Usar o MDM para implantar atualizações de software em dispositivos Apple
O gerenciamento de atualizações de software principais e secundárias envolve o teste dessas atualizações antes do lançamento, sua implantação nos dispositivos do usuário e a aplicação de políticas que exigem que os usuários mantenham seus dispositivos atualizados. Para obter mais informações, assista ao vídeo da WWDC21 Manage software updates in your organization (em inglês) e ao vídeo da WWDC23 Explore advances in declarative device management (em inglês).
Comandos do MDM para atualização de software
Os comandos do MDM para atualizações de software principais e secundárias estão listados aqui. Esses comandos não permitem a personalização de notificações para o usuário.
Nota: no macOS 13 ou posterior, o Mac reconhece e responde aos comandos ScheduleOSUpdateScan
, ScheduleOSUpdate
, OSUpdateStatus
e AvailableOSUpdate
, mesmo quando o dispositivo está em repouso ou no modo PowerNap.
Comando | Sistema operacional compatível | Supervisão | Descrição | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Schedule an update scan | macOS | Sim | Solicita ao dispositivo que realize uma verificação em segundo plano em busca de atualizações do sistema operacional. Para obter mais informações, consulte Schedule an OS Update Scan (em inglês) no site Apple Developer. | ||||||||
List available updates | iOS iPadOS macOS tvOS | Sim (iOS, iPadOS, tvOS) Não (macOS) | Solicita ao dispositivo uma lista das atualizações disponíveis para o sistema operacional. No macOS, o comando Para obter mais informações, consulte List the Available OS Updates (em inglês) no site Apple Developer. | ||||||||
Schedule an update | iOS iPadOS macOS tvOS | Sim | Permite ao servidor agendar uma atualização do sistema operacional e definir a prioridade das atualizações. Para obter mais informações, consulte Schedule an OS Update (em inglês) no site Apple Developer. | ||||||||
Update status | iOS iPadOS macOS tvOS | Sim | Solicita ao dispositivo o status das atualizações de software. Para obter mais informações, consulte Get the OS Update Status (em inglês) no site Apple Developer. |
Serviço de Pesquisa de Software da Apple
Você pode usar o Serviço de Pesquisa de Software da Apple para obter uma lista das atualizações disponíveis.
O iOS 15, iPadOS 15 e macOS 12.0.1 ou posteriores permitem que uma solução MDM calcule a aplicabilidade da atualização de maneira pontual e precisa assim que uma atualização é publicada. A solução MDM busca no serviço uma lista precisa das atualizações disponíveis e especifica uma versão apropriada ao enviar um comando ScheduleOSUpdate
. Os dispositivos não precisam executar o comando AvailableOSUpdate
para consultar a disponibilidade de atualizações para que a atualização seja agendada.
A resposta JSON contém três listas de lançamentos de software disponíveis:
PublicAssetSets: esta lista contém os lançamentos mais recentes disponíveis para o público em geral (dispositivos não supervisionados) para tentativas de atualização de versão secundária ou principal.
AssetSets: esta lista (um subconjunto de PublicAssetSets) contém todos os lançamentos disponíveis para que soluções MDM enviem para dispositivos supervisionados.
PublicRapidSecurityResponses: essa lista contém as versões de Proteções Rápidas disponíveis atualmente para dispositivos Apple. Para obter mais informações sobre os lançamentos de Proteções Rápidas, consulte Proteções Rápidas.
Cada elemento da lista contém o número de versão de produto do sistema operacional, a data de publicação, a a data de validade e uma lista dos dispositivos compatíveis com o lançamento em questão. A lista de dispositivos corresponde aos valores de ProductName
do dispositivo, que são retornados no pedido de Autenticação original ou na resposta de DeviceInformation
.
Geralmente, a data de validade é definida para 180 dias depois da data de publicação. Quando versões subsequentes são lançadas, a data de validade dos lançamentos anteriores pode ser atualizada. Se uma data de validade não é fornecida, isso significa que o lançamento ainda não expirou. A validade de um lançamento termina apenas quando sua data de validade é uma data passada.
Os materiais são agrupados por plataforma do sistema operacional. Atualmente, todos os materiais se encontram sob o iOS, incluindo o tvOS e o watchOS. Use a lista de versão do produto para determinar quais versões são posteriores à versão do sistema operacional atual do dispositivo. Forneça essa lista de versões ao administrador como possíveis candidatas de atualizações do sistema operacional.
Estes são exemplos de respostas:
{ "PublicAssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-17",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
}
},
{
"AssetSets": {
"iOS": [
{
"ProductVersion": "16.4.1",
"PostingDate": "2023-04-07",
"ExpirationDate": "2023-07-31",
"SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3"
]
},
Datas de lançamento de software
A tabela abaixo mostra a data de lançamento, a data em que o lançamento fica visível para o usuário (adiamento de 90 dias) e a data em que o download não está mais disponível pela Apple.
macOS | iOS, iPadOS, tvOS | Disponibilizada pela Apple | Oculta pelo MDM até | Não está mais disponível para download pela Apple |
---|---|---|---|---|
17 | 18/09/2023 | 17/12/2023 | 17/12/2023 | |
13.6 | 17.0.1 (iOS, iPadOS) | 21/09/2023 | 20/12/2023 | 20/12/2023 |
17.0.2 iPhone 15 (todos os modelos) | 21/09/2023 | 20/12/2023 | 20/12/2023 | |
14 | 17.0.2 (iOS, iPadOS) | 26/09/2023 | 25/12/2023 | 25/12/2023 |
17.0.2 (iOS, iPadOS) | 04/10/2023 | 02/01/2024 | 02/01/2024 | |
14.1 | 17.1 | 25/10/2023 | 23/01/2024 | 23/01/2024 |
14.1.1 | 17.1.1 | 07/11/2023 | 11/02/2024 | 11/02/2024 |
14.1.2 | 17.1.2 (iOS, iPadOS) | 30/11/2023 | 28/02/2024 | 28/02/2024 |
14.2 | 17.2 | 11/12/2023 | 10/03/2024 | 10/03/2024 |
14.2.1 | 17.2.1 (iOS, iPadOS) | 19/12/2023 | 18/03/2024 | 18/03/2024 |
14.3 | 17.3 | 22/01/2024 | 21/04/2024 | 21/04/2024 |
14.3.1 | 17.3.1 (iOS, iPadOS) | 8/2/2024 | 8/5/2024 | 8/5/2024 |
17.4 (iOS, iPadOS) | 5/3/2024 | 3/6/2024 | 3/6/2024 | |
14.4 | 17.4 (tvOS) | 7/3/2024 | 5/6/2024 | 5/6/2024 |
Instalação de atualizações principais e atualizações secundárias
Para ajudar a garantir que apenas o código assinado pela Apple seja instalado, o processo de atualizações de software principais e secundárias da Apple usa a mesma raiz de confiança de hardware utilizada pela inicialização segura. O processo de autorização de software do sistema da Apple garante que somente as cópias de versões do sistema operacional ativamente assinadas pela Apple possam ser instaladas em um iPhone, iPad e Mac com o ajuste de Segurança Total configurado como política de inicialização segura no Utilitário de Segurança da Inicialização. Este processo permite que a Apple pare de assinar versões mais antigas do sistema operacional com vulnerabilidades conhecidas, o que ajuda a prevenir ataques de downgrade.
Nota: todas as ações de instalação no macOS 12.0.1 ou posterior são compatíveis com o uso do bootstrap token para autenticação em computadores Mac com Apple Silicon.
As ações de instalação de atualizações principais e secundárias incluem o seguinte:
Ação | Sistemas operacionais mínimos compatíveis | Descrição | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
InstallASAP | iOS 9 iPadOS 13.1 macOS 10.11 tvOS 12 | No iOS, iPadOS e tvOS, instale uma atualização de software principal ou secundária baixada anteriormente. No macOS, baixe a atualização de software principal ou secundária e acione a notificação de contagem regressiva de reinicialização. | |||||||||
Padrão | iOS 9 iPadOS 13.1 macOS 10.11 tvOS 12 | Baixe ou instale a atualização principal ou secundária, dependendo do estado atual. Os administradores de MDM podem verificar o dicionário | |||||||||
InstallForce Reiniciar | macOS 11 | Realize a ação padrão e force a reinicialização se a atualização solicitar. É sempre exigida por uma atualização principal. Importante: | |||||||||
InstallLater | macOS 10.11 | Baixe a atualização de software principal ou secundária e instale-a posteriormente. | |||||||||
NotifyOnly | macOS 10.11 | Baixe a atualização de software principal ou secundária e notifique o usuário. | |||||||||
DownloadOnly | iOS 9 iPadOS 13.1 macOS 11 tvOS 12 | Baixe a atualização de software principal ou secundária sem instalá-la. |
Gerenciamento de atualizações de software principais e secundárias do iOS e iPadOS
No iOS e no iPadOS, as atualizações principais e secundárias são oferecidas aos usuários como parte do processo de notificação padrão e no app Ajustes. Para iniciar a atualização principal ou secundária, os usuários precisam aceitar os termos e condições atualizados. Se não houver um código no dispositivo, você pode usar a solução MDM para concluir a instalação remotamente.
Se o dispositivo tiver um código, depois que a solução MDM enviar a atualização principal ou secundária para o dispositivo, o dispositivo coloca a atualização na fila e o usuário é solicitado a digitar o código para iniciar a instalação imediatamente ou adiá-la para uma instalação noturna.
Quando você envia um comando de instalação de atualização de software, o dispositivo mostra a atualização principal ou secundária ao usuário e a descreve de acordo com as exigências da sua organização. Todas as atualizações principais ou secundárias enviadas pelo MDM são tratadas como obrigatórias e podem ser adiadas até três vezes apenas pelo usuário. Depois da terceira vez que o usuário as adia, o dispositivo exige que o usuário agende a atualização principal ou secundária para a mesma noite para continuar usando o dispositivo (com exceção de ligações de emergência).
Cadência recomendada
Você pode atualizar para o iOS 17 ou iPadOS 17 (as novas versões principais dos sistemas operacionais). Ou continuar atualizando para versões secundárias mais recentes do iOS 16 e iPadOS 16.1, embora o iOS 16 e iPadOS 16.1 já estejam lançados.
Por exemplo, em um iPhone com o iOS 16.6.1, você pode escolher uma destas duas opções:
Continuar permitindo que os usuários permaneçam no iOS 16.6.1 (a versão principal anterior do sistema operacional) e ainda recebam atualizações secundárias (por exemplo, iOS 16.7).
Permitir que os usuários façam a atualização principal para o iOS 17 (a nova versão principal do sistema operacional).
Isso permite que os usuários continuem se beneficiando de atualizações de segurança importantes enquanto você tenta aprovar a versão principal mais recente para produção em seu ambiente.
Os fornecedores de MDM podem gerenciar esse recurso para dispositivos registrados no MDM. Um novo comando Ajustes
com um dicionário SoftwareUpdateSettings
contém uma chave (RecommendationCadence
) com três valores:
0: mostra as duas opções (padrão).
1: mostra a atualização secundária do software com o número de versão inferior, se disponível.
2: mostra o caminho de atualização para a atualização principal do sistema operacional que possui um número de versão principal posterior.
Essa escolha pode ser exigida com o MDM, permitindo que você fique na atualização secundária anterior (por exemplo, iOS 16.7). Isto é oferecido durante um período após uma atualização principal.
Faça atualizações principais e secundárias no iPad Compartilhado
Para minimizar o tempo de inatividade, além do impacto causado aos usuários e à rede, as atualizações principais e secundárias do iPadOS e de apps devem ocorrer fora do horário de funcionamento da organização. Para obter mais informações, consulte Atualizações principais e secundárias do iPadOS para o iPad Compartilhado.
Atualizações principais e secundárias usando dados celulares
O MDM pode instalar atualizações principais e secundárias usando conexão de dados celulares após a atualização do software ser exibida automaticamente em Ajustes.
Gerenciamento de atualizações principais e atualizações secundárias do macOS
No macOS 11, foram introduzidas várias alterações para deixar o processo de atualização de software semelhante ao do iOS e iPadOS. Quando ocorrem atualizações principais e secundárias de software, o atualizador faz alterações no sistema operacional antes mesmo da reinicialização. Essa abordagem reduz consideravelmente o tempo de inatividade do Mac durante o processo. As versões subsequentes do macOS acrescentaram mais melhorias. Os aprimoramentos adicionais aparecem na lista da tabela abaixo.
Nota: com Apple Silicon, os usuários devem ser proprietários de um volume para realizar atualizações de software principais.
Versão mínima do sistema operacional | Melhoria | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
macOS 12.3 | Os administradores podem controlar a prioridade de agendamento para o download e a preparação da atualização solicitada. A definição da chave As atualizações para o macOS 13 ou posterior trazem o benefício das seguintes melhorias:
| ||||||||||
macOS 13 | O Mac reconhece e responde aos comandos |
Um perfil de configuração pode ser instalado em computadores Mac para ativar as seguintes opções automáticas:
Verificação em segundo plano de atualizações de software principais e secundárias do macOS
Download e instalação das atualizações do XProtect e Gatekeeper
Download e instalação de atualizações de segurança automáticas
Download de atualizações de software principais e secundárias do macOS
Instalação de atualizações principais e secundárias do macOS
O Mac busca atualizações principais e secundárias a cada 6 horas. Elas são agendadas para instalação automática se o Mac atender a certos critérios (tiver apenas um número limitado de processos em execução e estiver conectado à energia ou tiver uma porcentagem mínima de bateria (indicada abaixo), por exemplo), mesmo se a tela do laptop Mac estiver fechada. Somente depois que a atualização principal ou secundária tiver sido baixada e preparada, o usuário receberá uma solicitação de instalação.
Exija atualizações de software principais ou secundárias
Para que a equipe de administração da sua organização tenha mais controle sobre o processo de atualização, use o gerenciamento de dispositivo declarativo. Esse processo fornece uma experiência mais informativa aos usuários, além de garantir que as atualizações ocorram de maneira pontual no iOS, iPadOS e macOS. A versão exigida do sistema operacional pode ser vista na chave TargetOSVersion
. A chave opcional TargetBuildVersion
destina‑se a compilações principais específicas ou Proteções Rápidas.
Quando você declara uma atualização de software, uma notificação avisa aos usuários sobre uma data limite. A informação também aparece nos Ajustes (iOS e iPadOS) e nos Ajustes do Sistema (macOS). Você pode fornecer mais informações sobre a atualização no link “Mais informações”.
A notificação fornece a opção de instalar a atualização no momento ou à noite. Caso o usuário não acione imediatamente a atualização, o sistema operacional publica uma notificação do tipo “Atualizações Disponíveis” todos os dias até a data limite. 24 horas antes dessa data, a notificação aparece de hora em hora e ignora o Não Perturbe. Uma hora antes da data limite, a notificação aparece a cada 30 minutos e, depois disso, a cada 10 minutos. Isso permite que os usuários selecionem o horário mais apropriado para realizar a atualização.
Caso o usuário não instale a atualização até a data exigida:
O iOS e iPadOS forçam o usuário a digitar o código se houver um definido (a não ser que fornecido mais cedo).
O macOS força o encerramento dos apps abertos e reinicia, se necessário.
Caso a data limite seja excedida pelo dispositivo estar desligado ou off‑line, quando ele ficar on‑line novamente, o sistema operacional publica outra notificação que avisa que a atualização está atrasada e que haverá uma tentativa para fazê‑la durante a próxima hora.
Com o uso de relatórios de estado declarativo, soluções MDM também podem obter mais transparência sobre o estado da atualização (aguardando, baixando e preparando ou instalando a atualização, por exemplo). Códigos de erros relevantes foram adicionados para o caso de uma atualização não poder ser realizada ou concluída. Alguns exemplos são: se o dispositivo estava off‑line, se a carga da bateria estava baixa demais ou se não havia espaço livre suficiente.
Nota: declarações de atualizações de software podem coexistir com comandos e perfis do MDM; no entanto, atualizações de software exigidas por declarações sempre terão precedência sobre comandos e perfis do MDM.
Forçar as atualizações de software principais ou secundárias do macOS
Para forçar o encerramento de apps para uma atualização de software principal ou secundária, use a ação InstallForceRestart
. Todos os apps são encerrados no Mac, mesmo que os documentos não tenham sido salvos. A atualização principal ou secundária requer que o Mac esteja conectado à energia ou tenha uma porcentagem mínima de bateria.