Inštalovanie a vynucovanie softvérových aktualizácií pre Apple zariadenia
Pomocou deklaratívnej správy zariadení môžu organizácie konfigurovať rôzne aspekty procesu aktualizácie softvéru. To zahŕňa správu dostupnosti softvérových aktualizácií, vynucovanie softvérových aktualizácií, registráciu zariadení do beta programov a mnoho iného.
Požiadavka minimálnej verzie počas registrácie
Počnúc systémami iOS 17, iPadOS 17 a macOS 14 môžu riešenia MDM počas automatickej registrácie zariadení vyžadovať minimálnu verziu operačného systému. Ak zariadenie nespĺňa minimálnu verziu vyžadovanú riešením na správu mobilných zariadení (MDM), užívateľ je pred dokončením procesu nastavovania v Sprievodcovi nastavením prevedený aktualizáciou. Pri použití funkcie Auto Advance prebehne rovnaký proces automaticky. Zaistí sa tým, že na zariadeniach vo vlastníctve organizácie je pred uvedením do prevádzky k dispozícii potrebná verzia operačného systému.
Správa dostupnosti softvérových aktualizácií
Niekedy organizácie chcú mať kontrolu nad tým, na ktoré verzie môžu užívatelia aktualizovať svoje zariadenia. Pomocou takejto kontroly možno napríklad overiť aktualizáciu v testovacej skupine užívateľov predtým, ako umožníme jej inštaláciu všetkým užívateľom v produkcii, prípadne možno nasadiť rôzne odklady rôznym skupinám užívateľov, aby uvedenie poslednej aktualizácie prebehlo vo fázach.
Časové odklady
Zariadeniam pod dohľadom môžete zabrániť v ponúkaní bezdrôtových softvérových aktualizácií užívateľom až do uplynutia zadaného časového úseku od ich zverejnenia spoločnosťou Apple. Povedzme napríklad, že máte celú skupinu iPhonov so systémom iOS 17.3 a použijete konfiguráciu odloženia softvérovej aktualizácie o 30 dní. V tomto scenári bude užívateľom iPhonov ponúkaný systém iOS 17.4 na ich spravovaných zariadeniach až 30 dní po dátume vydania verzie iOS 17.4.
V rámci tejto konfigurácie môžu organizácie špecifikovať vlastné trvanie odloženia od 1 do 90 dní. V systémoch iOS a iPadOS sa tento odklad vzťahuje na aktualizácie operačného systému aj upgrady. V systéme macOS možno špecifikovať rôzne dĺžky odkladu pre aktualizácie operačného systému, upgrady aj aktualizácie netýkajúce sa operačného systému. K aktualizáciám netýkajúcim sa operačného systému patria aktualizácie Safari, ovládačov tlačiarní a nástrojov príkazového riadka Xcode. V systéme macOS možno napríklad nastaviť dlhší odklad pre upgrade softvéru než pre aktualizáciu softvéru.
Poznámka: Bezdrôtové aktualizácie softvéru sú bežne dostupné do 180 dní od ich počiatočného dátumu vydania s cieľom zaistiť, že daná aktualizácia je vždy dostupná pre spravované zariadenia s maximálnym odkladom.
Pre každé z uvedených nastavení objemu dát obmedzení je možné vytvoriť konfiguračný profil.
Minimálne podporované operačné systémy | Kľúč a hodnota (ak existuje) | Popis | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
iOS 11.3 alebo novšia iPadOS 11.3 alebo novší macOS 10.13.4 alebo novší tvOS 12.2 alebo novší |
| Predvolená hodnota je false. Ak sa nastaví hodnota true:
Poznámka: Nevzťahuje sa to na buildy macOS seed. | |||||||||
macOS 11.3 alebo novší |
| Predvolená hodnota je false. Ak sa hodnota nastaví na true, dostupnosť upgradov pre užívateľov je oneskorená o 30 dní, pokiaľ sa pomocou kľúča | |||||||||
macOS 11.3 alebo novší |
| Predvolená hodnota je false. Ak sa hodnota nastaví na true, dostupnosť aktualizácií apiek pre užívateľov je oneskorená o 30 dní, pokiaľ sa pomocou kľúča | |||||||||
iOS 11.3 alebo novšia iPadOS 11.3 alebo novší macOS 10.13.4 alebo novší tvOS 12.2 alebo novší |
1 – 90 | Umožňuje správcovi MDM riešenia nastaviť, o koľko dní bude oneskorená aktualizácia softvéru. Musí sa nastaviť, ak sa používa kľúč Keď sa nastaví nejaká hodnota, aktualizácia softvéru bude pre užívateľov dostupná až po zadanej dobe oneskorenia (vzhľadom na to, kedy bol daný softvér vydaný v službe vyhľadávania softvéru Apple). Táto hodnota určuje oneskorenie pre kľúč
Poznámka: V systémoch pred macOS 11.3 táto hodnota určovala oneskorenie pre kľúč | |||||||||
macOS 11.3 alebo novší |
1 – 90 | Umožňuje správcovi MDM riešenia nastaviť, o koľko dní bude oneskorený upgrade softvéru. Maximum je 90 dní a predvolená hodnota je 30 dní. Keď sa nastaví nejaká hodnota, upgrade softvéru bude pre užívateľov dostupný až po zadanej dobe oneskorenia (vzhľadom na to, kedy bol daný softvér vydaný v službe vyhľadávania softvéru Apple). Táto hodnota určuje oneskorenie pre kľúč | |||||||||
macOS 11.3 alebo novší |
1 – 90 | Umožňuje správcovi MDM riešenia nastaviť, o koľko dní bude oneskorená aktualizácia softvéru. Maximum je 90 dní a predvolená hodnota je 30 dní. Keď sa nastaví nejaká hodnota, aktualizácia softvéru bude pre užívateľov dostupná až po zadanej dobe oneskorenia (vzhľadom na to, kedy bol daný softvér vydaný v službe vyhľadávania softvéru Apple). Táto hodnota určuje oneskorenie pre kľúč | |||||||||
macOS 11.3 alebo novší |
1 – 90 | Umožňuje správcovi MDM riešenia nastaviť, o koľko dní bude oneskorená aktualizácia nejakej apky. Maximum je 90 dní a predvolená hodnota je 30 dní. Keď sa nastaví nejaká hodnota, aktualizácia apky bude pre užívateľov dostupná až po zadanej dobe oneskorenia (vzhľadom na to, kedy bol daný softvér vydaný). Táto hodnota určuje oneskorenie pre kľúč |
Odporúčaná početnosť v systémoch iOS a iPadOS
Okrem definovania časových odkladov môžu organizácie určiť, či užívatelia na spravovaných zariadeniach iPhone a iPad budú mať možnosť upgradu na novšiu, významnejšiu verziu alebo budú pokračovať s aktuálnou verziou a naďalej budú dostávať menšie aktualizácie, a to aj po sprístupnení upgradu.
Napríklad na iPhone so systémom iOS 16.6.1 možno použiť jednu z troch možností:
Ponúknuť užívateľom len dodatočné aktualizácie systému iOS 16.
Ponúknuť užívateľom upgrade na iOS 17.
Povoliť užívateľom vybrať si: dodatočné aktualizácie systému iOS 16 (napríklad iOS 16.7) alebo upgrade na iOS 17.
Prvá možnosť je k dispozícii len na obmedzený čas a umožňuje užívateľom využívať výhody dôležitých bezpečnostných aktualizácií, kým sa nedokončí schválenie upgradu na použitie v prostredí produkcie.
Spolu s odkladmi možno použiť odporúčanú početnosť. V príklade vyššie by ju bolo možné použiť na ponechanie systému iOS 16 na zariadeniach, pričom na určené obdobie by boli odložené len softvérové aktualizácie (napríklad na iOS 16.7).
Požiadavka autorizácie správcom v systéme macOS
Organizácie môžu zmeniť predvolené správanie a môžu začať vyžadovať autorizáciu inštalácie softvérovej aktualizácie lokálnym správcom. Túto možnosť možno použiť napríklad vtedy, keď nasadené zariadenie zdieľajú viacerí užívatelia, a vykonávanie aktualizácií sa obmedzí len na jedného z nich.
Vynucovanie softvérových aktualizácií
Organizácie môžu vynútiť inštaláciu softvérovej aktualizácie v konkrétnom čase bez ohľadu na to, či sú nakonfigurované odklady alebo či je vypnutá automatická inštalácia rýchlych bezpečnostných odpovedí. Týmto spôsobom sa pomáha zaistiť, že spravované zariadenia používajú konkrétnu verziu do určitého dátumu a času, a zároveň to užívateľom umožňuje nainštalovať aktualizáciu v čase, ktorý im vyhovuje (pred dátumom vynútenia).
Dátum a čas vynútenia sa vzťahujú na miestne časové pásmo zariadenia. To umožňuje použiť rovnakú konfiguráciu v rôznych regiónoch. Ak je napríklad vynútenie nastavené na 18.00 určitého dňa, zariadenie sa pokúsi vykonať aktualizáciu o 18.00 v daný deň v miestnom časovom pásme.
Keď vyhlásite aktualizáciu softvéru, užívatelia budú informovaní o jej termíne:
V apke Nastavenia (iOS a iPadOS) a v Systémových nastaveniach (macOS)
V hlásení
V závislosti od času, ktorý zostáva do termínu vynútenia, sa v hlásení zobrazia rôzne možnosti (opísané nižšie). Na zaistenie vyššej transparentnosti voči užívateľom a lepšej informovanosti užívateľov o celom procese možno prostredníctvom odkazu „Viac informácií“ poskytnúť dodatočné informácie o aktualizácii.
Ak užívateľ nezačne inštaláciu okamžite, hlásenia a zobrazované možnosti budú závisieť od zostávajúceho času: s blížiacim sa termínom budú čoraz častejšie a budú povzbudzovať užívateľa k tomu, aby aktualizáciu nainštaloval v jemu vyhovujúcom čase. Aby sa zaistilo zobrazenie hlásenia užívateľovi, počas 24 hodín pred termínom vynútenia bude ignorovaný režim Nerušiť.
Na spustenie a autorizáciu aktualizácie priamo z hlásenia alebo z apky Nastavenia či Systémové nastavenia systém vyzve užívateľa, aby zadal svoj kód alebo heslo.
Ak užívateľ nenainštaloval aktualizáciu pred dátumom vynútenia:
Systémy iOS a iPadOS od užívateľa požadujú zadanie kódu (ak je nastavený a nebol zadaný už predtým).
Systém macOS vynúti ukončenie všetkých otvorených apiek (bez ohľadu na to, či sú otvorené a neuložené nejaké dokumenty) a v prípade potreby vykoná reštart.
Na počítačoch Mac s Apple čipom používa Mac na autorizáciu aktualizácie bootstrap token (pokiaľ je dostupný), prípadne vyzve užívateľa, aby zadal svoje prihlasovacie údaje.
Na vynútenie inštalácie aktualizácie, upgradu alebo rýchlej bezpečnostnej odpovede musí zariadenie spĺňať rovnaké požiadavky ako v prípade užívateľom iniciovanej aktualizácie rovnakého typu.
Hlavnou výhodou deklaratívnej správy zariadení je autonómia zariadení. Namiesto spustenia individuálnych akcií riešenie MDM vyhlási požadovaný stav a deleguje príslušnú úlohu samotnému zariadeniu tak, aby daný stav dosiahlo. Špecifickým príkladom takéhoto správania je situácia, kedy bol zmeškaný termín vynútenia softvérovej aktualizácie, pretože zariadenie nespĺňalo príslušné požiadavky. Zariadenie automaticky zistí, že zatiaľ nebol dosiahnutý vyhlásený stav, a bude pokračovať v procese po opätovnom pripojení na internet.
Ak je to potrebné, operačný systém stiahne a pripraví aktualizáciu a zobrazí užívateľovi ďalšie hlásenie o tom, že lehota na vykonanie aktualizácie vypršala a že sa ju pokúsi nainštalovať počas nasledujúcej hodiny. V prípade, že sa z nejakého dôvodu proces znovu preruší, tento proces sa bude opakovať pri ďalšom zapnutí zariadenia a pripojení na internet.
Pomocou stavových správ v deklaratívnej správe zariadení môžu riešenia MDM získať lepší prehľad o stave inštalácie – napríklad čakanie na aktualizáciu, sťahovanie a príprava alebo inštalácia aktualizácie. Pre prípad, že vydanie aktualizácie nebolo možné použiť alebo sa ju nepodarilo úspešne dokončiť, boli pridané zrozumiteľné chybové kódy. Príkladmi takýchto situácií sú: zariadenie bolo offline, batéria bola nedostatočne nabitá alebo nebolo k dispozícii dostatok voľného miesta.
Aktualizácia iPadOS na zdieľanom iPade
Aktualizácia softvéru na zdieľanom iPade môže bezdrôtovo inicializovať riešenie MDM, v ktorom je zdieľaný iPad zaregistrovaný. Ak je zariadenie pripojené fyzicky, možno použiť aj Findera alebo Apple Configurator na Macu.
Na inštaláciu aktualizácie na zdieľanom iPade musia byť z neho užívatelia odhlásení, ale ich prihlasovacie údaje môžu zostať uložené v medzipamäti. Ak inštalácia vyžaduje viac voľného miesta, než je aktuálne k dispozícii, údaje o účtoch užívateľov uložené v medzipamäti musia byť odstránené. V dôsledku autonómie deklaratívnej správy zariadení sa bude zariadenie pokúšať nainštalovať nové vydanie aktualizácie dovtedy, kým nebude aktualizácie úspešná.
V záujme minimalizovania výpadkov by mali byť aktualizácie zdieľaného iPadu naplánované mimo pracovného času, keď majú najmenší vplyv na užívateľov a sieť.
Ďalšie informácie nájdete v téme Aktualizácia a upgrady systému iPadOS pre zdieľaný iPad.
Povolenie užívateľom dočasne odložiť softvérové aktualizácie a upgrady macOS
Pre lepšiu kontrolu môžete v macOS 12.3 alebo novšom vynútiť konkrétnu softvérovú aktualizáciu alebo upgrade a umožniť užívateľom odložiť ich zadaný počet krát. MDM riešenie, ktoré podporuje túto funkciu, môže zadať počet použití akcie inštalácie InstallLater
, pričom tento počet je definovaný kľúčom MaxUserDeferrals
.
Hlásenie o inštalácii sa zobrazuje každých približne 24 hodín. Odloženie nastane, keď užívateľ zavrie okno hlásenia. Užívateľ má po kliknutí na hlásenie nasledujúce možnosti aktualizácie alebo upgradu:
Inštalovať: Stiahne aktualizáciu alebo upgrade a nainštaluje ich okamžite.
Vyskúšať v noci: Stiahne a nainštaluje neskôr.
Ak užívateľ vyberie túto možnosť, Mac na základe strojového učenia z dát za posledných 21 dní nájde najlepší čas na stiahnutie a inštaláciu aktualizácie alebo upgradu – približne medzi 2:00 a 4:00 hodinou ráno (nemusí to byť vždy v tomto čase).
Ak užívateľovi stále zostávajú odložené aktualizácie alebo upgrady a nezobrazí sa mu hlásenie alebo hlásenie ignoruje, aktualizácia sa v daný večer nenainštaluje. Posledné hlásenie na inštaláciu obíde režim Nerušiť. Správca riešenia MDM tiež môže zadaním nového príkazu aktualizovať počet možných odložení. Na Macu sa tým resetuje počítadlo odložení.