na kterou se musí zařízení aktualizovat. | ||||||||
| Řetězec | Ne | Verze sestavy, na kterou se musí zařízení aktualizovat. | ||||||||
| Slovník | Ne | Zařízení se zaregistruje do betaprogramu a umožní vynucené aktualizace softwaru na verze operačního systému betaprogramu. Po dokončení vynucené aktualizace softwaru zůstane zařízení v betaprogramu. | ||||||||
Pokud zadáte jen klíč OSVersion, zařízení automaticky stáhne a nainstaluje veškeré rychlé opravy zabezpečení, které jsou pro tuto verzi k dispozici. V případě, že je třeba použít konkrétní sestavu nebo doplňkovou verzi, může služba správy zařízení volitelně uvést také hodnotu BuildVersion. Pokud má zařízení například před registrací použít verzi iOS 16.5.1(a), ačkoli je už k dispozici iOS 16.5.1(c), musí služba správy zařízení nastavit klíč OSVersion na hodnotu iOS 16.5.1 a klíč BuildVersion na hodnotu 20F770750b.
Důležité: Ve verzích systému před macOS 15 lze zadat jen verze ze seznamů PublicAssetSets a PublicRapidSecurityResponses. V macOS 15 lze použít také položky ze seznamu AssetSets.
Nastavení správy zařízení pro aktualizaci softwaru
Deklarace com.apple.configuration.softwareupdate.settings (k dispozici v systémech iOS 18, iPadOS 18, macOS 15 a tvOS 18.4 nebo novějších) sestává ze slovníků, které lze použít k nakonfigurování různých aspektů chování aktualizace softwaru.
Když služba správy zařízení distribuuje různé klíče mezi více deklarací, zařízení následně sloučí volby ze všech aktivních deklarací nastavení aktualizace softwaru. V případě, že je tentýž klíč nakonfigurován ve více deklaracích, bude chování při sloučení záviset na jednotlivých klíčích, jak je uvedeno v tabulkách níže.
Konfigurace automatické aktualizace softwaru prostřednictvím služby správy zařízení
Deklarace com.apple.configuration.softwareupdate.settings poskytuje slovník, který definuje chování automatických aktualizací softwaru na zařízeních Phone, iPad, Apple TV a Mac pod dohledem. Další informace najdete v části Klíče slovníku AutomaticActions.
Jak služba správy zařízení pracuje s rychlými opravami zabezpečení
Rychlé opravy zabezpečení se vždy týkají nejnovější aktualizace operačního systému, která bude základní verzí rychlé opravy zabezpečení. Pokud je například na iPhonu nainstalovaná verze operačního systému iOS 17.2 použije se doplňková aktualizace 17.2 (a), pokud je k dispozici. V systémech iOS 18, iPadOS 18 a macOS 15 byly zpřístupněny kombinované aktualizace, což umožňuje do aktualizace softwaru zahrnout veškeré dostupné rychlé opravy zabezpečení.
Ve starších verzích systému než iOS 18, iPadOS 18 a macOS 15 může být nutné, aby služba správy zařízení spustila aktualizaci softwaru dvakrát a zjistila tak, jestli je k dispozici konkrétní doplňková verze. Nejprve musí zařízení aktualizovat na základní verzi doplňkové aktualizace, pokud už na zařízení tato základní verze není nainstalovaná (například iOS 17.1 na iOS 17.2). Pak musí aktualizovat základní verzi na doplňkovou (například iOS 17.2 na iOS 17.2 (a)).
V systémech iOS 18, iPadOS 18 a macOS 15 může služba správy zařízení uvést jednu z následujících verzí:
Verzi operačního systému (automaticky instaluje dostupné rychlé opravy zabezpečení)
Doplňkovou verzi sestavy (zařízení provádí nutné aktualizace základní verze automaticky během procesu)
Tyto dva přístupy se týkají konfigurace vynucení aktualizací softwaru a vynucení minimální verze během automatické registrace zařízení.
Deklaraci com.apple.configuration.softwareupdate.settings lze také použít ke konfiguraci chování rychlých oprav zabezpečení na zařízeních iPhone, iPad a Mac pod dohledem. Další informace najdete v části Klíče slovníku RapidSecurityResponse pro iOS, iPadOS a macOS.
Odkládání aktualizací softwaru prostřednictvím služby správy zařízení
Odložení aktualizace nebo upgradu softwaru o 1 až 90 dní se na zařízeních iPhone, iPad a Mac pod dohledem provádí prostřednictvím deklarace com.apple.configuration.softwareupdate.settings.
Nakonfigurované odklady určují, po kolika dnech od veřejného zpřístupnění určité verze ji organizace začne nabízet uživatelům. Nezávisle na nakonfigurovaných odkladech však může služba správy zařízení na spravovaných zařízení vynutit konkrétní aktualizaci softwaru, upgrade nebo rychlou opravu zabezpečení. Další informace najdete v tématech Klíče slovníku Odložení pro iOS, iPadOS a tvOS a Klíče slovníku Odložení pro macOS.
Poznámka: Odložení aktualizací softwaru odloží také veškeré rychlé opravy zabezpečení, které na příslušné verzi závisí.
Vynucování aktualizací softwaru prostřednictvím služby správy zařízení
K vynucení aktualizace softwaru do určité doby můžou služby správy zařízení na zařízeních zaregistrovaných metodou registrace zařízení nebo automatické registrace zařízení použít deklaraci com.apple.configuration.softwareupdate.enforcement.specific.
Je‑li na zařízení použita konfigurace specifikující operační systém nebo verzi sestavy, které jsou shodné s aktuální verzí v zařízení nebo starší, zařízení vrátí ve stavové zprávě chybu.
Když je v novějším operačním systému nebo verzi sestavy k dispozici více konfigurací než v aktuální verzi v zařízení, bude konfigurace s nejdřívějším datem aktivace zpracována jako první, zatímco všechny ostatní zůstanou ve frontě. Po aktualizaci zařízení na novou verzi znovu proběhne zpracování sady konfigurací a výběr konfigurace, která bude zpracována jako další. V rámci tohoto procesu zařízení ignoruje všechny existující konfigurace udávající verzi, která je starší než aktuální verze nebo stejná.
V případě, že služba správy zařízení definuje pouze klíč TargetOSVersion, operační systém automaticky nainstaluje všechny dostupné rychlé opravy zabezpečení. Pro zacílení na konkrétní verzi nebo rychlou opravu zabezpečení může služba správy zařízení kromě zadání sestavy včetně identifikátoru doplňkové verze použít také klíč TargetBuildVersion.
Další informace najdete v části Klíče vynucených aktualizací softwaru.
Notifications
Klíč Notifications změní výchozí chování oznámení a zobrazí pouze oznámení 1 hodinu před časem vynucení a odpočítávání do restartu. Další informace najdete v části Klíč Notifications.
Použití bootstrapového tokenu na počítačích Mac s čipem Apple
Pro autorizaci vynucené aktualizace softwaru na počítači Mac s čipem Apple pod dohledem si může služba správy zařízení vyžádat bootstrapový token a převzít ho do úschovy. To umožňuje zcela bezproblémové provedení aktualizace softwaru bez nutnosti jakékoli interakce s uživatelem během tohoto procesu. V případě potřeby použije zařízení k načtení bootstrapového tokenu ze služby správy zařízení příkaz GetBootstrapTokenRequest.
V prvním kroku služba správy zařízení pomocí příkazu SecurityInfo zjistí, zda zařízení podporuje bootstrapové tokeny. Pokud odpověď obsahuje hodnotu BootstrapTokenRequiredForSoftwareUpdate nastavenou na hodnotu true, může zařízení použít bootstrapový token k autorizaci aktualizace softwaru.
Aby bylo možné bootstrapový token vytvořit, musí služba správy zařízení do pole ServerCapabilities v profilu správy zařízení přidat hodnotu com.apple.mdm.bootstraptoken. Další informace najdete v tématu Device Management Profile (Profil správy zařízení) na webových stránkách Apple Developer.
Po obdržení bootstrapového tokenu vytvoří zařízení bootstrapový token při příštím přihlášení uživatele s aktivním zabezpečeným tokenem. Potom se spojí s přihlašovacím koncovým bodem služby správy zařízení a pomocí příkazu SetBootstrapTokenRequest jí předá token do úschovy. Další informace najdete v tématu Set Bootstrap Token (Nastavení bootstrapového tokenu) na webových stránkách Apple Developer.
Informace o nejnovějších specifikacích schématu najdete v Apple device management GitHub repository (webové hostitelské službě pro úložiště Git správy zařízení Apple).