Verwenden der MDM zum anwenden von Softwareupdates auf Apple-Geräte
Zur Verwaltung von Softwareupdates und -upgrades gehört das Testen von Vorabversionen der Updates und Upgrades, die Implementierung der Updates auf den Geräten der Benutzer und das Erzwingen von Richtlinien, die von den Benutzern die Aktualisierung ihrer Geräte verlangen. Weitere Informationen findest du im WWDC21-Video Manage software updates in your organization und im WWDC23-Video Explore advances in declarative device management.
Befehle für MDM-Softwareupdates und -upgrades
Die Befehle für MDM-Softwareupdates und -upgrades sind hier aufgelistet. Diese Befehle lassen keine angepassten Mitteilungen an Benutzer zu.
Hinweis: In macOS 13 erkennt und antwortet der Mac auf die Befehle ScheduleOSUpdateScan
, ScheduleOSUpdate
, OSUpdateStatus
und AvailableOSUpdate
, auch wenn das Gerät im Ruhezustand oder PowerNap-Modus ist.
Befehl | Unterstütztes Betriebssystem | Betreut | Beschreibung | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Ein Update planen | macOS | Ja | Hiermit wird angefragt, dass das Gerät im Hintergrund nach Updates für das Betriebssystem sucht. Weitere Informationen findest du unter Schedule an OS Update Scan auf der Apple Developer-Website. | ||||||||
Verfügbare Updates auflisten | iOS iPadOS macOS tvOS | Ja (iOS, iPadOS, tvOS) Nein (macOS) | Das Gerät wird nach einer Liste verfügbarer Updates für das Betriebssystem abgefragt. In macOS muss der Befehl Weitere Informationen findest du unter List the Available OS Updates auf der Apple Developer-Website. | ||||||||
Ein Update planen | iOS iPadOS macOS tvOS | Ja | Dieser Befehl ermöglicht es dem Server, einen Zeitplan für das Update des Betriebssystems und die Priorität von Updates festzulegen. Weitere Informationen findest du unter Schedule an OS Update auf der Apple Developer-Website. | ||||||||
Updatestatus | iOS iPadOS macOS tvOS | Ja | Hiermit wird das Gerät nach dem Status von Softwareupdates abgefragt. Weitere Informationen findest du unter Get the OS Update Status auf der Apple Developer-Website. |
Lookup-Dienst der Apple-Software
Du kannst den Lookup-Dienst der Apple-Software verwenden, um eine Liste der verfügbaren Updates abzurufen.
Ab iOS 15, PadOS 15 und macOS 12.0.1 oder neuer kann eine MDM-Lösung die Eignung eines Updates zeitnah und angemessen berechnen, sobald ein Update veröffentlicht wurde. Die MDM-Lösung sucht im Dienst eine genaue Liste verfügbarer Updates und gibt dann beim Senden eines ScheduleOSUpdate
-Befehls eine bestimmte Version an. Geräte müssen den AvailableOSUpdate
-Befehl nicht ausführen, um bestimmte Updates für das zu planende Update anzufragen.
Die JSON-Antwort enthält drei Listen verfügbarer Softwareveröffentlichungen:
PublicAssetSets: Diese Liste enthält die neuesten Versionen, die öffentlich verfügbar sind (nicht betreute Geräte), wenn versucht wird ein Update oder Upgrade auszuführen.
AssetSets: Diese Liste (eine Untergruppe von PublicAssetSets) enthält all die Versionen, die für MDM-Lösungen für die Push-Übertragung an betreute Geräte verfügbar sind.
PublicRapidSecurityResponses: Diese Liste enthält die Veröffentlichungen der schnellen Sicherheitsmaßnahmen, die derzeit für Apple-Geräte verfügbar sind. Weitere Informationen zu Veröffentlichungen von schnellen Softwaremaßnahmen findest du unter Schnelle Sicherheitsmaßnahmen.
Jedes Element in der Liste enthält die Produktversionsnummer des Betriebssystems, das Veröffentlichungsdatum, das Ablaufdatum und eine Liste unterstützter Geräte für diese Version. Die Geräteliste entspricht den ProductName
-Werten des Geräts, die in der ursprünglichen Authenticate-Anfrage oder in der DeviceInformation-Antwort DeviceInformation
zurückgegeben werden.
Das Ablaufdatum ist normalerweise auf 180 Tage nach dem Veröffentlichungsdatum festgelegt. Wenn nachfolgende Versionen erstellt werden, kann das Ablaufdatum vorheriger Versionen aktualisiert werden. Wird kein Ablaufdatum bereitgestellt, ist die Version nicht abgelaufen. Eine Version ist nur dann abgelaufen, wenn ihr Ablaufdatum in der Vergangenheit liegt.
Die Assets werden nach Betriebssystemplattform gruppiert. Derzeit befinden sich all diese Assets unter iOS, einschließlich tvOS und watchOS. Anhand der Produktversionsliste kannst du feststellen, welche Versionen größer sind als die aktuelle Betriebssystemversion des Geräts. Stelle die Liste der Versionen dem Administrator als mögliche Kandidaten für Betriebssystemupdates bereit.
Dies sind Beispielantworten:
{ "PublicAssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-17",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
}
},
{
"AssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-07",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
},
Softwareveröffentlichungsdaten
Die Tabelle unten zeigt das Datum der Veröffentlichung, die Sichtbarkeit der Veröffentlichung für den Benutzer (mit einer 90-tägigen Verzögerung) und wann der Download bei Apple nicht mehr verfügbar ist.
macOS | iOS, iPadOS, tvOS | Von Apple verfügbar | Ausgeblendet durch MDM bis | Nicht mehr als Download von Apple verfügbar |
---|---|---|---|---|
17 | 18.09.2023 | 17.12.2023 | 17.12.2023 | |
13.6 | 17.0.1 (iOS, iPadOS) | 21.09.2023 | 20.12.2023 | 20.12.2023 |
17.0.2 iPhone 15 (alle Modelle) | 21.09.2023 | 20.12.2023 | 20.12.2023 | |
14 | 17.0.2 (iOS, iPadOS) | 26.09.2023 | 25.12.2023 | 25.12.2023 |
17.0.2 (iOS, iPadOS) | 04.10.2023 | 02.01.2024 | 02.01.2024 | |
14.1 | 17.1 | 25.10.2023 | 23.01.2024 | 23.01.2024 |
14.1.1 | 17.1.1 | 07.11.2023 | 11.02.2024 | 11.02.2024 |
14.1.2 | 17.1.2 (iOS, iPadOS) | 30.11.2023 | 28.02.2024 | 28.02.2024 |
14.2 | 17.2 | 11.12.2023 | 10.03.2024 | 10.03.2024 |
14.2.1 | 17.2.1 (iOS, iPadOS) | 19.12.2023 | 18.03.2024 | 18.03.2024 |
14.3 | 17.3 | 22.01.2024 | 21.04.2024 | 21.04.2024 |
14.3.1 | 17.3.1 (iOS, iPadOS) | 08.02.2024 | 08.05.2024 | 08.05.2024 |
17.4 (iOS, iPadOS) | 05.03.2024 | 03.06.2024 | 03.06.2024 | |
14.4 | 17.4 (tvOS) | 07.03.2024 | 05.06.2024 | 05.06.2024 |
Softwareupdates und -upgrades installieren
Damit gewährleistet ist, dass nur von Apple signierter Code installiert wird, nutzt der Softwareupdate- und -upgradeprozess von Apple dieselben Hardware-basierten Vertrauensverfahren (Root of Trust), die auch beim sicheren Startvorgang zum Einsatz kommen. Die Systemsoftware-Autorisierung von Apple stellt sicher, dass auf iPhone-, iPad und Mac-Geräten, auf denen die Einstellung „Volle Sicherheit“ als Richtlinie für sicheres Starten im Startsicherheitsdienstprogramm konfiguriert wurde, nur Kopien von Betriebssystemversionen, die aktiv von Apple signiert wurden, installiert werden können. Dieser Prozess erlaubt es Apple, ältere Betriebssystemversionen mit bekannten Sicherheitslücken nicht länger zu signieren und so Downgrade-Angriffe zu verhindern.
Hinweis: Alle Installationsaktionen in macOS 12.0.1 (oder neuer) unterstützen die Verwendung des Bootstrap Token zur Authentifizierung auf Mac-Computern mit Apple Chips.
Derzeit gibt es für Updates und Upgrades folgende Installationsaktionen:
Aktion | Mindestens unterstützte Betriebssysteme | Beschreibung | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
InstallASAP | iOS 9 iPadOS 13.1 macOS 10.11 tvOS 12 | Bei iOS, iPadOS und tvOS kannst du ein vorab heruntergeladenes Softwareupdate oder -upgrade installieren. In macOS lädst du das Softwareupdate oder -upgrade herunter und löst den Countdown zum Neustart aus. | |||||||||
Standard | iOS 9 iPadOS 13.1 macOS 10.11 tvOS 12 | Je nach aktuellem Status lädst du das Update oder Upgrade herunter oder installierst es. MDM-Administratoren können geplante Updates im Verzeichnis | |||||||||
InstallForce Neustart | macOS 11 | Führe die Standardaktion aus und erzwinge dann einen Neustart, wenn das Update diesen erfordert. Bei einem Upgrade ist dies immer erforderlich. Wichtig: Die Aktion | |||||||||
InstallLater | macOS 10.11 | Lade das Softwareupdate oder -upgrade herunter und installiere es zu einem späteren Zeitpunkt. | |||||||||
NotifyOnly | macOS 10.11 | Lade das Softwareupdate oder -upgrade herunter und benachrichtige den Benutzer. | |||||||||
DownloadOnly | iOS 9 iPadOS 13.1 macOS 11 tvOS 12 | Lade das Softwareupdate oder -upgrade herunter, ohne es zu installieren. |
iOS- und iPadOS-Softwareupdates und -upgrades verwalten
In iOS und iPadOS werden den Benutzern Updates und Upgrades im Rahmen des normalen Mitteilungsprozesses und in der App „Einstellungen“ angeboten. Zum Einleiten des Updates oder Upgrades müssen Benutzer den aktualisierten Nutzungsbedingungen zustimmen. Wenn der Codeschutz auf dem Gerät nicht aktiviert ist, kann die Installation per Fernzugriff über deine MDM-Lösung abgeschlossen werden.
Wenn ein Gerät mit einem Code geschützt ist, nachdem die MDM-Lösung das Update oder Upgrade an das Gerät gesendet hat, reiht diese das Update oder Upgrade in eine Warteschlange ein. Die Benutzer werden danach aufgefordert, ihren Code einzugeben, damit die Installation sofort gestartet oder auf nachts verschoben werden kann.
Wenn du einen Befehl für die Installation eines Softwareupdates sendest, werden Benutzer über einen Hinweis auf dem Gerät über das anstehende Update oder Upgrade und die Tatsache informiert, dass es von deiner Organisation vorausgesetzt wird. Alle von der MDM-Lösung gesendeten Updates oder Upgrades werden als notwendig behandelt und können nur bis zu dreimal vom Benutzer verzögert werden. Nach der dritten Verzögerung durch Benutzer muss das Update oder Upgrade abends durchgeführt werden, damit sie ihr Gerät weiter benutzen können. Davon ausgenommen ist die Möglichkeit, Notrufe zu tätigen.
Empfohlene Kadenz
Du kannst wahlweise auf iOS 17 oder iPadOS 17 (das neue Hauptbetriebssystem) aktualisieren. Alternativ kannst du weiterhin auf die neueren Nebenversionen von iOS 16 und iPadOS 16.1 aktualisieren, obwohl iOS 16 und iPadOS 16.1 veröffentlicht sind.
Auf einem iPhone mit iOS 16.6.1 hast du beispielsweise die folgenden beiden Möglichkeiten:
Du kannst Benutzern weiterhin erlauben, iOS 16.6.1 (das vorherige Hauptbetriebssystem) zu verwenden und weiterhin Updates zu erhalten (zum Beispiel iOS 16.7).
Du kannst Benutzern erlauben, ein Upgrade auf iOS 17 auszuführen (das neue Hauptbetriebssystem).
Dadurch erhalten die Benutzer weiterhin alle wichtigen Sicherheitsupdates, während du daran arbeitest, die nächste Hauptversion für deine Umgebung vorzubereiten und freizugeben.
MDM-Anbieter können diese Funktion für die in der MDM-Lösung registrierten Geräte verwalten. Ein neuer Einstellungs
befehl mit einem Verzeichnis SoftwareUpdateSettings
enthält einen Schlüssel (RecommendationCadence)
mit drei Werten:
0: Zeigt beide Optionen an (Standardeinstellung).
1: Zeigt das Softwareupdate mit der niedrigeren Versionsnummer an (sofern verfügbar).
2: Zeigt den Pfad des Updates für das Betriebssystemupgrade mit einer neueren Hauptversionsnummer an.
Diese Auswahl kann per MDM durchgesetzt werden, sodass du das vorherige Update (z. B. iOS 16.7) beibehalten kannst. Die Möglichkeit besteht für einen bestimmten Zeitraum nach Veröffentlichung eines Upgrades.
Updates und Upgrades für Geteilte iPads
Um Unterbrechungen und Auswirkungen auf Benutzer und das Netzwerk zu minimieren, sollten Updates und Upgrades für iPadOS und Apps in Nebenzeiten installiert werden. Weitere findest du unter Updates und Upgrades für iPadOS auf geteilten iPads.
Updates und Upgrades mit mobilen Daten
Die MDM-Lösung kann Updates und Upgrades mit einer mobilen Datenverbindung installieren, nachdem das Softwareupdate automatisch in „Einstellungen“ angezeigt wurde.
macOS-Softwareupdates und -upgrades verwalten
In macOS 11 wurden zahlreiche Änderungen eingeführt, um den Softwareupdate und -upgradeprozess an den von iOS und iPadOS anzugleichen. Bei Updates oder Upgrades nimmt das Aktualisierungsprogramm Änderungen am Betriebssystem vor – sogar vor einem Neustart. Hierdurch werden Ausfallzeiten des Mac während dieses Prozesses deutlich reduziert. Nachfolgende Versionen von macOS haben weitere Verbesserungen hinzugefügt. Zusätzliche Erweiterungen werden in der Tabelle unten aufgelistet.
Hinweis: Auf Geräten mit Apple Chips müssen die Benutzer Volume-Besitzer sein, um Softwareupgrades ausführen zu können.
Letzte unterstützte Betriebssystemversion | Verbesserung | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
macOS 12.3 | Administratoren können die Zeitplanpriorität für das Laden und Vorbereiten des angeforderten Updates steuern. Durch Festlegen des Upgrades auf macOS 13 oder neuer profitieren von den folgenden Verbesserungen:
| ||||||||||
macOS 13 | Der Mac erkennt und antwortet auf die Befehle |
Ein Konfigurationsprofil kann auf Mac-Computern installiert werden, um die folgenden automatischen Optionen zu aktivieren:
Hintergrundprüfung für macOS-Softwareupdates und -upgrades
Download und Installation von XProtect- und Gatekeeper-Updates
Download und Installation von automatischen Sicherheitsupdates
Download von macOS-Softwareupdates und -upgrades
Installation von macOS-Softwareupdates und -upgrades
Der Mac prüft etwa alle 6 Stunden, ob Updates oder Upgrades verfügbar sind. Das Update oder Upgrade wird für die automatische Installation eingeplant, wenn der Mac die Kriterien erfüllt, zum Beispiel, wenn gerade nur wenige Prozesse laufen und das Gerät am Stromnetz angeschlossen ist oder noch ein Minimum an Batterieleistung (siehe unten) hat. Dies gilt auch bei zugeklapptem Mac-Laptop-Bildschirm. Nur nach dem Laden oder Vorbereiten des Updates oder Upgrades wird der Benutzer mit einer Mitteilung aufgefordert, es zu installieren.
Softwareupdates oder -upgrades durchsetzen
Verwende die deklarative Geräteverwaltung, um den Administratoren deiner Organisation mehr Kontrolle über den Updateprozess zu geben. Dieser Prozess bietet Benutzern eine informativere Erfahrung und stellt außerdem sicher, dass Updates für iOS, iPadOS und macOS zeitnah installiert werden. Die durchgesetzte Version des Betriebssystems wird im Schlüssel TargetOSVersion
angezeigt. Der optionale Schlüssel TargetBuildVersion
zielt auf bestimmte Seed Builds oder schnelle Sicherheitsmaßnahmen ab.
Wenn du ein Softwareupdate ankündigst, werden deine Benutzer in einer Mitteilung über die dafür geltende Frist informiert. Darüber hinaus werden Sie unter „Einstellungen“ (iOS und iPadOS) und „Systemeinstellungen“ (macOS) informiert. Über den Link „Weitere Informationen“ kannst du weitere Informationen zur Verfügung stellen.
Die Mitteilung umfasst die Option, das Update direkt oder am folgenden Abend zu installieren. Wenn ein Benutzer das Update nicht direkt ausführt, zeigt das Betriebssystem die Mitteilung „Updates verfügbar“ täglich bis zum Ende der Frist an. 24 Stunden vor Ablauf der Frist wird die Mitteilung unabhängig von der Einstellung „Nicht stören“ stündlich angezeigt. In der Stunde vor dem Ablauf der Frist wird die Mitteilung zunächst alle 30 Minuten und dann alle 10 Minuten angezeigt. Das ermöglicht dem Benutzer, den günstigsten Zeitpunkt für die Ausführung des Updates auszuwählen.
Wenn Benutzer das Update nicht vor dem lokalen Durchsetzungsdatum installiert haben:
iOS und iPadOS zwingen den Benutzer, ihren Code einzugeben, sofern ein Code festgelegt ist (und er nicht bereits eingegeben wurde).
macOS setzt das Beenden aller geöffneten Apps durch und führt bei Bedarf einen Neustart aus.
Wenn die Frist nicht eingehalten wurde, da dass Gerät ausgeschaltet oder offline war, zeigt das Betriebssystem eine weitere Mitteilung zu einem überfälligen Update an, sobald das Gerät wieder online ist. Darüber hinaus wird in der folgenden Stunde versucht, das Update zu installieren.
Mit deklarativen Statusberichten können MDM-Lösungen höhere Transparenz über den Status eines Updates erhalten (beispielsweise, ob es geladen, vorbereitet oder installiert wird). Aussagekräftige Fehlercodes werden hinzugefügt, falls ein Update nicht ausgeführt oder abgeschlossen werden konnte. Dazu gehören beispielsweise Fälle, in denen das Gerät offline, die Batterieladung zu gering oder nicht genügend Speicherplatz verfügbar war.
Hinweis: Deklarationen für Softwareupdates und MDM-Befehle und -Profile können gleichzeitig bestehen. Durch Deklarationen durchgesetzte Softwareupdates haben jedoch immer Vorrang gegenüber MDM-Befehlen oder -Profilen.
macOS-Softwareupdates oder -upgrades erzwingen
Verwende die Aktion InstallForceRestart
, um Apps für ein Softwareupdate oder -upgrade sofort zu beenden. Alle Apps auf dem Mac werden beendet, auch wenn Dokumente nicht gespeichert wurden. Das Update oder Upgrade erfordert, dass der Mac mit den Stromnetz verbunden ist oder dass ein Minimum der Batterieladung verfügbar ist.