Nasazení softwarových aktualizací do zařízení Apple pomocí MDM
Deklarativní správa zařízení představuje budoucnost správy zařízení Apple. Umožňuje, aby zařízení asynchronně aplikovala různé parametry nastavení a hlásila stav zpět službě správy mobilních zařízení (MDM) bez neustálého dotazování. Tento mechanismus optimalizuje výkonnost a škálovatelnost a také umožňuje moderní přístup ke správě aktualizací softwaru. Deklarativní správa zařízení poskytuje proaktivní hlášení o stavu ze zařízení při změnách hodnot a konfigurací. Díky tomu má služba MDM vždy aktuální informace o zařízeních, aniž by je musela pravidelně zjišťovat.
Místo odeslání příkazu k aktualizaci softwaru na zařízení s cílem zahájit aktualizaci, deklaruje služba MDM požadovaný stav verze operačního systému a dosažení tohoto stavu svěří samotnému zařízení. To umožňuje zajistit robustnější proces aktualizace spravovaného softwaru a přehlednější informace pro uživatele.
Důležitost využívání deklarací aktualizací softwaru
Kdykoli je to možné, měly by služby MDM využívat deklarace aktualizací softwaru. Starší příkazy a profily aktualizace softwaru však jsou nadále podporované a k dispozici. Můžou běžet společně s deklaracemi aktualizace softwaru s následujícími změnami:
Odložení definovaná deklaracemi mají přednost před odloženími nakonfigurovanými omezeními.
Nastavení automatických aktualizací softwaru v macOS používaná deklaracemi mají přednost před nastaveními automatických aktualizací poskytovanými konfiguračními profily.
V případě čekajících aktualizací softwaru nakonfigurovaných pomocí deklarativní správy zařízení už některé příkazy MDM nezpracovává klient, který vrací chyby informující, že na zařízení je aktivní deklarace, jak je uvedeno v následující tabulce:
Příkaz MDM | Výsledek | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Omezené: V systému macOS se aktualizace týkající se operačního systému, které nejsou spravované, můžou objevit v odezvě na příkaz, například v Xcodu nebo v příkazovém řádku. | ||||||||||
| Zařízení vrátí chybu | ||||||||||
| Zařízení vrátí prázdné pole stavu. | ||||||||||
Použití služby pro vyhledávání aktualizací softwaru Apple
Služba pro vyhledávání aktualizací softwaru Apple (k dispozici na https://gdmf.apple.com/v2/pmv) je oficiálním zdrojem pro získání seznamu veřejně dostupných aktualizací, upgradů a rychlých oprav zabezpečení. Umožňuje službě MDM zjišťovat verze ihned po jejich zveřejnění a včas a přesně vyhodnocovat použitelnost pro každý model hardwaru.
Odpověď JSON obsahuje tři seznamy dostupných verzí softwaru:
PublicAssetSets: Tento seznam obsahuje nejnovější verze, které jsou při pokusu o aktualizaci nebo upgrade k dispozici pro veřejnost.
AssetSets: Tento seznam je část seznamu PublicAssetSets, která obsahuje všechny verze, které jsou k dispozici pro služby MDM a lze je odeslat do zařízení pod dohledem.
PublicRapidSecurityResponses: Tento seznam obsahuje vydání rychlých oprav zabezpečení aktuálně dostupná pro zařízení Apple.
Každý prvek seznamu obsahuje číslo produkční verze a sestavu operačního systému, datum zveřejnění verze, datum vypršení platnosti a seznam podporovaných zařízení pro danou verzi. Seznam zařízení odpovídá hodnotám ProductName, které se vrátí v odezvě DeviceInformation, v počátečním požadavku Authenticate nebo v MachineInfo, když se zařízení pokouší o registraci.
Datum vypršení platnosti, obvykle nastavené na 180 dní po datu vydání, určuje den, kdy vyprší platnost podpisu aktualizace. Aktualizaci, které vypršela platnost, už nelze na zařízení nainstalovat. Je možné, že při zpřístupnění následných aktualizací budou aktualizována data vypršení platnosti předchozích aktualizací. Pokud není uvedeno žádné datum vypršení platnosti, aktualizace je stále platná. Platnost aktualizace je ukončená jen tehdy, když má minulé datum vypršení platnosti.
Položky jsou seskupeny podle platformy operačního systému pomocí následujících klíčů:
iOS(který zahrnuje iPadOS, tvOS a watchOS)macOSxrOS(což je visionOS)
{ "AssetSets": { "iOS": [ {"ProductVersion": "17.5","Build": "21F6079","PostingDate": "2024-05-13","ExpirationDate": "2024-08-15","SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3" ] },Pomocí seznamu verzí produktu lze určit, které verze jsou vyšší než aktuální verze operačního systému zařízení, a použitelné pro konkrétní zařízení. Tento seznam verzí poskytněte správci MDM jako potenciální kandidáty na aktualizaci operačního systému.
Odesílání stavových zpráv do služby MDM
Aby mohl dostávat aktualizace stavových položek při jejich změně, musí se server přihlásit k odběru každé stavové zprávy odesláním deklarace ManagementStatusSubscriptions do zařízení. Zařízení potom do služby MDM odesílá zprávu StatusReport, když se aktivuje deklaraceManagementStatusSubscriptions, pokud se změní stav odebírané položky a každých 24 hodin.
Za účelem sledování verzí operačního systému a stavu aktualizace softwaru, se služba MDM může přihlásit k odběru následujících stavových zpráv:
Stavová zpráva | Popis |
|---|---|
| Verze sestavy operačního systému na zařízení (např. 21E219). |
| Verze operačního systému, kterou zařízení používá (např. 17.4). |
| Verze sestavy a rychlé opravy zabezpečení operačního systému, které zařízení používá (např. 20A123a nebo 20F75c). |
| Verze rychlé opravy zabezpečení operačního systému, kterou zařízení používá (např. a). |
| Slovník obsahující verze sestavy a operačního systému aktualizace softwaru, která čeká na zařízení. |
| Stav instalace aktualizace softwaru, který má následující hodnoty:
|
| Slovník s podrobnostmi o důvodu čekající aktualizace softwaru. Klíč
|
| Podrobnosti o selhání aktualizace softwaru. Podrobnosti zahrnují počet selhání aktualizace softwaru, časovou značku posledního selhání a důvod selhání. |
| Název betaprogramu, do kterého je zařízení zaregistrováno nebo prázdný řetězec, pokud v žádném betaprogramu zaregistrováno není. |
Kromě dalších zpráv můžou služby MDM také požadovat, aby byla správcům k dispozici také stavová zpráva softwareupdate.install-reason, a to za účelem podpory a získání dalších informací o způsobu spouštění aktualizací. Pomocí tohoto slovníku lze zjistit, zda uživatel zahájil aktualizaci sám, zda k ní došlo automaticky nebo zda byla vynucena deklarací pro vynucení aktualizace softwaru.
Vyžadování konkrétních minimálních verzí softwaru během registrace v MDM
Pokud tuto funkci zařízení podporuje, vrátí klíč MDM_CAN_REQUEST_SOFTWARE_UPDATE, nastavený na hodnotu Pravda, v datech MachineInfo, která službě MDM odešle v původním požadavku HTTP POST MDM, když zařízení v Průvodci nastavením zjistí konfiguraci správy. Další informace najdete v části MachineInfo yaml file ve webové hostitelské službě pro úložiště Git správy zařízení Apple.
Kromě toho zařízení poskytují následující pole v datech MachineInfo (všechny řetězce):
Klíč | Minimální podporovaná verze operačního systému | Popis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
VERSION | iOS 17 iPadOS 17 macOS 14 | Verze sestavy nainstalovaná na zařízení (např. 7A182). | |||||||||
OS_VERSION | iOS 17 iPadOS 17 macOS 14 | Verze operačního systému nainstalovaná na zařízení (např. 17.0). | |||||||||
SUPPLEMENTAL_BUILD_VERSION | iOS 17 iPadOS 17 macOS 14 | Verze rychlých oprav zabezpečení na zařízení (pokud je verze k dispozici). | |||||||||
SUPPLEMENTAL_OS_VERSION_EXTRA | iOS 17 iPadOS 17 macOS 14 | Doplňková verze rychlých oprav zabezpečení na zařízení (pokud je verze k dispozici). | |||||||||
SOFTWARE_UPDATE_DEVICE_ID | iOS 17.4 iPadOS 17.4 macOS 14.4 | Identifikátor modelu zařízení použitý k hledání dostupných aktualizací operačního systému ve službě pro vyhledávání aktualizací softwaru Apple. | |||||||||
Na základě poskytnutých informací se může služba MDM rozhodnout, zda vynutí aktualizaci zařízení.
Pokud se služba MDM rozhodne nevynutit aktualizaci softwaru, jednoduše v odpovědi na požadavek HTTP POST vrátí registrační profil MDM, tak jako obvykle, když povoluje pokračování v registraci v MDM.
Pokud se služba MDM rozhodne vynutit aktualizaci softwaru, musí pak vrátit odpověď HTTP se stavovým kódem 403 a zahrnout v odpovědi objekt ve formátu JSON nebo XML (záhlaví Content-Type odpovědi HTTP musí být nastaveno na
application/json, resp.application/xml).
Po obdržení odpovědi na chybu se zařízení pokusí o aktualizaci na zadanou verzi. Pokud je aktualizace úspěšná, zařízení se restartuje a uživatel musí znovu projít průvodcem nastavení. Následující požadavek MachineInfo POST ze zařízení, který je určený pro službu MDM, zobrazí aktualizovanou verzi operačního systému a služba MDM pak může pokračovat v registraci v MDM. Pokud aktualizace selže, zobrazí se uživateli zpráva o chybě a v Průvodci nastavením se znovu zobrazí panel Vzdálená správa.
V tabulce níže je definováno schéma odpovědi.
Klíč | Typ | Povinná | Popis | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Řetězec | Ano | Musí být nastaven na hodnotu | ||||||||
| Řetězec | Ne | Popis chyby. Používá se pouze pro účely protokolování. | ||||||||
| Řetězec | Ne | Popis chyby vhodný pro zobrazení uživateli. | ||||||||
| Slovník | Ano | Další data určující aktualizaci softwaru. | ||||||||
Zde je definováno schéma slovníku podrobností.
Klíč | Typ | Povinná | Popis | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Řetězec | Ano | Verze operačního systému, na kterou se musí zařízení aktualizovat. | ||||||||
| Řetězec | Ne | Verze sestavy, na kterou se musí zařízení aktualizovat. | ||||||||
| Slovník | Ne | Zařízení se zaregistruje do betaprogramu a umožní vynucené aktualizace softwaru na verze operačního systému betaprogramu. Po dokončení vynucené aktualizace softwaru zůstane zařízení v betaprogramu. | ||||||||
Pokud je zadán jen klíč OSVersion, zařízení automaticky stáhne a nainstaluje veškeré rychlé opravy zabezpečení, které jsou pro tuto verzi k dispozici. V případě, že je třeba konkrétní sestava nebo doplňková verze, může služba MDM také volitelně zadat BuildVersion. Pokud má zařízení například používat iOS 16.5.1(a) před registrací, ačkoli je už k dispozici iOS 16.5.1(c), musí služba MDM nastavit OSVersion na iOS 16.5.1 a BuildVersion na 20F770750b.
Důležité: Ve verzích systému před macOS 15 lze zadat jen verze ze seznamů PublicAssetSets a PublicRapidSecurityResponses. V macOS 15 lze použít také položky ze seznamu AssetSets.
MDM nastavení pro aktualizace softwaru
Deklarace com.apple.configuration.softwareupdate.settings (k dispozici v iOS 18, iPadOS 18 a macOS 15) sestává ze slovníků, které lze použít ke konfiguraci různých aspektů chování aktualizace softwaru.
Jakmile služba MDM rozdělí různé klíče mezi více deklarací, zařízení sloučí nastavení všech aktivních deklarací nastavení aktualizace softwaru. V případě, že tentýž klíč je nakonfigurován více deklaracemi, bude chování při sloučení záviset na jednotlivých klíčích a je uvedeno v tabulkách níže.
Konfigurace automatických aktualizací softwaru prostřednictvím služby MDM
Deklarace com.apple.configuration.softwareupdate.settings poskytuje slovník, který definuje chování automatických aktualizací softwaru na zařízeních Phone, iPad a Mac pod dohledem. Další informace najdete v části Klíče slovníku AutomaticActions.
Jak služba MDM pracuje s rychlými opravami zabezpečení
Rychlé opravy zabezpečení se vždy týkají nejnovější aktualizace operačního systému, která bude základní verzí rychlé opravy zabezpečení. Pokud je například na iPhonu nainstalovaná verze operačního systému iOS 17.2 použije se doplňková aktualizace 17.2 (a), pokud je k dispozici. V systémech iOS 18, iPadOS 18 a macOS 15 byly zpřístupněny kombinované aktualizace, což umožňuje do aktualizace softwaru zahrnout veškeré dostupné rychlé opravy zabezpečení.
Ve verzích systému před iOS 18, iPadOS 18 a macOS 15 může být nutné, aby služba MDM spustila dvě aktualizace softwaru a zjistila, zda je konkrétní doplňková verze k dispozici: nejprve musí zařízení aktualizovat na základní verzi doplňkové aktualizace, pokud už na zařízení tato základní verze není nainstalována (například iOS 17.1 na iOS 17.2); pak musí aktualizovat základní verzi na doplňkovou verzi (například iOS 17.2 na iOS 17.2 (a)).
V iOS 18, iPadOS 18 a macOS 15 může služba MDM zadat některou z těchto verzí:
Verzi operačního systému (automaticky instaluje dostupné rychlé opravy zabezpečení)
Doplňkovou verzi sestavy (zařízení provádí nutné aktualizace základní verze automaticky během procesu)
Tyto dva přístupy se týkají konfigurace vynucení aktualizací softwaru a vynucení minimální verze během automatické registrace zařízení.
Deklaraci com.apple.configuration.softwareupdate.settings lze také použít ke konfiguraci chování rychlých oprav zabezpečení na zařízeních iPhone, iPad a Mac pod dohledem. Další informace najdete v části Klíče slovníku RapidSecurityResponse pro iOS, iPadOS a macOS.
Odkládání aktualizací softwaru prostřednictvím služby MDM
Odložení aktualizace nebo upgradu softwaru o 1 až 90 dní se na zařízeních iPhone, iPad a Mac pod dohledem provádí prostřednictvím deklarace com.apple.configuration.softwareupdate.settings.
Nakonfigurované odklady určují, kolik dní po veřejném zpřístupnění nebudou verze nabízeny uživatelům. Nezávisle na nakonfigurovaných odkladech může však služba MDM na spravovaných zařízení vynutit konkrétní aktualizaci softwaru, upgrade nebo rychlou opravu zabezpečení. Další informace najdete v tématech Klíče slovníku Odložení pro iOS a iPadOS a Klíče slovníku Odložení pro macOS.
Poznámka: Odložení aktualizací softwaru odloží také veškeré rychlé opravy zabezpečení, které na příslušné verzi závisí.
Vynucování aktualizací softwaru prostřednictvím služby MDM
K vynucení aktualizace softwaru do určité doby můžou služby MDM na zařízeních zaregistrovaných prostřednictvím registrace zařízení nebo automatické registrace zařízení použít deklaraci com.apple.configuration.softwareupdate.enforcement.specific.
Pokud konfigurace specifikuje operační systém nebo verzi sestavy, které jsou shodné nebo starší než aktuální verze v zařízení, bude tato konfigurace ignorována.
Když je v novějším operačním systému nebo verzi sestavy k dispozici více konfigurací než v aktuální verzi v zařízení, bude konfigurace s nejdřívějším datem aktivace zpracována jako první, zatímco všechny ostatní zůstanou ve frontě. Když se zařízení aktualizuje na novou verzi, dojde k opětovnému zpracování sad konfigurací a určení konfigruace, která bude zpracována jako další.
Všechny dostupné rychlé opravy zabezpečení jsou instalovány automaticky v případě, že služba MDM definuje pouze klíč TargetOSVersion. Pro konkrétní verzi nebo rychlou opravu zabezpečení může služba MDM kromě zadání sestavy, včetně identifikátoru doplňkové verze, použít klíč TargetBuildVersion.
Další informace najdete v části Klíče vynucených aktualizací softwaru.
Notifications
Klíč Notifications změní výchozí chování oznámení a zobrazí pouze oznámení 1 hodinu před časem vynucení a odpočítávání do restartu. Další informace najdete v části Klíč Notifications.
Použití bootstrapového tokenu na počítačích Mac s čipem Apple
K autorizaci vynucené aktualizace softwaru na počítači Mac s čipem Apple pod dohledem, může služba MDM požádat o bootstapový token a převzít ho do úschovy. To umožňuje zcela jednoduché provedení aktualizace softwaru bez nutnosti jakékoli interakce s uživatelem během procesu. V případě potřeby použije zařízení k načtení bootstrapového tokenu ze služby MDM příkaz GetBootstrapTokenRequest.
V prvním kroku služba MDM pomocí příkazu SecurityInfo zjistí, zda zařízení podporuje bootsrtapové tokeny. Pokud odpověď obsahuje hodnotu BootstrapTokenRequiredForSoftwareUpdate nastavenou na hodnotu pravda, může zařízení použít bootstrapový token k autorizaci aktualizace softwaru.
Aby mohl být vytvořen bootstrapový token, musí služba MDM do pole ServerCapabilities v MDM profilu přidat hodnotu com.apple.mdm.bootstraptoken. Další informace najdete v tématu MDM payload (Datové části MDM) na webových stránkách Apple Developer.
Po obdržení bootstrapového tokenu vytvoří zařízení bootstrapový token při příštím přihlášení uživatele s aktivním zabezpečeným tokenem. Potom se spojí s přihlašovacím koncovým bodem služby MDM a pomocí příkazu SetBootstrapTokenRequest předá token do úschovy službě MDM. Další informace najdete v tématu Set Bootstrap Token (Nastavení bootstrapového tokenu) na webových stránkách Apple Developer.
Informace o nejnovějších specifikacích schématu najdete v Apple device management GitHub repository (webové hostitelské službě pro úložiště Git správy zařízení Apple).