Instalace a vynucení softwarových aktualizací na zařízeních Apple
Pomocí deklarativní správy zařízení můžou organizace nakonfigurovat různé aspekty procesu softwarových aktualizací. Patří mezi ně spravování dostupnosti softwarových aktualizací, vynucení softwarových aktualizací, registrace zařízení v betaprogramech apod.
Vyžadování minimální verze během registrace
Počínaje systémy iOS 17, iPadOS 17 a macOS 14 můžou služby správy zařízení při automatické registraci zařízení vynucovat minimální verzi operačního systému. V případě, že zařízení nesplňuje minimální verzi, kterou očekává služba správy zařízení, před dokončením procesu nastavení v Průvodci nastavením provede uživatele procesem aktualizace. Při použití automatického posouvání proběhne tentýž proces automaticky. Toto chování pomáhá na zařízeních ve vlastnictví organizace před uvedením do provozu zajistit instalaci potřebné verze operačního systému.
Správa dostupnosti softwarových aktualizací
Je možné, že organizace budou chtít mít pod kontrolou verze, na které uživatelé můžou aktualizovat svá zařízení. Taková kontrola může například obnášet ověření aktualizace u testovací skupiny, než bude uživatelům povolena její instalace a využívání v praxi, nebo zavedení různých odložení v různých skupinách, aby se nejnovější aktualizace uváděly do provozu postupně.
Časové odložení
U spravovaných zařízení lze zabránit nabízení bezdrátových aktualizací softwaru nebo spouštění automatických aktualizací, dokud neuplyne stanovená lhůta od jejich zveřejnění společností Apple. Řekněme například, že všechny firemní iPhony používají systém iOS 17.3 a konfiguraci pro odložení softwarové aktualizace o 30 dní. V takovém případě bude uživatelům na jejich spravovaných zařízeních nabídnut systém iOS 17.4 30 dnů po datu vydání systému iOS 17.4.
Jako součást dané konfigurace budou mít organizace možnost nastavit vlastní dobu odložení v rozmezí 1 až 90 dní. Na zařízeních iPhone, iPad a Apple TV bude tato prodleva platit pro aktualizace a upgrady obou operačních systémů. Na Macích lze nastavit různé doby odložení pro aktualizace a upgrady operačního systému i aktualizace, které se operačního systému netýkají. Mezi aktualizace, které se netýkají operačního systému, patří aktualizace Safari, XProtect, ovladačů tiskáren a nástrojů příkazového řádku Xcode. V systému macOS lze vlastní nastavení odložení použít například tak, aby doba odkladu pro upgrade softwaru byla delší než pro aktualizaci softwaru.
Poznámka: OTA aktualizace softwaru je obvykle k dispozici až 180 dní od data vydání, aby byla vždy zajištěna dostupnost aktualizací i pro spravovaná zařízení, na kterých je nastavená maximální možná doba odkladu.
Doporučená četnost v systému iOS a iPadOS
Kromě stanovení časových odkladů můžou organizace určit, zda uživatelé zařízení iPhone nebo iPad pod dohledem budou mít možnost upgradovat na novější, hlavní verzi, nebo pokračovat v používání stávající verze a nadále využívat dílčích aktualizací i poté, co je k dispozici upgrade.
Například na iPhonu se systémem iOS 17.6 jsou tři možnosti:
Nabídnout uživatelům pouze další aktualizace systému iOS 17.
Nabídnout uživatelům pouze upgrade na systém iOS 18.
Umožnit uživatelům výběr: dalších aktualizací systému iOS 17 (například na iOS 17.7) nebo upgradu na iOS 18.
První možnost je k dispozici jen po omezenou dobu a uživatelé díky ní můžou využívat důležité aktualizace zabezpečení, zatímco se dokončuje testování před schválením hlavního upgradu pro provoz v daném prostředí.
V kombinaci s odklady lze použít doporučenou četnost. Podle výše uvedeného příkladu ji lze použít pro zachování systému iOS 17 na zařízeních, zatímco se po stanovenou dobu odloží jen aktualizace softwaru (například iOS 17.7).
Automatická instalace aktualizací softwaru
Na zařízeních se systémem iOS 18, iPadOS 18, macOS 14, tvOS 18.4 nebo novějším můžou organizace na zařízeních pod dohledem spravovat chování automatických aktualizací softwaru.
Poznámka: Automatické aktualizace softwaru dodržují časové odklady a spouštějí se až po uplynutí stanovené lhůty.
Automatické aktualizace softwaru (nikoli upgrady)
Pro stahování a přípravu automatických aktualizací softwaru jsou k dispozici následující možnosti konfigurací:
O zapnutí automatického stahování rozhodne uživatel.
Vypnuté automatické stahování aktualizací.
Zapnuté automatické stahování aktualizací.
Pro instalaci automatických aktualizací a upgradů softwaru jsou k dispozici následující možnosti konfigurací:
O zapnutí automatických instalací aktualizací rozhodne uživatel.
Vypnuté automatické instalace aktualizací.
Zapnuté automatické instalace aktualizací.
Poznámka: Tato možnost vyžaduje zapnutí automatického stahování.
Tyto možnosti poskytují organizaci podrobnější kontrolu nad definováním nejvhodnějšího přístupu k automatickým aktualizacím softwaru.
Na počítačích Mac je k dispozici další nastavení s týmiž třemi volbami konfigurace pro aktualizace zabezpečení, které zahrnují aktualizace pro XProtect, Gatekeeper a systémové datové soubory. Další informace najdete v článku podpory Apple: Aktualizace na pozadí v macOS.
Automatické rychlé opravy zabezpečení
Rychlých oprav zabezpečení se netýká odložení aktualizace spravovaného softwaru. Protože se uplatňují jen v nejnovější podverzi operačního systému, bude v případě odložení této aktualizace odložena také rychlá oprava zabezpečení.
Organizace můžou určit, zda se rychlé opravy zabezpečení použijí automaticky a zda se uživatelům povolí je po použití odstranit.
Vyžadování autorizace správcem v systému macOS
Organizace můžou změnit výchozí chování a pro instalaci softwarové aktualizace vyžadovat autorizaci místního správce. Toho lze například využít při nasazení, kdy jsou zařízení sdílená více uživateli a je třeba určit, kdo může aktualizace provádět.
Vynucení softwarových aktualizací
Organizace si ve zvoleném čase můžou vynutit konkrétní aktualizace softwaru, a to bez ohledu na nakonfigurované odklady, nebo v případě, že je vypnutá automatická instalace rychlých oprav zabezpečení. To pomáhá zajistit, aby spravovaná zařízení do určitého data a času používala stanovenou verzi, a uživatelé měli možnost si aktualizaci nainstalovat až tehdy, kdy jim to bude vyhovovat (před datem vynucení).
Datum a čas vynucení jsou relativní vůči místnímu časovému pásmu zařízení. To umožňuje použití téže konfigurace v různých oblastech. Pokud je například pro datum vynucení nastaven čas 18:00, zařízení se pokusí provést aktualizaci v 18:00 zadaného dne podle místního časového pásma zařízení.
Když je vyhlášena aktualizace softwaru, uživatelé jsou informováni o jejím termínu:
v nastavení (iOS, iPadOS a tvOS) a v Nastavení systému (macOS)
v oznámení
Podle toho, kolik času zbývá do termínu vynucení, bude oznámení v systémech iOS, iPadOS a macOS nabízet různé možnosti (popsané níže). Aby měli uživatelé lepší přehled a aktuální informace o daném procesu, můžou se o aktualizaci dozvědět více prostřednictvím odkazu „Více informací“. Systém tvOS zobrazuje oznámení s touž četností, ale jen s jedinou volbou (kterou nelze odmítnout) pro potvrzení načasování vynucené aktualizace.
Pokud uživatel nezahájí instalaci ihned, budou se oznámení a různé možnosti zobrazovat v závislosti na čase, který zbývá do vynucení; s blížícím se datem vynucení pak častěji. Uživatele mají pobídnout k instalaci aktualizace v době, která mu vyhovuje. Zobrazování těchto oznámení uživateli pomůže zajistit ignorování funkce Nerušit 24 hodin před vynucením.
Na zařízeních se systémem iOS 18, iPadOS 18, macOS 15 a tvOS 18.4 můžou organizace případně nastavit oznámení tak, aby se zobrazovala jen 1 hodinu před termínem vynucení a ukazovala odpočítávání do restartu. Sníží se tak množství oznámení zobrazených na zařízeních – když například nejsou přímo přiřazeny uživateli (jako v případě nasazení režimu kiosku).
Pokud se má aktualizace zahájit a autorizovat z oznámení nebo z Nastavení či Nastavení systému, vyzve systém uživatele k zadání přístupového kódu nebo hesla.
V případě, že uživatel nenainstaloval aktualizaci před datem vynucení:
tvOS nainstaluje aktualizaci
systémy iOS a iPadOS od uživatele požadují zadání přístupového kódu (pokud je nastavený a nebyl zadán už dříve)
Další informace najdete v části Escrow keybag v příručce Apple Platform Security.
systém macOS vynutí ukončení všech otevřených aplikací (bez ohledu na veškeré dokumenty, které jsou otevřené a neuložené) a v případě potřeby provede restart
v případě Maců s čipy Apple použije Mac k autorizaci aktualizace bootstrapový token (pokud je dostupný) nebo vyzve uživatele k zadání přihlašovacích údajů
Při nucené instalaci aktualizace, upgradu nebo rychlé opravy zabezpečení musí zařízení splňovat stejné požadavky jako v případě aktualizace téhož typu zahájené uživatelem.
Hlavní výhodou deklarativní správy zařízení je autonomie zařízení. Místo spouštění jednotlivých akcí deklaruje služba správy zařízení požadovaný stav a dosažení tohoto stavu svěří samotnému zařízení. Konkrétním příkladem tohoto chování je situace, kdy operační systém promešká datum vynucení softwarové aktualizace, protože zařízení nesplňuje příslušné požadavky. Zařízení automaticky zjistí, že operační systém nedosáhl deklarovaného stavu, a po připojení k internetu bude v procesu pokračovat.
Aby to bylo možné (v případě potřeby), operační systém stáhne a připraví aktualizaci a zveřejní další oznámení informující uživatele, že lhůta na provedení instalace vypršela a že se instalaci pokusí provést během následující hodiny. V případě, že z nějakého důvodu opět dojde k přerušení procesu, bude se proces opakovat při příštím zapnutí zařízení a jeho připojení k internetu.
Pomocí stavových zpráv, které jsou v případě deklarativní správy zařízení k dispozici, můžou služby správy zařízení získat lepší přehled o stavu instalace – například čekání na aktualizaci, stahování a příprava nebo instalace. Z významových kódů chyb lze vyčíst, proč nemohl systém nasadit nové vydání nebo proč nemůže nasazení úspěšně dokončit. K této situaci může dojít, když je zařízení offline, není dostatečně nabitá baterie nebo není k dispozici dostatek volného místa.
Aktualizace systému iPadOS na sdíleném iPadu
Na sdílených iPadech můžete aktualizaci softwaru zahájit bezdrátově prostřednictvím služby správy zařízení, ve které je sdílený iPad zaregistrovaný. Pokud je zařízení fyzicky připojené, můžete na Macu použít Finder nebo Apple Configurator.
Při instalaci aktualizace do sdíleného iPadu musí být uživatelé odhlášení, ale můžou zůstat uložení v mezipaměti zařízení. Pokud instalace vyžaduje víc volného místa, než je momentálně k dispozici, je nutné data uživatelských účtů uložená v mezipaměti odstranit. Vzhledem k nezávislosti deklarativní správy zařízení bude zařízení opakovat pokusy o instalaci nového vydání, dokud se to nepodaří.
V zájmu minimalizování prostojů by aktualizace sdílených iPadů měly být naplánovány tak, aby probíhaly mimo pracovní dobu, kdy mají nejmenší dopad na uživatele a síť.
Další informace najdete v části Aktualizace a upgrady systému iPadOS pro sdílený iPad.