Používanie MDM na nasadenie softvérových aktualizácií na Apple zariadenia
Deklaratívne spravovanie zariadení je budúcnosť spravovania Apple zariadení. To umožňuje zariadeniu, aby asynchrónne aplikovalo nastavenia a spätne hlásilo stav do riešenia správy mobilných zariadení (MDM) bez neustáleho zisťovania. Toto je ideálne na výkonnosť a škálovateľnosť a taktiež umožňuje moderný prístup k spravovaniu aktualizácií softvéru. Deklaratívne spravovanie zariadenia poskytuje proaktívne hlásenie stavu zo zariadení, keď sa menia hodnoty a konfigurácie. Týmto spôsobom má MDM riešenie vždy aktuálny pohľad na zariadenia bez nutnosti vykonávať pravidelné požiadavky.
Namiesto odoslania príkazu na aktualizáciu softvéru do zariadenia za účelom iniciovania aktualizácie, riešenie MDM deklaruje požadovaný stav verzie operačného systému a deleguje úlohu na dosiahnutie tohto stavu na samotné zariadenie. To umožňuje, aby bol proces spravovanej softvérovej aktualizácie odolnejší, a aby bola vyššia transparentnosť užívateľov.
Dôležitosť využitia deklarácií softvérovej aktualizácie
Riešenia MDM by mali využívať deklarácie aktualizácie softvéru vždy, keď je to možné. No staršie príkazy a profily na aktualizácie softvéru sú stále k dispozícii a podporované. Môžu pracovať paralelne s deklaráciami aktualizácie softvéru s nasledujúcimi zmenami:
Odklady definované deklaráciou majú prednosť pred odkladmi, ktoré sú nakonfigurované obmedzením.
Nastavenia automatickej aktualizácie softvéru v systéme macOS aplikované deklaráciou majú prednosť pred nastaveniami automatickej aktualizácie, ktoré poskytuje konfiguračný profil.
Ak existuje nevybavená aktualizácia softvéru nakonfigurovaná pomocou deklaratívneho spravovania zariadenia, niektoré MDM príkazy nie sú viac spracované klientom, čo vracia chyby oznamujúce, že existuje aktívna deklarácia na zariadení, ako je to naznačené v nasledujúcej tabuľke:
Príkaz MDM | Výsledok | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Obmedzené: V systéme macOS sa aktualizácie založené na operačnom systéme, ktoré nie sú spravované, môžu zobraziť v odozve príkazu, napríklad v Xcode alebo v nástrojoch príkazového riadka. | ||||||||||
| Zariadenie vráti chybu | ||||||||||
| Zariadenie vráti prázdne stavové pole. | ||||||||||
Používanie služby vyhľadávania softvéru Apple
Služba vyhľadávania softvéru Apple (dostupná na https://gdmf.apple.com/v2/pmv) je oficiálny zdroj, kde možno získať zoznam verejne dostupných aktualizácií, upgradov a rýchlych bezpečnostných odpovedí. Riešeniam MDM umožňuje odosielať dopyty na vydania ihneď po ich zverejnení a včas a presne vypočítať ich použiteľnosť pre každý model hardvéru.
Odpoveď JSON obsahuje tri zoznamy dostupných vydaní softvéru:
PublicAssetSets: Tento zoznam obsahuje najnovšie vydania dostupné pre širokú verejnosť, ak sa vykoná pokus o aktualizáciu alebo upgrade.
AssetSets: Tento zoznam je podskupinou zoznamu PublicAssetSets a obsahuje všetky vydania dostupné pre riešenia MDM, ktoré možno odoslať do zariadení pod dohľadom.
PublicRapidSecurityResponses: Tento zoznam obsahuje vydania rýchlych bezpečnostných opatrení, ktoré sú aktuálne dostupné pre Apple zariadenia.
Každá položka v zozname obsahuje číslo produktovej verzie (ProductVersion) a zostavu (Build) operačného systému, dátum zverejnenia vydania (PostingDate), dátum jeho vypršania (ExpirationDate) a zoznam podporovaných zariadení (SupportedDevices) pre dané vydanie. Zoznam zariadení sa zhoduje s hodnotou ProductName v zariadení, ktorá sa vráti v odpovedi na dopyt DeviceInformation, v počiatočnej žiadosti o autentifikáciu Authenticate alebo v odpovedi na príkaz MachineInfo, keď sa zariadenie pokúša zaregistrovať.
Dátum vypršania platnosti, ktorý je zvyčajne nastavený na 180 dní po dátume zverejnenia, určuje deň, kedy vyprší podpísanie aktualizácie. Vypršanú aktualizáciu už nie je možné nainštalovať na zariadení. Keď sú zverejnené následné aktualizácie, dátumy vypršania platnosti predchádzajúcich vydaní sa môže aktualizovať. Ak dátum vypršania platnosti nie je uvedený, príslušná aktualizácia ešte len vyprší. Aktualizácia vypršala až vtedy, keď je jej dátum vypršania platnosti v minulosti.
Položky sú zoskupené podľa platformy operačného systému použitím nasledovných kľúčov:
iOS(ktorý obsahuje iPadOS, tvOS a watchOS)macOSxrOS(čo je visionOS)
{ "AssetSets": { "iOS": [ {"ProductVersion": "17.5","Build": "21F6079","PostingDate": "2024-05-13","ExpirationDate": "2024-08-15","SupportedDevices": ["iPad11,1", "iPad11,2", "iPad11,3", "iPad11,4", "iPad11,6", "iPad11,7", "iPad12,1", "iPad12,2", "iPad13,1","iPad13,10", "iPad13,11", "iPad13,16", "iPad13,17", “iPad13,18", "iPad13,19", "iPad13,2", "iPad13,4", “iPad13,5", "iPad13,6", "iPad13,7", "iPad13,8", "iPad13,9", "iPad14,1", "iPad14,2", "iPad14,3", "iPad14,4", "iPad14,5", "iPad14,6", "iPad6,11", "iPad6,12", "iPad6,3", "iPad6,4", "iPad6,7", "iPad6,8", "iPad7,1", "iPad7,11", "iPad7,12", "iPad7,2", "iPad7,3", "iPad7,4", "iPad7,5", "iPad7,6", "iPad8,1", "iPad8,10", "iPad8,11", "iPad8,12", "iPad8,2", "iPad8,3", "iPad8,4", "iPad8,5", "iPad8,6", "iPad8,7", "iPad8,8", "iPad8,9", "iPhone10,1", "iPhone10,2", "iPhone10,3", "iPhone10,4", "iPhone10,5", "iPhone10,6", "iPhone11,2", "iPhone11,6", "iPhone11,8", "iPhone12,1", "iPhone12,3", "iPhone12,5", "iPhone12,8", "iPhone13,1", "iPhone13,2", "iPhone13,3", "iPhone13,4", "iPhone14,2", "iPhone14,3", "iPhone14,4", "iPhone14,5", "iPhone14,6", "iPhone14,7", "iPhone14,8", "iPhone15,2", "iPhone15,3" ] },Pomocou zoznamu verzií produktu môžete určiť, ktoré verzie sú vyššie než aktuálna verzia operačného systému zariadenia a sú použiteľné pre konkrétne zariadenie. Tento zoznam verzií poskytnite správcovi riešenia MDM ako zoznam potenciálnych kandidátov na aktualizáciu operačného systému.
Odoslanie hlásenia o stave do riešenia MDM
Ak chcete prijať aktualizácie pre stavové položky, keď sa menia, server sa musí prihlásiť do každého hlásenia o stave tak, že odošle deklaráciu ManagementStatusSubscriptions do zariadenia. Zariadenie potom odošle StatusReport do MDM riešenia, keď sa aktivuje deklarácia ManagementStatusSubscriptions, ak sa zmení stav odoberanej položky a každých 24 hodín.
Za účelom monitorovania verzií operačného systému stavu aktualizácie softvéru sa môže MDM riešenie chcieť prihlásiť na odber nasledujúcich hlásení stavu:
Hlásenie o stave | Popis |
|---|---|
| Verzia buildu operačného systému na zariadení (napríklad 21E219). |
| Používaná verzia operačného systému na zariadení (napríklad 17.4). |
| Verzie buildu operačného systému a rýchlej bezpečnostnej odozvy používaných na zariadení, napríklad (20A123a alebo 20F75c). |
| Verzia rýchlej bezpečnostnej odozvy operačného systému, ktorá sa používa na zariadení (napríklad a). |
| Slovník, ktorý obsahuje verziu buildu a operačného systému aktualizácie softvéru, ktorá prebieha na zariadení. |
| Stav inštalácie aktualizácie softvéru, ktorá má nasledujúce hodnoty:
|
| Slovník s podrobnosťami o dôvode prebiehajúcej aktualizácie softvéru. Kľúč
|
| Detaily o zlyhaní aktualizácie softvéru. Detaily obsahujú počet výskytov zlyhania aktualizácie softvéru, časovú značku posledného zlyhania a príčinu zlyhania. |
| Názov beta programu, do ktorého je zariadenie zaregistrované, alebo prázdny reťazec, ak nie je zaregistrované do žiadneho beta programu. |
Okrem iných hlásení môže MDM riešenie za účelom podpory sprístupniť správcom údaj softwareupdate.install-reason a poskytnúť ďalšie podrobnosti o tom, ako sa aktualizácia spustila. Tento slovník sa môže použiť na zistenie, či užívateľ inicioval aktualizáciu sám, či sa aktualizácia spustila automaticky. alebo či bola vynútená deklaráciou softvérovej aktualizácie.
Vyžadovanie konkrétnej minimálnej softvérovej verzie počas registrácie v MDM
Ak zariadenie podporuje túto možnosť, vráti kľúč MDM_CAN_REQUEST_SOFTWARE_UPDATE nastavený na hodnotu True, v údaji MachineInfo, ktorý odošle v úvodnej požiadavke HTTP POST do MDM riešenia, keď zariadenie zistí spravovaciu konfiguráciu v Sprievodcovi nastavením. Ďalšie informácie nájdete v článku Súbor MachineInfo yaml v GitHub repozitári spravovania Apple zariadení.
Okrem toho zariadenia poskytujú nasledujúce polia v dátach MachineInfo (všetky reťazce) :
Kľúč | Minimálny podporovaný operačný systém | Popis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
VERSION | iOS 17 iPadOS 17 macOS 14 | Verzia buildu nainštalovaná na zariadení (napríklad 7A182). | |||||||||
OS_VERSION | iOS 17 iPadOS 17 macOS 14 | Verzia operačného systému nainštalovaná na zariadení (napríklad 17.0). | |||||||||
SUPPLEMENTAL_BUILD_VERSION | iOS 17 iPadOS 17 macOS 14 | Verzia rýchlych bezpečnostných odoziev zariadenia (ak je k dispozícii). | |||||||||
SUPPLEMENTAL_OS_VERSION_EXTRA | iOS 17 iPadOS 17 macOS 14 | Extra verzia rýchlych bezpečnostných odoziev zariadenia (ak je k dispozícii). | |||||||||
SOFTWARE_UPDATE_DEVICE_ID | iOS 17.4 iPadOS 17.4 macOS 14.4 | Identifikátor modelu zariadenia používaný na vyhľadanie dostupných aktualizácií operačného systému v Službe vyhľadávania softvéru Apple. | |||||||||
Na základe poskytnutých informácií sa MDM riešenie môže rozhodnúť, či vynútiť aktualizáciu zariadenia.
Ak sa MDM riešenie rozhodne nevynucovať aktualizáciu softvéru, jednoducho vráti registračný profil MDM v odpovedi na požiadavku HTTP POST, ako za normálnych okolností, aby sa umožnilo pokračovanie v registrácii MDM.
Ak sa MDM riešenie rozhodne vynútiť aktualizáciu softvéru, potom musí vrátiť HTTP odpoveď so stavovým kódom 403 a zahrnúť objekt JSON alebo XML v tele odpovede (hlavička odozvy HTTP Content-Type musí byť nastavená na
application/jsonaleboapplication/xml).
Po prijatí tejto chybovej odozvy sa zariadenie pokúsi aktualizovať na špecifikovanú verziu. Ak sa aktualizácia podarí, zariadenie sa reštartuje a užívateľ musí opäť prejsť cez Sprievodcu nastavením. Nasledujúca POST požiadavka MachineInfo zo zariadenia do riešenia MDM zobrazí verziu aktualizovaného operačného systému a riešenie MDM môže potom pokračovať s registráciou MDM. Ak aktualizácia zlyhá, zobrazí sa užívateľovi chyba a panel Vzdialená správa sa opäť zobrazí v Sprievodcovi nastavením.
Schéma odozvy je definovaná v tabuľke nižšie.
Kľúč | Typ | Vyžaduje sa | Popis | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Reťazec | Áno | Musí byť nastavené na | ||||||||
| Reťazec | Nie | Popis chyby. Používané iba na účely prihlasovania. | ||||||||
| Reťazec | Nie | Popis chyby vhodný na zobrazenie užívateľovi. | ||||||||
| Slovník | Áno | Ďalšie dáta špecifikujúce aktualizáciu softvéru. | ||||||||
Schéma slovníka podrobností je definovaná tu.
Kľúč | Typ | Vyžaduje sa | Popis | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Reťazec | Áno | Verzia operačného systému, na ktoré sa vyžaduje, aby sa zariadenie aktualizovalo. | ||||||||
| Reťazec | Nie | Verzia buildu, na ktorú sa vyžaduje, aby sa zariadenie aktualizovalo. | ||||||||
| Slovník | Nie | Zariadenie sa zaregistruje do beta programu, čo umožní vynútené aktualizácie aktualizácií softvéru na verzie operačného systému z beta programu. Zariadenie zostane v beta programe po dokončení vynútenej aktualizácie softvéru. | ||||||||
Ak je špecifikovaná iba položka OSVersion, zariadenie automaticky stiahne a nainštaluje akúkoľvek rýchlu bezpečnostnú odozvu, ktorá je k dispozícii pre túto verziu. V prípade, že bude potrebný špecifický build alebo doplnková verzia, riešenie MDM môže tiež voliteľne špecifikovať položku BuildVersion. Ak chcete napríklad vyžadovať, aby na zariadení bol systém iOS 16.5.1(a) pred registráciou, hoci iOS 16.5.1(c) je už k dispozícii, riešenie MDM musí nastaviť OSVersion na iOS 16.5.1 a BuildVersion na 20F770750b.
Dôležité: Pred systémom macOS 15, je možné špecifikovať iba vydania zo zoznamov PublicAssetSets a PublicRapidSecurityResponses. V systéme macOS 15 je možné používať aj aktíva zo zoznamu AssetSets.
MDM nastavenia pre aktualizácie softvéru
Deklarácia com.apple.configuration.softwareupdate.settings (k dispozícii v systéme iOS 18, iPadOS 18 a macOS 15) pozostáva zo slovníkov, ktoré je možné používať na konfiguráciu rôznych aspektov správania aktualizácie softvéru.
Keď riešenie MDM vykoná distribúciu rôznych kľúčov cez viaceré deklarácie, zariadenie spojí nastavenia všetkých aktívnych deklarácií nastavení aktualizácií softvéru. V prípade, že ten istý kľúč je konfigurovaný viacerými deklaráciami, správanie spojenia závisí od jednotlivého kľúča a je popísané v tabuľke nižšie.
Konfigurácia automatických aktualizácií softvéru pomocou MDM
Deklarácia com.apple.configuration.softwareupdate.settings ponúka slovník na definovanie správania automatickej aktualizácie softvéru na iPhonoch, iPadoch a Macoch pod dohľadom. Ďalšie informácie nájdete v téme Kľúče slovníka AutomaticActions.
Ako MDM narába s rýchlymi bezpečnostnými odozvami
Rýchle bezpečnostné odozvy sa vždy vzťahujú na najnovšiu aktualizáciu operačného systému, ktorý sa stáva základnou verziou rýchlej bezpečnostnej odozvy. Ak má napríklad iPhone nainštalovaný operačný systém verzie iOS 17.2, potom sa vzťahuje na doplnkovú aktualizáciu 17.2 (a), ak je k dispozícii. V systémoch iOS 18, iPadOS 18 a macOS 15 sú dd kombinované aktualizácie, čo umožňuje, aby aktualizácia softvéru zahŕňala všetky dostupné rýchle bezpečnostné odozvy.
Pred verziou iOS 18, iPadOS 18 a macOS 15, môže MDM riešenie spustiť dve aktualizácie softvéru, aby sa zabezpečilo, že je prítomná špecifická doplnková verzia: najskôr musí aktualizovať zariadenie na základnú verziu doplnkovej aktualizácie, ak zariadenie ešte nie je na tejto základnej verzii (napríklad iOS 17.1 na iOS 17.2), potom musí aktualizovať základnú verziu na doplnkovú verziu (napríklad iOS 17.2 na iOS 17.2 (a)).
V systémoch iOS 18, iPadOS 18 a macOS 15 môže MDM riešenie špecifikovať buď:
Verzia operačného systému (ktorá automaticky nainštaluje dostupné rýchle bezpečnostné odozvy)
Doplnková verzia buildu (ktorá spôsobí, že zariadenie automaticky vykoná nevyhnutnú aktualizáciu na základnú verziu ako súčať procesu)
Tieto dva prístupy sa vzťahujú na konfiguráciu vynútenia aktualizácie softvéru a vynútenú minimálnu verziu počas automatizovanej registrácie zariadenia.
Deklaráciu com.apple.configuration.softwareupdate.settings je tiež možné použiť na konfiguráciu správania rýchlej bezpečnostnej odozvy na iPhonoch, iPadoch a Macoch pod dohľadom. Ďalšie informácie nájdete v téme Kľúče slovníka RapidSecurityResponse pre iOS, iPadOS a macOS.
Odloženie aktualizácie softvéru pomocou MDM
Odloženie aktualizácie softvéru alebo upgradu o 1 až 90 dní sa vykoná pomocou deklarácie com.apple.configuration.softwareupdate.settings na iPhonoch, iPadoch a Macoch pod dohľadom.
Nakonfigurované odloženie definuje, koľko dní sa konkrétne vydanie nebude ponúkať užívateľom po tom, ako bolo verejne sprístupnené. Nezávisle od nakonfigurovaného odloženia môže MDM riešenie stále vynútiť špecifickú aktualizáciu softvéru, upgrade alebo rýchlu bezpečnostnú odozvu na spravovaných zariadeniach. Viac informácií nájdete v témach Kľúče slovníka na odloženie pre systém iOS a iPadOS a Kľúče slovníka na odloženie pre systém macOS.
Poznámka: Odloženie aktualizácie softvéru tiež odloží rýchle bezpečnostné odozvy, ktoré sú závislé na tejto verzii.
Vynútenie aktualizácií softvéru pomocou MDM
Ak chcete vynútiť aktualizáciu softvéru v určitom čase na zariadení, ktoré je zaregistrované pomocou funkcie Registrácia zariadenia alebo Automatizovaná registrácia zariadenia, MDM riešenie môže aplikovať deklaráciu com.apple.configuration.softwareupdate.enforcement.specific.
Ak konfigurácia špecifikuje verziu operačného systému alebo buildu, ktorá je rovnaká alebo staršia ako aktuálna verzia na zariadení, konfigurácia sa bude ignorovať.
Ak sú prítomné viaceré konfigurácie s novšou verziou operačného systému alebo buildu ako je aktuálna verzia na zariadení, konfigurácia so skorším cieľovým dátumom a časom sa spracuje najskôr a všetky ostatné zostanú vo fronte. Keď sa zariadenie aktualizuje na novú verziu, množina konfigurácii sa opakovane spracuje a určí sa, ktorá sa stane ďalšou v poradí na spracovanie.
Akákoľvek dostupná rýchla bezpečnostná odozva sa automaticky nainštaluje, ak MDM riešenie definuje iba TargetOSVersion. Ak sa chcete zamerať len na konkrétne vydanie alebo rýchlu bezpečnostnú odozvu, riešenie MDM môže použiť kľúč TargetBuildVersion ako doplnok ku špecifikácii buildu, čo zahŕňa aj identifikátor doplnkovej verzie.
Viac informácií nájdete v téme Kľúče slovníka na vynútenie aktualizácií softvéru.
Hlásenia
Kľúč Hlásenia zmení predvolené správanie hlásenia, aby zobrazovalo iba hlásenie 1 hodinu pred časom vynútenia a odpočítavanie reštartu. Ďalšie informácie nájdete v téme Kľúč hlásenia.
Používanie bootstrap tokenu na počítačoch Mac s Apple čipom
Ak chcete autorizovať aktualizáciu softvéru na počítačoch Mac s Apple čipom, ktoré sú pod dohľadom, MDM riešenie môže vyžadovať a uschovať bootstrap token. To umožňuje úplne bezproblémovú aktualizáciu softvéru a v celom procese nie je nutná žiadna interakcia zo strany užívateľa. Podľa potreby zariadenie použije GetBootstrapTokenRequest na získanie bootstrap tokenu z MDM riešenia.
V prvom kroku určuje MDM riešenie, či zariadenie podporuje bootstrap token použitím príkazu SecurityInfo. Ak odozva obsahuje BootstrapTokenRequiredForSoftwareUpdate, ktorý je nastavený na hodnotu true, zariadenie môže použiť bootstrap token na autorizáciu aktualizácie softvéru.
Ak sa má vytvoriť bootstrap token, MDM riešenie musí pridať com.apple.mdm.bootstraptoken do poľa ServerCapabilities v MDM profile. Ďalšie informácie nájdete v článku Objem dát MDM na webovej stránke Apple Developer.
Keď zariadenie príjme bootstrap token, vytvorí bootstrap token pri nasledujúcom prihlásení užívateľa, ktorý má zapnutú možnosť Secure Token. Potom sa skontaktuje s kontrolným koncovým bodom MDM riešenia a uschová token pomocou požiadavky SetBootstrapTokenRequest. Ďalšie informácie nájdete v článku Nastavenie Bootstrap tokenu na webovej stránke Apple Developer.
Najaktuálnejšiu špecifikáciu schémy nájdete v GitHub repozitári spravovania Apple zariadení.