Installation et application des mises à jour de logiciels pour les appareils Apple
À l’aide de la gestion déclarative des appareils, les établissements peuvent configurer différents aspects du processus de mise à jour de logiciels. Cela comprend la gestion de la disponibilité des mises à jour de logiciels, l’application des mises à jour de logiciels, l’inscription des appareils aux programmes bêta, et plus encore.
Exigence d’une version minimale pendant l’inscription
À partir d’iOS 17, iPadOS 17 et macOS 14, les solutions MDM peuvent exiger une version minimale du système d’exploitation pendant l’inscription automatisée d’appareils. Si lʼappareil ne dispose pas de la version minimale exigée par la solution de gestion des appareils mobiles (MDM), lʼutilisateur est guidé à travers une mise à jour avant de pouvoir terminer le processus de lʼAssistant réglages. Le même processus se produit automatiquement lors d’une utilisation avec « Avance automatique ». Ceci permet de sʼassurer que les appareils possédés par un établissement possèdent la version requise du système d’exploitation avant dʼêtre mis en production.
Gestion de la disponibilité des mises à jour de logiciels
Les établissements peuvent souhaiter contrôler vers quelles versions leurs utilisateurs peuvent mettre à jour leurs appareils. Par exemple, ce contrôle peut être utilisé pour vérifier une mise à jour avec un groupe de test avant d’autoriser tous les utilisateurs à l’installer en production, ou pour déployer différents reports pour différents groupes afin d’échelonner le déploiement des mises à jour récentes.
Reports temporels
Il est possible d’empêcher les appareils supervisés de proposer aux utilisateurs des mises à jour en mode OTA jusqu’à ce qu’une période donnée se soit écoulée depuis qu’Apple les a mises à la disposition du public. Par exemple, imaginons qu’un parc d’iPhone exécute iOS 17.3 et qu’une configuration de mises à jour de logiciels reportée de 30 jours soit appliquée. Dans ce scénario, iOS 17.4 est proposé aux utilisateurs sur leurs appareils gérés 30 jours après la date de publication d’iOS 17.4.
Dans le cadre de la configuration, les établissements peuvent indiquer une période de report personnalisée comprise entre 1 et 90 jours. Sous iOS et iPadOS, ce délai s’applique à la fois aux mises à jour et aux mises à niveau du système d’exploitation. Sous macOS, il est également possible de préciser des périodes de report différentes pour les mises à jour du système d’exploitation, les mises à niveau et les mises à niveau autres que celles du système d’exploitation. Les mises à niveau autres que celles du système d’exploitation comprennent les mises à niveau de Safari, des gestionnaires d’impression et des outils de ligne de commande Xcode. Par exemple, un report personnalisé peut être utilisé sur macOS pour reporter une mise à niveau de logiciels pendant plus longtemps qu’une mise à jour de logiciels.
Remarque : les mises à jour de logiciels en mode OTA sont généralement disponibles jusqu’à 180 jours après leur date de sortie initiale pour garantir qu’une mise à jour reste disponible pour les appareils gérés avec la valeur de report maximale.
Un profil de configuration peut être créé pour chacun des réglages de données utiles de restrictions indiqués ici.
Systèmes d’exploitation minimums pris en charge | Clé et valeur (si applicable) | Description | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
iOS 11.3 ou ultérieur iPadOS 11.3 ou ultérieur macOS 10.13.4 ou ultérieur tvOS 12.2 ou ultérieur |
| La valeur par défaut est « false ». Si la valeur est définie sur « true » :
Remarque : ceci ne sʼapplique pas aux versions de test de macOS. | |||||||||
macOS 11.3 ou ultérieur |
| La valeur par défaut est « false ». Si la valeur est définie sur « true », la visibilité des mises à niveau de logiciels par les utilisateurs est retardée de 30 jours, sauf si une autre valeur est indiquée pour le report avec | |||||||||
macOS 11.3 ou ultérieur |
| La valeur par défaut est « false ». Si la valeur est définie sur « true », la visibilité des mises à jour par les utilisateurs est retardée de 30 jours, sauf si une autre valeur est indiquée pour le report avec | |||||||||
iOS 11.3 ou ultérieur iPadOS 11.3 ou ultérieur macOS 10.13.4 ou ultérieur tvOS 12.2 ou ultérieur |
1-90 | Autorise lʼadministrateur de la solution MDM à définir de combien de jours une mise à jour sera reportée. Requis lors de lʼutilisation de Lorsquʼune valeur est définie, la mise à jour logicielle est uniquement visible par les utilisateurs après un délai spécifié (à partir du moment où le logiciel en question a été publié dans le Service ALS). Cette valeur contrôle le report pour
Remarque : avant macOS 11.3, cette valeur contrôlait le report de | |||||||||
macOS 11.3 ou ultérieur |
1-90 | Autorise lʼadministrateur de la solution MDM à définir de combien de jours une mise à niveau sera reportée. Le maximum est de 90 jours et la valeur par défaut est 30 jours. Lorsquʼune valeur est définie, la mise à niveau logicielle est uniquement visible par les utilisateurs après un délai spécifié (à partir du moment où le logiciel en question a été publié dans le Service ALS). Cette valeur contrôle le report pour | |||||||||
macOS 11.3 ou ultérieur |
1-90 | Autorise lʼadministrateur de la solution MDM à définir de combien de jours une mise à jour sera reportée. Le maximum est de 90 jours et la valeur par défaut est 30 jours. Lorsquʼune valeur est définie, la mise à jour logicielle est uniquement visible par les utilisateurs après un délai spécifié (à partir du moment où le logiciel en question a été publié dans le Service ALS). Cette valeur contrôle le report pour | |||||||||
macOS 11.3 ou ultérieur |
1-90 | Autorise lʼadministrateur de la solution MDM à définir de combien de jours une mise à jour dʼapp sera reportée. Le maximum est de 90 jours et la valeur par défaut est 30 jours. Lorsquʼune valeur est définie, les mises à jour dʼapps sont uniquement visibles par les utilisateurs après un délai spécifié (à partir du moment où le logiciel en question a été publié). Cette valeur contrôle le report pour |
Cadence recommandée sous iOS et iPadOS
En plus de définir des reports temporels, les établissements peuvent définir si les utilisateurs sur des iPhone et iPad supervisés disposent de l’option pour effectuer des mises à niveau vers une version majeure plus récente ou poursuivre sur la version actuelle et continuer à recevoir les mises à jour mineures, même après qu’une mise à niveau soit disponible.
Par exemple, sur un iPhone doté dʼiOS 16.6.1, l’une de ces trois options peut être utilisée :
Proposer aux utilisateurs uniquement les mises à jour supplémentaires d’iOS 16.
Proposer aux utilisateurs uniquement la mise à niveau vers iOS 17.
Donner le choix aux utilisateurs : mises à jour supplémentaires d’iOS 16 (par exemple, iOS 16.7) ou mise à niveau vers iOS 17.
La première option est disponible uniquement pendant une période limitée et permet aux utilisateurs de bénéficier de toute mise à jour de sécurité importante pendant l’achèvement des tests pour l’approbation de la mise à niveau majeure pour un environnement de production.
Conjointement avec les rapports, une cadence recommandée peut être utilisée. Dans l’exemple ci-dessus, cela pourrait être utilisé pour garder les appareils sous iOS 16 tout en reportant les mises à jour de logiciels uniquement (comme iOS 16.7) pendant une durée déterminée.
Demande d’autorisation par un administrateur sous macOS
Les établissements peuvent modifier le comportement par défaut pour exiger l’autorisation d’un administrateur local pour installer une mise à jour de logiciels. Par exemple, cela peut être utilisé dans des déploiements où un appareil est partagé avec plusieurs utilisateurs pour limiter les personnes pouvant effectuer une mise à jour.
Application des mises à jour de logiciels
Les établissements peuvent appliquer des mises à jour de logiciels particulières à un moment donné indépendamment des reports configurés ou si l’installation automatique des mises à jour de sécurité urgentes est désactivée. Cela aide à s’assurer que des appareils gérés exécutent une version particulière avant une date et une heure définies, tout en permettant aux utilisateurs d’installer la mise à jour à un moment qui leur convient (avant la date d’application).
La date et l’heure d’application sont relatives au fuseau horaire local de l’appareil. Cela permet d’appliquer la même configuration dans différentes régions. Par exemple, si la date d’application est définie à 18 heures, les appareils tentent d’effectuer la mise à jour à 18 heures à la date précisée dans leur fuseau horaire local.
Lorsqu’une mise à jour de logiciels est déclarée, les utilisateurs sont informés de son échéance :
Dans Réglages (iOS et iPadOS) et dans Réglages Système (macOS)
Dans une notification
En fonction du temps restant avant l’échéance d’application, la notification fournit différentes options (décrites ci-dessous). Afin d’accroître la transparence pour les utilisateurs et de les tenir informés du processus, des informations supplémentaires à propos de la mise à jour peuvent être fournies à l’aide du lien « Plus d’informations ».
Si l’utilisateur ne commence pas immédiatement l’installation, les notifications et les options affichées en fonction du temps restant deviennent plus fréquentes à l’approche de la date d’application et sont destinées à encourager l’utilisateur à installer la mise à jour à un moment qui lui convient. Pour s’assurer que ces notifications sont affichées à l’utilisateur, la fonctionnalité « Ne pas déranger » est ignorée pendant les 24 heures qui précèdent la date d’application.
Pour lancer et autoriser la mise à jour à partir d’une notification ou à partir de Réglages ou de Réglages Système, le système invite l’utilisateur à saisir son code ou son mot de passe.
Si lʼutilisateur nʼa pas installé la mise à jour avant la date de mise en œuvre locale :
iOS et iPadOS forcent lʼutilisateur à saisir son code sʼil en a défini un (sauf sʼil a été saisi plus tôt).
macOS force la fermeture de toutes les apps ouvertes (indépendamment du fait que des documents soient ouverts et non enregistrés) et effectue un redémarrage si nécessaire.
Sur un Mac doté d’une puce Apple, le Mac utilise un jeton d’amorçage (si disponible) pour autoriser la mise à jour ou le Mac invite l’utilisateur à saisir ses données d’identification.
Pour mettre en application l’installation d’une mise à jour, d’une mise à niveau ou d’une mise à jour de sécurité urgente, un appareil doit satisfaire aux mêmes exigences que pour une mise à jour du même type lancée par l’utilisateur.
Un avantage clé de la gestion déclarative des appareils est l’autonomie des appareils. Plutôt que de déclencher des actions individuelles, la solution MDM déclare lʼétat désiré et délègue la tâche consistant à atteindre cet état à l’appareil lui-même. Un exemple concret de ce comportement est une situation où la date d’application d’une mise à jour de logiciels a été manquée, car l’appareil ne répondait pas aux exigences. L’appareil détecte automatiquement que l’état déclaré n’a pas encore été atteint et reprend le processus lorsqu’il est connecté à Internet.
Pour ce faire, si nécessaire, le système d’exploitation télécharge et prépare la mise à jour et publie une autre notification indiquant à l’utilisateur que l’installation est en retard et qu’une tentative de réalisation de l’installation aura lieu au cours de l’heure à venir. Si le processus est à nouveau interrompu pour quelque raison que ce soit, il se répète la prochaine fois que l’appareil est mis sous tension et connecté à Internet.
En utilisant des rapports dʼétat disponibles avec la gestion déclarative des appareils, les solutions MDM peuvent aussi obtenir davantage de transparence sur lʼétat de l’installation (en attente, téléchargement et préparation, ou installation de la mise à jour). Des codes dʼerreur pertinents ont été ajoutés au cas où une version nʼaurait pas pu être appliquée ou n’aurait pas pu être achevée avec succès. Des exemples possibles sont le statut hors ligne de lʼappareil, le faible niveau de batterie ou le manque dʼespace de stockage disponible.
Mise à jour d’iPadOS sur l’iPad partagé
Les mises à jour de logiciels sur les iPad partagés peuvent être lancées en mode OTA à l’aide de la solution MDM à laquelle l’iPad partagé est inscrit. Si l’appareil est connecté physiquement, le Finder ou Apple Configurator sur un Mac peuvent également être utilisés.
Pour installer une mise à jour sur un iPad partagé, les utilisateurs doivent être déconnectés, mais peuvent être laissés dans le cache sur l’appareil. Si l’installation nécessite plus d’espace libre que ce qui est actuellement disponible, les données de compte utilisateur mises en cache doivent être supprimées. En raison de l’autonomie de la gestion déclarative des appareils, un appareil continue de retenter l’installation d’une nouvelle version jusqu’à ce qu’elle réussisse.
Pour réduire au maximum la durée dʼindisponibilité, les mises à jour d’un iPad partagé doivent être programmées pour se produire pendant les heures dʼinactivité, de façon à affecter le moins possible les utilisateurs et le réseau.
Pour en savoir plus, consultez la rubrique Mises à jour et mises à niveau dʼiPadOS pour lʼiPad partagé.
Autoriser l’utilisateur à reporter temporairement les mises à jour et à niveau des logiciels
Pour plus de contrôle, sous macOS 12.3 ou ultérieur, vous pouvez imposer l’installation d’une mise à jour ou à niveau logicielle donnée tout en autorisant les utilisateurs à la reporter un certain nombre de fois. Une solution MDM qui prend en charge cette fonctionnalité peut préciser le nombre de fois à l’aide de l’action d’installation InstallLater
, dont la clé MaxUserDeferrals
permet de définir le nombre.
La notification d’installation est affichée approximativement toutes les 24 heures. Un report est comptabilisé lorsque l’utilisateur ferme la fenêtre de notification. Les options suivantes s’affichent lorsque l’utilisateur clique sur la notification de mise à jour ou à niveau :
Installer : Télécharge la mise à jour ou à niveau et l’installe immédiatement.
Essayer cette nuit : Télécharge la mise à jour et l’installe plus tard.
Si l’utilisateur sélectionne cette option, le Mac identifie le meilleur moment pour télécharger et installer la mise à jour ou à niveau, entre 2 h et 4 h du matin environ (la mise à jour peut avoir lieu en dehors de cette plage horaire), en se basant sur les données recueillies au cours des 21 derniers jours.
Sʼil reste des reports à lʼutilisateur, et sʼil ne voit pas la notification ou lʼignore, la mise à jour nʼest pas installée ce soir-là. La dernière notification d’installation ignore le mode « Ne pas déranger ». Aussi, le nombre de reports possibles peut être mis à jour par un administrateur MDM en exécutant une nouvelle commande. Lorsque cette opération est effectuée, le nombre de reports sur le Mac est réinitialisé.