Software-updates met MDM implementeren op Apple apparaten
Het beheren van software-updates en -upgrades omvat het testen van prerelease-updates en -upgrades, het implementeren hiervan op apparaten van gebruikers en het afdwingen van beleidsregels die ervoor zorgen dat gebruikers hun apparaten up-to-date houden. Zie de WWDC21-video Manage software updates in your organization en de WWDC23-video Explore advances in declarative device management voor meer informatie (Engelstalig).
MDM-commando's voor software-updates en -upgrades
Hieronder vind je de MDM-commando's voor software-updates en -upgrades. Deze commando's kun je niet gebruiken om aangepaste meldingen naar gebruikers te versturen.
Opmerking: In macOS 13 of nieuwer kan een Mac de commando's ScheduleOSUpdateScan
, ScheduleOSUpdate
, OSUpdateStatus
en AvailableOSUpdate
bevestigen en verwerken, zelfs wanneer het apparaat in de slaapstand staat of als de PowerNap-modus actief is.
Commando | Ondersteund besturingssysteem | Onder toezicht | Beschrijving | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Plan een updatescan | macOS | Ja | Het apparaat vragen om in de achtergrond naar besturingssysteemupdates te zoeken. Zie Schedule an OS Update Scan op de Apple Developer-website voor meer informatie (Engelstalig). | ||||||||
Toon beschikbare updates | iOS iPadOS macOS tvOS | Ja (iOS, iPadOS, tvOS) Nee (macOS) | Het apparaat vragen om een overzicht van de beschikbare besturingssysteemupdates. In macOS moet het commando Zie List the Available OS Updates op de Apple Developer-website voor meer informatie (Engelstalig). | ||||||||
Plan een update | iOS iPadOS macOS tvOS | Ja | Hiermee kan de server een update van het besturingssysteem plannen en de prioriteit voor updates instellen. Zie Schedule an OS Update op de Apple Developer-website voor meer informatie (Engelstalig). | ||||||||
Werk status bij | iOS iPadOS macOS tvOS | Ja | Het apparaat vragen naar de status van software-updates. Zie Get the OS Update Status op de Apple Developer-website voor meer informatie (Engelstalig). |
Apple Software Lookup Service
Je kunt de Apple Software Lookup Service gebruiken om een lijst met beschikbare updates op te vragen.
In iOS 15, iPadOS 15 en macOS 12.0.1 of nieuwer kunnen MDM-oplossingen snel en nauwkeurig de toepasbaarheid van updates berekenen zodra een update is gepubliceerd. De MDM-oplossing vraagt bij de voorziening een actuele lijst van de beschikbare updates op en geeft vervolgens een specifieke versie op bij het versturen van het commando ScheduleOSUpdate
. Apparaten hoeven het commando AvailableOSUpdate
niet uit te voeren om naar de beschikbare updates voor de geplande update te vragen.
De JSON-reactie bevat drie lijsten met beschikbare softwarereleases:
PublicAssetSets: Deze lijst bevat de nieuwste releases die voor alle gebruikers beschikbaar zijn (apparaten die niet onder toezicht staan) als ze proberen de software te updaten of te upgraden.
AssetSets: Deze lijst (een subset van PublicAssetSets) bevat alle releases die door MDM-oplossingen naar apparaten die onder toezicht staan kunnen worden verstuurd.
PublicRapidSecurityResponses: Deze lijst bevat releases van snelle beveiligingsmaatregelen die momenteel beschikbaar zijn voor Apple apparaten. Zie Snelle beveiligingsmaatregelen voor meer informatie over releases van snelle beveiligingsmaatregelen.
Elk element in de lijst bevat het versienummer van het besturingssysteem, de releasedatum, de vervaldatum en een lijst met ondersteunde apparaten voor die release. De lijst met apparaten komt overeen met de ProductName
-waarden van het apparaat die in het eerste authenticatieverzoek of de DeviceInformation
-reactie worden geretourneerd.
De vervaldatum is doorgaans ingesteld op 180 dagen na de releasedatum. Wanneer er nieuwe releases beschikbaar komen, wordt de vervaldatum van eerdere versies mogelijk bijgewerkt. Als er geen vervaldatum is opgegeven, is de release nog niet verlopen. Een release is pas verlopen wanneer deze een vervaldatum heeft die in het verleden ligt.
De onderdelen worden gegroepeerd per besturingssysteem. Momenteel staan alle onderdelen onder iOS, inclusief tvOS en watchOS. Gebruik de lijst met productversies om te bepalen welke versies nieuwer zijn dan de huidige besturingssysteemversie van het apparaat. Geef deze lijst met versies aan de beheerder zodat deze een overzicht heeft van de mogelijke kandidaten voor besturingssysteemupdates.
Dit zijn voorbeelden van reacties:
{ "PublicAssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-17",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
}
},
{
"AssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-07",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
},
Datums van softwarereleases
In de onderstaande tabel staan de releasedatum, de datum waarop gebruikers de release te zien krijgen (een uitstelperiode van 90 dagen) en de datum waarop de download niet meer beschikbaar is bij Apple.
macOS | iOS, iPadOS, tvOS | Beschikbaar bij Apple | Verborgen door MDM tot | Niet meer als download beschikbaar bij Apple |
---|---|---|---|---|
17 | 18-09-2023 | 17-12-2023 | 17-12-2023 | |
13.6 | 17.0.1 (iOS, iPadOS) | 21-09-2023 | 20-12-2023 | 20-12-2023 |
17.0.2 iPhone 15 (alle modellen) | 21-09-2023 | 20-12-2023 | 20-12-2023 | |
14 | 17.0.2 (iOS, iPadOS) | 26-09-2023 | 25-12-2023 | 25-12-2023 |
17.0.2 (iOS, iPadOS) | 04-10-2023 | 02-01-2024 | 02-01-2024 | |
14.1 | 17.1 | 25-10-2023 | 23-01-2024 | 23-01-2024 |
14.1.1 | 17.1.1 | 07-11-2023 | 11-02-2024 | 11-02-2024 |
14.1.2 | 17.1.2 (iOS, iPadOS) | 30-11-2023 | 28-02-2024 | 28-02-2024 |
14.2 | 17.2 | 11-12-2023 | 10-03-2024 | 10-03-2024 |
14.2.1 | 17.2.1 (iOS, iPadOS) | 19-12-2023 | 18-03-2024 | 18-03-2024 |
14.3 | 17.3 | 22-01-2024 | 21-04-2024 | 21-04-2024 |
14.3.1 | 17.3.1 (iOS, iPadOS) | 08-02-2024 | 08-05-2024 | 08-05-2024 |
17.4 (iOS, iPadOS) | 05-03-2024 | 03-06-2024 | 03-06-2024 | |
14.4 | 17.4 (tvOS) | 07-03-2024 | 05-06-2024 | 05-06-2024 |
Software-updates en -upgrades installeren
Om te zorgen dat er alleen door Apple ondertekende code kan worden geïnstalleerd, wordt bij de installatie van software-updates en -upgrades van Apple dezelfde, op hardware gebaseerde vertrouwensbasis gebruikt als bij veilig opstarten. Het autorisatieproces voor systeemsoftware van Apple zorgt ervoor dat alleen exemplaren van besturingssysteemversies die op dat moment door Apple worden ondertekend, kunnen worden geïnstalleerd op iPhones en iPads en op Macs waarop de instelling 'Volledige beveiliging' is ingeschakeld in het beleid voor veilig opstarten in Opstartbeveiligingshulpprogramma. Zo kan Apple stoppen met het ondertekenen van oudere besturingssysteemversies met bekende beveiligingsproblemen waardoor downgrade-aanvallen worden voorkomen.
Opmerking: Alle installatietaken in macOS 12.0.1 of nieuwer ondersteunen het gebruik van het Bootstrap Token voor authenticatie op Mac-computers met Apple silicon.
Dit zijn de installatietaken voor updates en upgrades:
Taak | Minimale OS-versies | Beschrijving | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
InstallASAP | iOS 9 iPadOS 13.1 macOS 10.11 tvOS 12 | In iOS, iPadOS en tvOS: een eerder gedownloade software-update of -upgrade installeren. In macOS: de software-update of -upgrade downloaden en een melding weergeven waarin wordt afgeteld naar een herstart. | |||||||||
Standaard | iOS 9 iPadOS 13.1 macOS 10.11 tvOS 12 | De update of upgrade downloaden of installeren, afhankelijk van de huidige status. MDM-beheerders kunnen het woordenboek | |||||||||
InstallForce Herstart | macOS 11 | De standaardtaak uitvoeren en een herstart forceren als dat vereist is voor de update. Dit is altijd vereist bij een upgrade. Belangrijk: | |||||||||
InstallLater | macOS 10.11 | De software-update of -upgrade downloaden en pas later installeren. | |||||||||
NotifyOnly | macOS 10.11 | De software-update of -upgrade downloaden en de gebruiker informeren. | |||||||||
DownloadOnly | iOS 9 iPadOS 13.1 macOS 11 tvOS 12 | De software-update of -upgrade downloaden zonder deze te installeren. |
Software-updates en -upgrades voor iOS en iPadOS beheren
In iOS en iPadOS worden updates en upgrades aan gebruikers aangeboden via de standaardmeldingen en in de Instellingen-app. Mogelijk moeten gebruikers akkoord gaan met de bijgewerkte voorwaarden voordat ze de update of upgrade kunnen starten. Als het apparaat geen toegangscode heeft, kun je de installatie met je MDM-oplossing op afstand voltooien.
Als het apparaat wel een toegangscode heeft, wordt de update of upgrade door het apparaat in de wachtrij geplaatst nadat MDM de update of upgrade naar het apparaat heeft gestuurd, en wordt de gebruiker gevraagd de toegangscode in te voeren om de installatie direct uit te voeren of uit te stellen tot de volgende dag.
Als je een commando voor het installeren van een software-update verstuurt, wordt de update of upgrade gemeld aan de gebruiker, met de mededeling dat deze vereist is. Alle updates of upgrades die door MDM worden verzonden, worden als vereist beschouwd en kunnen daarom slechts drie keer worden uitgesteld door de gebruiker. Na de derde keer moet de gebruiker de update of upgrade plannen voor die avond om het apparaat te kunnen blijven gebruiken (112 kan nog wel worden gebeld).
Aanbevolen updatepad
Je kunt een upgrade uitvoeren naar iOS 17 of naar iPadOS 17 (de nieuwe grote besturingssysteemversies). Je kunt ook doorgaan met het installeren van nieuwere, kleine updates van iOS 16 en iPadOS 16.1, ook nadat iOS 17 en iPadOS 17 zijn uitgebracht.
Op een iPhone met iOS 16.6.1 heb je bijvoorbeeld de keuze uit twee opties:
Toestaan dat gebruikers iOS 16.6.1 (de vorige grote besturingssysteemversie) blijven gebruiken en toch updates ontvangen (bijvoorbeeld iOS 16.7).
Toestaan dat gebruikers upgraden naar iOS 17 (de nieuwe grote besturingssysteemversie).
Zo kunnen gebruikers blijven profiteren van belangrijke beveiligingsupdates, terwijl jij de tijd kunt nemen om de nieuwste grote update goed te keuren voor de productieomgeving.
MDM-leveranciers kunnen deze functie beheren voor apparaten die bij MDM zijn ingeschreven. Een nieuw Settings
-commando met een SoftwareUpdateSettings
-woordenboek bevat een sleutel (RecommendationCadence
) met drie waarden:
0: Beide opties worden weergegeven (standaard).
1: De software-update met het lagere versienummer wordt weergegeven (indien beschikbaar).
2: Het updatepad voor de upgrade van het besturingssysteem met het hogere versienummer wordt weergegeven.
Deze keuze kan worden afgedwongen met MDM, zodat de vorige update (zoals iOS 16.7) behouden blijft. Deze mogelijkheid wordt gedurende een bepaalde periode na een upgrade aangeboden.
Een gedeelde iPad updaten en upgraden
Om de tijd dat een gedeelde iPad niet kan worden gebruikt tot een minimum te beperken, moeten updates en upgrades van iPadOS en apps buiten school- of werktijd plaatsvinden. Zo ondervinden het netwerk en de gebruikers er zo min mogelijk hinder van. Zie Updates en upgrades van iPadOS op een gedeelde iPad voor meer informatie.
Updates en upgrades via mobiele data
Updates en upgrades kunnen via een mobieledataverbinding door de MDM-oplossing worden geïnstalleerd zodra de software-update automatisch in Instellingen is verschenen.
Software-updates en -upgrades van macOS beheren
In macOS 11 zijn verschillende wijzigingen doorgevoerd om het proces voor software-updates en -upgrades af te stemmen op dat van iOS en iPadOS. Tijdens updates en upgrades worden nog voordat de computer opnieuw wordt opgestart, wijzigingen in het besturingssysteem aangebracht. De tijd dat de Mac niet kan worden gebruikt, wordt hierdoor aanzienlijk korter. In volgende versies van macOS zijn nog meer verbeteringen doorgevoerd. De onderstaande tabel bevat een overzicht van deze verbeteringen.
Opmerking: Op Macs met Apple silicon moeten gebruikers eigenaar van het volume zijn om software-upgrades uit te voeren.
Minimale versie van besturingssysteem | Verbetering | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
macOS 12.3 | Beheerders kunnen prioriteiten opgeven in de planning voor het downloaden en voorbereiden van de gevraagde update. Door de sleutel Een upgrade naar macOS 13 of nieuwer biedt de volgende verbeteringen:
| ||||||||||
macOS 13 | De Mac bevestigt en verwerkt de commando's |
Op Mac-computers kan een configuratieprofiel worden geïnstalleerd om de volgende automatische opties in te schakelen:
Op de achtergrond zoeken naar software-updates en -upgrades van macOS
Updates voor XProtect en Gatekeeper downloaden en installeren
Automatische beveiligingsupdates downloaden en installeren
Software-updates en -upgrades van macOS downloaden
Software-updates en -upgrades van macOS installeren
Zelfs als de klep van de Mac-laptop dicht is, controleert de Mac om de zes uur of er updates of upgrades zijn. Als er een update of upgrade is, wordt deze ingepland voor automatische installatie als de Mac aan de criteria voldoet. Er zijn bijvoorbeeld weinig processen op de Mac actief en de Mac is op een stopcontact aangesloten of de batterij is tot het minimumpercentage opgeladen (zie onderstaand overzicht). Pas nadat de update of upgrade is gedownload en voorbereid, ziet de gebruiker een melding met het verzoek om de update of upgrade te installeren.
Software-updates of -upgrades afdwingen
Gebruik declaratief apparaatbeheer om de beheerders in je organisatie meer controle te geven over het updateproces. Declaratief apparaatbeheer geeft gebruikers meer inzicht in het updateproces en zorgt dat updates voor iOS, iPadOS en macOS tijdig worden geïnstalleerd. De vereiste besturingssysteemversie is zichtbaar in de sleutel TargetOSVersion
. Met de optionele sleutel TargetBuildVersion
kunnen specifieke seedbuilds of snelle beveiligingsmaatregelen worden geïnstalleerd.
Wanneer je een software-update aankondigt, ontvangen je gebruikers een melding met de deadline van de update. Ook in Instellingen (iOS en iPadOS) en in Systeeminstellingen (macOS) wordt informatie over de update weergegeven. Je kunt meer informatie over de update geven via de link 'Meer informatie'.
De melding bevat de mogelijkheid om de update direct te installeren of uit te stellen tot 's nachts. Als de gebruiker de update niet onmiddellijk start, ontvangt de gebruiker tot 24 uur voor de deadline dagelijks een melding 'Updates beschikbaar'. Hierna wordt deze melding elk uur verstuurd en wordt 'Niet storen' genegeerd. Eén uur voor de deadline wordt de melding na dertig minuten weergegeven en vervolgens om de tien minuten. Zo kunnen gebruikers het meest geschikte tijdstip kiezen om de update uit te voeren.
Wanneer de gebruiker de update niet vóór de vereiste lokale datum heeft geïnstalleerd, gebeurt het volgende:
Als er in iOS en iPadOS een toegangscode is ingesteld, wordt de gebruiker gevraagd om deze in te voeren (behalve wanneer deze al eerder is ingevoerd).
In macOS worden geopende apps geforceerd gesloten en wordt indien nodig een herstart uitgevoerd.
Als de deadline is gemist omdat het apparaat uit of offline was, wordt er wanneer het apparaat weer online is opnieuw een melding weergegeven waarin de gebruiker wordt verteld dat de deadline voor een update is verstreken en dat er binnen een uur opnieuw wordt geprobeerd om de update te installeren.
Met declaratieve statusrapporten kunnen MDM-oplossingen ook meer inzicht krijgen in de status van de update, bijvoorbeeld of er op de update wordt gewacht, of de update wordt gedownload en voorbereid of dat de update wordt geïnstalleerd. Er zijn duidelijke foutcodes toegevoegd voor het geval een update niet kon worden uitgevoerd of kon worden voltooid. De codes geven bijvoorbeeld aan dat het apparaat offline was, dat de batterij bijna leeg was of dat er onvoldoende vrije ruimte beschikbaar was.
Opmerking: Declaraties, MDM-commando's en profielen voor software-updates kunnen naast elkaar worden gebruikt, maar software-updates die worden afgedwongen via declaraties krijgen altijd voorrang boven MDM-commando's en profielen.
Software-updates en -upgrades van macOS forceren
Om apps geforceerd te stoppen voor een software-update of -upgrade, gebruik je de taak InstallForceRestart
. Alle apps op de Mac worden gestopt, zelfs als documenten niet zijn bewaard. De update of upgrade vereist dat de Mac op een stopcontact is aangesloten of dat de batterij tot het minimumpercentage is opgeladen.