MDMを使ってソフトウェア・アップデートをAppleデバイスに導入する
ソフトウェア・アップデートおよびアップグレードの管理には、プレリリースのアップデートおよびアップグレードのテスト、ユーザのデバイスへのソフトウェア・アップデートの導入、ユーザがデバイスを最新状態に維持することを必須にするポリシーの適用が含まれます。詳しくは、WWDC21のビデオ「組織におけるソフトウェアアップデートの管理(英語)」およびWWDC23のビデオ「宣言型デバイス管理の詳細を確認する(英語)」を参照してください。
MDMソフトウェア・アップデートおよびアップグレードのコマンド
MDMソフトウェア・アップデートおよびアップグレードのコマンドを以下に示します。これらのコマンドでは、カスタマイズされたユーザ向け通知は使用できません。
注記: macOS 13以降では、デバイスがスリープ状態またはPowerNapモードになっているときでも、MacはScheduleOSUpdateScan
、ScheduleOSUpdate
、OSUpdateStatus
、およびAvailableOSUpdate
コマンドを認知し、これに対応します。
コマンド | 対応しているオペレーティングシステム | 監視対象 | 説明 | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
アップデートスキャンのスケジュールを設定 | macOS | はい | デバイスにオペレーティング・システム・アップデートのバックグラウンドスキャンの実行をリクエストします。 詳しくは、Apple Developer Webサイトの「OSアップデートスキャンのスケジュールの設定」(英語)を参照してください。 | ||||||||
使用可能なアップデートをリスト表示 | iOS iPadOS macOS tvOS | はい(iOS、iPadOS、tvOS) いいえ(macOS) | デバイスに対して、使用可能なオペレーティング・システム・アップデートのリストのクエリーを実行します。macOSでは、このクエリーによって返された結果をアップデートするために 詳しくは、Apple Developer Webサイト「使用可能なOSアップデート一覧」(英語)を参照してください。 | ||||||||
アップデートのスケジュールを設定 | iOS iPadOS macOS tvOS | はい | サーバにオペレーティング・システム・アップデートのスケジュール設定およびアップデートの優先順位設定を許可します。 詳しくは、Apple Developer Webサイトの「OSアップデートのスケジュールの設定」(英語)を参照してください。 | ||||||||
状況をアップデート | iOS iPadOS macOS tvOS | はい | デバイスに対して、ソフトウェア・アップデートの状況のクエリーを実行します。 詳しくは、Apple Developer Webサイトの「OSアップデートステータスを取得する」(英語)を参照してください。 |
Apple Software Lookup Service
Apple Software Lookup Serviceを使用して利用可能なアップデートのリストを取得できます。
iOS 15、iPadOS 15、macOS 12.0.1以降では、MDMソリューションを使用して、アップデートが公開され次第、アップデートが適用対象かどうかを適切なタイミングで正確に計算できます。MDMソリューションは、このサービスを参照して利用可能なアップデートの正確なリストを検索し、ScheduleOSUpdate
コマンドを送信するときに、特定のバージョンを指定します。スケジュールを設定してアップデートを行うために、デバイスでAvailableOSUpdate
コマンドを実行して利用可能なアップデートを検索する必要はありません。
JSONレスポンスには、利用可能なソフトウェアリリースの3つのリストが含まれています:
PublicAssetSets: このリストには、一般ユーザ(監視対象でないデバイス)がアップデートまたはアップグレードを行おうとした場合に利用可能な最新リリースが含まれています。
AssetSets: このリスト(PublicAssetSetsの一部)には、MDMソリューションが監視対象デバイスにプッシュできるすべてのリリースが含まれています。
PublicRapidSecurityResponses: このリストには、Appleデバイスで現在利用可能な緊急セキュリティ対応リリースが含まれています。緊急セキュリティ対応のリリースについて詳しくは、緊急セキュリティ対応を参照してください。
リストの各要素には、オペレーティングシステムのプロダクトバージョン番号、掲載日、有効期限、そのリリースに対応するデバイスのリストが含まれています。デバイスのリストは、デバイスのProductName
値と照合できます。これは、初回のAuthenticateリクエストまたはDeviceInformation
レスポンスで返されます。
通常、有効期限は掲載日の180日後に設定されます。後続のリリースが行われると、前のリリースの有効期限がアップデートされる場合があります。有効期限が表示されていない場合、そのリリースは期限切れになっていません。リリースが期限切れになるのは、有効期限が過去の場合だけです。
アセットはオペレーティングシステムのプラットフォームによってグループ化されます。 現在のところ、tvOSとwatchOSを含め、すべてのアセットはiOSになります。製品バージョンのリストを使用して、どのバージョンがデバイスの現在のオペレーティングシステムのバージョンより大きいかを判断します。オペレーティングシステムのアップデート候補として、そのバージョンのリストを管理者に提供してください。
以下にサンプルのレスポンスを示します:
{ "PublicAssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-17",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
}
},
{
"AssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-07",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
},
ソフトウェアのリリース日
下の表は、リリース日、リリースがユーザに表示される日(90日間の延期)、Appleからダウンロードを入手できなくなる日を示しています。
macOS | iOS、iPadOS、tvOS | Appleから入手可能 | MDMで非表示の期限 | Appleからダウンロードとして入手不可 |
---|---|---|---|---|
17 | 09/18/2023 | 12/17/2023 | 12/17/2023 | |
13.6 | 17.0.1 (iOS、iPadOS) | 09/21/2023 | 12/20/2023 | 12/20/2023 |
17.0.2 iPhone 15(すべてのモデル) | 09/21/2023 | 12/20/2023 | 12/20/2023 | |
14 | 17.0.2 (iOS、iPadOS) | 09/26/2023 | 12/25/2023 | 12/25/2023 |
17.0.2 (iOS、iPadOS) | 10/04/2023 | 01/02/2024 | 01/02/2024 | |
14.1 | 17.1 | 10/25/2023 | 01/23/2024 | 01/23/2024 |
14.1.1 | 17.1.1 | 11/07/2023 | 02/11/2024 | 02/11/2024 |
14.1.2 | 17.1.2 (iOS、iPadOS) | 11/30/2023 | 02/28/2024 | 02/28/2024 |
14.2 | 17.2 | 12/11/2023 | 03/10/2024 | 03/10/2024 |
14.2.1 | 17.2.1 (iOS、iPadOS) | 12/19/2023 | 03/18/2024 | 03/18/2024 |
14.3 | 17.3 | 01/22/2024 | 04/21/2024 | 04/21/2024 |
14.3.1 | 17.3.1 (iOS、iPadOS) | 02/08/2024 | 5/8/2024 | 5/8/2024 |
17.4 (iOS、iPadOS) | 03/05/2024 | 06/03/2024 | 06/03/2024 | |
14.4 | 17.4 (tvOS) | 03/07/2024 | 06/05/2024 | 06/05/2024 |
ソフトウェア・アップデートおよびアップグレードをインストールする
Appleのソフトウェア・アップデートおよびアップグレードのプロセスでは、Appleが署名したコードのみがインストールされることを保証するため、セキュアブートで使用されたものと同じハードウェアベースの信頼のルートが使用されます。Appleのシステムソフトウェア認証プロセスにより、Appleが能動的に署名したバージョンのオペレーティングシステムのコピーのみが、iPhone、iPad、および起動セキュリティユーティリティでセキュア・ブート・ポリシーとして「完全なセキュリティ」が設定されているMacにインストール可能であることが保証されます。この処理により、Appleは既知の脆弱性を持つ古いバージョンのオペレーティングシステムへの署名を阻止できるため、ダウングレード攻撃を防ぐことができます。
注記: macOS 12.0.1以降のすべてのインストールアクションでは、Appleシリコンを搭載したMacコンピュータの認証のためのブートストラップトークンの使用に対応しています。
アップデートおよびアップグレードのインストールアクションには以下が含まれます:
操作 | 対応する最小オペレーティングシステム | 説明 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
InstallASAP | iOS 9 iPadOS 13.1 macOS 10.11 tvOS 12 | iOS、iPadOS、tvOSでは、以前にダウンロードしたソフトウェア・アップデートまたはアップグレードをインストールします。 macOSでは、ソフトウェア・アップデートまたはアップグレードをダウンロードして、再起動のカウントダウン通知を作動します。 | |||||||||
デフォルト | iOS 9 iPadOS 13.1 macOS 10.11 tvOS 12 | 現在の状態に応じてアップデートまたはアップグレードをダウンロードまたはインストールします。MDM管理者は、予定されているアップデートを | |||||||||
InstallForce 再起動 | macOS 11 | デフォルト操作を実行してから、強制的に再起動します(アップデートで必要な場合)。アップグレードでは常に要求されます。 重要: | |||||||||
InstallLater | macOS 10.11 | ソフトウェア・アップデートまたはアップグレードをダウンロードして、あとでインストールします。 | |||||||||
NotifyOnly | macOS 10.11 | ソフトウェア・アップデートまたはアップグレードをダウンロードして、ユーザに通知します。 | |||||||||
DownloadOnly | iOS 9 iPadOS 13.1 macOS 11 tvOS 12 | ソフトウェア・アップデートまたはアップグレードをダウンロードしますが、インストールはしません。 |
iOSおよびiPadOSのソフトウェア・アップデートおよびアップグレードを管理する
iOSとiPadOSでは、アップデートおよびアップグレードは標準の通知プロセスの一部として、「設定」アプリでユーザに提供されます。アップデートまたはアップグレードを開始するには、ユーザがアップデートされた利用条件に同意する必要がある場合があります。デバイスにパスコードがない場合は、MDMソリューションを使用してリモートインストールを完了できます。
デバイスにパスコードがある場合は、MDMからデバイスにアップデートまたはアップグレードが送信されたあと、デバイスのキューにアップデートまたはアップグレードが入り、ユーザはすぐにインストールを開始するか延期して夜間にインストールするためにパスコードの入力を求められます。
ソフトウェア・アップデートのインストールコマンドを送信すると、ユーザにアップデートまたはアップグレードを求め、組織での必要に応じてアップデートまたはアップグレードについて説明するメッセージがデバイスに表示されます。MDMによって送信されるすべてのアップデートまたはアップグレードは必須として扱われ、ユーザが遅らせることができるのは3回までです。ユーザが3回延期すると、デバイスを使い続けるにはその日の夜間にアップデートまたはアップグレードをスケジュールすることが必須になります(緊急電話を除きます)。
推奨されるケイデンス
iOS 17またはiPadOS 17(新しいメジャーオペレーティングシステム)にアップグレードできます。または、iOS 16およびiPadOS 16.1がリリースされていても、iOS 16およびiPadOS 16.1の新しいマイナーバージョンへのアップデートを続けることもできます。
例えば、iOS 16.6.1を搭載したiPhoneでは、2つのオプションのいずれかを選択できます:
ユーザがiOS 16.6.1(以前のメジャーオペレーティングシステム)のまま、引き続きアップデート(例えばiOS 16.7など)を取得することを許可します。
ユーザがiOS 17(新しいメジャーオペレーティングシステム)にアップグレードすることを許可します。
これにより、管理者が最新のメジャーリリースを組織の環境での本稼働のために承認する作業を行っている間も、ユーザは重要なセキュリティアップデートの恩恵を受けることができます。
MDMベンダーは、MDMに登録されているデバイスで、この機能を管理できます。SoftwareUpdateSettings
ディクショナリを使用する新しいSettings
コマンドには、次の3つの値があるキー(RecommendationCadence
)が含まれます:
0: 両方のオプションを表示します(デフォルト)。
1: より低いバージョン番号(利用可能な場合)のソフトウェア・アップデートを表示します。
2: よりあとのメジャー・バージョン番号のオペレーティング・システム・アップグレードのアップデートパスを表示します。
この選択はMDMを使って強制できるため、以前のアップデート(iOS 16.7など)を使い続けることができます。この選択肢はアップグレードから一定の期間提供されます。
共有iPadをアップデート/アップグレードする
ダウンタイムを最小化するために、iPadOSおよびアプリのアップデートとアップグレードは時間外に行い、ユーザおよびネットワークへの影響を最小限にすることをおすすめします。詳しくは、共有iPad用のiPadOSのアップデートとアップグレードを参照してください。
モバイルデータ通信を使用するアップデートとアップグレード
「設定」にソフトウェアアップデートが自動表示されると、MDMはモバイルデータ通信接続を使用してアップデートとアップグレードをインストールできます。
macOSのソフトウェア・アップデートおよびアップグレードを管理する
macOS 11では、アップデートおよびアップグレードのプロセスをiOSおよびiPadOSと同様にするために多くの変更が加えられました。アップデートおよびアップグレードが発生すると、アップデータによって再起動の前からオペレーティングシステムに変更が加えられます。このアプローチにより、プロセス中のMacのダウンタイムが大幅に短縮されます。その後のmacOSのバージョンでは、さらに機能強化が追加されました。次の表に追加の機能強化を示します。
注記: Appleシリコンでは、ソフトウェアのアップグレードを実行するには、ユーザがボリューム所有者である必要があります。
オペレーティングシステムの最小バージョン | 機能強化 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
macOS 12.3 | 管理者は、要求されたアップデートのダウンロードと準備のスケジュール優先順位を制御することができます。 macOS 13以降にアップグレードした場合、以下の機能強化による利点があります:
| ||||||||||
macOS 13 | デバイスがスリープ状態またはPowerNapモードになっているときでも、Macは |
Macコンピュータに構成プロファイルをインストールして、以下の自動オプションを有効にすることができます:
macOSソフトウェア・アップデートおよびアップグレードのバックグラウンドでの確認
XProtectおよびGatekeeperのアップデートのダウンロードおよびインストール
自動セキュリティアップデートのダウンロードおよびインストール
macOSのソフトウェア・アップデートおよびアップグレードのダウンロード
macOSのアップデートおよびアップグレードのインストール
Macは約6時間ごとにアップデートおよびアップグレードの有無を確認します。Macが基準(実行中のプロセスの数が限られていて、電源に接続されているか、以下のリストに示されている最低限必要なバッテリー残量があるなど)を満たしている場合、Macノートブックの蓋が閉じられていても、アップデートまたはアップグレードの自動インストールがスケジュールされます。アップデートまたはアップグレードがダウンロードされて準備されたあとにのみ、ユーザにインストールを要求する通知が表示されます。
ソフトウェアアップデートまたはアップグレードを強制する
組織の管理者がより詳細にアップデートプロセスを制御できるようにするには、宣言型デバイス管理を使用します。このプロセスは、ユーザにより有益な体験を提供し、iOS、iPadOS、およびmacOSにアップデートをタイムリーかつ確実に適用できます。強制されるオペレーティングシステムのバージョンは、TargetOSVersion
キーで確認できます。オプションのTargetBuildVersion
キーは、特定のシードビルドまたは緊急セキュリティ対応を対象にします。
ソフトウェアアップデートを宣言すると、ユーザにはその期限が通知されます。この情報は、「設定」(iOSおよびiPadOS)および「システム設定」(macOS)にも表示されます。アップデートについての詳しい情報は「詳しい情報」リンクで提供できます。
通知には、その時点でインストールするか、夜間にインストールするかを選択できるオプションが用意されています。ユーザがすぐにアップデートをトリガしない場合、オペレーティングシステムは期限まで毎日「アップデートがあります」通知を投稿します。期限の24時間前には、この通知が1時間ごとに表示され、おやすみモードは無視されます。期限の1時間前には30分ごと、その後は10分ごとに通知が表示されます。そのため、ユーザは最も適切な時間を選んでアップデートを実行できます。
ユーザが現地時間の強制日までにアップデートをインストールしなかった場合は、次のようになります:
パスコードが設定されている場合は、iOSおよびiPadOSはユーザにパスコード入力を強制します(まだ入力されていない場合)。
macOSが開いているアプリを強制的に終了し、必要に応じて再起動します。
デバイスの電源が入っていないまたはデバイスがオフラインであるため期限が過ぎた場合は、デバイスがオンラインに復帰したときにオペレーティングシステムがアップデートの期限が過ぎていることを知らせる別の通知を投稿し、1時間以内にアップデートが試行されます。
MDMソリューションは、宣言型ステータスレポートを使用して、アップデートのステータスに関する透過性を高めることもできます。例えば、待機中、ダウンロード中および準備中、アップデートをインストール中などです。アップデートを実行できなかった場合または完了できなかった場合は、意味のあるエラーコードが追加されています。例えば、デバイスがオフラインだった場合、バッテリー残量が少なすぎた場合、空き領域が不足していた場合などです。
注記: ソフトウェアアップデート宣言と、MDMコマンドおよびプロファイルは共存できます。ただし、宣言によって強制されるソフトウェアアップデートは、常にMDMコマンドおよびプロファイルよりも優先されます。
macOSのソフトウェア・アップデートまたはアップグレードを強制する
ソフトウェア・アップデートまたはアップグレードのためにアプリを強制終了するには、InstallForceRestart
アクションを指定します。書類が保存されていなくても、Macのすべてのアプリが終了します。アップデートまたはアップグレードでは、Macが電源に接続されているか、最低限のバッテリー残量があることが必要です。