Používanie správy zariadení na nasadenie softvérových aktualizácií na Apple zariadeniach
Deklaratívne spravovanie zariadení je budúcnosť spravovania Apple zariadení. To umožňuje zariadeniu, aby asynchrónne aplikovalo nastavenia a spätne hlásilo stav do služby správy zariadení bez neustáleho zisťovania. Toto je ideálne na výkonnosť a škálovateľnosť a taktiež poskytuje pokročilý prístup k spravovaniu aktualizácií softvéru. Deklaratívne spravovanie zariadenia poskytuje proaktívne hlásenie stavu zo zariadení, keď sa menia hodnoty a konfigurácie. Týmto spôsobom má služba správy zariadení vždy aktuálny pohľad na zariadenia bez nutnosti vykonávať pravidelné požiadavky.
Namiesto odoslania príkazu na aktualizáciu softvéru do zariadenia za účelom iniciovania aktualizácie, služba správy zariadení deklaruje požadovaný stav verzie operačného systému a deleguje úlohu na dosiahnutie tohto stavu na samotné zariadenie. To umožňuje, aby bol proces spravovanej softvérovej aktualizácie odolnejší, a aby bola vyššia transparentnosť užívateľov.
Dôležitosť využitia deklarácií softvérovej aktualizácie
Služba správy zariadení potrebuje využívať deklarácie aktualizácie softvéru vždy, keď je to možné. No staršie príkazy a profily na aktualizácie softvéru sú stále k dispozícii a podporované. Môžu pracovať paralelne s deklaráciami aktualizácie softvéru s nasledujúcimi zmenami:
Odklady definované deklaráciou majú prednosť pred odkladmi, ktoré sú nakonfigurované obmedzením.
Nastavenia automatickej aktualizácie softvéru v systéme macOS aplikované deklaráciou majú prednosť pred nastaveniami automatickej aktualizácie, ktoré poskytuje konfiguračný profil.
Ak existuje nevybavená aktualizácia softvéru, ktorú operačný systém konfiguruje pomocou deklaratívneho spravovania zariadenia, klient nebude môcť viac spracovať niektoré príkazy správy zariadenia a vráti sa chyba, ktorá označuje, že v zariadení je aktívna deklarácia, ako je to naznačené v nasledujúcej tabuľke:
Príkaz správy zariadení | Výsledok | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Obmedzené: Na počítačoch Mac sa aktualizácie založené na operačnom systéme, ktoré nie sú spravované, môžu zobraziť v odozve príkazu, napríklad v Xcode alebo v nástrojoch príkazového riadka. | ||||||||||
| Zariadenie vráti chybu | ||||||||||
| Zariadenie vráti prázdne stavové pole. | ||||||||||
Používanie služby vyhľadávania softvéru Apple
Služba vyhľadávania softvéru Apple (dostupná na https://gdmf.apple.com/v2/pmv) je oficiálny zdroj, kde možno získať zoznam verejne dostupných aktualizácií, upgradov a rýchlych bezpečnostných odpovedí. Umožňuje službe správy zariadení odosielať požiadavky na vydania ihneď po ich zverejnení spoločnosťou Apple a včas a presne vypočítať ich použiteľnosť pre každý model hardvéru.
Odpoveď JSON obsahuje tri zoznamy dostupných vydaní softvéru:
PublicAssetSets: Tento zoznam obsahuje najnovšie vydania dostupné pre širokú verejnosť, ak sa vykoná pokus o aktualizáciu alebo upgrade.
AssetSets: Tento zoznam je podskupinou zoznamu
PublicAssetSetsa obsahuje všetky vydania dostupné pre služby správy zariadení, ktoré možno odoslať do zariadení.PublicRapidSecurityResponses: Tento zoznam obsahuje vydania rýchlych bezpečnostných opatrení, ktoré sú aktuálne dostupné pre Apple zariadenia.
Každá položka v zozname obsahuje číslo produktovej verzie (ProductVersion) a zostavu (Build) operačného systému, dátum zverejnenia vydania (PostingDate), dátum jeho vypršania (ExpirationDate) a zoznam podporovaných zariadení (SupportedDevices) pre dané vydanie. Zoznam zariadení sa zhoduje s hodnotou ProductName v zariadení, ktorá sa vráti v odpovedi na dopyt DeviceInformation, v počiatočnej žiadosti o autentifikáciu Authenticate alebo v odpovedi na príkaz MachineInfo, keď sa zariadenie pokúša zaregistrovať.
Dátum vypršania platnosti, ktorý je zvyčajne nastavený na 180 dní po dátume zverejnenia, určuje deň, kedy vyprší podpísanie aktualizácie. Vypršanú aktualizáciu už nie je možné nainštalovať na zariadení. Keď sú zverejnené následné aktualizácie, dátumy vypršania platnosti predchádzajúcich vydaní sa môže aktualizovať. Ak dátum vypršania platnosti nie je uvedený, príslušná aktualizácia ešte len vyprší. Aktualizácia vypršala až vtedy, keď je jej dátum vypršania platnosti v minulosti.
Položky sú zoskupené podľa platformy operačného systému použitím nasledovných kľúčov:
iOS(ktorý obsahuje iPadOS, tvOS a watchOS)macOSvisionOS
{ "AssetSets": { "iOS": [ {"ProductVersion": "18.2.1","Build": "22C6161","PostingDate": "2025-01-06","ExpirationDate": "2025-04-17","SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1", "iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", "iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", "iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,10", "iPad14,11", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad14,8", "iPad14,9", "iPad16,1", "iPad16,2", "iPad16,3", "iPad16,4", "iPad16,5", "iPad16,6", "iPad7,11", "iPad7,12", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone11,2", "iPhone11,4", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3", "iPhone15,4", "iPhone15,5", "iPhone16,1", "iPhone16,2", "iPhone17,1", "iPhone17,2", "iPhone17,3", "iPhone17,4" ] },Pomocou zoznamu verzií produktu môžete určiť, ktoré verzie sú novšie než aktuálna verzia operačného systému zariadenia a sú použiteľné pre konkrétne zariadenie. Potom tento zoznam verzií poskytnite správcovi služby správy zariadení ako zoznam potenciálnych kandidátov na aktualizáciu operačného systému.
Odoslanie hlásenia o stave do služby správy zariadení
Ak chcete prijať aktualizácie pre stavové položky, keď sa menia, server sa musí prihlásiť do každého hlásenia o stave tak, že odošle deklaráciu ManagementStatusSubscriptions do zariadenia. Zariadenie potom odošle StatusReport do služby správy zariadení, keď sa aktivuje deklarácia ManagementStatusSubscriptions, ak sa zmení stav odoberanej položky a každých 24 hodín.
Za účelom monitorovania verzií operačného systému a stavu aktualizácie softvéru sa môže služba správy zariadení chcieť prihlásiť na odber nasledujúcich hlásení stavu:
Hlásenie o stave | Popis |
|---|---|
| Verzia buildu operačného systému na zariadení (napríklad 21E219). |
| Používaná verzia operačného systému na zariadení (napríklad 17.4). |
| Verzie buildu operačného systému a rýchlej bezpečnostnej odozvy používaných na zariadení, napríklad (20A123a alebo 20F75c). |
| Verzia rýchlej bezpečnostnej odozvy operačného systému, ktorá sa používa na zariadení (napríklad a). |
| Slovník, ktorý obsahuje verziu buildu a operačného systému aktualizácie softvéru, ktorá prebieha na zariadení. |
| Stav inštalácie aktualizácie softvéru, ktorá má nasledujúce hodnoty:
|
| Slovník s podrobnosťami o dôvode prebiehajúcej aktualizácie softvéru. Kľúč
|
| Detaily o zlyhaní aktualizácie softvéru. Detaily obsahujú počet výskytov zlyhania aktualizácie softvéru, časovú značku posledného zlyhania a príčinu zlyhania. |
| Názov beta programu, do ktorého je zariadenie zaregistrované, alebo prázdny reťazec, ak nie je zaregistrované do žiadneho beta programu. |
Okrem iných hlásení môže služba správy zariadení za účelom podpory sprístupniť správcom údaj softwareupdate.install-reason a poskytnúť ďalšie podrobnosti o tom, ako došlo k aktualizácii. Tento slovník môžete použiť na určenie, či užívateľ iniciuje aktualizáciu, či sa aktualizácia spustila automaticky alebo či ju iniciovala deklarácia vynútenia aktualizácie softvéru.
Vyžadovanie konkrétnej minimálnej softvérovej verzie počas registrácie
Ak zariadenie podporuje túto možnosť, vráti kľúč MDM_CAN_REQUEST_SOFTWARE_UPDATE nastavený na hodnotu True, v údaji MachineInfo, ktorý odošle v úvodnej požiadavke HTTP POST do služby správy zariadení, keď zariadenie zistí spravovaciu konfiguráciu v Sprievodcovi nastavením. Ďalšie informácie nájdete v článku Súbor MachineInfo yaml v GitHub repozitári spravovania Apple zariadení.
Okrem toho zariadenia poskytujú nasledujúce polia v dátach MachineInfo (všetky reťazce) :
Kľúč | Minimálne podporované verzie operačných systémov | Popis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
VERSION | iOS 17 iPadOS 17 macOS 14 | Verzia buildu nainštalovaná na zariadení (napríklad 7A182). | |||||||||
OS_VERSION | iOS 17 iPadOS 17 macOS 14 | Verzia operačného systému nainštalovaná na zariadení (napríklad 17.0). | |||||||||
SUPPLEMENTAL_BUILD_VERSION | iOS 17 iPadOS 17 macOS 14 | Verzia rýchlych bezpečnostných odoziev zariadenia (ak je k dispozícii). | |||||||||
SUPPLEMENTAL_OS_VERSION_EXTRA | iOS 17 iPadOS 17 macOS 14 | Extra verzia rýchlych bezpečnostných odoziev zariadenia (ak je k dispozícii). | |||||||||
SOFTWARE_UPDATE_DEVICE_ID | iOS 17.4 iPadOS 17.4 macOS 14.4 | Identifikátor modelu zariadenia používaný na vyhľadanie dostupných aktualizácií operačného systému v Službe vyhľadávania softvéru Apple. | |||||||||
Na základe poskytnutých informácií sa služba správy zariadení môže rozhodnúť, či vynútiť aktualizáciu zariadenia.
Ak sa služba správy zariadení rozhodne nevynucovať aktualizáciu softvéru, jednoducho vráti registračný profil v odpovedi na požiadavku
HTTP POSTako za normálnych okolností, aby sa umožnilo pokračovanie v registrácii.Ak sa služba správy zariadení rozhodne vynútiť aktualizáciu softvéru, musí vrátiť
HTTPodpoveď so stavovým kódom 403 a zahrnúť objekt JSON alebo XML v tele odpovede (hlavička odozvyHTTP Content-Typemusí byť nastavená naapplication/jsonaleboapplication/xml).
Po prijatí tejto chybovej odozvy sa zariadenie pokúsi aktualizovať na špecifikovanú verziu. Ak sa aktualizácia podarí, zariadenie sa reštartuje a užívateľ musí opäť prejsť cez Sprievodcu nastavením. Nasledujúca POST požiadavka MachineInfo zo zariadenia do riešenia služby správy zariadení zobrazí verziu aktualizovaného operačného systému a služba môže potom pokračovať s registráciou. Ak aktualizácia zlyhá, zobrazí sa užívateľovi chybové hlásenie a panel Vzdialená správa sa opäť zobrazí v Sprievodcovi nastavením.
Schéma odozvy je definovaná v tabuľke nižšie.
Kľúč | Typ | Vyžaduje sa | Popis | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Reťazec | Áno | Musí byť nastavené na | ||||||||
| Reťazec | Nie | Popis chyby. Používané iba na účely prihlasovania. | ||||||||
| Reťazec | Nie | Popis chyby vhodný na zobrazenie užívateľovi. | ||||||||
| Slovník | Áno | Ďalšie dáta špecifikujúce aktualizáciu softvéru. | ||||||||
Schéma slovníka podrobností je definovaná tu.
Kľúč | Typ | Vyžaduje sa | Popis | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Reťazec | Áno | Verzia operačného systému, na ktoré sa vyžaduje, aby sa zariadenie aktualizovalo. | ||||||||
| Reťazec | Nie | Verzia buildu, na ktorú sa vyžaduje, aby sa zariadenie aktualizovalo. | ||||||||
| Slovník | Nie | Zariadenie sa zaregistruje do beta programu, čo umožní vynútené aktualizácie aktualizácií softvéru na verzie operačného systému z beta programu. Zariadenie zostane v beta programe po dokončení vynútenej aktualizácie softvéru. | ||||||||
Ak špecifikujete iba položku OSVersion, zariadenie automaticky stiahne a nainštaluje akúkoľvek rýchlu bezpečnostnú odozvu, ktorá je k dispozícii pre túto verziu. Ak je potrebná špecifická verzia buildu alebo doplnková verzia, služba správy zariadení môže tiež voliteľne špecifikovať položku BuildVersion. Ak chcete napríklad vyžadovať, aby na zariadení bol systém iOS 16.5.1(a) pred registráciou, hoci iOS 16.5.1(c) je už k dispozícii, služba správy zariadení musí nastaviť OSVersion na iOS 16.5.1 a BuildVersion na 20F770750b.
Dôležité: Pred systémom macOS 15, je možné špecifikovať iba vydania zo zoznamov PublicAssetSets a PublicRapidSecurityResponses. V systéme macOS 15 je možné používať aj aktíva zo zoznamu AssetSets.
Nastavenia správy zariadení pre aktualizácie softvéru
Deklarácia com.apple.configuration.softwareupdate.settings (k dispozícii v systémoch iOS 18, iPadOS 18, macOS 15, tvOS 18.4 alebo novších) pozostáva zo slovníkov, ktoré je možné používať na konfiguráciu rôznych aspektov správania aktualizácie softvéru.
Keď služba správy zariadení vykoná distribúciu rôznych kľúčov cez viaceré deklarácie, zariadenie spojí nastavenia všetkých aktívnych deklarácií nastavení aktualizácií softvéru. V prípade, že viaceré deklarácie konfigurujú ten istý kľúč, správanie spojenia závisí od jednotlivého kľúča, ktorý je popísaný v tabuľkách nižšie.
Konfigurácia automatických aktualizácií softvéru pomocou správy zariadení
Deklarácia com.apple.configuration.softwareupdate.settings ponúka slovník na definovanie správania automatickej aktualizácie softvéru na iPhonoch, iPadoch, Apple TV a Macoch pod dohľadom. Ďalšie informácie nájdete v téme Kľúče slovníka AutomaticActions.
Ako služba správy zariadení narába s rýchlymi bezpečnostnými odozvami
Rýchle bezpečnostné odozvy sa vždy vzťahujú na najnovšiu aktualizáciu operačného systému, ktorý sa stáva základnou verziou rýchlej bezpečnostnej odozvy. Ak má napríklad iPhone nainštalovaný operačný systém verzie iOS 17.2, potom sa vzťahuje na doplnkovú aktualizáciu 17.2 (a), ak je k dispozícii. V systémoch iOS 18, iPadOS 18 a macOS 15 sú dd kombinované aktualizácie, čo umožňuje, aby aktualizácia softvéru zahŕňala všetky dostupné rýchle bezpečnostné odozvy.
Pred verziami iOS 18, iPadOS 18 a macOS 15, môže byť služba správy zariadení nútená spustiť dve aktualizácie softvéru, aby sa zabezpečilo, že je prítomná špecifická doplnková verzia. Najskôr musí aktualizovať zariadenie na základnú verziu doplnkovej aktualizácie, ak zariadenie ešte nie je na tejto základnej verzii (napríklad iOS 17.1 na iOS 17.2). Potom musí aktualizovať základnú verziu na doplnkovú verziu (napríklad iOS 17.2 na iOS 17.2 (a)).
V systéme iOS 18, iPadOS 18 a macOS 15 môže služba správy zariadení špecifikovať buď:
Verzia operačného systému (ktorá automaticky nainštaluje dostupné rýchle bezpečnostné odozvy)
Doplnková verzia buildu (ktorá spôsobí, že zariadenie automaticky vykoná nevyhnutnú aktualizáciu na základnú verziu ako súčať procesu)
Tieto dva prístupy sa vzťahujú na konfiguráciu vynútenia aktualizácie softvéru a vynútenú minimálnu verziu počas automatizovanej registrácie zariadenia.
Deklaráciu com.apple.configuration.softwareupdate.settings je tiež možné použiť na konfiguráciu správania rýchlej bezpečnostnej odozvy na iPhonoch, iPadoch a Macoch pod dohľadom. Ďalšie informácie nájdete v téme Kľúče slovníka RapidSecurityResponse pre iOS, iPadOS a macOS.
Odloženie aktualizácie softvéru pomocou správy zariadení
Odloženie aktualizácie softvéru alebo upgradu o 1 až 90 dní sa vykoná pomocou deklarácie com.apple.configuration.softwareupdate.settings na iPhonoch, iPadoch a Macoch pod dohľadom.
Nakonfigurované odloženie definuje počet dní, kým organizácia ponúkne vydanie užívateľom po tom, ako bude verejne dostupné. Nezávisle od nakonfigurovaného odloženia môže služba správy zariadení stále vynútiť špecifickú aktualizáciu softvéru, upgrade alebo rýchlu bezpečnostnú odozvu na spravovaných zariadeniach. Ďalšie informácie nájdete v témach Kľúče slovníka na odloženie pre systém iOS, iPadOS a tvOS a Kľúče slovníka na odloženie pre systém macOS.
Poznámka: Odloženie aktualizácie softvéru tiež odloží rýchle bezpečnostné odozvy, ktoré sú závislé na tejto verzii.
Vynútenie aktualizácií softvéru pomocou správy zariadení
Ak chcete vynútiť aktualizáciu softvéru v určitom čase na zariadení, ktoré je zaregistrované pomocou funkcie Registrácia zariadenia alebo Automatizovaná registrácia zariadenia, služba správy zariadení môže aplikovať deklaráciu com.apple.configuration.softwareupdate.enforcement.specific.
Ak sa konfigurácia použije na zariadenie, ktoré špecifikuje verziu operačného systému alebo buildu, ktorá je rovnaká alebo staršia ako aktuálna verzia na zariadení, zariadenie vráti v hlásení o systéme chybu
Ak sú prítomné viaceré konfigurácie s novšou verziou operačného systému alebo buildu ako je aktuálna verzia na zariadení, konfigurácia so skorším cieľovým dátumom a časom sa spracuje najskôr a všetky ostatné zostanú vo fronte. Keď sa zariadenie aktualizuje na novú verziu, množina konfigurácii sa opakovane spracuje a určí sa, ktorá sa stane ďalšou v poradí na spracovanie. Ako súčasť tohto procesu zariadenie ignoruje akékoľvek existujúce konfigurácie, ktoré špecifikujú verziu staršiu alebo rovnakú ako je aktuálna verzia.
Operačný systém automaticky nainštaluje akékoľvek dostupné rýchle bezpečnostné odozvy, ak služba správy zariadení definuje iba TargetOSVersion. Ak sa chcete zamerať len na konkrétne vydanie alebo rýchlu bezpečnostnú odozvu, služba správy zariadení môže použiť kľúč TargetBuildVersion ako doplnok ku špecifikácii buildu, čo zahŕňa aj identifikátor doplnkovej verzie.
Viac informácií nájdete v téme Kľúče slovníka na vynútenie aktualizácií softvéru.
Hlásenia
Kľúč Hlásenia zmení predvolené správanie hlásenia, aby zobrazovalo iba hlásenie 1 hodinu pred časom vynútenia a odpočítavanie reštartu. Ďalšie informácie nájdete v téme Kľúč hlásenia.
Používanie bootstrap tokenu na počítačoch Mac s Apple čipom
Ak chcete autorizovať aktualizáciu softvéru na počítačoch Mac s Apple čipom, ktoré sú pod dohľadom, služba správy zariadení môže vyžadovať a uschovať bootstrap token. To umožňuje úplne bezproblémovú aktualizáciu softvéru a v celom procese nie je nutná žiadna interakcia zo strany užívateľa. Podľa potreby zariadenie použije GetBootstrapTokenRequest na získanie bootstrap tokenu zo služby správy zariadení.
V prvom kroku služba správy zariadení určí, či zariadenie podporuje bootstrap token použitím príkazu SecurityInfo. Ak odozva obsahuje BootstrapTokenRequiredForSoftwareUpdate, ktorý je nastavený na hodnotu true, zariadenie môže použiť bootstrap token na autorizáciu aktualizácie softvéru.
Ak chcete vytvoriť bootstrap token, služba správy zariadení musí pridať com.apple.mdm.bootstraptoken do poľa ServerCapabilities v profile správy zariadení. Ďalšie informácie nájdete v článku Profil správy zariadení na webovej stránke Apple Developer.
Keď zariadenie príjme bootstrap token, vytvorí bootstrap token pri nasledujúcom prihlásení užívateľa, ktorý má povolený secure token. Potom sa skontaktuje s kontrolným koncovým bodom služby správy zariadení a uschová token pomocou požiadavky SetBootstrapTokenRequest. Ďalšie informácie nájdete v článku Nastavenie Bootstrap tokenu na webovej stránke Apple Developer.
Najaktuálnejšiu špecifikáciu schémy nájdete v GitHub repozitári spravovania Apple zariadení.