Eszközfelügyelet használata Apple-eszközök szoftverfrissítéseinek központi telepítéséhez
A deklaratív eszközfelügyelet az Apple-eszközfelügyelet jövője. Lehetővé teszi, hogy az eszköz aszinkron módon alkalmazza a beállításokat, és folyamatos lekérdezés nélkül jelentse vissza az állapotot az eszközfelügyeleti szolgáltatásnak. Ez a megoldás a teljesítmény és a skálázhatóság szempontjából ideális, továbbá egy haladó megközelítést biztosít a szoftverfrissítések kezeléséhez. A deklaratív eszközfelügyelet proaktív állapotjelentést kínál az eszközökről az értékek és konfigurációk módosulása esetén. Ily módon az eszközfelügyeleti szolgáltatás folyamatosan naprakész rálátással rendelkezik az eszközökre folyamatos lekérdezések elvégzése nélkül.
Ahelyett, hogy szoftverfrissítési parancsot küldene az eszköznek egy frissítés aktiválása érdekében, az eszközfelügyeleti szolgáltatás deklarálja az operációs rendszer verziójának kívánt állapotát, és magának az eszköznek delegálja a feladatot a kívánt állapot elérése érdekében. Ezáltal a felügyelt szoftverfrissítési folyamat rugalmasabban kezelhető, és a felhasználók nagyobb átláthatósággal rendelkeznek.
A szoftverfrissítési deklarációk felhasználásának fontossága
Fontos, hogy amikor csak lehetséges, az eszközfelügyeleti szolgáltatások felhasználják a szoftverfrissítési deklarációkat. A korábbi szoftverfrissítési parancsok és profilok azonban továbbra is elérhetők és támogatottak. Ennek megfelelően képesek együttműködni a szoftverfrissítési deklarációkkal az alábbi módosításokkal:
A deklaráció által meghatározott késleltetések elsőbbséget élveznek a korlátozások által konfigurált késleltetésekkel szemben.
Egy deklaráció által, macOS rendszeren alkalmazott automatikus szoftverfrissítési beállítások elsőbbséget élveznek a konfigurációs profilban megadott automatikus frissítési beállításokkal szemben.
Ha olyan szoftverfrissítés van függőben, amelyet az operációs rendszer deklaratív eszközfelügyelet segítségével konfigurál, akkor egyes eszközfelügyeleti parancsokat a kliens már nem tud feldolgozni, és hibákat ad vissza, amelyek jelzik, hogy az eszközön aktív deklaráció található az alábbi táblázatnak megfelelően:
Eszközfelügyeleti parancs | Eredmény | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Korlátozott: Macek használata esetén előfordulhat, hogy a nem felügyelt operációsrendszer alapú frissítések parancsválaszként jelennek meg (pl. az Xcode-ban vagy parancssori eszközökben). | ||||||||||
| Az eszköz egy | ||||||||||
| Az eszköz egy üres állapottömböt ad vissza. | ||||||||||
Az Apple szoftverkeresési szolgáltatás használata
Az Apple szoftverkeresési szolgáltatás (amely a https://gdmf.apple.com/v2/pmv oldalon érhető el) az a hivatalos forrás, ahonnan beszerezheti a nyilvánosság számára elérhető alverziós és főverziós szoftverfrissítések és a gyors biztonsági válaszok listáját. Lehetővé teszi az eszközfelügyeleti szolgáltatások számára, hogy lekérdezzék a kiadásokat, amint az Apple közzéteszi őket, valamint időszerű és pontos módon kiszámolják az alkalmazhatóságot az adott hardvermodellek esetében.
A JSON-válasz három listában tartalmazza az elérhető szoftverkiadásokat:
PublicAssetSets: Ez a lista tartalmazza normál a felhasználók számára elérhető legújabb kiadásokat, ha azok alverziós vagy főverziós frissítést próbálnak telepíteni.
AssetSets: Ez a lista a
PublicAssetSetsegy része, és tartalmazza az összes olyan kiadást, amelyet az eszközfelügyeleti szolgáltatások az eszközökre továbbíthatnak.PublicRapidSecurityResponses: A lista tartalmazza az Apple-eszközökhöz jelenleg elérhető gyors biztonsági válaszokat.
A lista minden eleme tartalmazza az operációs rendszer ProductVersion számát és Buildjét, a kiadás publikálásának PostingDate dátumát, az ExpirationDate-et (lejárati dátum) és a kiadás által támogatott eszközök (SupportedDevices) listáját. Az eszközlista megegyezik az eszköz ProductName-értékeivel, amelyek a DeviceInformation válaszban, a kezdeti Authenticate kérelem során vagy az eszköz regisztrációs próbálkozása során szerzett MachineInfo válaszban vannak visszaadva.
A jellemzően a közzététel utáni 180 napra állított lejárati dátum határozza meg, hogy melyik napon jár le a frissítés aláírása. A lejárt frissítések nem telepíthetők az eszközökre. A későbbi frissítések elérhetővé válásakor előfordulhat, hogy frissül a korábbi frissítések lejárati dátuma. Ha nincs megadva lejárati dátum, akkor a frissítés még nem járt le. Egy frissítés csak akkor jár le, ha a lejárati dátuma a múltban van.
Az eszközök az operációs rendszer platformja szerint vannak csoportosítva az alábbi kulcsok segítségével:
iOS(amely tartalmazza az iPadOS-t, a tvOS-t és a watchOS-t)macOSvisionOS
{ "AssetSets": { "iOS": [ {"ProductVersion": "18.2.1","Build": "22C6161","PostingDate": "2025-01-06","ExpirationDate": "2025-04-17","SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1", "iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", "iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", "iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,10", "iPad14,11", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad14,8", "iPad14,9", "iPad16,1", "iPad16,2", "iPad16,3", "iPad16,4", "iPad16,5", "iPad16,6", "iPad7,11", "iPad7,12", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone11,2", "iPhone11,4", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3", "iPhone15,4", "iPhone15,5", "iPhone16,1", "iPhone16,2", "iPhone17,1", "iPhone17,2", "iPhone17,3", "iPhone17,4" ] },A termékverziókat tartalmazó lista segítségével határozza meg, hogy mely verziók újabbak az eszközön lévő operációs rendszer aktuális verziójához képest, és melyek vonatkoznak az adott eszközre. Ezután adja át az eszközfelügyeleti szolgáltatás adminisztrátorának a verziók listáját mint lehetséges verziókat az operációs rendszer frissítéséhez.
Állapotjelentések küldése az eszközfelügyeleti szolgáltatásnak
Ha frissítéseket szeretne fogadni az állapotelemekről, amikor azok módosulnak, akkor a szervernek elő kell fizetnie az egyes állapotjelentésekre, amihez el kell küldeni egy ManagementStatusSubscriptions deklarációt az eszközre. Az eszköz ezt követően egy StatusReport deklarációt küld az eszközfelügyeleti szolgáltatásnak, amikor egy ManagementStatusSubscriptions deklaráció aktívvá válik, ha módosul egy előfizetett elem állapota, valamint 24 óránként.
Annak érdekében, hogy nyomon tudja követni az operációs rendszer verziószámát és a szoftverfrissítések állapotát, előfordulhat, hogy az eszközfelügyeleti szolgáltatás elő kíván fizetni a következő állapotjelentésekre:
Állapotjelentés | Leírás |
|---|---|
| Az eszközön elérhető operációs rendszer buildjének verziója (pl. 21E219). |
| Az eszközön használt operációs rendszer verziója (pl. 17.4). |
| Az eszközön használt operációs rendszer buildje és a gyors biztonságiválasz-verziói (pl. 20A123a vagy 20F75c). |
| Az eszközön található operációs rendszer által használt gyors biztonsági válasz verziója (pl. a). |
| Egy szótár, amely tartalmazza az eszközön függőben lévő szoftverfrissítés buildjét és operációsrendszer-verzióit. |
| A szoftverfrissítés telepítési állapota, amely a következő értékekkel rendelkezik:
|
| Egy szótár a függőben lévő szoftverfrissítés okaira vonatkozó részletekkel. A
|
| A sikertelen szoftverfrissítéssel kapcsolatos részletek. A részletek tartalmazzák, hogy hányszor hiúsult meg a szoftverfrissítés, az utolsó meghiúsult frissítés időbélyegét és az okát. |
| Az eszköz által regisztrált bétaprogram neve vagy egy üres karakterlánc, ha nincs regisztrált bétaprogram. |
Előfordulhat, hogy az egyéb jelentések mellett az eszközfelügyeleti szolgáltatások a softwareupdate.install-reason parancsot is elérhetővé szeretnék tenni az adminisztrátorok számára támogatás céljából, valamint annak érdekében, hogy további betekintést biztosítanak arra vonatkozóan, hogy egy frissítésre hogyan kerül sor. Ezzel a szótárral megállapíthatja, hogy a felhasználó kezdeményezi-e a frissítést, automatikusan kerül-e sor a frissítésre, vagy egy szoftverfrissítés-kényszerítési deklaráció által van-e elindítva.
Meghatározott minimális szoftververzió megkövetelése regisztráció közben
Ha egy eszköz támogatja ezt a képességet, egy MDM_CAN_REQUEST_SOFTWARE_UPDATE kulcsot ad vissza, és Igaz értékre állítja azokban a MachineInfo adatokban, amelyeket az eredeti HTTP POST-kérelemben küld el az eszközfelügyeleti szolgáltatásnak, amikor az eszköz egy felügyeleti konfigurációt észlel a Beállítási asszisztensben. További információkért tekintse meg a MachineInfo yaml fájlt az Apple device management GitHub repository oldalon.
Továbbá az eszközök az alábbi mezőket is megadják a MachineInfo adatokban (összes karakterlánc):
Kulcs | Minimális támogatott operációsrendszer-verziók | Leírás | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
VERSION | iOS 17 iPadOS 17 macOS 14 | Az eszközre telepített build verziója (pl. 7A182). | |||||||||
OS_VERSION | iOS 17 iPadOS 17 macOS 14 | Az eszközre telepített operációs rendszer verziója (pl. 17.0). | |||||||||
SUPPLEMENTAL_BUILD_VERSION | iOS 17 iPadOS 17 macOS 14 | Az eszközön elérhető gyors biztonsági válasz verziója (ha van ilyen). | |||||||||
SUPPLEMENTAL_OS_VERSION_EXTRA | iOS 17 iPadOS 17 macOS 14 | Az eszköz extra gyors biztonsági válasza (ha van ilyen). | |||||||||
SOFTWARE_UPDATE_DEVICE_ID | iOS 17.4 iPadOS 17.4 macOS 14.4 | Az eszközmodell azonosítója, amely segítségével megkereshetők az elérhető operációsrendszer-frissítések az Apple szoftverkeresési szolgáltatásában. | |||||||||
A megadott információk alapján az eszközfelügyeleti szolgáltatás képes eldönteni, hogy kényszerítse-e az eszközön a frissítést.
Ha egy eszközfelügyeleti szolgáltatás úgy dönt, hogy nem kényszeríti a szoftverfrissítést, akkor egyszerűen csak visszaadja a regisztrációs profilt a
HTTP POST-kérelemre küldött válaszként, ahogy azt általánosan teszi a regisztráció folytatásának engedélyezésekor.Ha az eszközfelügyeleti szolgáltatás úgy dönt, hogy kényszerít egy szoftverfrissítést, akkor egy 403-as állapotkóddal rendelkező
HTTP-választ kell biztosítania. A válasznak tartalmaznia kell egy JSON- vagy XML-objektumot a szövegtörzsben (aHTTP-tartalom típusúválasz fejlécét adott esetbenapplication/jsonvagyapplication/xmlértékre kell beállítani).
A hibaválasz fogadását követően az eszköz megpróbálkozik az adott verzióra történő frissítéssel. Ha a frissítés sikeresen lezajlik, az eszköz újraindul, és a felhasználónak újra végig kell haladnia a Beállítási asszisztens folyamatán. A következő MachineInfo POST-kérelem, amit az eszköz küld az eszközfelügyeleti szolgáltatásnak, megjeleníti a frissített operációsrendszer-verziót, és a szolgáltatás ezt követően továbbléphet a regisztrációra. Ha a frissítés meghiúsul, megjelenik egy hibaüzenet a felhasználónak, és a Beállítási asszisztensben újra megjelenik a távoli felügyelet panelje.
A response séma az alábbi táblázatban kerül bemutatásra.
Kulcs | Típus | Kötelező | Leírás | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Karakterlánc | Igen | A | ||||||||
| Karakterlánc | Nem | A hiba leírása. Kizárólag naplózási célokat szolgál. | ||||||||
| Karakterlánc | Nem | A felhasználó előtt történő megjelenítéshez megfelelő hiba leírása. | ||||||||
| Szótár | Igen | A szoftverfrissítést leíró további adatok. | ||||||||
A details szótár séma itt kerül definiálásra.
Kulcs | Típus | Kötelező | Leírás | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Karakterlánc | Igen | Az az operációsrendszer-verzió, amelyre az eszköznek frissítenie kell. | ||||||||
| Karakterlánc | Nem | Az a buildverzió, amelyre az eszköznek frissítenie kell. | ||||||||
| Szótár | Nem | Az eszköz regisztrál a bétaprogramba, ezzel lehetővé téve a bétaprogram operációsrendszer-verziók kényszerített szoftverfrissítéseit. Az eszköz a kényszerített szoftverfrissítés befejezését követően is a bétaprogramban marad. | ||||||||
Ha kizárólag az OSVersion értékét adja meg, az eszköz automatikusan letölti és telepíti az adott verzióhoz elérhető gyors biztonsági válaszokat. Ha egy meghatározott buildre vagy kiegészítő verzióra van szükség, az eszközfelügyeleti szolgáltatások opcionálisan a BuildVersion értéket is megadhatják. Ha például meg szeretné követelni, hogy a regisztráció előtt az eszközön az iOS 16.5.1(a) verzió fusson annak ellenére, hogy az iOS 16.5.1(c) verzió már elérhetővé vált, az eszközfelügyeleti szolgáltatásoknak az OSVersion értéket iOS 16.5.1-re, a BuildVersion értéket pedig 20F770750b-re kell beállítaniuk.
Fontos: A macOS 15 rendszer előtt kizárólag a PublicAssetSets és a PublicRapidSecurityResponses listákon megtalálható kiadásokat lehetett megadni. A macOS 15 rendszertől kezdődően az AssetSets lista elemei is használhatók.
Eszközfelügyeleti beállítások szoftverfrissítésekhez
Az iOS 18, iPadOS 18, macOS 15, tvOS 18.4 és újabb rendszerek alatt elérhető com.apple.configuration.softwareupdate.settings deklaráció olyan szótárakból áll, amelyek segítségével a szoftverfrissítési viselkedés számos aspektusa konfigurálható.
Miután egy eszközfelügyeleti szolgáltatás különböző kulcsokat oszt szét számos deklarációnak, az eszköz egyesíti a szoftverfrissítési beállítások összes aktív deklarációjának beállításait. Ha ugyanazt a kulcsot több deklaráció konfigurálja, az egyesítési viselkedés az adott kulcstól függ, ami az alábbi táblázatokban van bemutatva.
Automatikus szoftverfrissítések konfigurálása eszközfelügyelettel
A com.apple.configuration.softwareupdate.settings deklaráció egy olyan szótárat is biztosít, amely definiálja az automatikus szoftverfrissítési viselkedést a felügyelt iPhone-okon, iPadeken, Apple TV-ken és Maceken. Bővebben: AutomaticActions szótárkulcsok.
A gyors biztonsági válaszok eszközfelügyeleti szolgáltatás által történő kezelése
A gyors biztonsági válaszok minden esetben a legfrissebb operációsrendszer-frissítésen kerülnek alkalmazásra, amely ezt követően a gyors biztonsági válasz alapverziójává válik. Ha például egy iPhone-ra telepítették az iOS 17.2 operációs rendszert, akkor a 17.2 (a) kiegészítő frissítést alkalmazza, ha az elérhető. iOS 18, iPadOS 18 és macOS 15 rendszer használata esetén már elérhetők a kombinált frissítések, amely lehetővé teszi a szoftverfrissítések számára az elérhető gyors biztonsági válaszok alkalmazását.
Az iOS 18, iPadOS 18 és macOS 15 rendszereket megelőzően előfordult, hogy az eszközfelügyeleti szolgáltatások csak két szoftverfrissítés elindításával tudták biztosítani, hogy egy adott kiegészítő verzió jelen legyen. Először frissítenie kell az eszközt a kiegészítő frissítés alapverziójára, ha az eszköz még nem azt az alapverziót használja (például iOS 17.1-ről iOS 17.2-re). Ezután frissítenie kell az alapverziót a kiegészítő verzióra (például iOS 17.2-ről iOS 17.2 (a)-ra).
Az iOS 18, iPadOS 18 és macOS 15 rendszerektől kezdődően az eszközfelügyeleti szolgáltatások megadhatják:
Az operációs rendszer verzióját (amely automatikusan telepíti az elérhető gyors biztonsági válaszokat)
A kiegészítő build verzióját (amely hatására az eszköz a folyamat részeként automatikusan elvégzi az alapverzióra történő frissítéshez szükséges frissítést)
Ez a két megközelítés vonatkozik a szoftverfrissítéskényszerítési konfigurációra, valamint a kényszerített minimális verzióra az Automatizált eszközregisztráció során.
A com.apple.configuration.softwareupdate.settings deklaráció segítségével továbbá konfigurálható a gyors biztonsági válasz viselkedése a felügyelt iPhone-okon, iPadeken és Maceken. Bővebben: RapidSecurityResponse szótárkulcsok iOS, iPadOS és macOS rendszerekhez.
Szoftverfrissítések késleltetése eszközfelügyelettel
Az alverziós vagy főverziós szoftverfrissítések 1–90 nappal történő késleltetése a com.apple.configuration.softwareupdate.settings deklarációval hajtható végre felügyelt iPhone-okon, iPadeken és Maceken.
A konfigurált késleltetés meghatározza, hogy a szervezet hány nap után kínál fel egy kiadást a felhasználók számára, miután a kiadás nyilvánosan elérhetővé vált. Egy konfigurált késleltetéstől függetlenül az eszközfelügyeleti szolgáltatások továbbra is kényszeríthetnek adott alverziós vagy főverziós szoftverfrissítéseket vagy gyors biztonsági válaszokat a felügyelt eszközökön. További információkért, lásd: A Késleltetések szótárkulcsai iOS, iPadOS és tvOS rendszerhez és Késleltetések szótárkulcsai macOS rendszerhez.
Megjegyzés: A szoftverfrissítések késleltetése késlelteti továbbá az adott verzión alapuló gyors biztonsági válaszokat is.
Szoftverfrissítések kényszerítése eszközfelügyelettel
Ha egy adott időponting ki szeretne kényszeríteni egy szoftverfrissítést az eszközregisztráció vagy automatizált eszközregisztráció segítségével regisztrált eszközökön, az eszközfelügyeleti szolgáltatások a com.apple.configuration.softwareupdate.enforcement.specific deklaráció segítségével ezt megtehetik.
Ha az eszközre alkalmazott konfigurációban egy olyan operációsrendszer- vagy buildverzió szerepel, amely ugyanolyan vagy régebbi, mint az eszközön lévő aktuális verzió, akkor az eszköz hibát ad vissza az állapotjelentésben.
Ha több konfiguráció is jelen van a jelenlegi eszközverziónál újabb operációsrendszer- vagy buildverzió mellett, először a legkorábbi céldátummal és idővel rendelkező konfiguráció kerül feldolgozásra, míg a többi a várakozási sorban marad. Amikor az eszköz egy új verzióra frissül, a konfigurációkészletet a rendszer újra feldolgozza, hogy meg tudja állapítani, melyik konfiguráció kerüljön legközelebb feldolgozásra. A folyamat részeként az eszköz figyelmen kívül hagyja azokat a meglévő konfigurációkat, amelyekben az aktuális verzióval megegyező vagy egy annál régebbi verzió van megadva.
Az operációs rendszer automatikusan telepíti az elérhető gyors biztonsági válaszokat, ha egy eszközfelügyeleti szolgáltatás csak a TargetOSVersion kulcsot definiálja. Egy adott kiadást vagy gyors biztonsági választ az eszközfelügyeleti szolgáltatások a TargetBuildVersion kulcs segítségével tudnak megcélozni azután, hogy megadták a build, valamint a kiegészítő verzió azonosítóját.
További információkért, lásd: Szoftverfrissítések kényszerítése szótárkulcsok.
Értesítések
A Notifications kulcs módosítja az alapértelmezett értesítési viselkedést, hogy csak egy értesítés jelenjen meg egy órával a kényszerítés időpontja és az újraindítási visszaszámlálás előtt. Bővebben: Értesítések kulcs.
Bootstrap tokenek használata Apple-chippel rendelkező Macekhez
Ahhoz, hogy engedélyezni tudjanak egy kényszerített szoftverfrissítést egy Apple-chippel rendelkező felügyelt Macen, az eszközfelügyeleti szolgáltatások igényelhetnek és zálogba helyezhetnek egy bootstrap tokent. Ezáltal a szoftverfrissítési élmény teljesen zökkenőmentesen kezelhető, és elkerülhető a felhasználó frissítési folyamatba történő bevonása. Szükség esetén az eszköz a GetBootstrapTokenRequest kulcs segítségével kéri le a bootstrap tokent az eszközfelügyeleti szolgáltatástól.
Az első lépésben az eszközfelügyeleti szolgáltatás a SecurityInfo parancs segítségével megállapítja, hogy az eszköz támogatja-e a bootstrap tokent. Ha a válasz egy igaz értékkel rendelkező BootstrapTokenRequiredForSoftwareUpdate kulcsot tartalmaz, az eszköz képes felhasználni egy bootstrap tokent a szoftverfrissítés engedélyezésére.
Egy bootstrap token létrehozásához az eszközfelügyeleti szolgáltatásnak hozzá kell adnia a com.apple.mdm.bootstraptoken kulcsot a ServerCapabilities tömbhöz az eszközfelügyeleti profilon belül. További információkért tekintse meg a Device Management Profile című leírást az Apple fejlesztői webhelyén.
A bootstrap token fogadását követően az eszköz létrehoz egy boostrap tokent a következő alkalommal, amikor egy biztonsági tokennel rendelkező felhasználó bejelentkezik. Ezt követően az eszköz kapcsolatba lép az eszközfelügyeleti szolgáltatás bejelentkezési végpontjával, és a SetBootstrapTokenRequest parancs segítségével zálogba helyezi a tokent. További információkért tekintse meg az Apple fejlesztői webhely Set Bootstrap Token fejezetét.
A legaktuálisabb sémaspecifikációért, lásd: Apple device management GitHub repository.