Deklarative Einstellungskonfiguration „Softwareupdate“ für Apple-Geräte
Mit der Einstellungskonfiguration „Softwareupdate“ kannst du Softwareupdates zu einem bestimmten Zeitpunkt durchsetzen. Weitere Informationen findest du unter Softwareupdates mit MDM implementieren.
Die Einstellungskonfiguration „Softwareupdate“ unterstützt Folgendes:
Mindestens unterstützte Betriebssysteme und Kanäle: iOS 18, iPadOS 18, Geteiltes iPad-Gerät, macOS 15-Gerät.
Betreuung erforderlich: Ja, außer folgende: Durchsetzungsschlüssel,
OfferPrograms-Schlüssel für Beta-Tests.Unterstützte Registrierungstypen: Geräteregistrierung, Automatische Geräteregistrierung.
Wörterbuchschlüssel für AutomaticActions
Das Wörterbuch für AutomaticActions enthält die unten angezeigten Schlüssel. Standard ist: Allowed (erlaubt – und nicht erforderlich).
Schlüssel | Typ | Verhalten zusammenführen | Description | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Enum | Der letzte Wert auf der Liste: Allowed, AlwaysOn, AlwaysOff. | Legt fest, ob Benutzer:innen automatische Downloads sowie die Vorbereitung verfügbarer Updates (keine Upgrades und schnelle Sicherheitsmaßnahmen) steuern dürfen:
| ||||||||
| Enum | Der letzte Wert auf der Liste: Allowed, AlwaysOn, AlwaysOff. | Legt fest, ob Benutzer:innen nur die automatische Installation verfügbarer Betriebssystemupdates (keine Upgrades und schnelle Sicherheitsmaßnahmen) steuern dürfen:
| ||||||||
(nur macOS) | Enum | Der letzte Wert auf der Liste: Allowed, AlwaysOn, AlwaysOff. | Legt fest, ob Benutzer:innen die automatische Installation verfügbarer Sicherheitsupdates steuern dürfen:
| ||||||||
Falls mehrere Deklarationen einen Wert für denselben Schlüssel enthalten, hat der letzte der in folgender Liste von den Deklarationen angewendeten Werte Priorität: Allowed, AlwaysOn, AlwaysOff.
Wörterbuchschlüssel für RapidSecurityResponse unter iOS, iPadOS und macOS
Das Wörterbuch für RapidSecurityResponse enthält die unten angezeigten Schlüssel. Standard ist „True“ (wahr – und nicht erforderlich).
Schlüssel | Typ | Verhalten zusammenführen | Description | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Boolesch | Die logische „AND“-Operation der Werte | Falls falsch, werden schnelle Sicherheitsmaßnahmen Benutzer:innen nicht zur Installation angeboten. Hiermit wird festgelegt, ob schnelle Sicherheitsmaßnahmen automatisch auf Benutzergeräten installiert werden. | ||||||||
| Boolesch | Die logische „AND“-Operation der Werte | Falls falsch, wird Benutzer:innen das Zurückrollen schneller Sicherheitsmaßnahmen nicht angeboten. Hiermit wird festgelegt, ob Benutzer:innen schnelle Sicherheitsmaßnahmen entfernen können. | ||||||||
Unabhängig von dem Schlüssel Enable können schnelle Sicherheitsmaßnahmen immer noch mit der Deklaration com.apple.configuration.softwareupdate.enforcement.specific installiert werden.
Wörterbuchschlüssel für das Verschieben unter iOS und iPadOS
Die Wörterbücher für das Verschieben enthalten verschiedene Schlüssel, um das Verhalten in Abhängigkeit von der Plattform zu konfigurieren (keine Standardwerte, nicht erforderlich).
Schlüssel | Typ | Verhalten zusammenführen | Description | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Ganzzahl, 1–90 | Maximale Anzahl von Tagen | Gibt an, wie viele Tage ein Softwareupdate verschoben werden kann. Falls festgelegt, werden Softwareupdates und -upgrades nach deren Veröffentlichung erst nach der angegebenen Verzögerung angezeigt. | ||||||||
| Enum | Der letzte Wert aus der Liste: Alle, Älteste, Neueste | Legt fest, wie das Gerät Benutzer:innen Softwareupgrades anzeigt. Wenn ein Softwareupdate oder -upgrade verfügbar ist, verhält sich das Gerät wie folgt:
| ||||||||
Sowohl CombinedPeriodInDays als auch RecommendedCadence können kombiniert werden. Wenn beispielsweise für RecommendedCadence die Option Älteste und für CombinedPeriodInDays 30 festgelegt ist, werden nur Softwareupdates für die älteste Version seit 30 Tagen nach deren Veröffentlichung angezeigt.
Wörterbuchschlüssel für das Verschieben unter macOS
Schlüssel | Typ | Verhalten zusammenführen | Description | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Ganzzahl, 1–90 | Maximale Anzahl von Tagen | Gibt an, wie viele Tage ein Softwareupgrade auf dem Gerät verschoben werden kann. Falls festgelegt, werden Softwareupgrades nach deren Veröffentlichung erst nach der angegebenen Verzögerung angezeigt. | ||||||||
| Ganzzahl, 1–90 | Maximale Anzahl von Tagen | Gibt an, wie viele Tage ein Softwareupdate (kein Softwareupgrade und keine schnelle Sicherheitsmaßnahme) auf dem Gerät verschoben werden kann. Falls festgelegt, werden Softwareupdates nach deren Veröffentlichung erst nach der angegebenen Verzögerung angezeigt. | ||||||||
| Ganzzahl, 1–90 | Maximale Anzahl von Tagen | Gibt an, wie viele Tage ein nicht für das Betriebssystem bestimmtes Softwareupdate verschoben werden kann. Falls festgelegt, werden Updates nach deren Veröffentlichung erst nach der angegebenen Verzögerung angezeigt. | ||||||||
Unter macOS ist ein weiterer Schlüssel verfügbar, mit dem bestimmt werden kann, ob sowohl Standardbenutzer:in als auch Admin Updates oder Upgrades durchführen können (entspricht dem Standardverhalten) oder ob Adminrechte erforderlich sind. Standard ist „True“ (wahr – und nicht erforderlich).
Schlüssel | Typ | Verhalten zusammenführen | Description | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Boolesch | Die logische „AND“-Operation der Werte | Falls wahr, können Standardbenutzer:innen Softwareupdates und -upgrades durchführen. Falls falsch, können nur Admins Softwareupdates und -upgrades durchführen. | ||||||||
Wörterbuchschlüssel für durchgesetzte Softwareupdates
Die Deklaration verfügt über die unten angezeigten Schlüssel (alle Zeichenketten, keine Standardwerte).
Schlüssel | Erforderlich | Description | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Ja | Die Zielversion des Betriebssystem, auf die das Gerät zu gegebener Zeit aktualisiert werden soll. Dies ist die Versionsnummer des Betriebssystems, z. B. iOS 17.4. | |||||||||
| Nein | Die Build-Zielversion, auf die das Gerät zur angegebenen Zeit aktualisiert werden soll, z. B. 21E219. Das System verwendet die Build-Version während der Seed-Phasen zum Testen. Die Build-Version kann eine ergänzende Versions-ID enthalten, z. B. 21E219a. Wenn die Build-Version nicht mit der Version des Zielbetriebssystems konsistent ist, die im Schlüssel | |||||||||
| Nein | Der Wert für das lokale Datum und die lokale Uhrzeit, der festlegt, wann die Installation des Softwareupdates durchgesetzt werden soll. Verwende das Format YYYY-MM-DDTHH:MM:SS, das auf RFC3339 basiert, aber keinen Versatz für Zeitzonen enthält. Wenn das Softwareupdate vor diesem Zeitpunkt nicht aufgerufen wird, erzwingt das Gerät die Installation. | |||||||||
| Nein | Die URL einer Webseite, die Details anzeigt, die von der Organisation zur durchgesetzten Version bereitgestellt werden. | |||||||||
Eine Konfiguration wird ignoriert, wenn sie eine Betriebssystem- oder Build-Version angibt, die identisch oder älter ist, als die aktuelle Version auf dem Gerät.
Wenn mehrere Konfigurationen mit neuerer Betriebssystem- oder Build-Version vorhanden sind, als die aktuelle Version auf dem Gerät, wird die Konfiguration mit frühestem Datum und Uhrzeit zuerst verarbeitet. Die anderen verbleiben in der Warteschlange. Wenn die Version auf dem Gerät aktualisiert wird, wird die Gruppe der Konfigurationen erneut verarbeitet, um zu bestimmen, welche als nächstes verwendet wird.
Verfügbare schnelle Sicherheitsmaßnahmen werden automatisch installiert, wenn eine MDM-Lösung ausschließlich TargetOSVersion definiert. Um eine bestimmte Version oder schnelle Sicherheitsmaßnahme anzuwenden, kann eine MDM-Lösung zusätzlich zur Angabe der Version einschließlich der ergänzenden Versions-ID den Schlüssel TargetBuildVersion verwenden.
Notifications-Schlüssel
Der Notifications-Schlüssel ändert das Standardverhalten für Benachrichtigungen. Es wird nur eine Mitteilung 1 Stunde vor dem Durchsetzungszeitpunkt sowie ein Countdown für den Neustart angezeigt. Standard ist „True“ (wahr – und nicht erforderlich).
Schlüssel | Typ | Verhalten zusammenführen | Description | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Boolesch | Die logische „AND“-Operation der Werte | Falls wahr, zeigt das Gerät alle Benachrichtigungen für das Durchsetzen von Softwareupdates an. Falls falsch, zeigt das Gerät nur Benachrichtigungen an, die bis zu einer Stunde vor dem Durchsetzungszeitpunkt veranlasst werden. | ||||||||
Verwalten von Beta-Softwareupdates
Auf nicht betreuten iPhones und iPads kann nur das Array OfferPrograms verwendet werden, um eine manuelle Benutzerregistrierung bei Beta-Programmen zu erlauben, die von der Organisation abonniert wurden. Das Beta-Wörterbuch enthält folgende Schlüssel (nicht erforderlich):
Schlüssel | Typ | Standard | Verhalten zusammenführen | Description | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Enum | Allowed | Der letzte Wert aus der Liste: Allowed, AlwaysOn, AlwaysOff | Legt fest, ob die Registrierung beim Beta-Programm von Benutzer:innen in der Benutzeroberfläche für Softwareupdates gesteuert werden kann:
| |||||||
| Array | — | Eindeutige Vereinigung aller Werte | Ein Array aller auf dem Gerät erlaubten Beta-Programme. Dieser Schlüssel muss nur dann vorhanden sein, wenn für den Schlüssel | |||||||
| Lexikon | — | Erste Konfiguration angewendet | Das Gerät wird automatisch bei diesem Beta-Programm registriert. Dieser Schlüssel muss nur dann vorhanden sein, wenn für den Schlüssel | |||||||
Zusätzlich zum Senden des Programmnamens muss für die Optionen OfferPrograms und RequireProgram das Token des Beta-Programms an das Gerät gesendet werden. Mithilfe dieses Tokens wird die Berechtigung von Apple geprüft und eine aktualisierte Konfiguration für das Softwareupdate abgerufen.
Um die Registrierung mit einem persönlichen Apple Account oder einem verwalteten Apple Account durchführen zu können, kann eine MDM-Lösung für den Schlüssel ProgramEnrollment die Option Allowed festlegen. So können sich Personen bei allen Programmen anmelden, die für ihren Account verfügbar sind, oder zusätzlich bei allen Beta-Programmen, die im Array OfferPrograms angegeben sind. Jedes Programmwörterbuch im Array OfferPrograms muss aus folgenden Schlüsseln bestehen (nur Zeichenketten, alles erforderlich):
Schlüssel | Description | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Eine für Menschen lesbare Beschreibung des Beta-Programms. | ||||||||||
| Das Token des Seeding-Dienstes, zu dem die MDM-Lösung für die Organisation gehört. Das Token dient zur Registrierung des Geräts im entsprechenden Beta-Programm. | ||||||||||
Falls eine Organisation möchte, dass die Teilnahme erfolgen kann, ohne dass eine Registrierung erforderlich ist, kann sie für den Schlüssel ProgramEnrollment die Option AlwaysOn festlegen. Dann werden alle Programme angeboten, die im Array OfferPrograms aufgelistet sind. Zudem können Geräte auch automatisch für ein Beta-Programm registriert werden, indem eine Kombination verwendet wird, bei der für ProgramEnrollment die Option AlwaysOn festgelegt ist und das Beta-Programm, für das das Gerät registriert werden soll, im Wörterbuch RequireProgram definiert ist. Das Wörterbuch RequireProgram erfordert folgende Schlüssel (nur Zeichenketten):
Schlüssel | Description | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Eine für Menschen lesbare Beschreibung des Beta-Programms. | ||||||||||
| Das Token des Seeding-Dienstes, zu dem die MDM-Lösung für die Organisation gehört. Das Token dient zur Registrierung des Geräts im entsprechenden Beta-Programm. | ||||||||||
Falls eine Organisation nicht möchte, dass die Teilnahme ohne Registrierung erfolgen kann, kann sie für den Schlüssel ProgramEnrollment die Option AlwaysOff festlegen. Damit wird das Gerät in allen Beta-Programmen deregistriert, in denen es bereits manuell oder automatisch registriert war.
Hinweis: Jeder MDM-Anbieter implementiert diese Einstellungen auf unterschiedliche Weise. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, wie die verschiedenen „Softwareupdate“-Einstellungen auf die Geräte und Benutzer angewendet werden.