Instalace a vynucení softwarových aktualizací na zařízeních Apple
Pomocí deklarativní správy zařízení můžou organizace nakonfigurovat různé aspekty procesu softwarových aktualizací. Patří mezi ně spravování dostupnosti softwarových aktualizací, vynucení softwarových aktualizací, registrace zařízení v betaprogramech apod.
Vyžadování minimální verze během registrace
Počínaje iOS 17, iPadOS 17 a macOS 14, můžou služby MDM během automatické registrace vynucovat minimální verzi operačního systému. Pokud na zařízení není nainstalovaná minimální verze požadovaná službou správy mobilních zařízení (MDM), je uživatel před dokončením procesu nastavení v Průvodci nastavením proveden aktualizací. Při použití automatického posouvání proběhne tentýž proces automaticky. Tato volba pomáhá zajistit, aby na zařízeních ve vlastnictví organizace byla před uvedením do provozu nainstalovaná potřebná verze operačního systému.
Správa dostupnosti softwarových aktualizací
Je možné, že organizace budou chtít mít pod kontrolou verze, na které uživatelé můžou aktualizovat svá zařízení. Taková kontrola může například obnášet ověření aktualizace u testovací skupiny, než bude uživatelům povolena její instalace a využívání v praxi, nebo zavedení různých odložení v různých skupinách, aby se nejnovější aktualizace uváděly do provozu postupně.
Časové odložení
Na zařízeních pod dohledem lze zabránit nabízení OTA aktualizací softwaru, dokud od jejich veřejného zpřístupnění společností Apple neuplyne určený čas. Řekněme například, že všechny firemní iPhony používají systém iOS 17.3 a konfiguraci pro odložení softwarové aktualizace o 30 dní. V takovém případě bude uživatelům na jejich spravovaných zařízeních nabídnut systém iOS 17.4 30 dnů po datu vydání systému iOS 17.4.
Jako součást dané konfigurace budou mít organizace možnost nastavit vlastní dobu odložení v rozmezí 1 až 90 dní. V případě iOS a iPadOS bude tato prodleva platit pro aktualizace a upgrady obou operačních systémů. V systému macOS lze nastavit různé doby odložení pro aktualizace a upgrady operačního systému i aktualizace, které se operačního systému netýkají. Mezi aktualizace, které se netýkají operačního systému patří aktualizace Safari, ovladačů tiskáren a nástrojů příkazového řádku Xcode. V systému macOS lze vlastní nastavení odložení použít například tak, aby doba odkladu pro upgrade softwaru byla delší než pro aktualizaci softwaru.
Poznámka: OTA aktualizace softwaru je obvykle k dispozici až 180 dní od data vydání, aby byla vždy zajištěna dostupnost aktualizací i pro spravovaná zařízení, na kterých je nastavená maximální možná doba odkladu.
Pro každou z výše uvedených položek nastavení v datové části omezení můžete vytvořit konfigurační profil.
Minimální podporované verze operačních systémů | Klíč a hodnota (pokud existuje) | Popis | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
iOS 11.3 nebo novější iPadOS 11.3 nebo novější macOS 10.13.4 a novější tvOS 12.2 nebo novější |
| Standardně nepravda. Pokud je nastaveno na hodnotu pravda:
Poznámka: Tato nastavení se netýkají předběžných vydání sestav macOS. | |||||||||
macOS 11.3 a novější |
| Standardně nepravda. Je‑li nastaveno na hodnotu pravda, uživatelé vidí upgrady softwaru se zpožděním 30 dní, pokud není v klíči | |||||||||
macOS 11.3 a novější |
| Standardně nepravda. Je‑li nastaveno na hodnotu pravda, uživatelé vidí aktualizace aplikací se zpožděním 30 dní, pokud není v klíči | |||||||||
iOS 11.3 nebo novější iPadOS 11.3 nebo novější macOS 10.13.4 a novější tvOS 12.2 nebo novější |
1-90 | Umožňuje správci MDM nastavit počet dní, o který je aktualizace softwaru zpožděna. Toto nastavení je při použití klíče Po zadání hodnoty uživatelé vidí aktualizace softwaru až po nastavené prodlevě (podle toho, kdy byl tento software vydán ve službě Apple Software Lookup Service). Tato hodnota řídí zpoždění pro klíč
Poznámka: Do doby vydání systému macOS 11.3 tato hodnota řídila zpoždění pro klíče | |||||||||
macOS 11.3 a novější |
1-90 | Umožňuje správci MDM nastavit počet dní, o který je upgrade softwaru zpožděn. Maximální hodnota je 90 dní a výchozí hodnota je 30 dní. Po zadání hodnoty uživatelé vidí upgrady softwaru až po nastavené prodlevě (podle toho, kdy byl tento software vydán ve službě Apple Software Lookup Service). Tato hodnota řídí zpoždění pro klíč | |||||||||
macOS 11.3 a novější |
1-90 | Umožňuje správci MDM nastavit počet dní, o který je aktualizace softwaru zpožděna. Maximální hodnota je 90 dní a výchozí hodnota je 30 dní. Po zadání hodnoty uživatelé vidí aktualizace softwaru až po nastavené prodlevě (podle toho, kdy byl tento software vydán ve službě Apple Software Lookup Service). Tato hodnota řídí zpoždění pro klíč | |||||||||
macOS 11.3 a novější |
1-90 | Umožňuje správci MDM nastavit počet dní, o který je aktualizace aplikací zpožděna. Maximální hodnota je 90 dní a výchozí hodnota je 30 dní. Po zadání hodnoty uživatelé vidí aktualizace aplikací až po nastavené prodlevě (podle toho, kdy byl tento software vydán ve službě Apple Software Lookup Service). Tato hodnota řídí zpoždění pro klíč |
Doporučená četnost v systému iOS a iPadOS
Kromě stanovení časových odkladů můžou organizace určit, zda uživatelé zařízení iPhone nebo iPad pod dohledem budou mít možnost upgradovat na novější, hlavní verzi, nebo pokračovat v používání stávající verze a nadále využívat dílčích aktualizací i poté, co je k dispozici upgrade.
Například na iPhonu se systémem iOS 16.6.1 jsou tři možnosti:
Nabídnout uživatelům pouze další aktualizace systémuiOS 16.
Nabídnout uživatelům pouze upgrade na systém iOS 17.
Umožnit uživatelům výběr: dalších aktualizací systému iOS 16 (například na iOS 16.7) nebo upgradu na systém iOS 17.
První možnost je k dispozici jen po omezenou dobu a uživatelé díky ní můžou využívat důležité aktualizace zabezpečení, zatímco se dokončuje testování před schválením hlavního upgradu pro provoz v daném prostředí.
V kombinaci s odklady lze použít doporučenou četnost. Podle výše uvedeného příkladu ji lze použít pro zachování systému iOS 16 na zařízeních, zatímco se po stanovenou dobu odloží jen aktualizace softwaru (například iOS 16.7).
Vyžadování autorizace správcem v systému macOS
Organizace můžou změnit výchozí chování a pro instalaci softwarové aktualizace vyžadovat autorizaci místního správce. Toho lze například využít při nasazení, kdy jsou zařízení sdílená více uživateli a je třeba určit, kdo může aktualizace provádět.
Vynucení softwarových aktualizací
Organizace si ve zvoleném čase můžou vynutit konkrétní aktualizace softwaru, a to bez ohledu na nakonfigurované odklady, nebo v případě, že je vypnutá automatická instalace rychlých oprav zabezpečení. To pomáhá zajistit, aby spravovaná zařízení do určitého data a času používala stanovenou verzi, a uživatelé měli možnost si aktualizaci nainstalovat až tehdy, kdy jim to bude vyhovovat (před datem vynucení).
Datum a čas vynucení jsou relativní vůči místnímu časovému pásmu zařízení. To umožňuje použití téže konfigurace v různých oblastech. Pokud je například pro datum vynucení nastaven čas 18:00, zařízení se pokusí provést aktualizaci v 18:00 zadaného dne podle místního časového pásma zařízení.
Když je vyhlášena aktualizace softwaru, uživatelé jsou informováni o jejím termínu:
v Nastavení (iOS a iPadOS) a v Nastavení systému (macOS)
v oznámení
Podle toho, kolik času zbývá do termínu vynucení, bude oznámení nabízet různé možnosti (popsané níže). Aby měli uživatelé lepší přehled a aktuální informace o daném procesu, můžou se o aktualizaci dozvědět více prostřednictvím odkazu „Více informací“.
Pokud uživatel nezahájí instalaci ihned, budou se oznámení a různé možnosti zobrazovat v závislosti na čase, který zbývá do vynucení; s blížícím se datem vynucení pak častěji. Uživatele mají pobídnout k instalaci aktualizace v době, která mu vyhovuje. Zobrazování těchto oznámení uživateli pomůže zajistit ignorování funkce Nerušit 24 hodin před vynucením.
Pokud se má aktualizace zahájit a autorizovat z oznámení nebo z Nastavení či Nastavení systému, vyzve systém uživatele k zadání přístupového kódu nebo hesla.
V případě, že uživatel nenainstaloval aktualizaci před datem vynucení:
systémy iOS a iPadOS od uživatele požadují zadání přístupového kódu (pokud je nastavený a nebyl zadán už dříve)
systém macOS vynutí ukončení všech otevřených aplikací (bez ohledu na veškeré dokumenty, které jsou otevřené a neuložené) a v případě potřeby provede restart
v případě Maců s čipy Apple použije Mac k autorizaci aktualizace bootstrapový token (pokud je dostupný) nebo vyzve uživatele k zadání přihlašovacích údajů
Pokud se má vynutit instalace aktualizace, upgradu nebo rychlých oprav zabezpečení, musí zařízení splňovat tytéž požadavky jako v případě aktualizace téhož typu zahájené uživatelem.
Hlavní výhodou deklarativní správy zařízení je autonomie zařízení. Místo spuštění jednotlivých akcí deklaruje služba MDM požadovaný stav a dosažení tohoto stavu svěří samotnému zařízení. Konkrétním příkladem tohoto chování je situace, kdy datum vynucení softwarové aktualizace bylo promeškáno, protože zařízení nesplňovalo dané požadavky. Zařízení automaticky zjistí, že deklarovaného stavu zatím nebylo dosaženo, a bude v procesu pokračovat po připojení k internetu.
Aby to bylo možné (v případě potřeby), operační systém stáhne a připraví aktualizaci a zveřejní další oznámení informující uživatele, že lhůta na provedení instalace vypršela a že se instalaci pokusí provést během následující hodiny. V případě, že z nějakého důvodu opět dojde k přerušení procesu, bude se proces opakovat při příštím zapnutí zařízení a jeho připojení k internetu.
Pomocí stavových zpráv, které jsou v případě deklarativní správy zařízení k dispozici, můžou služby MDM také získat lepší přehled o stavu instalace – například o čekání na aktualizaci, stahování a přípravě nebo instalaci aktualizace. Pro případ, že vydání nebylo možné použít nebo úspěšně dokončit jeho instalaci, byly přidány srozumitelné chybové kódy. Příklady: Zařízení bylo offline, baterie byla nedostatečně nabitá nebo nebyl k dispozici dostatek volného místa.
Aktualizace systému iPadOS na sdíleném iPadu
Softwarové aktualizace na sdílených iPadech můžou být zahájeny bezdrátově prostřednictvím služby MDM, ve které je sdílený iPad zaregistrovaný. Pokud je zařízení fyzicky připojeno, lze také použít Finder nebo Apple Configurator na Macu.
Pokud se má provést aktualizace na sdíleném iPadu, musí být uživatelé odhlášení, ale můžou zůstat uložení v mezipaměti zařízení. Pokud instalace vyžaduje více volného místa než je aktuálně k dispozici, musí se odstranit data uživatelských účtů uložená v mezipaměti. Vzhledem k nezávislosti deklarativní správy zařízení bude zařízení opakovat pokusy o instalaci nového vydání, dokud se to nepodaří.
V zájmu minimalizování prostojů by aktualizace sdílených iPadů měly být naplánovány tak, aby probíhaly mimo pracovní dobu, kdy mají nejmenší dopad na uživatele a síť.
Další informace najdete v části Aktualizace a upgrady systému iPadOS pro sdílený iPad.
Umožnění uživateli dočasně odložit softwarové aktualizace a upgrady systému macOS
Pro větší kontrolu můžete v systému macOS 12.3 nebo novějším vynutit určitou softwarovou aktualizaci či upgrade a kromě toho uživatelům umožnit aktualizaci či upgrade několikrát odložit. Služby MDM, které tuto funkci podporují, můžou určit počet opakovaných výzev pomocí instalační akce InstallLater
, v níž je tento počet definován klíčem MaxUserDeferrals
.
Oznámení o instalaci se zobrazuje přibližně každých 24 hodin. K odložení dojde, když uživatel zavře okno oznámení. Po kliknutí na oznámení má uživatel k dispozici následující volby aktualizace nebo upgradu:
Nainstalovat: Aktualizace nebo upgrade se stáhne a hned se nainstaluje.
Zkusit dnes v noci: Aktualizace nebo upgrade se stáhne a nainstaluje se později.
Když uživatel vybere tuto volbu, Mac pomocí strojového učení z dat za posledních 21 dnů určí nejvhodnější dobu pro stažení a instalaci aktualizace či upgradu – obvykle přibližně mezi druhou a čtvrtou hodinou ranní (někdy i mimo toto rozmezí).
Pokud uživateli stále zbývají odložené aktualizace nebo upgrady a nezobrazí se mu oznámení nebo oznámení ignoruje, aktualizace se nenainstaluje večer daného dne. Poslední oznámení o instalaci se zobrazí i v režimu Nerušit. Počet přípustných odložení může správce MDM také změnit zadáním nového příkazu. Počitadlo odložení na Macu se přitom vynuluje.