MDM használata szoftverfrissítések késleltetéséhez Apple-eszközökön
A deklaratív eszközfelügyelet az Apple-eszközfelügyelet jövője. Lehetővé teszi, hogy az eszköz aszinkron módon alkalmazza a beállításokat, és folyamatos lekérdezés nélkül jelentse vissza az állapotot a mobileszköz-felügyeleti (MDM) megoldásnak. Ez a megoldás a teljesítmény és a skálázhatóság szempontjából ideális, továbbá lehetővé teszi a szoftverfrissítések kezelésének modern megközelítését. A deklaratív eszközfelügyelet proaktív állapotjelentést biztosít az eszközökről az értékek és konfigurációk módosulása esetén. Ily módon az MDM-megoldás folyamatosan naprakész rálátással rendelkezik az eszközökre folyamatos lekérdezések elvégzése nélkül.
Ahelyett, hogy szoftverfrissítési parancsot küldene az eszköznek egy frissítés aktiválása érdekében, az MDM-megoldás deklarálja a kívánt operációs rendszer verziójának az állapotát, és magának az eszköznek delegálja a feladatot a kívánt állapot elérése érdekében. Ezáltal a felügyelt szoftverfrissítési folyamat rugalmasabban kezelhető, és a felhasználók nagyobb átláthatósággal rendelkeznek.
A szoftverfrissítési deklarációk felhasználásának fontossága
Fontos, hogy amikor csak lehetséges, az MDM-megoldások felhasználják a szoftverfrissítési deklarációkat. A korábbi szoftverfrissítési parancsok és profilok azonban továbbra is elérhetők és támogatottak. Ennek megfelelően képesek együttműködni a szoftverfrissítési deklarációkkal az alábbi módosításokkal:
A deklaráció által meghatározott késleltetések elsőbbséget élveznek a korlátozások által konfigurált késleltetésekkel szemben.
Egy deklaráció által, macOS rendszeren alkalmazott automatikus szoftverfrissítési beállítások elsőbbséget élveznek a konfigurációs profilban megadott automatikus frissítési beállításokkal szemben.
Ha egy deklaratív eszközfelügyelet által konfigurált szoftverfrissítés van függőben, egyes MDM-parancsokat a kliens már nem dolgoz fel, és hibaüzenetet jelez, mondván, hogy az eszközön aktív deklaráció található az alábbi táblázatnak megfelelően:
MDM-parancsok | Eredmény | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Korlátozott: macOS rendszer alatt előfordulhat, hogy a nem felügyelt operációs rendszer-alapú frissítések parancsválaszként jelennek meg (pl. az Xcode-ban vagy parancssori eszközökben). | ||||||||||
| Az eszköz egy | ||||||||||
| Az eszköz egy üres állapottömböt ad vissza. | ||||||||||
Az Apple szoftverkeresési szolgáltatás használata
A (https://gdmf.apple.com/v2/pmvoldalon elérhető) Apple szoftverkeresési szolgáltatás az a hivatalos forrás, ahonnan beszerezheti a nyilvánosság számára elérhető alverziós és főverziós szoftverfrissítések és a gyors biztonsági válaszok listáját. Lehetővé teszi az MDM-megoldások számára, hogy lekérdezzék a kiadásokat, amint azok publikálásra kerülnek, és időszerű és pontos módon számolja ki az alkalmazhatóságot az adott hardvermodellek esetében.
A JSON-válasz három listában tartalmazza az elérhető szoftverkiadásokat:
PublicAssetSets: Ez a lista tartalmazza normál a felhasználók számára elérhető legújabb kiadásokat, ha azok alverziós vagy főverziós frissítést próbálnak telepíteni.
AssetSets: Ez a lista a PublicAssetSets egy része és tartalmazza az összes olyan kiadást, amelyet az MDM-megoldások a felügyelt eszközökre továbbíthatnak.
PublicRapidSecurityResponses: A lista tartalmazza az Apple-eszközökhöz jelenleg elérhető gyors biztonsági válaszokat.
A lista minden eleme tartalmazza az operációs rendszer ProductVersion számát és Buildjét, a kiadás publikálásának PostingDate dátumát, az ExpirationDate-et (lejárati dátum) és a kiadás által támogatott eszközök (SupportedDevices) listáját. Az eszközlista megegyezik az eszköz ProductName-értékeivel, amelyek a DeviceInformation válaszban, a kezdeti Authenticate kérelem során vagy az eszköz regisztrációs próbálkozása során szerzett MachineInfo válaszban vannak visszaadva.
A jellemzően a közzététel utáni 180 napra állított lejárati dátum határozza meg, hogy melyik napon jár le a frissítés aláírása. A lejárt frissítések nem telepíthetők az eszközökre. A későbbi frissítések elérhetővé válásakor előfordulhat, hogy frissül a korábbi frissítések lejárati dátuma. Ha nincs megadva lejárati dátum, akkor a frissítés még nem járt le. Egy frissítés csak akkor jár le, ha a lejárati dátuma a múltban van.
Az eszközök az operációs rendszer platformja szerint vannak csoportosítva az alábbi kulcsok segítségével:
iOS(amely tartalmazza az iPadOS-t, a tvOS-t és a watchOS-t)macOSxrOS(ez a visionOS)
{ "AssetSets": { "iOS": [ {"ProductVersion": "17.5","Build": "21F6079","PostingDate": "2024-05-13","ExpirationDate": "2024-08-15","SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3" ] },A termékverziókat tartalmazó lista segítségével határozza meg, hogy mely verziók újabbak az eszközön lévő operációs rendszer aktuális verziójához képest és melyek vonatkoznak az adott eszközre. Adja át az MDM-adminisztrátornak a verziók listáját mint lehetséges verziókat az operációs rendszer frissítéséhez.
Állapotjelentések küldése az MDM-megoldásnak
Ha frissítéseket szeretne fogadni az állapotelemekről, amikor azok módosulnak, a kiszolgálónak elő kell fizetnie az egyes állapotjelentésre a ManagementStatusSubscriptions deklaráció eszközre történő elküldésével. Az eszköz ezt követően egy StatusReport deklarációt küld az MDM-megoldásnak, amikor egy ManagementStatusSubscriptions deklaráció aktívvá válik, ha módosul egy előfizetett elem állapota, valamint 24 óránként.
Annak érdekében, hogy nyomon tudja követni az operációs rendszer verziószámát és a szoftverfrissítések állapotát, előfordulhat, hogy az MDM-megoldás elő kíván fizetni a következő állapotjelentésekre:
Állapotjelentés | Leírás |
|---|---|
| Az eszközön elérhető operációs rendszer buildjének verziója (pl. 21E219). |
| Az eszközön használt operációs rendszer verziója (pl. 17.4). |
| Az eszközön használt operációs rendszer buildje és a gyors biztonságiválasz-verziói (pl. 20A123a vagy 20F75c). |
| Az eszközön található operációs rendszer által használt gyors biztonsági válasz verziója (pl. a). |
| Egy szótár, amely tartalmazza az eszközön függőben lévő szoftverfrissítés buildjét és operációsrendszer-verzióit. |
| A szoftverfrissítés telepítési állapota, amely a következő értékekkel rendelkezik:
|
| Egy szótár a függőben lévő szoftverfrissítés okaira vonatkozó részletekkel. A
|
| A sikertelen szoftverfrissítéssel kapcsolatos részletek. A részletek tartalmazzák, hogy hányszor hiúsult meg a szoftverfrissítés, az utolsó meghiúsult frissítés időbélyegét és az okát. |
| Az eszköz által regisztrált bétaprogram neve vagy egy üres karakterlánc, ha nincs regisztrált bétaprogram. |
Előfordulhat, hogy az egyéb jelentések mellett az MDM-megoldások a softwareupdate.install-reason parancsot is elérhetővé szeretnék tenni az adminisztrátorok számára támogatás céljából, valamint annak érdekében, hogy további betekintést biztosítanak arra vonatkozóan, hogy hogyan került a frissítés aktiválásra. Ezen szótár segítségével megállapítható, hogy a felhasználó kezdeményezte a frissítést, automatikusan indult el a frissítés vagy egy szoftverfrissítés-kényszerítési deklaráció által került kényszerítésre.
Specifikus minimális szoftververzió megkövetelése MDM-regisztráció közben
Ha egy eszköz támogatja ezt a képességet, egy MDM_CAN_REQUEST_SOFTWARE_UPDATE kulcsot ad vissza, Igaz értékre állítja azokban a MachineInfo adatokban, amelyet az eredeti HTTP POST-kérelemben küld el az MDM-megoldásnak, amikor az eszköz egy felügyeleti konfigurációt észlel a Beállítási asszisztens során. További információkért tekintse meg a MachineInfo yaml fájlt az Apple device management GitHub repository oldalon.
Továbbá az eszközök az alábbi mezőket is megadják a MachineInfo adatokban (összes karakterlánc):
Kulcs | Minimálisan támogatott operációs rendszer | Leírás | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
VERSION | iOS 17 iPadOS 17 macOS 14 | Az eszközre telepített build verziója (pl. 7A182). | |||||||||
OS_VERSION | iOS 17 iPadOS 17 macOS 14 | Az eszközre telepített operációs rendszer verziója (pl. 17.0). | |||||||||
SUPPLEMENTAL_BUILD_VERSION | iOS 17 iPadOS 17 macOS 14 | Az eszközön elérhető gyors biztonsági válasz verziója (ha van ilyen). | |||||||||
SUPPLEMENTAL_OS_VERSION_EXTRA | iOS 17 iPadOS 17 macOS 14 | Az eszköz extra gyors biztonsági válasza (ha van ilyen). | |||||||||
SOFTWARE_UPDATE_DEVICE_ID | iOS 17.4 iPadOS 17.4 macOS 14.4 | Az eszközmodell azonosítója, amely segítségével megkereshetők az elérhető operációsrendszer-frissítések az Apple szoftverkeresési szolgáltatásában. | |||||||||
A megadott információk alapján az MDM-megoldás képes eldönteni, hogy kényszerítse-e az eszközön a frissítést.
Ha egy MDM-megoldás úgy dönt, hogy nem kényszeríti a szoftverfrissítést, akkor egyszerűen csak visszaadja az MDM regisztrációs profilt a HTTP POST-kérelemre küldött válaszként, ahogy azt általánosan is tenné egy MDM-regisztráció folytatásának engedélyezésekor.
Ha egy MDM-megoldás úgy dönt, hogy kényszerít egy szoftverfrissítést, akkor egy 403-as állapotkóddal rendelkező HTTP-választ kell biztosítania. A válasznak tartalmaznia kell egy JSON- vagy XML-objektumot a szövegtörzsben (a HTTP-tartalom-típusú válasz fejlécét adott esetben
application/jsonvagyapplication/xmlértékre kell beállítani).
A hibaválasz fogadását követően az eszköz megpróbálkozik az adott verzióra történő frissítéssel. Ha a frissítés sikeresen lezajlik, az eszköz újraindul, és a felhasználónak újra el kell végeznie a Beállítási asszisztenst. A következő MachineInfo POST-kérelem, amit az eszköz küld az MDM-megoldásnak, megjeleníti a frissített operációsrendszer-verziót, és az MDM-megoldás ezt követően továbbléphet az MDM-regisztrációra. Ha a frissítés meghiúsul, a felhasználó előtt egy hibaüzenet jelenik meg, és a Beállítási asszisztensben újra megjelenik a távoli felügyelet panelje.
A response séma az alábbi táblázatban kerül bemutatásra.
Kulcs | Típus | Kötelező | Leírás | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Karakterlánc | Igen | Kötelezően a | ||||||||
| Karakterlánc | Nem | A hiba leírása. Kizárólag naplózási célokat szolgál. | ||||||||
| Karakterlánc | Nem | A felhasználó előtt történő megjelenítéshez megfelelő hiba leírása. | ||||||||
| Szótár | Igen | A szoftverfrissítést leíró további adatok. | ||||||||
A details szótár séma itt kerül definiálásra.
Kulcs | Típus | Kötelező | Leírás | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Karakterlánc | Igen | Az az operációsrendszer-verzió, amelyre az eszköznek frissítenie kell. | ||||||||
| Karakterlánc | Nem | Az a buildverzió, amelyre az eszköznek frissítenie kell. | ||||||||
| Szótár | Nem | Az eszköz regisztrál a bétaprogramba, ezzel lehetővé téve a bétaprogram operációsrendszer-verziók kényszerített szoftverfrissítéseit. Az eszköz a kényszerített szoftverfrissítés befejezését követően is a bétaprogramban marad. | ||||||||
Ha kizárólag az OSVersion kerül megadásra, az eszköz automatikusan letöltés és telepíti az adott verzióhoz elérhető gyors biztonsági választ. Ha egy specifikus buildre vagy kiegészítő verzióra van szükség, az MDM-megoldások opcionálisan a BuildVersion értéket is megadhatják. Ha például meg szeretné követelni, hogy a regisztráció előtt az eszközön az iOS 16.5.1(a) verzió fusson annak ellenére, hogy az iOS 16.5.1(c) verzió már elérhetővé vált, az MDM-megoldásoknak az OSVersion értéket iOS 16.5.1-re és a BuildVersion értéket 20F770750b-re kell beállítaniuk.
Fontos: A macOS 15 rendszer előtt kizárólag a PublicAssetSets és a PublicRapidSecurityResponses listákon megtalálható kiadásokat lehetett megadni. A macOS 15 rendszertől kezdődően az AssetSets lista elemei is használhatók.
MDM-beállítások szoftverfrissítésekhez
Az iOS 18, iPadOS 18 és macOS 15 rendszer alatt elérhető com.apple.configuration.softwareupdate.settings deklaráció olyan szótárakból áll, amelyek segítségével a szoftverfrissítési viselkedés számos aspektusa konfigurálható.
Miután egy MDM-megoldás különböző kulcsokat oszt szét számos deklarációnak, az eszköz egyesíti az összes aktív szoftverfrissítés-beállítás deklaráció beállításait. Ha ugyanazt a kulcsot több deklaráció is konfigurálja, az egyesítési viselkedés az adott kulcstól függ, és az alábbi táblázatban kerül bemutatásra.
Automatikus szoftverfrissítések konfigurációja MDM-mel
A com.apple.configuration.softwareupdate.settings deklaráció egy olyan szótárat is biztosít, amely definiálja az automatikus szoftverfrissítési viselkedést a felügyelt iPhone-okon, iPadeken és Maceken. Bővebben: AutomaticActions szótárkulcsok.
A gyors biztonsági válaszok MDM által történő kezelése
A gyors biztonsági válaszok minden esetben a legfrissebb operációsrendszer-frissítésen kerülnek alkalmazásra, amely ezt követően a gyors biztonsági válasz alapverziójává válik. Ha például egy iPhone-ra telepítették az iOS 17.2 operációs rendszert, akkor a 17.2 (a) kiegészítő frissítést alkalmazza, ha az elérhető. iOS 18, iPadOS 18 és macOS 15 rendszer használata esetén már elérhetők a kombinált frissítések, amely lehetővé teszi a szoftverfrissítések számára az elérhető gyors biztonsági válaszok alkalmazását.
Az iOS 18, iPadOS 18 és macOS 15 rendszereket megelőzően előfordult, hogy az MDM-megoldások csak két szoftverfrissítés elindításával tudták biztosítani, hogy egy adott kiegészítő verzió jelen legyen: először frissítenie kellett az eszközt a kiegészítő frissítés alapverziójára, ha az eszköz még nem azt az alapverziót használta (például iOS 17.1-ről iOS 17.2-re); majd frissítenie kellett az alapverziót a kiegészítő verzióra (például iOS 17.2-ről iOS 17.2 (a)-ra).
Az iOS 18, iPadOS 18 és macOS 15 rendszerektől kezdődően az MDM-megoldások megadhatják:
Az operációs rendszer verzióját (amely automatikusan telepíti az elérhető gyors biztonsági válaszokat)
A kiegészítő build verzióját (amely hatására az eszköz a folyamat részeként automatikusan elvégzi az alapverzióra történő frissítéshez szükséges frissítést)
Ez a két megközelítés vonatkozik a szoftverfrissítéskényszerítési konfigurációra, valamint a kényszerített minimális verzióra az Automatizált eszközregisztráció során.
A com.apple.configuration.softwareupdate.settings deklaráció segítségével továbbá konfigurálható a gyors biztonsági válasz viselkedése a felügyelt iPhone-okon, iPadeken és Maceken. Bővebben: RapidSecurityResponse szótárkulcsok iOS, iPadOS és macOS rendszerekhez.
Szoftverfrissítések késleltetése MDM-mel
Az alverziós vagy főverziós szoftverfrissítések 1–90 nappal történő késleltetése a com.apple.configuration.softwareupdate.settings deklarációval hajtható végre felügyelt iPhone-okon, iPadeken és Maceken.
A konfigurált késleltetés meghatározza, hogy a nyilvános elérhetővé válását követően hány napig nem lesz elérhető a kiadás a felhasználók számára. Egy konfigurált késleltetéstől függetlenül az MDM-megoldások továbbra is kényszeríthetnek adott alverziós vagy főverziós szoftverfrissítéseket vagy gyors biztonsági válaszokat a felügyelt eszközökön. Bővebben: A Késleltetések szótárkulcsai iOS és iPadOS rendszerhez és Késleltetések szótárkulcsai macOS rendszerhez.
Megjegyzés: A szoftverfrissítések késleltetése késlelteti továbbá az adott verzión alapuló gyors biztonsági válaszokat is.
Szoftverfrissítések kényszerítése MDM-mel
Ha egy adott időponting ki szeretne kényszeríteni egy szoftverfrissítést az Eszközregisztráció vagy Automatizált eszközregisztráció segítségével regisztrált eszközökön, az MDM-megoldások a com.apple.configuration.softwareupdate.enforcement.specific deklaráció segítségével ezt megtehetik.
Ha a konfigurációban egy olyan operációsrendszer- vagy buildverzió szerepel, amely ugyan olyan, vagy korábbi, mint az aktuális eszközverzió, akkor a rendszer figyelmen kívül hagyja a konfigurációt.
Ha több konfiguráció is jelen van a jelenlegi eszközverziónál újabb operációsrendszer- vagy buildverzió mellett, először a legkorábbi céldátummal és idővel rendelkező konfiguráció kerül feldolgozásra, míg a többi a várakozási sorban marad. Amikor az eszköz egy új verzióra frissül, a konfigurációkészletet a rendszer újra feldolgozza, hogy meg tudja állapítani, melyik konfiguráció kerüljön legközelebb feldolgozásra.
Az elérhető gyors biztonsági válaszok automatikusan telepítve lesznek, ha egy MDM-megoldás csak a TargetOSVersion kulcsot definiálja. Egy adott kiadást vagy gyors biztonsági választ az MDM-megoldások a TargetBuildVersion kulcs segítségével tudnak megcélozni azután, hogy megadták a build, valamint a kiegészítő verzió azonosítóját.
Értesítések
A Notifications kulcs módosítja az alapértelmezett értesítési viselkedést, hogy csak egy értesítés jelenjen meg egy órával a kényszerítés időpontja és az újraindítási visszaszámlálás előtt. Bővebben: Értesítések kulcs.
Bootstrap tokenek használata Apple-chippel rendelkező Macekhez
Ahhoz, hogy engedélyezni tudjanak egy kényszerített szoftverfrissítést egy Apple-chippel rendelkező felügyelt Macen, az MDM-megoldások igényelhetnek és zálogba helyezhetnek egy bootstrap tokent. Ezáltal a szoftverfrissítési élmény teljesen zökkenőmentesen kezelhető, és elkerülhető a felhasználó frissítési folyamatba történő belevonása. Szükség esetén az eszköz a GetBootstrapTokenRequest kulcs segítségével kéri le a bootstrap tokent az MDM-megoldástól.
Az első lépésben az MDM-megoldás a SecurityInfo parancs segítségével megállapítja, hogy az eszköz támogatja-e a bootstrap tokent. Ha a válasz egy igen értékkel rendelkező BootstrapTokenRequiredForSoftwareUpdate kulcsot tartalmaz, az eszköz képes felhasználói a bootstrap tokent a szoftverfrissítés engedélyezésére.
Egy bootstrap token létrehozásához az MDM-megoldásnak hozzá kell adnia a com.apple.mdm.bootstraptoken kulcsot a ServerCapabilities tömbhöz az MDM-profilon belül. További információkért tekintse meg az Apple fejlesztői webhely MDM payload fejezetét.
A bootstrap token fogadását követően az eszköz létrehoz egy boostrap tokent a következő alkalommal, amikor egy biztonsági tokennel rendelkező felhasználó bejelentkezik. Ezt követően az eszköz kapcsolatba lép az MDM-megoldás bejelentkezési végpontjához, és a SetBootstrapTokenRequest parancs segítségével zálogba helyezi a tokent. További információkért tekintse meg az Apple fejlesztői webhely Set Bootstrap Token fejezetét.
A legaktuálisabb sémaspecifikációért, lásd: Apple device management GitHub repository.