Software-updates installeren en afdwingen voor Apple apparaten
Met declaratief apparaatbeheer kunnen organisaties verschillende aspecten van het software-updateproces configureren. Zo kunnen ze onder andere de beschikbaarheid van software-updates beheren, software-updates afdwingen en apparaten bij bètaprogramma's inschrijven.
Een minimumversie afdwingen tijdens de inschrijving
Vanaf iOS 17, iPadOS 17 en macOS 14 kan met MDM-oplossingen een minimale besturingssysteemversie worden afgedwongen tijdens automatische apparaatinschrijving. Als het apparaat niet de minimumversie heeft die door de MDM-oplossing (Mobile Device Management) wordt vereist, moet de gebruiker een update uitvoeren voordat de configuratie-assistent kan worden voltooid. Hetzelfde gebeurt automatisch als 'Ga automatisch verder' wordt gebruikt. Zo wordt ervoor gezorgd dat apparaten die eigendom zijn van de organisatie de vereiste besturingssysteemversie hebben voordat ze in gebruik worden genomen.
De beschikbaarheid van software-updates beheren
In sommige gevallen wil een organisatie kunnen bepalen naar welke versies gebruikers hun apparaten kunnen bijwerken. Op deze manier kan bijvoorbeeld een update in een testgroep worden geverifieerd voordat alle gebruikers de update in gebruik mogen nemen of kunnen verschillende uitstelperioden worden geïmplementeerd voor verschillende groepen zodat recente updates gefaseerd kunnen worden uitgerold.
Uitstel op basis van tijd
Voor apparaten die onder toezicht staan kan worden ingesteld dat gebruikers pas draadloze software-updates en -upgrades krijgen aangeboden nadat een bepaalde periode is verstreken sinds de updates en upgrades door Apple zijn uitgebracht. Stel dat op een groep iPhones met iOS 17.3 een configuratie voor een software-update met 30 dagen uitstel wordt toegepast. In dit scenario krijgen gebruikers iOS 17.4 op hun beheerde apparaten aangeboden 30 dagen na de releasedatum van iOS 17.4.
Als onderdeel van de configuratie kunnen organisaties een aangepaste uitstelperiode van 1 tot 90 dagen opgeven. In iOS en iPadOS is dit uitstel van toepassing op besturingssysteemupdates en -upgrades. In macOS kunnen organisaties niet alleen verschillende uitstelperioden opgeven voor besturingssysteemupdates en -upgrades, maar ook voor updates die niet van toepassing zijn op het besturingssysteem. Dit zijn onder andere updates voor Safari, XProtect, printerbesturingsbestanden en Xcode-commandoregeltools. In macOS kan bijvoorbeeld een aangepaste uitstelperiode worden gebruikt om een software-upgrade langer uit te stellen dan een software-update.
Opmerking: Draadloze software-updates zijn doorgaans tot 180 dagen na de releasedatum beschikbaar om ervoor te zorgen dat updates beschikbaar blijven voor beheerde apparaten waarvoor de maximale uitstelwaarde is ingesteld.
Aanbevolen frequentie voor iOS en iPadOS
Naast uitstel op basis van tijd kunnen organisaties ook opgeven of gebruikers van iPhones en iPads die onder toezicht staan de mogelijkheid hebben om te upgraden naar een nieuwere grote versie of dat ze gebruik moeten blijven maken van de huidige versie, maar wel kleine updates blijven ontvangen, zelfs nadat een upgrade beschikbaar is gesteld.
Voor een iPhone met iOS 17.6 zijn er bijvoorbeeld drie opties:
Gebruikers alleen aanvullende updates voor iOS 17 aanbieden.
Gebruikers alleen de upgrade naar iOS 18 aanbieden.
Gebruikers de keuze geven: aanvullende updates voor iOS 17 (bijvoorbeeld iOS 17.7) of upgraden naar iOS 18.
De eerste optie is beschikbaar gedurende een beperkte periode en geeft gebruikers de mogelijkheid om te profiteren van belangrijke beveiligingsupdates terwijl de grote upgrade wordt getest voor de productieomgeving.
In combinatie met uitstel kan een aanbevolen frequentie worden gebruikt. In het bovenstaande voorbeeld kan een aanbevolen frequentie worden gebruikt om apparaten op iOS 17 te houden en updates (zoals iOS 17.7) alleen gedurende de opgegeven tijdsperiode uit te stellen.
Software-updates automatisch installeren
In iOS 18, iPadOS 18, macOS 14 of nieuwer kunnen organisaties de toepassing van automatische software-updates beheren op apparaten die onder toezicht staan.
Automatische software-updates (geen upgrades)
Voor het downloaden en voorbereiden van automatische software-updates zijn de volgende configuratie-opties beschikbaar:
Gebruikers de keuze geven of ze automatische downloads willen inschakelen.
Automatisch downloaden van updates uitschakelen.
Automatisch downloaden van updates inschakelen.
Voor het installeren van automatische software-updates en upgrades zijn de volgende configuratie-opties beschikbaar:
Gebruikers de keuze geven of ze de automatische installatie van updates willen inschakelen.
Automatische installatie van updates uitschakelen.
Automatische installatie van updates inschakelen.
Opmerking: Voor deze optie moeten automatische downloads zijn ingeschakeld.
Deze opties geven organisaties nauwkeurige configuratiemogelijkheden om de meest geschikte aanpak voor automatische updates te kiezen.
macOS bevat een extra instelling met dezelfde drie opties voor beveiligingsupdates, waaronder updates voor XProtect, Gatekeeper en systeemgegevensbestanden. Zie het Apple Support-artikel Over updates op de achtergrond in macOS voor meer informatie.
Automatische snelle beveiligingsmaatregelen
Uitstel van beheerde software-updates geldt niet voor snelle beveiligingsmaatregelen. Aangezien deze maatregelen alleen van toepassing zijn op de recentste kleine update van het besturingssysteem, wordt de snelle beveiligingsmaatregel ook uitgesteld als die update wordt uitgesteld.
Organisaties kunnen instellen of snelle beveiligingsmaatregelen automatisch worden toegepast en of gebruikers ze mogen verwijderen nadat ze zijn toegepast.
Autorisatie door een beheerder vereisen in macOS
Organisaties kunnen de standaardconfiguratie wijzigen zodat autorisatie door een lokale beheerder is vereist om een software-update te installeren. Hiermee kan bijvoorbeeld worden beperkt wie een update kan uitvoeren in implementaties waarbij een apparaat door meerdere gebruikers wordt gedeeld.
Software-updates afdwingen
Organisaties kunnen specifieke software-updates op een gewenst tijdstip afdwingen, ook als er uitstel is geconfigureerd of als automatische installatie van snelle beveiligingsmaatregelen is uitgeschakeld. Zo kunnen organisaties ervoor zorgen dat op een bepaalde datum en tijd de gewenste softwareversie op beheerde apparaten is geïnstalleerd terwijl gebruikers toch de tijd hebben om de update te installeren op een moment dat het hun goed uitkomt (vóór de uiterste datum).
De lokale tijdzone is van toepassing op de uiterste datum en tijd. Zo kan dezelfde configuratie worden toegepast in verschillende regio's. Als de uiterste datum bijvoorbeeld is ingesteld op 18:00 uur, proberen apparaten de update uit te voeren om 18:00 uur op de opgegeven datum in de lokale tijdzone.
Bij de aankondiging van een software-update worden gebruikers van de deadline op de hoogte gesteld:
In Instellingen (iOS en iPadOS) en in Systeeminstellingen (macOS)
In een melding
Afhankelijk van de resterende tijd tot de deadline worden in de melding verschillende opties weergegeven (hieronder beschreven). Om gebruikers meer inzicht te geven in het proces, kan aanvullende informatie over de update worden toegevoegd via de link 'Meer informatie'.
Als de gebruiker de installatie niet onmiddellijk start, is het afhankelijk van de resterende tijd welke meldingen en opties worden weergegeven. Ze worden vaker weergegeven naarmate de uiterste datum dichterbij komt en zijn bedoeld om gebruikers aan te moedigen om de update te installeren op een moment dat het hun uitkomt. Om ervoor te zorgen dat de gebruiker deze meldingen te zien krijgt, wordt de functie 'Niet storen' tijdens de laatste 24 uur vóór de deadline genegeerd.
In plaats daarvan kunnen organisaties in iOS 18, iPadOS 18 en macOS 15 ook instellen dat alleen een melding één uur voor de deadline en een melding voor het aftellen naar de herstart worden weergegeven. Hiermee wordt het aantal meldingen op het apparaat verminderd, wat bijvoorbeeld handig kan zijn als het apparaat niet rechtstreeks aan een gebruiker is toegewezen, zoals bij een implementatie als kiosk.
Om de update vanuit een melding of vanuit Instellingen of Systeeminstellingen te starten en te autoriseren, wordt de gebruiker gevraagd om een toegangscode of wachtwoord.
Wanneer de gebruiker de update niet vóór de vereiste lokale datum heeft geïnstalleerd, gebeurt het volgende:
Als er in iOS en iPadOS een toegangscode is ingesteld, wordt de gebruiker gevraagd om deze in te voeren (behalve wanneer deze al eerder is ingevoerd).
In macOS worden alle geopende apps geforceerd gesloten (ongeacht of er documenten met niet-bewaarde wijzigingen zijn geopend) en wordt indien nodig een herstart uitgevoerd.
Op een Mac met Apple silicon wordt een Bootstrap Token (indien beschikbaar) gebruikt om de update te autoriseren. In de overige gevallen wordt de gebruiker om authenticatiegegevens gevraagd.
Om de installatie van een update, upgrade of snelle beveiligingsmaatregel af te dwingen, moet een apparaat voldoen aan de vereisten die gelden voor een door de gebruiker gestarte update van hetzelfde type.
Een belangrijk voordeel van declaratief apparaatbeheer is dat apparaten autonoom zijn. In plaats van afzonderlijke acties te starten, maakt de MDM-oplossing de gewenste status bekend. Vervolgens wordt het aan het apparaat zelf overgelaten om die status te bereiken. Een voorbeeld hiervan is een situatie waarin de deadline voor het afdwingen van een software-update is gemist omdat het apparaat niet aan de vereisten voldeed. Het apparaat detecteert automatisch dat de bekendgemaakte status nog niet is bereikt en hervat het proces wanneer het met het internet verbonden wordt.
Indien nodig wordt de update gedownload en voorbereid door het besturingssysteem, waarna een nieuwe melding wordt weergegeven waarin de gebruiker wordt verteld dat de deadline voor een update is verstreken en dat er binnen een uur opnieuw wordt geprobeerd om de update te installeren. Als het proces om welke reden dan ook opnieuw wordt onderbroken, wordt het proces weer herhaald wanneer het apparaat opnieuw wordt opgestart en met het internet wordt verbonden.
Met de statusrapporten van declaratief apparaatbeheer kunnen MDM-oplossingen ook meer inzicht krijgen in de status van de installatie, bijvoorbeeld of er op de update wordt gewacht, of de update wordt gedownload en voorbereid of dat de update wordt geïnstalleerd. Er zijn duidelijke foutcodes toegevoegd voor het geval de release niet kon worden toegepast of kon worden voltooid. De codes geven bijvoorbeeld aan dat het apparaat offline was, dat de batterij bijna leeg was of dat er onvoldoende vrije ruimte beschikbaar was.
iPadOS bijwerken op gedeelde iPads
Software-updates op gedeelde iPads kunnen draadloos worden gestart via de MDM-oplossing waarbij de gedeelde iPad is ingeschreven. Als het apparaat fysiek is verbonden, kan ook de Finder of Apple Configurator op een Mac worden gebruikt.
Om een update op een gedeelde iPad te installeren, moeten de gebruikers uitgelogd zijn. Ze kunnen echter wel in de cache op het apparaat blijven staan. Als er meer vrije ruimte vereist is dan er beschikbaar is, moeten gegevens van gebruikersaccounts uit de cache worden verwijderd. Doordat apparaten bij declaratief apparaatbeheer autonoom zijn, blijven ze proberen om een nieuwe release te installeren totdat het gelukt is.
Om de tijd dat een gedeelde iPad niet kan worden gebruikt tot een minimum te beperken, moeten updates van een gedeelde iPad buiten school- of werktijd worden gepland. Zo ondervinden het netwerk en de gebruikers er zo min mogelijk hinder van.
Zie Updates en upgrades van iPadOS op een gedeelde iPad voor meer informatie.